Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje požadavky na zálohování služby Azure Kubernetes Service (AKS).
Azure Backup teď umožňuje zálohovat clustery AKS (prostředky clusteru a trvalé svazky připojené ke clusteru) pomocí rozšíření zálohování, které se musí nainstalovat do clusteru. Zálohovací úložiště komunikuje s clusterem prostřednictvím tohoto rozšíření zálohování k provádění operací zálohování a obnovení. Na základě modelu zabezpečení s nejnižšími oprávněními musí mít trezor služby Backup povolený důvěryhodný přístup ke komunikaci s clusterem AKS.
Rozšíření zálohování
Rozšíření umožňuje funkce zálohování a obnovení pro kontejnerizované úlohy a trvalé svazky používané úlohami spuštěnými v clusterech AKS.
Rozšíření Backup je ve výchozím nastavení instalováno ve svém vlastním názvosloví dataprotection-microsoft. Instaluje se s celoklástrovým rozsahem, který umožňuje rozšíření na všechny prostředky clusteru. Během instalace rozšíření vytvoří také uživatelem přiřazenou spravovanou identitu (identitu rozšíření) ve skupině prostředků fondu uzlů.
Rozšíření pro zálohování používá kontejner objektů blob (zadaný během instalace) jako výchozí umístění pro úložiště záloh. Pro přístup k tomuto kontejneru objektů blob vyžaduje identita rozšíření roli Přispěvatel dat úložiště objektů blob v účtu úložiště, který obsahuje kontejner.
Abyste mohli zálohovat zdrojový cluster, a cílový cluster, ve kterém se má obnovit zálohování, musíte nainstalovat rozšíření zálohování.
Rozšíření zálohování je možné nainstalovat v clusteru z okna portálu AKS na kartě Zálohování v části Nastavení. Ke správě instalace a dalších operací rozšíření zálohování můžete použít také příkazy Azure CLI.
Před instalací rozšíření v clusteru AKS musíte na úrovni předplatného zaregistrovat poskytovatele prostředků
Microsoft.KubernetesConfiguration. Zjistěte, jak zaregistrovat poskytovatele prostředků.Agent rozšíření a operátor rozšíření jsou základní komponenty platformy v AKS, které se instalují při prvním instalaci rozšíření libovolného typu v clusteru AKS. Tyto poskytují schopnosti k nasazení rozšíření první a třetí strany. Rozšíření zálohování na nich také závisí při instalování a aktualizacích.
Poznámka:
Obě tyto základní komponenty se nasazují s agresivními pevnými limity procesoru a paměti, přičemž procesor je menší než 0,5 % limitu jádra a paměti v rozsahu od 50 do 200 MB. Dopad COGS těchto komponent je tedy velmi nízký. Vzhledem k tomu, že se jedná o základní komponenty platformy, není k dispozici žádné alternativní řešení, které je po instalaci v clusteru odebrat.
Pokud účet úložiště, který zadáte jako vstup pro instalaci rozšíření, používá všechna omezení sítě (privátní koncové body nebo bránu firewall služby Azure Storage), pak následujícím postupem udělte trezoru záloh konkrétní přístup k účtu úložiště:
Udělte přístup k instanci prostředku. Použijte tato nastavení:
-
Typ prostředku:
Microsoft.DataProtection/BackupVaults - Název instance: Název instance spravované identity.
-
Typ prostředku:
Povolte v seznamu důvěryhodných služeb povolit službám Azure přístup k tomuto účtu úložiště.
Další informace o zabezpečení sítě Azure Storage najdete v tématu Pravidla brány firewall služby Azure Storage.
Kontejner objektů blob zadaný během instalace rozšíření by neměl obsahovat žádné soubory nesouvisející se zálohováním.
Zjistěte , jak spravovat operaci instalace rozšíření backup pomocí Azure CLI.
Důvěryhodný přístup
Mnoho služeb Azure závisí na clusterAdmin kubeconfig a na koncovém bodu kube-apiserver, který je veřejně přístupný, pro přístup ke clusterům AKS. Funkce důvěryhodného přístupu AKS umožňuje obejít omezení privátního koncového bodu. Bez použití aplikace Microsoft Entra vám tato funkce umožňuje explicitně schválit identitu přiřazenou systémem, která je oprávněná, aby měla přístup k vašim AKS clusterům pomocí Azure RoleBinding prostředků. Tato funkce umožňuje přístup ke clusterům AKS s různými konfiguracemi, které nejsou omezené na privátní clustery, clustery s místními účty zakázané, clustery Microsoft Entra ID a autorizované clustery rozsahu IP adres.
Vaše prostředky Azure přistupují ke clusterům AKS prostřednictvím regionální brány AKS pomocí ověřování spravované identity přiřazené systémem. Spravovaná identita musí mít přiřazená příslušná oprávnění pro Kubernetes prostřednictvím role prostředků Azure.
Pro zálohování AKS trezor záloh přistupuje k vašim clusterům AKS prostřednictvím důvěryhodného přístupu a konfiguruje zálohy a obnovení. Trezor služby Backup má přiřazenou předdefinovanou roli Microsoft.DataProtection/backupVaults/backup-operator v clusteru AKS, což umožňuje provádět pouze konkrétní operace zálohování.
Povolení důvěryhodného přístupu mezi trezorem záloh a clusterem AKS Zjistěte , jak povolit důvěryhodný přístup.
Poznámka:
- Rozšíření zálohování můžete nainstalovat do clusteru AKS přímo z webu Azure Portal v části Zálohování na portálu AKS.
- Během operací zálohování nebo obnovení na webu Azure Portal můžete také povolit důvěryhodný přístup mezi trezorem záloh a clusterem AKS.
Cluster AKS
Pokud chcete povolit zálohování clusteru AKS, projděte si následující požadavky: .
Zálohování AKS využívá funkce snímkování ovladačů rozhraní kontejnerového úložiště (CSI) k zálohování trvalých svazků. Podpora ovladačů CSI je dostupná pro clustery AKS s Kubernetes verze 1.21.1 nebo novější.
Poznámka:
- Zálohování AKS v současné době podporuje pouze zálohování trvalých svazků založených na disku Azure (povolené ovladačem CSI). Pokud ve svých clusterech AKS používáte trvalé svazky typu Azure File Share a Azure Blob, můžete pro ně nakonfigurovat zálohy pomocí řešení Azure Backup dostupných pro Azure sdílené úložiště a Azure Blob.
- V rámci technologie In Tree nejsou svazky podporovány zálohováním AKS; zálohovat lze pouze svazky založené na ovladači CSI. Můžete migrovat ze stromových svazků na trvalé svazky na bázi ovladače CSI.
Než nainstalujete rozšíření zálohování do clusteru AKS, ujistěte se, že jsou pro váš cluster povolené ovladače CSI a snímky. Pokud je tato možnost zakázaná, prohlédněte si tyto kroky a povolte je.
Azure Backup pro AKS podporuje clustery AKS pomocí spravované identity přiřazené systémem nebo spravované identity přiřazené uživatelem pro operace zálohování. I když nejsou podporovány clustery používající principál služby, můžete existující cluster AKS aktualizovat tak, aby používal spravovanou identitu přiřazenou systémem, nebo spravovanou identitu přiřazenou uživatelem.
Rozšíření zálohování během instalace načítá obrazy kontejnerů uložené ve službě Microsoft Container Registry (MCR). Pokud povolíte bránu firewall v clusteru AKS, proces instalace rozšíření může selhat kvůli problémům s přístupem do registru. Zjistěte , jak povolit přístup MCR z brány firewall.
Během instalace rozšíření zálohování ve službě Azure Kubernetes Service (AKS) se kvůli podpoře základních operací vyžaduje komunikace s několika plně kvalifikovanými názvy domén (FQDN). Kromě účtů služby Azure Backup a Storage musí AKS také přistupovat k externím koncovým bodům, aby bylo potřeba stahovat image kontejnerů pro spouštění podů zálohování a generovat protokoly služeb do Microsoft Defenderu for Endpoint prostřednictvím MDM. Proto pokud je váš cluster nasazený v privátní virtuální síti s omezeními brány firewall, ujistěte se, že jsou povoleny následující plně kvalifikované názvy domén nebo pravidla aplikací:
*.microsoft.com,mcr.microsoft.com,data.mcr.microsoft.com,crl.microsoft.com,mscrl.microsoft.com,oneocsp.microsoft.com,*.azure.com,management.azure.com,gcs.prod.monitoring.core.windows.net,*.prod.warm.ingest.monitor.core.windows.net,*.blob.core.windows.net,*.azmk8s.io,ocsp.digicert.com,cacerts.digicert.com,crl3.digicert.com,crl4.digicert.com,ocsp.digicert.cn,cacerts.digicert.cn,cacerts.geotrust.com,cdp.geotrust.com,status.geotrust.com,ocsp.msocsp.com,*.azurecr.io,docker.io,*.dp.kubernetesconfiguration.azure.com. Naučte se jak aplikovat pravidla plně kvalifikovaného názvu domény.Pokud máte v clusteru AKS nějakou předchozí instalaci Velero , musíte ji před instalací rozšíření zálohování odstranit.
Poznámka:
Disky CRD Velero nainstalované v clusteru se sdílejí mezi službou AKS Backup a vlastní instalací Zákazníka Velero. Verze používané jednotlivými instalacemi se však mohou lišit, což může vést k selháním kvůli nesouladům ve smlouvách.
Kromě toho mohou vlastní konfigurace Velero vytvořené zákazníkem, jako je například VolumeSnapshotClass pro snímkování založené na CSI ve Velero, narušit nastavení snímkování zálohy pro AKS.
Anotace Velero obsahující velero.io použité u různých prostředků v clusteru můžou také ovlivnit chování AKS Backup způsoby, které nejsou podporovány.
Pokud ve svém clusteru AKS používáte zásady Azure, ujistěte se, že je z těchto zásad vyloučen obor názvů rozšíření dataprotection-microsoft, aby se operace zálohování a obnovení úspěšně spustily.
Pokud k filtrování síťového provozu mezi prostředky Azure ve virtuální síti Azure používáte skupinu zabezpečení sítě Azure, nastavte příchozí pravidlo pro povolení značek služeb azurebackup a azurecloud.
Požadované role a oprávnění
Pokud chcete provádět operace zálohování a obnovení AKS jako uživatel, musíte mít konkrétní role v clusteru AKS, úložišti záloh, účtu úložiště a skupině prostředků pro snímky.
| Scope | Upřednostňovaná role | Popis |
|---|---|---|
| Cluster AKS | Vlastník | Umožňuje nainstalovat rozšíření Backup, povolit důvěryhodný přístup a udělit oprávnění k trezoru služby Backup v clusteru. |
| Skupina prostředků záložního trezoru | Přispěvatel zálohování | Umožňuje vytvářet trezor zálohování ve skupině prostředků, vytvářet zásady zálohování, konfigurovat zálohování a obnovovat a přiřazovat chybějící role požadované pro operace zálohování. |
| Účet úložiště | Vlastník | Umožňuje provádět operace čtení a zápisu v účtu úložiště a přiřazovat požadované role jiným prostředkům Azure jako součást operací zálohování. |
| Skupina zdrojů pro snímky | Vlastník | Umožňuje provádět operace čtení a zápisu ve skupině prostředků Snapshot a přiřazovat požadované role jiným prostředkům Azure jako součást operací zálohování. |
Poznámka:
Role vlastníka prostředku Azure umožňuje provádět operace Azure RBAC daného prostředku. Pokud není k dispozici, vlastník prostředku musí před zahájením operací zálohování nebo obnovení poskytnout požadované role trezoru služby Backup a clusteru AKS.
V rámci operací zálohování a obnovení jsou také k clusteru AKS, identitě rozšíření zálohování a trezoru služby Backup přiřazeny následující role.
| Role | Přiřazeno komu | Přiřazeno dne | Popis |
|---|---|---|---|
| Čtenář | Úložiště záloh | Cluster AKS | Umožňuje úložišti zálohování provádět operace výpisu a čtení v clusteru AKS. |
| Čtenář | Úložiště záloh | Skupina zdrojů pro snímky | Povoluje trezoru záloh provádět výpis a čtení pro skupinu prostředků snímků. |
| Přispěvatel | Cluster AKS | Skupina zdrojů pro snímky | Umožňuje clusteru AKS ukládat snímky svazků trvalého úložiště do skupiny prostředků. |
| Přispěvatel dat úložiště blobů | Identita rozšíření | Účet úložiště | Umožňuje rozšíření zálohování ukládat zálohy prostředků clusteru do blob kontejneru. |
| Datový operátor pro spravované disky | Úložiště záloh | Skupina prostředků snapshotu | Umožňuje službě Backup Vault přesunout přírůstková data snímků do trezoru. |
| Přispěvatel snímků disku | Úložiště záloh | Skupina prostředků snapshotu | Umožňuje službě Backup Vault přistupovat ke snímkům disků a provádět operaci uchovávání. |
| Čtenář dat v objektech blob služby Storage | Úložiště záloh | Účet úložiště | Povolte službě Backup Vault přístup k Blob Containeru, kde jsou uložena zálohovaná data, která se mají přesunout do Vaultu. |
| Přispěvatel | Úložiště záloh | Skupina přípravných zdrojů | Umožňuje službě Backup Vault hydratovat zálohy jako disky uložené ve vrstvě trezoru. |
| Přispěvatel účtu úložiště | Úložiště záloh | Přípravný účet úložiště | Umožňuje službě Backup Vault hydratovat zálohy uložené ve vrstvě trezoru. |
| Vlastník dat blobů úložiště | Úložiště záloh | Přípravný účet úložiště | Umožňuje službě Backup Vault kopírovat stav clusteru do kontejneru blob uloženého na úrovni úložiště zvané Vault Tier. |
Poznámka:
Zálohování AKS umožňuje přiřadit tyto role během procesů zálohování a obnovení prostřednictvím webu Azure Portal jediným kliknutím.
Další kroky
- Informace o zálohování služby Azure Kubernetes Service
- Podporované scénáře zálohování clusteru Azure Kubernetes Service
- Zálohování clusteru Azure Kubernetes Service pomocí webu Azure Portal, Azure PowerShellu
- Obnovení clusteru Azure Kubernetes Service pomocí webu Azure Portal, Azure CLI, Azure PowerShellu
- Správa záloh clusteru Azure Kubernetes Service