Požadavky na zálohování služby Azure Kubernetes Service pomocí služby Azure Backup
Tento článek popisuje požadavky na zálohování služby Azure Kubernetes Service (AKS).
Azure Backup teď umožňuje zálohovat clustery AKS (prostředky clusteru a trvalé svazky připojené ke clusteru) pomocí rozšíření zálohování, které se musí nainstalovat do clusteru. Trezor služby Backup komunikuje s clusterem prostřednictvím tohoto rozšíření zálohování za účelem provádění operací zálohování a obnovení. Na základě modelu zabezpečení s nejnižšími oprávněními musí mít trezor služby Backup povolený důvěryhodný přístup ke komunikaci s clusterem AKS.
Poznámka:
Trezorové zálohování a obnovení mezi oblastmi pro AKS pomocí služby Azure Backup jsou aktuálně ve verzi Preview.
Rozšíření zálohování
Rozšíření umožňuje funkce zálohování a obnovení pro kontejnerizované úlohy a trvalé svazky používané úlohami spuštěnými v clusterech AKS.
Rozšíření backup se ve výchozím nastavení instaluje do vlastního oboru názvů dataprotection-microsoft . Instaluje se s širokým oborem clusteru, který umožňuje rozšíření přistupovat ke všem prostředkům clusteru. Během instalace rozšíření také vytvoří spravovanou identitu přiřazenou uživatelem (identitu rozšíření) ve skupině prostředků fondu uzlů.
Rozšíření backup používá kontejner objektů blob (zadaný během instalace) jako výchozí umístění pro úložiště záloh. Pro přístup k tomuto kontejneru objektů blob vyžaduje identita rozšíření roli Přispěvatel dat objektů blob úložiště v účtu úložiště, který má kontejner.
Abyste mohli zálohovat zdrojový cluster, a cílový cluster, ve kterém se má obnovit zálohování, musíte nainstalovat rozšíření zálohování.
Rozšíření zálohování je možné nainstalovat v clusteru z okna portálu AKS na kartě Zálohování v části Nastavení. Ke správě instalace a dalších operací rozšíření zálohování můžete použít také příkazy Azure CLI.
Před instalací rozšíření v clusteru AKS musíte poskytovatele prostředků zaregistrovat
Microsoft.KubernetesConfigurationna úrovni předplatného. Zjistěte, jak zaregistrovat poskytovatele prostředků.Agent rozšíření a operátor rozšíření jsou základní komponenty platformy v AKS, které se instalují při prvním instalaci rozšíření libovolného typu v clusteru AKS. Tyto možnosti poskytují možnosti nasazení rozšíření třetích stran a rozšíření třetích stran. Rozšíření zálohování také závisí na nich pro instalaci a upgrady.
Poznámka:
Obě tyto základní komponenty se nasazují s agresivními pevnými limity procesoru a paměti, přičemž procesor je menší než 0,5 % limitu jádra a paměti v rozsahu od 50 do 200 MB. Dopad COGS těchto komponent je tedy velmi nízký. Vzhledem k tomu, že se jedná o základní komponenty platformy, není k dispozici žádné alternativní řešení, které je po instalaci v clusteru odebrat.
Pokud je účet úložiště, který se má poskytnout jako vstup pro instalaci rozšíření, nachází se ve virtuální síti nebo bráně firewall, musí být služba BackupVault přidána jako důvěryhodný přístup v nastavení sítě účtu úložiště. Zjistěte, jak udělit přístup k důvěryhodné službě Azure, která pomáhá ukládat zálohy v úložišti dat trezoru.
Zjistěte , jak spravovat operaci instalace rozšíření backup pomocí Azure CLI.
Důvěryhodný přístup
Mnoho služeb Azure závisí na clusterAdmin kubeconfig a veřejně přístupném koncovém bodu kube-apiserver pro přístup ke clusterům AKS. Funkce důvěryhodného přístupu AKS umožňuje obejít omezení privátního koncového bodu. Bez použití aplikace Microsoft Entra vám tato funkce umožňuje udělit explicitní souhlas s identitou přiřazenou systémem povolených prostředků pro přístup ke clusterům AKS pomocí vazby prostředků Azure. Tato funkce umožňuje přístup ke clusterům AKS s různými konfiguracemi, které nejsou omezené na privátní clustery, clustery s místními účty zakázané, clustery Microsoft Entra ID a autorizované clustery rozsahu IP adres.
Vaše prostředky Azure přistupují ke clusterům AKS prostřednictvím regionální brány AKS pomocí ověřování spravované identity přiřazené systémem. Spravovaná identita musí mít přiřazená příslušná oprávnění Kubernetes prostřednictvím role prostředku Azure.
Pro zálohování AKS trezor záloh přistupuje k vašim clusterům AKS prostřednictvím důvěryhodného přístupu a konfiguruje zálohy a obnovení. Trezor služby Backup má přiřazenou předdefinovanou roli Microsoft.DataProtection/backupVaults/backup-operator v clusteru AKS, což umožňuje provádět pouze konkrétní operace zálohování.
Pokud chcete povolit důvěryhodný přístup mezi trezorem záloh a clusterem AKS, musíte příznak funkce zaregistrovat TrustedAccessPreview na Microsoft.ContainerService úrovni předplatného. Další informace o registraci poskytovatele prostředků
Zjistěte , jak povolit důvěryhodný přístup.
Poznámka:
- Rozšíření zálohování můžete nainstalovat do clusteru AKS přímo z webu Azure Portal v části Zálohování na portálu AKS.
- Během operací zálohování nebo obnovení na webu Azure Portal můžete také povolit důvěryhodný přístup mezi trezorem záloh a clusterem AKS.
Cluster AKS
Pokud chcete povolit zálohování clusteru AKS, projděte si následující požadavky: .
Zálohování AKS používá možnosti snímků ovladačů rozhraní kontejnerového úložiště (CSI) k zálohování trvalých svazků. Podpora ovladačů CSI je dostupná pro clustery AKS s Kubernetes verze 1.21.1 nebo novější.
Poznámka:
- Zálohování AKS v současné době podporuje pouze zálohování trvalých svazků založených na disku Azure (povolené ovladačem CSI). Pokud ve svých clusterech AKS používáte trvalé svazky se sdílenými složkami Azure a typy objektů blob Azure, můžete pro ně nakonfigurovat zálohy prostřednictvím řešení Azure Backup dostupných pro sdílenou složku Azure a objekt blob Azure.
- Ve stromové struktuře nejsou svazky podporovány zálohováním AKS; Zálohovat lze pouze svazky založené na ovladači CSI. Z svazků stromu můžete migrovat na trvalé svazky založené na ovladačích CSI.
Před instalací rozšíření zálohování v clusteru AKS se ujistěte, že jsou pro váš cluster povolené ovladače CSI a snímky. Pokud je tato možnost zakázaná, prohlédněte si tyto kroky a povolte je.
Azure Backup pro AKS podporuje clustery AKS pomocí spravované identity přiřazené systémem nebo spravované identity přiřazené uživatelem pro operace zálohování. I když se clustery používající instanční objekt nepodporují, můžete existující cluster AKS aktualizovat tak, aby používal spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem.
Rozšíření zálohování během instalace načítá image kontejnerů uložené ve službě Microsoft Container Registry (MCR). Pokud povolíte bránu firewall v clusteru AKS, proces instalace rozšíření může selhat kvůli problémům s přístupem v registru. Zjistěte , jak povolit přístup MCR z brány firewall.
V případě, že máte cluster v privátní virtuální síti a bráně firewall, použijte následující pravidla plně kvalifikovaného názvu domény a aplikace:
*.microsoft.com, ,*.azure.com,*.core.windows.net*.azmk8s.io,*.digicert.com*.digicert.cn, , .*.msocsp.com*.geotrust.comNaučte se používat pravidla plně kvalifikovaného názvu domény.Pokud máte v clusteru AKS nějakou předchozí instalaci Velero , musíte ji před instalací rozšíření zálohování odstranit.
Požadované role a oprávnění
Pokud chcete provádět operace zálohování a obnovení AKS jako uživatel, musíte mít konkrétní role v clusteru AKS, trezoru služby Backup, účtu úložiště a skupině prostředků snímku.
| Obor | Upřednostňovaná role | Popis |
|---|---|---|
| Cluster AKS | Vlastník | Umožňuje nainstalovat rozšíření Backup, povolit důvěryhodný přístup a udělit oprávnění k trezoru služby Backup v clusteru. |
| Skupina prostředků trezoru záloh | Přispěvatel zálohování | Umožňuje vytvářet trezor služby Backup ve skupině prostředků, vytvářet zásady zálohování, konfigurovat zálohování a obnovovat a přiřazovat chybějící role požadované pro operace zálohování. |
| Účet úložiště | Vlastník | Umožňuje provádět operace čtení a zápisu v účtu úložiště a přiřazovat požadované role jiným prostředkům Azure jako součást operací zálohování. |
| Skupina prostředků snímku | Vlastník | Umožňuje provádět operace čtení a zápisu ve skupině prostředků Snapshot a přiřazovat požadované role jiným prostředkům Azure jako součást operací zálohování. |
Poznámka:
Role vlastníka prostředku Azure umožňuje provádět operace Azure RBAC daného prostředku. Pokud není k dispozici, musí vlastník prostředku před zahájením operací zálohování nebo obnovení poskytnout požadované role trezoru služby Backup a clusterU AKS.
V rámci operací zálohování a obnovení jsou také k clusteru AKS, identitě rozšíření zálohování a trezoru služby Backup přiřazeny následující role.
| Role | Přiřazeno komu | Přiřazeno | Popis |
|---|---|---|---|
| Čtenář | Trezor služby Backup | Cluster AKS | Umožňuje trezoru služby Backup provádět operace výpisu a čtení v clusteru AKS. |
| Čtenář | Trezor služby Backup | Skupina prostředků snímku | Umožňuje trezoru služby Backup provádět operace výpisu a čtení ve skupině prostředků snímku. |
| Přispěvatel | Cluster AKS | Skupina prostředků snímku | Umožňuje clusteru AKS ukládat snímky trvalých svazků do skupiny prostředků. |
| Přispěvatel dat objektů blob úložiště | Identita rozšíření | Účet úložiště | Umožňuje rozšíření zálohování ukládat zálohy prostředků clusteru do kontejneru objektů blob. |
| Operátor dat pro spravovaný disk | Trezor služby Backup | Skupina prostředků snímku | Umožňuje službě Backup Vault přesunout přírůstková data snímků do trezoru. |
| Přispěvatel snímků disku | Trezor služby Backup | Skupina prostředků snímku | Umožňuje službě Backup Vault přistupovat ke snímkům disků a provádět operaci trezoru. |
| Čtenář dat v objektech blob služby Storage | Trezor služby Backup | Účet úložiště | Povolte službě Backup Vault přístup ke kontejneru objektů blob s uloženými zálohovanými daty, která se mají přesunout do trezoru. |
| Přispěvatel | Trezor služby Backup | Přípravná skupina prostředků | Umožňuje službě Backup Vault hydratovat zálohy jako disky uložené ve vrstvě trezoru. |
| Přispěvatel účtu úložiště | Trezor služby Backup | Přípravný účet úložiště | Umožňuje službě Backup Vault hydratovat zálohy uložené ve vrstvě trezoru. |
| Vlastník dat objektů blob úložiště | Trezor služby Backup | Přípravný účet úložiště | Umožňuje službě Backup Vault kopírovat stav clusteru v kontejneru objektů blob uloženém ve vrstvě trezoru. |
Poznámka:
Zálohování AKS umožňuje přiřadit tyto role během procesů zálohování a obnovení prostřednictvím webu Azure Portal jediným kliknutím.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro