المتطلبات الأساسية للنسخ الاحتياطي لخدمة Azure Kubernetes باستخدام Azure Backup
توضح هذه المقالة المتطلبات الأساسية للنسخ الاحتياطي لخدمة Azure Kubernetes (AKS).
يسمح لك Azure Backup الآن بنسخ مجموعات AKS احتياطيا (موارد نظام المجموعة ووحدات التخزين الثابتة المرفقة بالمجموعة) باستخدام ملحق النسخ الاحتياطي، والذي يجب تثبيته في نظام المجموعة. يتصل مخزن النسخ الاحتياطي مع نظام المجموعة عبر ملحق النسخ الاحتياطي هذا لتنفيذ عمليات النسخ الاحتياطي والاستعادة. استنادا إلى نموذج الأمان الأقل امتيازا، يجب أن يكون لدى مخزن النسخ الاحتياطي وصول موثوق به ممكن للاتصال بمجموعة AKS.
إشعار
النسخ الاحتياطي المخزن والاستعادة عبر المناطق ل AKS باستخدام Azure Backup قيد المعاينة حاليا.
النسخة الاحتياطية للملحق
يتيح الملحق إمكانات النسخ الاحتياطي والاستعادة لأحمال العمل الحاوية ووحدات التخزين الثابتة المستخدمة من قبل أحمال العمل التي تعمل في مجموعات AKS.
يتم تثبيت ملحق النسخ الاحتياطي في مساحة الاسم الخاصة به dataprotection-microsoft بشكل افتراضي. يتم تثبيته مع نطاق واسع لنظام المجموعة الذي يسمح للملحق بالوصول إلى جميع موارد نظام المجموعة. أثناء تثبيت الملحق، فإنه ينشئ أيضا هوية مدارة معينة من قبل المستخدم (هوية الملحق) في مجموعة موارد تجمع العقدة.
يستخدم ملحق النسخ الاحتياطي حاوية كائن ثنائي كبير الحجم (يتم توفيرها في الإدخال أثناء التثبيت) كموقع افتراضي لتخزين النسخ الاحتياطي. للوصول إلى حاوية الكائن الثنائي كبير الحجم هذه، تتطلب هوية الملحق دور Storage Blob Data Contributor على حساب التخزين الذي يحتوي على الحاوية.
تحتاج إلى تثبيت ملحق النسخ الاحتياطي على كل من نظام المجموعة المصدر المراد نسخه احتياطيا والمجموعة الهدف حيث ستتم استعادة النسخ الاحتياطي.
يمكن تثبيت ملحق النسخ الاحتياطي في نظام المجموعة من جزء مدخل AKS على علامة التبويب النسخ الاحتياطي ضمن الإعدادات. يمكنك أيضا استخدام أوامر Azure CLI لإدارة التثبيت والعمليات الأخرى على ملحق النسخ الاحتياطي.
قبل تثبيت ملحق في نظام مجموعة AKS، يجب تسجيل
Microsoft.KubernetesConfigurationموفر الموارد على مستوى الاشتراك. تعرف على كيفية تسجيل موفر الموارد.عامل الملحق ومشغل الملحق هما مكونات النظام الأساسي الأساسية في AKS، والتي يتم تثبيتها عند تثبيت ملحق من أي نوع للمرة الأولى في نظام مجموعة AKS. توفر هذه القدرات لنشر ملحقات الطرف الأول والجهات الخارجية. يعتمد ملحق النسخ الاحتياطي أيضا عليها للتثبيت والترقيات.
إشعار
يتم نشر كل من هذين المكونين الأساسيين بحدود ثابتة شديدة على وحدة المعالجة المركزية والذاكرة، مع وحدة المعالجة المركزية أقل من 0.5٪ من حد الذاكرة الأساسية وتتراوح بين 50-200 ميغابايت. لذلك، فإن تأثير COGS لهذه المكونات منخفض جدا. نظرا لأنها مكونات النظام الأساسي الأساسية، لا يوجد حل بديل متاح لإزالتها بمجرد تثبيتها في نظام المجموعة.
إذا كان حساب التخزين، الذي سيتم توفيره كإدخال لتثبيت الملحق، ضمن الشبكة الظاهرية/جدار الحماية، فيجب إضافة BackupVault كوصول موثوق به في إعدادات شبكة حساب التخزين. تعرف على كيفية منح حق الوصول إلى خدمة Azure الموثوق بها، والتي تساعد على تخزين النسخ الاحتياطية في مخزن بيانات Vault
تعرف على كيفية إدارة عملية تثبيت ملحق النسخ الاحتياطي باستخدام Azure CLI.
الوصول الموثوق به
تعتمد العديد من خدمات Azure على clusterAdmin kubeconfig ونقطة نهاية kube-apiserver التي يمكن الوصول إليها بشكل عام للوصول إلى مجموعات AKS. تمكنك ميزة AKS Trusted Access من تجاوز قيود نقطة النهاية الخاصة. دون استخدام تطبيق Microsoft Entra، تمكنك هذه الميزة من منح موافقة صريحة على الهوية المعينة من قبل النظام للموارد المسموح بها للوصول إلى مجموعات AKS باستخدام RoleBinding لمورد Azure. تسمح لك الميزة بالوصول إلى مجموعات AKS بتكوينات مختلفة، والتي لا تقتصر على المجموعات الخاصة، والمجموعات مع تعطيل الحسابات المحلية، ومجموعات معرف Microsoft Entra، ومجموعات نطاق IP المعتمدة.
تصل موارد Azure إلى مجموعات AKS من خلال بوابة AKS الإقليمية باستخدام مصادقة الهوية المدارة المعينة من قبل النظام. يجب أن يكون للهوية المدارة أذونات Kubernetes المناسبة المعينة عبر دور مورد Azure.
بالنسبة للنسخ الاحتياطي ل AKS، يصل مخزن النسخ الاحتياطي إلى مجموعات AKS الخاصة بك عبر الوصول الموثوق به لتكوين النسخ الاحتياطية والاستعادة. يتم تعيين دور محدد مسبقا لمخزن النسخ الاحتياطي Microsoft.DataProtection/backupVaults/backup-operator في نظام مجموعة AKS، ما يسمح له بإجراء عمليات نسخ احتياطي معينة فقط.
لتمكين الوصول الموثوق به بين مخزن النسخ الاحتياطي والمجموعة AKS، يجب تسجيل علامة الميزة TrustedAccessPreview على Microsoft.ContainerService على مستوى الاشتراك. تعرف على المزيد لتسجيل موفر الموارد.
تعرف على كيفية تمكين الوصول الموثوق به.
إشعار
- يمكنك تثبيت ملحق النسخ الاحتياطي على نظام مجموعة AKS مباشرة من مدخل Azure ضمن قسم النسخ الاحتياطي في مدخل AKS.
- يمكنك أيضا تمكين الوصول الموثوق به بين مخزن النسخ الاحتياطي والمجموعة AKS أثناء عمليات النسخ الاحتياطي أو الاستعادة في مدخل Microsoft Azure.
نظام مجموعة AKS
لتمكين النسخ الاحتياطي لمجموعة AKS، راجع المتطلبات الأساسية التالية: .
يستخدم النسخ الاحتياطي ل AKS قدرات لقطات واجهة تخزين الحاوية (CSI) لإجراء نسخ احتياطية من وحدات التخزين الثابتة. يتوفر دعم برنامج تشغيل CSI لمجموعات AKS مع الإصدار 1.21.1 من Kubernetes أو أحدث.
إشعار
- حاليا، يدعم النسخ الاحتياطي ل AKS فقط النسخ الاحتياطي لوحدات التخزين الثابتة المستندة إلى قرص Azure (التي تم تمكينها بواسطة برنامج تشغيل CSI). إذا كنت تستخدم Azure File Share ونوع وحدات تخزين Azure Blob الثابتة في مجموعات AKS الخاصة بك، يمكنك تكوين النسخ الاحتياطية لها عبر حلول Azure Backup المتوفرة لمشاركة ملف Azure وAzure Blob.
- في Tree، وحدات التخزين غير مدعومة من قبل النسخ الاحتياطي ل AKS؛ يمكن نسخ وحدات التخزين المستندة إلى برنامج تشغيل CSI فقط احتياطيا. يمكنك الترحيل من وحدات تخزين الشجرة إلى وحدات التخزين الثابتة المستندة إلى برنامج تشغيل CSI.
قبل تثبيت ملحق النسخ الاحتياطي في نظام مجموعة AKS، تأكد من تمكين برامج تشغيل CSI واللقطات لنظام المجموعة الخاص بك. إذا تم تعطيلها، فشاهد هذه الخطوات لتمكينها.
يدعم Azure Backup ل AKS مجموعات AKS باستخدام هوية مدارة معينة من قبل النظام أو هوية مدارة يعينها المستخدم لعمليات النسخ الاحتياطي. على الرغم من أن المجموعات التي تستخدم كيان الخدمة غير مدعومة، يمكنك تحديث مجموعة AKS موجودة لاستخدام هوية مدارة معينة من قبل النظام أو هوية مدارة يعينها المستخدم.
يجلب ملحق النسخ الاحتياطي أثناء التثبيت صور الحاوية المخزنة في Microsoft Container Registry (MCR). إذا قمت بتمكين جدار حماية على نظام مجموعة AKS، فقد تفشل عملية تثبيت الملحق بسبب مشكلات الوصول في السجل. تعرف على كيفية السماح بالوصول إلى MCR من جدار الحماية.
في حالة وجود نظام المجموعة في شبكة ظاهرية خاصة وجدار حماية، قم بتطبيق قواعد FQDN/التطبيق التالية:
*.microsoft.com،*.azure.com،*.core.windows.net،*.azmk8s.io،*.digicert.com،*.digicert.cn،*.geotrust.com.*.msocsp.comتعرف على كيفية تطبيق قواعد FQDN.إذا كان لديك أي تثبيت سابق من Velero في مجموعة AKS، تحتاج إلى حذفه قبل تثبيت ملحق النسخ الاحتياطي.
الأدوار والأذونات المطلوبة
لتنفيذ عمليات النسخ الاحتياطي والاستعادة ل AKS كمستخدم، تحتاج إلى أن يكون لديك أدوار محددة على مجموعة AKS وخزنة النسخ الاحتياطي وحساب التخزين ومجموعة موارد اللقطة.
| النطاق | الدور المفضل | الوصف |
|---|---|---|
| نظام مجموعة AKS | المالك | يسمح لك بتثبيت ملحق النسخ الاحتياطي وتمكين الوصول الموثوق به ومنح أذونات إلى مخزن النسخ الاحتياطي عبر نظام المجموعة. |
| مجموعة موارد مخزن النسخ الاحتياطي | مساهم النسخ الاحتياطي | يسمح لك بإنشاء مخزن النسخ الاحتياطي في مجموعة موارد، وإنشاء نهج النسخ الاحتياطي، وتكوين النسخ الاحتياطي، واستعادة وتعيين الأدوار المفقودة المطلوبة لعمليات النسخ الاحتياطي. |
| حساب التخزين | المالك | يسمح لك بإجراء عمليات القراءة والكتابة على حساب التخزين وتعيين الأدوار المطلوبة لموارد Azure الأخرى كجزء من عمليات النسخ الاحتياطي. |
| مجموعة موارد اللقطة | المالك | يسمح لك بإجراء عمليات القراءة والكتابة على مجموعة موارد اللقطة وتعيين الأدوار المطلوبة لموارد Azure الأخرى كجزء من عمليات النسخ الاحتياطي. |
إشعار
يسمح لك دور المالك على مورد Azure بإجراء عمليات التحكم في الوصول استنادا إلى الدور في Azure لهذا المورد. إذا لم يكن متوفرا، يجب على مالك المورد توفير الأدوار المطلوبة لمخزن النسخ الاحتياطي ومجموعة AKS قبل بدء عمليات النسخ الاحتياطي أو الاستعادة.
أيضا، كجزء من عمليات النسخ الاحتياطي والاستعادة، يتم تعيين الأدوار التالية إلى مجموعة AKS، وهوية ملحق النسخ الاحتياطي، وخزنة النسخ الاحتياطي.
| الدور | معين إلى | تم التعيين في | الوصف |
|---|---|---|---|
| القارئ | مخزن النسخ الاحتياطي | كتلة خدمة Azure Kubernetes | يسمح لمخزن النسخ الاحتياطي بتنفيذ عمليات القائمة والقراءة على نظام مجموعة AKS. |
| القارئ | مخزن النسخ الاحتياطي | مجموعة موارد اللقطة | يسمح لمخزن النسخ الاحتياطي بتنفيذ عمليات القائمة والقراءة على مجموعة موارد اللقطة. |
| مساهم | كتلة خدمة Azure Kubernetes | مجموعة موارد اللقطة | يسمح لمجموعة AKS بتخزين لقطات وحدة التخزين الثابتة في مجموعة الموارد. |
| المساهم في بيانات مخزن البيانات الثنائية الكبيرة | هوية الملحق | حساب التخزين | يسمح لملحق النسخ الاحتياطي بتخزين النسخ الاحتياطية لمورد نظام المجموعة في حاوية الكائن الثنائي كبير الحجم. |
| عامل تشغيل البيانات للقرص المدار | مخزن النسخ الاحتياطي | مجموعة موارد اللقطة | يسمح لخدمة Backup Vault بنقل بيانات اللقطة التزايدية إلى Vault. |
| مساهم لقطة القرص | مخزن النسخ الاحتياطي | مجموعة موارد اللقطة | يسمح ل Backup Vault بالوصول إلى لقطات الأقراص وتنفيذ عملية Vaulting. |
| قارئ بيانات مخزن البيانات الثنائية الكبيرة | مخزن النسخ الاحتياطي | حساب التخزين | السماح ل Backup Vault بالوصول إلى حاوية Blob مع بيانات النسخ الاحتياطي المخزنة للانتقال إلى Vault. |
| مساهم | مخزن النسخ الاحتياطي | مجموعة موارد التقسيم المرحلي | يسمح ل Backup Vault بترطيب النسخ الاحتياطية كأقراص مخزنة في Vault Tier. |
| المساهم في حساب التخزين | مخزن النسخ الاحتياطي | حساب التخزين المرحلي | يسمح ل Backup Vault بتهيدر النسخ الاحتياطية المخزنة في Vault Tier. |
| مالك بيانات مخزن البيانات الثنائية الكبيرة | مخزن النسخ الاحتياطي | حساب التخزين المرحلي | يسمح ل Backup Vault بنسخ حالة نظام المجموعة في حاوية كائن ثنائي كبير الحجم مخزنة في Vault Tier. |
إشعار
يسمح لك النسخ الاحتياطي ل AKS بتعيين هذه الأدوار أثناء عمليات النسخ الاحتياطي والاستعادة من خلال مدخل Microsoft Azure بنقرة واحدة.
الخطوات التالية
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ