Voraussetzungen für die Azure Kubernetes Service-Sicherung mit Azure Backup
In diesem Artikel werden die Voraussetzungen für die Sicherung von Azure Kubernetes Service (AKS) beschrieben.
Mit Azure Backup können Sie jetzt AKS-Cluster (Clusterressourcen und an den Cluster angefügte persistente Volumes) mithilfe einer Sicherungserweiterung sichern. Diese Erweiterung muss im Cluster installiert werden. Der Backup-Tresor kommuniziert mit dem Cluster über diese Sicherungserweiterung, um Sicherungs- und Wiederherstellungsvorgänge durchzuführen. Basierend auf dem Sicherheitsmodell mit den geringsten Berechtigungen muss für einen Sicherungstresor der vertrauenswürdige Zugriff aktiviert sein, um mit dem AKS-Cluster kommunizieren zu können.
Hinweis
Tresorsicherung und regionsübergreifende Wiederherstellung für AKS mit Azure Backup befinden sich derzeit in der Vorschau.
Durchwahl der Ersatzrufnummer
Die Erweiterung ermöglicht Sicherungs- und Wiederherstellungsfunktionen für containerisierte Workloads und persistente Volumes, die von den Workloads verwendet werden, die in AKS-Clustern ausgeführt werden.
Die Backup-Erweiterung wird standardmäßig in ihrem eigenen Namespace dataprotection-microsoft installiert. Sie wird mit einem den Cluster umfassenden Bereich installiert, der es der Erweiterung ermöglicht, auf alle Clusterressourcen zuzugreifen. Während der Erweiterungsinstallation wird auch eine benutzerseitig zugewiesene verwaltete Identität (Erweiterungsidentität) in der Knotenpool-Ressourcengruppe erstellt.
Die Backup-Erweiterung verwendet einen Blobcontainer (der während der Installation in der Eingabe bereitgestellt wird) als Standardspeicherort für den Sicherungsspeicher. Für den Zugriff auf diesen Blobcontainer erfordert die Erweiterungsidentität die Rolle Mitwirkender des Blobcontainer-Speicherkontos für das Speicherkonto, das den Container enthält.
Sie müssen die Backup-Erweiterung sowohl in dem zu sichernden Quellcluster als auch im Zielcluster installieren, in dem die Sicherung wiederhergestellt werden soll.
Die Backup-Erweiterung kann im Cluster über das Blatt AKS-Portal auf der Registerkarte Backup unter Einstellungen installiert werden. Sie können auch die Azure CLI-Befehle verwenden, um die Installation und andere Vorgänge für die Backup-Erweiterung zu verwalten.
Bevor Sie eine Erweiterung in einem AKS-Cluster installieren, müssen Sie den
Microsoft.KubernetesConfiguration-Ressourcenanbieter auf Abonnementebene registrieren. Erfahren Sie, wie Sie den Ressourcenanbieter registrieren.Der Erweiterungs-Agent und der Erweiterungsoperator sind die Kernplattformkomponenten in AKS, die installiert werden, wenn eine Erweiterung eines beliebigen Typs zum ersten Mal in einem AKS-Cluster installiert wird. Diese bieten Funktionen zum Bereitstellen von 1P- und 3P-Erweiterungen. Die Backup-Erweiterung verwendet diese auch für Installationen und Upgrades.
Hinweis
Diese beiden Kernkomponenten werden mit aggressiven harten Grenzwerten für CPU und Arbeitsspeicher bereitgestellt, wobei für CPU weniger als 0,5 % eines Kerns und Arbeitsspeichergrenzwerte zwischen 50 und 200 MB gelten. Daher ist die COGS-Auswirkung dieser Komponenten sehr gering. Da es sich um Kernplattformkomponenten handelt, steht keine Problemumgehung zur Verfügung, um sie nach der Installation im Cluster zu entfernen.
Wenn "Speicherkonto" als Eingabe für die Erweiterungsinstallation bereitgestellt werden soll, befindet sich unter "Virtuelles Netzwerk/Firewall", muss "BackupVault" als vertrauenswürdiger Zugriff in den Netzwerkeinstellungen des Speicherkontos hinzugefügt werden. Erfahren Sie, wie Sie Zugriff auf vertrauenswürdigen Azure-Dienstgewähren, wodurch Sicherungen im Tresordatenspeicher gespeichert werden können
Erfahren Sie, wie Sie den Vorgang zum Installieren der Backup-Erweiterung mithilfe der Azure CLI verwalten.
Vertrauenswürdiger Zugriff
Viele Azure-Dienste sind von clusterAdmin kuebeconfig und dem öffentlich zugänglichen Endpunkt „kube-apiserver“ abhängig, um auf AKS-Cluster zuzugreifen. Mit dem Feature Vertrauenswürdiger AKS-Zugriff können Sie die Einschränkung des privaten Endpunkts umgehen. Ohne die Microsoft Entra-Anwendung zu verwenden, können Sie mit diesem Feature Ihrer systemseitig zugewiesenen Identität der zulässigen Ressourcen explizit zustimmen, auf Ihre AKS-Cluster zuzugreifen, indem Sie eine Azure-Ressource „RoleBinding“ verwenden. Das Feature ermöglicht Ihnen den Zugriff auf AKS-Cluster mit verschiedenen Konfigurationen, die nicht auf private Cluster, Cluster mit deaktivierten lokalen Konten, Microsoft Entra ID-Cluster und autorisierte IP-Adressbereichscluster beschränkt sind.
Ihre Azure-Ressourcen greifen über das regionale AKS-Gateway mittels Authentifizierung über systemseitig zugewiesenen verwalteten Identitäten auf AKS-Cluster zu. Die verwaltete Identität muss über die entsprechenden Kubernetes-Berechtigungen verfügen, die über eine Azure-Ressourcenrolle zugewiesen werden.
Bei der AKS-Sicherung greift der Backup-Tresor über vertrauenswürdigen Zugriff auf Ihre AKS-Cluster zu, um Sicherungen und Wiederherstellungen zu konfigurieren. Dem Backup-Tresor wird eine vordefinierte Rolle Microsoft.DataProtection/backupVaults/backup-operator im AKS-Cluster zugewiesen, sodass nur bestimmte Sicherungsvorgänge ausgeführt werden können.
Um den vertrauenswürdigen Zugriff zwischen einem Backup-Tresor und einem AKS-Cluster zu aktivieren, müssen Sie das Featureflag TrustedAccessPreview in Microsoft.ContainerService auf Abonnementebene registrieren. Weitere Informationen zum Registrieren des Ressourcenanbieters.
Erfahren Sie, wie Sie den vertrauenswürdigen Zugriff aktivieren.
Hinweis
- Sie können die Backup-Erweiterung direkt über das Azure-Portal im Abschnitt Sicherung im AKS-Portal auf Ihrem AKS-Cluster installieren.
- Sie können auch den vertrauenswürdigen Zugriff zwischen dem Backup-Tresor und dem AKS-Cluster während der Sicherungs- oder Wiederherstellungsvorgänge im Azure-Portal aktivieren.
AKS-Cluster
Um eine Sicherung für einen AKS-Cluster zu aktivieren, beachten Sie die folgenden Voraussetzungen: .
Die AKS-Sicherung verwendet Momentaufnahmefunktionen von CSI-Treibern, um Sicherungen persistenter Volumes durchzuführen. Die CSI-Treiberunterstützung ist für AKS-Cluster mit Kubernetes Version 1.21.1 oder höher verfügbar.
Hinweis
- Derzeit unterstützt die AKS-Sicherung nur die Sicherung von auf Azure Disk-basierten persistenten Volumes (aktiviert durch den CSI-Treiber). Wenn Sie in Ihren AKS-Clustern die Azure-Dateifreigabe und persistente Volumes vom Azure-Blobtyp verwenden, können Sie die Sicherung für diese über die Azure Backup-Lösungen konfigurieren, die für Azure-Dateifreigabe und Azure-Blob verfügbar sind.
- In Strukturen werden Volumes von der AKS-Sicherung nicht unterstützt, nur treiberbasierte CSI-Volumes können gesichert werden. Sie können von Strukturvolumes zu treiberbasierten persistenten CSI-Volumes migrieren.
Stellen Sie vor der Installation der Backup-Erweiterung im AKS-Cluster sicher, dass die CSI-Treiber und die Momentaufnahme für Ihren Cluster aktiviert sind. Wenn sie deaktiviert sind, lesen Sie die folgenden Schritte zur Aktivierung.
Azure Backup für AKS unterstützt AKS-Cluster mit Systemidentität oder Benutzeridentität für Sicherungsvorgänge. Obwohl Cluster mit Dienstprinzip nicht unterstützt werden, können Sie diese AKS-Cluster aktualisieren, um eine verwaltete Systemidentität zu verwenden.
Die Backup-Erweiterung ruft während der Installation Containerimages ab, die in Microsoft Container Registry (MCR) gespeichert sind. Wenn Sie eine Firewall auf dem AKS-Cluster aktivieren, schlägt der Installationsprozess der Erweiterung möglicherweise aufgrund von Zugriffsfehlern auf die Registrierung fehl. Erfahren Sie, wie Sie den MCR-Zugriff über die Firewall zulassen.
Falls Sie den Cluster in einem privaten virtuellen Netzwerk und hinter einer Firewall verwenden, wenden Sie die folgenden FQDN-/Anwendungsregeln an:
*.microsoft.com,*.azure.com,*.core.windows.net,*.azmk8s.io,*.digicert.com,*.digicert.cn,*.geotrust.com,*.msocsp.com. Erfahren Sie, wie Sie FQDN-Regeln anwenden.Wenn Sie Velero bereits früher im AKS-Cluster installiert haben, müssen Sie es vor der Installation der Backup-Erweiterung löschen.
Erforderliche Rollen und Berechtigungen
Zum Ausführen von AKS-Sicherungs- und Wiederherstellungsvorgängen als Benutzer benötigen Sie bestimmte Rollen für den AKS-Cluster, den Backup-Tresor, das Speicherkonto und die Momentaufnahme-Ressourcengruppe.
| `Scope` | Bevorzugte Rolle | BESCHREIBUNG |
|---|---|---|
| AKS-Cluster | Besitzer | Ermöglicht Ihnen die Installation der Backup-Erweiterung, die Aktivierung des vertrauenswürdigen Zugriffs und das Erteilen von Berechtigungen für den Backup-Tresor über den Cluster. |
| Ressourcengruppe des Backup-Tresors | Mitwirkender für Sicherungen | Ermöglicht Ihnen das Erstellen eines Backup-Tresors in einer Ressourcengruppe, das Erstellen einer Sicherungsrichtlinie, das Konfigurieren der Sicherung und das Wiederherstellen und Zuweisen fehlender Rollen, die für Backup-Vorgänge erforderlich sind. |
| Speicherkonto | Besitzer | Ermöglicht Ihnen das Ausführen von Lese- und Schreibvorgängen für das Speicherkonto und das Zuweisen der erforderlichen Rollen zu anderen Azure-Ressourcen im Rahmen von Sicherungsvorgängen. |
| Ressourcengruppe für Momentaufnahme | Besitzer | Ermöglicht Ihnen das Ausführen von Lese- und Schreibvorgängen für die Momentaufnahme-Ressourcengruppe und das Zuweisen der erforderlichen Rollen zu anderen Azure-Ressourcen im Rahmen von Sicherungsvorgängen. |
Hinweis
Mit der Besitzerrolle für eine Azure-Ressource können Sie Azure RBAC-Vorgänge dieser Ressource durchführen. Wenn sie nicht verfügbar ist, muss der Ressourcenbesitzer die erforderlichen Rollen für den Backup-Tresor und den AKS-Cluster bereitstellen, bevor er die Sicherungs- oder Wiederherstellungsvorgänge initiiert.
Außerdem werden im Rahmen der Sicherungs- und Wiederherstellungsvorgänge dem AKS-Cluster, der Backup-Erweiterungsidentität und dem Backup-Tresor die folgenden Rollen zugewiesen.
| Role | Zugewiesen zu | Zugewiesen für | BESCHREIBUNG |
|---|---|---|---|
| Leser | Sicherungstresor | AKS-Cluster | Ermöglicht dem Backup-Tresor die Ausführung von Vorgängen zum Auflisten und Lesen im AKS-Cluster. |
| Leser | Sicherungstresor | Ressourcengruppe für Momentaufnahme | Ermöglicht dem Backup-Tresor die Ausführung von Vorgängen zum Auflisten und Lesen in der Momentaufnahme-Ressourcengruppe. |
| Mitwirkender | AKS-Cluster | Ressourcengruppe für Momentaufnahme | Ermöglicht dem AKS-Cluster das Speichern von Momentaufnahmen persistenter Volumes in der Ressourcengruppe. |
| Mitwirkender an Speicherblobdaten | Erweiterungsidentität | Speicherkonto | Ermöglicht der Backup-Erweiterung das Speichern von Sicherungen für Clusterressourcen im Blobcontainer. |
| Datenoperator für Managed Disk | Sicherungstresor | Ressourcengruppe für Momentaufnahme | Ermöglicht dem Backup-Tresor das Verschieben inkrementeller Momentaufnahmendaten in den Tresor. |
| Mitwirkender für Datenträgermomentaufnahmen | Sicherungstresor | Ressourcengruppe für Momentaufnahme | Ermöglicht es dem Backup-Tresor, auf Momentaufnahmen von Datenträgern zuzugreifen und Tresor-Vorgänge auszuführen. |
| Leser von Speicherblobdaten | Sicherungstresor | Speicherkonto | Ermöglichen Sie dem Backup-Tresor den Zugriff auf BLOB-Container mit gespeicherten Sicherungsdaten, um zum Tresor zu wechseln. |
| Mitwirkender | Sicherungstresor | Stagingressourcengruppe | Ermöglicht es dem Backup-Tresor, Sicherungen als Datenträger zu hydratisieren, die auf der Tresorebene gespeichert sind. |
| Speicherkontomitwirkender | Sicherungstresor | Stagingspeicherkonto | Ermöglicht es dem Backup-Tresor, Sicherungen zu hydratisieren, die auf der Tresorebene gespeichert sind. |
| Speicher-Blob-Datenbesitzer | Sicherungstresor | Stagingspeicherkonto | Ermöglicht das Kopieren des Clusterstatus in einem Blob-Container, der auf der Tresorebene gespeichert ist. |
Hinweis
Mit der AKS-Sicherung können Sie diese Rollen während Sicherungs- und Wiederherstellungsprozessen mit einem einzigen Klick über das Azure-Portal zuweisen.