Sichern von Azure Kubernetes Service mithilfe von Azure Backup

  • Artikel

In diesem Artikel erfahren Sie, wie Sie Azure Kubernetes Service (AKS) konfigurieren und sichern.

Mit Azure Backup können Sie AKS-Cluster (Clusterressourcen und an den Cluster angefügte persistente Volumes) mithilfe der Backup-Erweiterung sichern, die im Cluster installiert werden muss. Der Backup-Tresor kommuniziert über diese Backup-Erweiterung mit dem Cluster, um Sicherungs- und Wiederherstellungsvorgänge auszuführen.

Hinweis

Tresorsicherung und regionsübergreifende Wiederherstellung für AKS mit Azure Backup befinden sich derzeit in der Vorschau.

Vorbereitung

  • Derzeit unterstützt die AKS-Sicherung nur Azure Disk Storage-basierte persistente Volumes (aktiviert durch den CSI-Treiber). Die Sicherungen werden nur in einem operativen Datenspeicher gespeichert (die Sicherungsdaten werden in Ihrem Mandanten gespeichert und nicht in einen Tresor verschoben). Der Backup-Tresor und der AKS-Cluster müssen sich in derselben Region befinden.

  • Die AKS-Sicherung verwendet einen Blobcontainer und eine Ressourcengruppe, um die Sicherungen zu speichern. Der Blobcontainer enthält die AKS-Clusterressourcen. Momentaufnahmen persistenter Volumes werden in der Ressourcengruppe gespeichert. Der AKS-Cluster und die Speicherorte müssen sich in derselben Region befinden. Erfahren Sie, wie Sie einen Blobcontainer erstellen.

  • Derzeit unterstützt die AKS-Sicherung das Anlegen von Sicherungen einmal pro Tag. Darüber hinaus werden häufigere Sicherungen (in Intervallen von 4, 8 und 12 Stunden) pro Tag unterstützt. Mit dieser Lösung können Sie Ihre Daten bis zu 360 Tage lang für die Wiederherstellung aufbewahren. Erfahren Sie mehr über das Erstellen einer Sicherungsrichtlinie.

  • Sie müssen die Backup-Erweiterung installieren, um Sicherungs- und Wiederherstellungsvorgänge für einen AKS-Cluster zu konfigurieren. Weitere Informationen finden Sie unter Backup-Erweiterung.

  • Stellen Sie sicher, dass die Featureflags Microsoft.KubernetesConfiguration, Microsoft.DataProtection und TrustedAccessPreview in Microsoft.ContainerService für Ihr Abonnement registriert sind, bevor Sie die Sicherungskonfigurations- und Wiederherstellungsvorgänge initiieren.

  • Stellen Sie sicher, dass Sie alle Voraussetzungen erfüllen, bevor Sie einen Sicherungs- oder Wiederherstellungsvorgang für die AKS-Sicherung initiieren.

Weitere Informationen zu den unterstützten Szenarien sowie zu Einschränkungen und zur Verfügbarkeit finden Sie in der Supportmatrix.

Erstellen eines Sicherungstresors

Ein Sicherungstresor ist eine Verwaltungseinheit, die im Laufe der Zeit behandelte Wiederherstellungspunkte speichert. Ein Sicherungstresor bietet auch eine Schnittstelle für die Durchführung von Sicherungsvorgängen. Zu diesen Vorgängen gehören die Durchführung von bedarfsgesteuerten Sicherungen, die Durchführung von Wiederherstellungen und die Erstellung von Sicherungsrichtlinien. Für die AKS-Sicherung müssen sich der Sicherungstresor und der AKS-Cluster in derselben Region befinden. Erfahren Sie, wie Sie einen Sicherungstresor erstellen.

Hinweis

Ein Sicherungstresor ist eine neue Ressource, die für die Sicherung von neu unterstützten Datenquellen verwendet wird. Ein Backup-Tresor unterscheidet sich von einem Recovery Services-Tresor.

Wenn Sie Azure Backup verwenden möchten, um Ihre AKS-Cluster vor regionalen Ausfällen zu schützen:

  1. Legen Sie bei der Erstellung des Tresors den Parameter Redundanz des Sicherungsspeichers auf Global-Redundant fest. Sobald die Redundanz für einen Tresor eingestellt ist, können Sie sie nicht mehr deaktivieren.

    Screenshot shows how to enable the Backup Storage Redundance parameter.

  2. Wählen Sie für den Parameter Regionsübergreifende Wiederherstellung unter Tresoreigenschaften die Option Aktiviert. Sobald dieser Parameter aktiviert ist, können Sie ihn nicht mehr deaktivieren.

    Screenshot shows how to enable the Cross Region Restore parameter.

  3. Erstellen Sie eine Backup-Instanz mithilfe einer Backup-Richtlinie mit einer für den Tresor-Standarddatenspeicher festgelegten Aufbewahrungsdauer. Jeder in diesem Datenspeicher gespeicherte Wiederherstellungspunkt befindet sich in der sekundären Region.

    Hinweis

    Der Tresor-Standarddatenspeicher befindet sich derzeit in der Vorschau.

Erstellen einer Sicherungsrichtlinie

Bevor Sie Sicherungen konfigurieren, müssen Sie eine Sicherungsrichtlinie erstellen, die die Häufigkeit der Sicherungen und ihre Aufbewahrungsdauer definiert.

Sie können auch eine Sicherungsrichtlinie erstellen, wenn Sie die Sicherung konfigurieren.

So erstellen Sie eine Sicherungsrichtlinie

  1. Wechseln Sie zu Backup Center, und wählen Sie Richtlinie aus, um eine neue Sicherungsrichtlinie zu erstellen.

    Screenshot that shows how to start creating a backup policy.

    Wechseln Sie alternativ zu Backup Center>Sicherungsrichtlinien>Hinzufügen.

  2. Wählen Sie unter Datenquellentyp die Option Kubernetes Service aus, und fahren Sie dann fort.

    Screenshot that shows selecting the datasource type.

  3. Geben Sie einen Namen für die Sicherungsrichtlinie ein (z. B. Standardrichtlinie), und wählen Sie den Backup-Tresor (den neuen Backup-Tresor, den Sie erstellt haben) aus, in dem die Sicherungsrichtlinie erstellt werden muss.

    Screenshot that shows providing the backup policy name.

  4. Definieren Sie auf der Registerkarte Zeitplan + Aufbewahrung die Häufigkeit der Sicherungen und die Dauer der Aufbewahrung auf Betriebs- und Tresorebene (auch Datenspeicher genannt).

    Häufigkeit der Sicherungen: Wählen Sie die Häufigkeit der Sicherungen (stündlich oder täglich) und dann die Aufbewahrungsdauer für die Sicherungen aus.

    Screenshot that shows selection of backup frequency.

    Aufbewahrungseinstellung: Eine neue Sicherungsrichtlinie hat zwei Aufbewahrungsregeln.

    Screenshot that shows selection of retention period.

    Sie können auch zusätzliche Aufbewahrungsregeln erstellen, um Sicherungen, die täglich oder wöchentlich erstellt werden, länger zu speichern.

    • Standard: Diese Regel definiert die Standardaufbewahrungsdauer für alle Sicherungen auf Betriebsebene. Sie können diese Regel nur bearbeiten, aber nicht löschen.

    • Erste erfolgreiche Sicherung pro Tag: Zusätzlich zur Standardregel kann jede erste erfolgreiche Sicherung des Tages im Betriebsdatenspeicher und im Tresorstandardspeicher gespeichert werden. Sie können diese Regel bearbeiten und löschen (wenn Sie die Sicherungen im Betriebsdatenspeicher behalten möchten).

      Screenshot that shows the retention configuration for Vault Tier and Operational Tier.

    Sie können auch ähnliche Regeln für das erste erfolgreiche Backup pro Woche, Monat und Jahr festlegen.

    Hinweis

    • Neben der ersten erfolgreichen Sicherung des Tages können Sie auch die Aufbewahrungsregeln für die erste erfolgreiche Sicherung der Woche, des Monats und des Jahres festlegen. Die Reihenfolge der Priorität wäre: Jahr, Monat, Woche und Tag.
    • Der Tresor-Standarddatenspeicher befindet sich derzeit in der Vorschau. Wenn Sie das Feature nicht verwenden möchten, bearbeiten Sie die Aufbewahrungsregel, und deaktivieren Sie das Kontrollkästchen neben Tresor-Standarddatenspeicher.
    • Die in der Tresorebene gespeicherten Sicherungen können auch in die sekundäre Region (mit Azure gekoppelte Region) kopiert werden, die Sie zur Wiederherstellung von AKS-Clustern in einer sekundären Region verwenden können, wenn die primäre Region nicht verfügbar ist. Um dieses Feature zu aktivieren, verwenden Sie einen georedundanten Tresor mit aktivierter regionsübergreifender Wiederherstellung.

  5. Wenn Sie die Einstellungen für die Sicherungshäufigkeit und die Aufbewahrungsdauer konfiguriert haben, wählen Sie Weiter aus.

    Screenshot that shows the completion of a backup policy creation.

  6. Überprüfen Sie die Informationen auf der Registerkarte Überprüfen und erstellen, und wählen Sie dann Erstellen aus.

Konfigurieren von Sicherungen

Mit der AKS-Sicherung können Sie einen gesamten Cluster oder bestimmte Clusterressourcen sichern, die im Cluster bereitgestellt werden. Sie können einen Cluster entsprechend des bereitgestellten Anwendungszeitplans und der Aufbewahrungsanforderungen oder der Sicherheitsanforderungen auch mehrfach schützen.

Hinweis

So richten Sie mehrere Sicherungsinstanzen für denselben AKS-Cluster ein

  • Konfigurieren Sie die Sicherung im gleichen Backup-Tresor, verwenden Sie dabei aber eine andere Sicherungsrichtlinie.
  • Konfigurieren Sie die Sicherung in einem anderen Backup-Tresor.

So konfigurieren Sie Sicherungen für AKS-Cluster

  1. Navigieren Sie im Azure-Portal zu dem AKS-Cluster, für den Sie ein Backup erstellen möchten.

  2. Wählen Sie im Ressourcenmenü Backup und dann Backup konfigurieren aus.

  3. Um den AKS-Cluster für die Sicherung oder Wiederherstellung vorzubereiten, wählen Sie Erweiterung installieren aus, um die Backup-Erweiterung im Cluster zu installieren.

  4. Geben Sie ein Speicherkonto und einen Blobcontainer als Eingabe an.

    Ihre AKS-Clustersicherungen werden in diesem Blobcontainer gespeichert. Das Speicherkonto muss sich in derselben Region und demselben Abonnement wie der Cluster befinden.

    Wählen Sie Weiter aus.

    Screenshot that shows how to add storage and blob details for backup.

  5. Überprüfen Sie die Details zur Erweiterungsinstallation, und wählen Sie dann Erstellen aus.

    Die Installation der Erweiterung wird gestartet.

    Screenshot that shows how to review and install the Backup extension.

  6. Wenn die Backup-Erweiterung erfolgreich installiert wurde, wählen Sie Sicherung konfigurieren aus, um mit der Konfiguration von Sicherungen für Ihren AKS-Cluster zu beginnen.

    Sie können diese Aktion auch im Backup Center ausführen.

    Screenshot that shows the selection of Configure Backup.

  7. Wählen Sie den Backup-Tresor aus.

    Screenshot that shows how to choose a vault.

    Für den Sicherungstresor muss Vertrauenswürdiger Zugriff aktiviert sein, damit der AKS-Cluster gesichert werden kann. Wählen Sie zum Aktivieren des vertrauenswürdigen Zugriffs Berechtigung erteilen aus. Wenn er bereits aktiviert ist, wählen Sie Weiter aus.

    Screenshot that shows how to proceed to the next step after granting permission.

    Hinweis

    • Bevor Sie „Vertrauenswürdiger Zugriff“ aktivieren, aktivieren Sie das Featureflag TrustedAccessPreview für den Microsoft.ContainerServices-Ressourcenanbieter im Abonnement.
    • Wenn die Backup-Erweiterung im AKS-Cluster nicht installiert ist, können Sie den Installationsschritt ausführen, der die Sicherung konfiguriert.

  8. Wählen Sie die Sicherungsrichtlinie aus, die den Zeitplan für Sicherungen und deren Aufbewahrungsdauer definiert. Wählen Sie Weiteraus.

    Screenshot that shows how to choose a backup policy.

  9. Wählen Sie auf der Registerkarte Datenquellen die Option Hinzufügen/Bearbeiten aus, um die Konfiguration der Sicherungsinstanz zu definieren.

    Screenshot that shows how to define the Backup Instance Configuration.

  10. Definieren Sie im Bereich Zu sichernde Ressourcen auswählen die Clusterressourcen, für die ein Backup erstellt werden soll.

    Erfahren Sie mehr über Sicherungskonfigurationen.

    Screenshot that shows how to define the cluster resources for backup.

  11. Wählen Sie für Momentaufnahme-Ressourcengruppe die Ressourcengruppe aus, die zum Speichern der Momentaufnahmen des persistenten Volumes (Azure Disk Storage) verwendet werden soll. Wählen Sie anschließend Überprüfen aus.

    Screenshot that shows how to validate the snapshot resource group.

  12. Wenn die Überprüfung abgeschlossen ist und dem Tresor in der Momentaufnahme-Ressourcengruppe keine entsprechenden Rollen zugewiesen sind, wird ein Fehler angezeigt:

    Screenshot that shows a validation error when required permissions aren't assigned.

  13. Um den Fehler zu beheben, wählen Sie unter Name der Datenquelle die Datenquelle und dann Fehlende Rollen zuweisen aus.

    Screenshot that shows how to start assigning roles.

    Der folgende Screenshot zeigt die Liste der Rollen, die Sie auswählen können:

    Screenshot that shows how to select missing roles.

  14. Wenn die Rollenzuweisung abgeschlossen ist, wählen Sie Weiter aus.

    Screenshot that shows how to proceed to the backup configuration.

  15. Wählen Sie Sicherung konfigurieren aus.

  16. Wenn die Konfiguration abgeschlossen ist, wählen Sie Weiter aus.

    Screenshot that shows how to finish backup configuration.

    Die Sicherungsinstanz wird erstellt, wenn die Sicherungskonfiguration abgeschlossen ist.

    Screenshot that shows the list of created backup instances.

    Screenshot that shows the backup instance details.

Sicherungskonfigurationen

Mit der AKS-Sicherungsfunktion können Sie alle Clusterressourcen oder bestimmte Clusterressourcen sichern. Sie können die Filter verwenden, die für die Sicherungskonfiguration verfügbar sind, um die zu sichernden Ressourcen auszuwählen. Der Verweis auf die definierten Sicherungskonfigurationen erfolgt mittels der Werte für Name der Sicherungsinstanz. Sie können die folgenden Optionen verwenden, um die Werte für Namespaces auszuwählen, die gesichert werden sollen:

  • Alle (einschließlich zukünftiger Namespaces): Dadurch werden alle aktuellen und zukünftigen Werte für Namespaces gesichert, wenn die zugrunde liegenden Clusterressourcen gesichert werden.

  • Aus Liste auswählen: Wählen Sie die spezifischen Werte für Namespaces im AKS-Cluster aus, die gesichert werden sollen.

    Um bestimmte Clusterressourcen auszuwählen, die gesichert werden sollen, können Sie die den Ressourcen zugeordneten Bezeichnungen verwenden, um die Ressourcen in die Sicherung einzuschließen. Nur die Ressourcen mit den von Ihnen eingegebenen Bezeichnungen werden gesichert. Sie können mehrere Bezeichnungen verwenden.

    Hinweis

    Sie sollten die Bezeichnungen jeder einzelnen YAML-Datei hinzufügen, die bereitgestellt und gesichert werden soll. Dies umfasst sowohl Namespace-bezogene Ressourcen wie Ansprüche für persistentes Volume als auch clusterbezogene Ressourcen wie persistente Volumes.

    Wenn Sie auch clusterbezogene Ressourcen, Geheimnisse und persistente Volumes sichern möchten, wählen Sie die Elemente unter Weitere Optionen aus.

Screenshot that shows various backup configurations.

Verwenden von Hooks während der AKS-Sicherung

In diesem Abschnitt wird beschrieben, wie Sie mithilfe eines Sicherungs-Hooks eine anwendungskonsistente Momentaufnahme des AKS-Clusters erstellen, wobei MySQL bereitgestellt wird (persistentes Volume mit der MySQL-Instanz).

Sie können benutzerdefinierte Hooks in der AKS-Sicherung verwenden, um anwendungskonsistente Momentaufnahmen von Volumes zu erzielen. Die Volumes werden für Datenbanken verwendet, die als containerisierte Workloads bereitgestellt werden.

Mithilfe eines Sicherungs-Hooks können Sie die Befehle zum Fixieren und Aufheben der Fixierung eines MySQL-Pods definieren, sodass eine Anwendungsmomentaufnahme des Volumes erstellt werden kann. Die Backup-Erweiterung koordiniert dann die Schritte zum Ausführen der Befehle in den Hooks und erstellt die Volumemomentaufnahme.

Eine mit MySQL bereitgestellte anwendungskonsistente Momentaufnahme eines Volumes wird durch die folgenden Aktionen erstellt:

  1. Der Pod, in dem MySQL ausgeführt wird, wird gesperrt, sodass keine neue Transaktion für die Datenbank ausgeführt wird.
  2. Es wird eine Momentaufnahme des Volumes als Sicherung erstellt.
  3. Der Pod, in dem MySQL ausgeführt wird, wird entsperrt, sodass Transaktionen wieder in der Datenbank ausgeführt werden können.

So aktivieren Sie einen Sicherungs-Hook als Teil des Sicherungskonfigurations-Flows zur Sicherung von MySQL:

  1. Schreiben Sie die benutzerdefinierte Ressource für Sicherungs-Hooks mit Befehlen zum Fixieren und Aufheben der Fixierung eines PostgreSQL-Pods.

    Sie können auch das folgende YAML-Beispielskript postgresbackuphook.yaml verwenden, das vordefinierte Befehle enthält:

    apiVersion: clusterbackup.dataprotection.microsoft.com/v1alpha1
kind: BackupHook
metadata:
# BackupHook CR Name and Namespace
name: bkphookname0
namespace: default
spec:
# BackupHook Name. This is the name of the hook that will be executed during backup.
# compulsory
name: hook1
# Namespaces where this hook will be executed.
includedNamespaces: 
- hrweb
excludedNamespaces:
labelSelector:
# PreHooks is a list of BackupResourceHooks to execute prior to backing up an item.
preHooks:
   - exec:
      command:
      - /sbin/fsfreeze
      - --freeze
      - /var/lib/postgresql/data
      container: webcontainer
      onError: Continue
# PostHooks is a list of BackupResourceHooks to execute after backing up an item.
postHooks:
   - exec:
      container: webcontainer
      command:
         - /sbin/fsfreeze
         - --unfreeze
      onError: Fail
      timeout: 10s

  2. Bevor Sie eine Sicherung konfigurieren, müssen Sie die benutzerdefinierte Ressource für den Sicherungs-Hook im AKS-Cluster bereitstellen.

    Führen Sie zum Bereitstellen des Skripts den folgenden -Befehl aus:

    kubectl apply -f mysqlbackuphook.yaml

  3. Nach Abschluss der Bereitstellung können Sie die Sicherung für den AKS-Cluster konfigurieren.

    Hinweis

    Im Rahmen der Sicherungskonfiguration müssen Sie den benutzerdefinierten Ressourcennamen und den Namespace, in dem die Ressource bereitgestellt wird, als Eingabe bereitstellen.

    Screenshot that shows how to add the namespace for the backup configuration.

Nächste Schritte