Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Azure Backup zur Unterstützung beim Schutz von Azure Kubernetes Service (AKS) verwenden. In diesem Artikel werden regionale Verfügbarkeit, unterstützte Szenarien und Einschränkungen zusammengefasst.
Unterstützte Regionen
- Azure Backup für AKS unterstützt das Speichern von Sicherungsdaten in Den folgenden Azure-Regionen in den Stufen Vault und Operational (Snapshot):
Australien Central, Australien Central 2, Australien Ost, Australien Südost, Brasilien Süd, Brasilien Südost, Kanada Zentral, Kanada Ost, Zentralindien, Zentral-USA, Ostasien, Ost-USA, Ost-USA 2, Frankreich Zentral, Frankreich Süd, Deutschland Nord, Deutschland West, Italien Nord, Japan, Japan West, Jio India West, Korea Central, Korea South, Nord-Zentral-USA, Nordeuropa, Norwegen Ost, Norwegen West, Südafrika Nord, Südafrika West, Süd-Zentral-USA, Südindien, Südostasien, Schweden Zentral, Schweiz Nord, Schweiz West, VAE Nord, UK Süd, UK West, West Central US, Westeuropa, West-USA, West-USA 2, West-USA 3
- Die folgenden Regionen unterstützen nur die Betriebsebene (Momentaufnahme):
China East 2, China East 3, China North 2, China North 3, US GOV Arizona, US GOV Texas, US GOV Virginia, Israel Central, Polen Central und Spanien Central
Hinweis
Wenn Sie georedundante Sicherungen mit der Möglichkeit benötigen, nach Bedarf wiederherzustellen, speichern Sie Ihre Sicherungen auf der Vault-Ebene und aktivieren Sie die regionsübergreifende Wiederherstellung auf Ihrem Sicherungstresor. Dadurch wird sichergestellt, dass Ihre Sicherungen auch in der gekoppelten Azure-Region verfügbar sind, sodass Sie Wiederherstellungen durchführen können, auch wenn die primäre Region nicht verfügbar ist. Weitere Informationen finden Sie in der Liste der Azure-Regionspaare.
Unterstützte Szenarien
Azure Backup für AKS unterstützt nur Cluster, die unterstützte Kubernetes-Versionen ausführen. Hier ist die Liste der unterstützten Kubernetes-Versionen. Wenn sich Ihr Cluster auf einer nicht unterstützten Version befindet, werden Sicherungsvorgänge möglicherweise weiterhin ausgeführt, aber Fehler während der Sicherung oder Wiederherstellung werden nicht abgedeckt. Um die vollständige Unterstützung und Zuverlässigkeit sicherzustellen, führen Sie ein Upgrade auf eine unterstützte Version durch, überprüfen Sie Ihre Sicherungen, und wenden Sie sich an den Support, wenn Probleme bestehen.
Azure Backup für AKS unterstützt nur CSI-treiberbasierte persistente Volumes (Azure Disks). Plug-In-Tree-Volume-Plug-Ins werden nicht unterstützt. Stellen Sie sicher, dass der CSI-Treiber und die Momentaufnahme für Ihren Cluster aktiviert sind. Wenn sie deaktiviert sind, aktivieren Sie diese Einstellungen. Wenn Ihre Workloads In-Tree-Volumes verwenden, migrieren Sie diese auch zu CSI-basierten Volumes, um die Unterstützung für die Sicherung zu ermöglichen.
Azure Backup für AKS unterstützt derzeit nur azure diskbasierte persistente Volumes, die mit dem CSI-Treiber bereitgestellt werden. Unterstützte Datenträger-SKUs umfassen Standard-HDD, Standard-SSD und Premium-SSD.
Sowohl dynamisch als auch statisch bereitgestellte Volumes werden unterstützt. Bei statischen Volumes muss die Speicherklasse jedoch explizit in der YAML-Spezifikation definiert werden. Andernfalls wird das Volume während der Sicherung übersprungen.
Azure Backup für AKS unterstützt Cluster, die entweder eine vom System zugewiesene oder vom Benutzer zugewiesene verwaltete Identität verwenden. Cluster, die mit einem Dienstprinzipal konfiguriert sind, werden nicht unterstützt. Um die Sicherung zu aktivieren, aktualisieren Sie Ihren Cluster so, dass eine vom System zugewiesene verwaltete Identität oder eine vom Benutzer zugewiesene verwaltete Identität verwendet wird.
Azure Backup für AKS bietet sowohl Betriebs- als auch Tresorebenensicherungen. Betriebsebenensicherungen bestehen aus Momentaufnahmen unterstützter persistenter Volumetypen sowie Metadaten, die im blob-Container gespeichert sind, der während der Installation der Sicherungserweiterung angegeben ist. Tresorebenensicherungen werden dagegen vor Ort gespeichert – sicher und außerhalb Ihres Mandanten. Mithilfe der Sicherungsrichtlinie können Sie sowohl Betriebs- als auch Tresorebenensicherungen aktivieren oder nur die betriebsbereite Ebene verwenden.
Die Momentaufnahmen des persistenten Volumes, die als Teil der Sicherung der betriebsbereiten Ebene aufgenommen wurden, sind von Natur aus abstürzen konsistent. Obwohl Azure Backup für AKS derzeit nicht das Erstellen von Momentaufnahmen aller PVs in genau derselben Millisekunden unterstützt, um konsistente Momentaufnahmen über Volumes hinweg zu erzielen.
Die minimale unterstützte Sicherungshäufigkeit in Azure Backup für AKS beträgt alle 4 Stunden, mit zusätzlichen Optionen für Intervalle von 6, 8, 12 und 24 Stunden. Sicherungen werden voraussichtlich innerhalb eines 2-Stunden-Fensters ab der geplanten Startzeit abgeschlossen. Diese Frequenzen gelten für Sicherungen der Betriebsebene, sodass mehrere Sicherungen pro Tag möglich sind. Allerdings ist nur die erste erfolgreiche Sicherung in einem 24-Stunden-Zeitraum berechtigt, auf die Tresorebene zu übertragen. Nachdem eine Sicherung auf der Betriebsebene erstellt wurde, kann es bis zu vier Stunden dauern, bis sie in die Tresorebene verschoben werden.
Der Sicherungstresor und der AKS-Cluster sollten sich in derselben Region befinden. Sie können sich jedoch in verschiedenen Abonnements befinden, solange sie sich innerhalb desselben Mandanten befinden.
Azure Backup for AKS unterstützt das Wiederherstellen von Sicherungen auf demselben oder einem anderen AKS-Cluster mithilfe von Betriebs- und Tresorebenensicherungen. Der Ziel-AKS-Cluster kann sich im selben Abonnement oder in einem anderen Abonnement befinden, das als cross-Subscription Restore bezeichnet wird.
Beim Wiederherstellen der Betriebsebene muss sich der Ziel-AKS-Cluster in derselben Region wie die Sicherungen befinden. Wenn die Sicherungen jedoch auf der Vault-Ebene mit georedundanten Speichereinstellungen gespeichert werden und die regionsübergreifende Wiederherstellung im Sicherungstresor aktiviert ist, können Sie in einer anderen Region innerhalb einer gekoppelten Azure-Region wiederherstellen.
Um Azure Backup für AKS mit Azure CLI zu aktivieren, stellen Sie sicher, dass Sie Version 2.41.0 oder höher verwenden. Sie können die CLI aktualisieren, indem Sie den Befehl "az upgrade" ausführen.
Verwenden Sie Version 3.99.0 oder höher, um Azure Backup für AKS mit Terraform zu aktivieren.
Azure Backup für AKS erfordert, dass eine Sicherungserweiterung installiert wird. Diese Erweiterung erfordert ein Speicherkonto und vorzugsweise einen leeren BLOB-Container darin als Eingabe während der Installation. Verwenden Sie keinen BLOB-Container mit nicht sicherungsbezogenen Dateien.
Das während der Installation der Sicherungserweiterung angegebene Speicherkonto muss sich in derselben Region wie der AKS-Cluster befinden. Nur allgemeine v2-Speicherkonten werden unterstützt; Premium-Speicherkonten werden nicht unterstützt.
Wenn der AKS-Cluster in einem privaten virtuellen Netzwerk bereitgestellt wird, muss ein privater Endpunkt konfiguriert werden, um Sicherungsvorgänge zu aktivieren.
Die Sicherungserweiterung kann nur auf Knotenpools installiert werden, die x86-basierte Prozessoren verwenden und Ubuntu oder Azure Linux als Betriebssystem ausführen.
Sowohl der AKS-Cluster als auch die Sicherungserweiterungs-Pods müssen sich in einem ausgeführten und fehlerfreien Zustand befinden, bevor Sicherungs- oder Wiederherstellungsvorgänge ausgeführt werden, einschließlich der Löschung abgelaufener Wiederherstellungspunkte.
Azure Backup für AKS bietet Warnungen über Azure Monitor, mit denen Sie über eine einheitliche Benutzeroberfläche für die Warnungsverwaltung in verschiedenen Azure-Diensten verfügen können, einschließlich klassischer Warnungen, integrierter Azure Monitor-Warnungen und benutzerdefinierte Protokollbenachrichtigungen für Sicherungsfehlerbenachrichtigungen. Die unterstützten Sicherungswarnungen sind hier verfügbar.
Azure Backup für AKS unterstützt verschiedene sicherungsbezogene Berichte. Derzeit können Sicherungsdaten nur angezeigt werden, indem sie in den Berichtsfiltern "Alle" für den Arbeitsauslastungstyp auswählen. Die unterstützten Sicherungsberichte sind hier verfügbar.
Azure Backup for AKS unterstützt enhanced Soft Delete für Sicherungen, die auf der Tresorebene gespeichert sind, und bietet Schutz vor versehentlicher oder böswilliger Löschung. Bei Sicherungen, die auf der Betriebsebene gespeichert sind, werden die zugrunde liegenden Momentaufnahmen nicht durch vorläufiges Löschen geschützt und können endgültig gelöscht werden.
Azure Backup für AKS unterstützt die Mehrbenutzerautorisierung (Multi-User Authorization, MUA), sodass Sie kritischen Vorgängen in Ihren Sicherungstresorn, in denen Sicherungen konfiguriert sind, eine zusätzliche Schutzebene hinzufügen können.
Azure Backup für AKS unterstützt den unveränderlichen Tresor, der Ihre Sicherungsdaten schützt, indem Vorgänge verhindert werden, die zu einem Verlust von Wiederherstellungspunkten führen könnten. WORM (Write Once, Read Many) Speicher für Sicherungen wird derzeit jedoch nicht unterstützt.
Azure Backup für AKS unterstützt Customer-Managed Key(CMK)-Verschlüsselung, gilt jedoch nur für Sicherungen, die auf der Tresorebene gespeichert sind.
Für erfolgreiche Sicherungs- und Wiederherstellungsvorgänge sind Rollenzuweisungen für die verwaltete Identität des Sicherungstresors erforderlich. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, können bei der Sicherungskonfiguration oder während Wiederherstellungsvorgängen, kurz nachdem Sie Rollen zugewiesen haben, Berechtigungsprobleme auftreten, da die Rollenzuweisungen einige Minuten dauern, bis sie wirksam werden. Erfahren Sie mehr über Rollendefinitionen.
Nicht unterstützte Szenarien und Einschränkungen
Azure Backup für AKS unterstützt nicht die folgenden Azure Disk SKUs: Premium SSD v2 und Ultra Disks.
Azure-Dateifreigaben, Azure Blob Storage und Azure Container Storage-basierte persistente Volumes werden von AKS Backup nicht unterstützt. Wenn Sie diese Arten persistenter Volumes in Ihren AKS-Clustern verwenden, können Sie sie separat mithilfe dedizierter Azure Backup-Lösungen sichern. Weitere Informationen finden Sie unter Sicherung von Azure-Dateifreigaben und Azure Blob Storage-Sicherung.
Alle nicht unterstützten persistenten Volumetypen werden während des Sicherungsvorgangs für den AKS-Cluster automatisch übersprungen.
Die Sicherungserweiterung kann nicht auf Windows-basierten Knotenpools oder ARM64-basierten Knotenpools installiert werden. AKS-Cluster, die solche Knoten verwenden, sollten einen separaten Linux-basierten Knotenpool (vorzugsweise einen Systemknotenpool mit x86-basierten Prozessoren) bereitstellen, um die Installation der Sicherungserweiterung zu unterstützen.
Azure Backup for AKS wird derzeit für Netzwerkisolations-AKS-Cluster nicht unterstützt.
Installieren Sie die AKS Backup Extension nicht neben Velero oder beliebigen Velero-basierten Backup-Lösungen, da dies konflikte während sicherungs- und wiederherstellungsvorgängen verursachen kann. Stellen Sie außerdem sicher, dass Ihre Kubernetes-Ressourcen keine Bezeichnungen oder Anmerkungen verwenden, die das Präfix
velero.ioenthalten, es sei denn, dies ist von einem unterstützten Szenario explizit erforderlich. Das Vorhandensein solcher Metadaten kann zu unerwartetem Verhalten führen.Das Ändern der Sicherungskonfiguration oder der Momentaufnahmeressourcengruppe, die einer Sicherungsinstanz bei der AKS-Clustersicherung zugewiesen ist, wird nicht unterstützt.
Die folgenden Namespaces werden von der Sicherungskonfiguration übersprungen und können nicht für Sicherungen konfiguriert werden:
kube-system, ,kube-node-leasekube-public.Azure Backup skaliert keine AKS-Knoten automatisch, es stellt nur Daten und zugeordnete Ressourcen wieder her. Die automatische Skalierung wird von AKS selbst mithilfe von Features wie der Cluster-Autoskalierung verwaltet. Wenn die automatische Skalierung im Zielcluster aktiviert ist, sollte die Ressourcenskalierung automatisch behandelt werden. Stellen Sie vor dem Wiederherstellen sicher, dass der Zielcluster über ausreichende Ressourcen verfügt, um Wiederherstellungsfehler oder Leistungsprobleme zu vermeiden.
Hier sind die AKS-Sicherungsgrenzwerte:
Einstellung Begrenzung Anzahl von Sicherungsrichtlinien pro Backup-Tresor 5\.000 Anzahl von Sicherungsinstanzen pro Backup-Tresor 5\.000 Zulässige Anzahl von On-Demand-Sicherungen in einer Backup-Instanz pro Tag 10 Anzahl der Namespaces pro Sicherungsinstanz 800 Anzahl der zulässigen Wiederherstellungen pro Sicherungsinstanz an einem Tag 10
Spezifische Einschränkungen für tresorierte Sicherung und regionsübergreifende Wiederherstellung
Derzeit sind Azure-Datenträger mit beständigen Volumes mit größe <= 1 TB berechtigt, in die Tresorebene verschoben zu werden. Datenträger mit höherer Größe werden in den Sicherungsdaten übersprungen, die in die Tresorebene verschoben werden.
Derzeit werden Sicherungsinstanzen mit <= 100 Datenträgern unterstützt, die als persistentes Volume angefügt sind. Sicherungs- und Wiederherstellungsvorgänge können fehlschlagen, wenn die Anzahl der Datenträger höher als der Grenzwert ist.
Nur Azure-Datenträger mit aktiviertem öffentlichem Zugriff aus allen Netzwerken sind berechtigt, in die Tresorebene zu verschieben. Wenn Datenträger mit Netzwerkzugriff außer öffentlichem Zugriff vorhanden sind, schlägt der Stufige Vorgang fehl.
Das Feature für die Notfallwiederherstellung ist nur zwischen azure-gekoppelten Regionen verfügbar (wenn die Sicherung in einem geo redundanten Sicherungstresor mit aktivierter regionsübergreifender Wiederherstellung konfiguriert ist). Die Sicherungsdaten sind nur in gekoppelten Azure-Regionspaaren verfügbar. Wenn Sie z. B. über einen AKS-Cluster in Ost-US verfügen, der in einem geo redundanten Sicherungstresor gesichert ist und für die Wiederherstellung cross Region Restore aktiviert ist, stehen die Sicherungsdaten auch in West-US zur Wiederherstellung zur Verfügung.
Auf der Tresorebene wird pro Tag nur ein geplanter Wiederherstellungspunkt erstellt, der ein Wiederherstellungspunktziel (Recovery Point Objective, RPO) von 24 Stunden in der primären Region bereitstellt. In der sekundären Region kann die Replikation dieses Wiederherstellungspunkts bis zu 12 zusätzliche Stunden dauern, was zu einem effektiven RPO von bis zu 36 Stunden führt.
Wenn eine Sicherung auf der Betriebsebene erstellt und für die Tresorebene berechtigt wird, kann es bis zu vier Stunden dauern, bis der Abstufungsprozess beginnt.
Beim Verschieben von Sicherungen von der Operativen Ebene auf die Vault-Ebene behält die Löschlogik wichtige Momentaufnahmen bei, um erfolgreiche Ebenenvorgänge und Datenintegrität sicherzustellen. Insbesondere während der Leiste des neuesten Wiederherstellungspunkts (RP) im Quellspeicher (Betriebsebene) sind Momentaufnahmen aus beiden folgenden Komponenten erforderlich:
- Das neueste RP auf der Betriebsebene (Quellspeicher).
- Das vorherige Härtungs-RP auf der Vault-Ebene (Zielspeicher).
Daher werden zwei Wiederherstellungspunkte auf der operativen Ebene absichtlich beibehalten und nicht gekürzt:
- Das neueste RP auf der Operativen Ebene.
- Das RP auf der operativen Ebene, das mit der neuesten Vault-Tier RP verknüpft ist.
Dieses Verhalten verhindert versehentlichen Datenverlust und stellt konsistente Sicherungen sicher. Daher stellen Sie möglicherweise fest, dass einige Betriebssicherungen aufgrund dieser Ebenenabhängigkeiten länger als die konfigurierte tägliche Aufbewahrungsrichtlinie bestehen.
Beim Verschieben von Sicherungen von der Betriebsstufe auf die Tresorebene sollte das speicherkonto, das für die Sicherungserweiterung bereitgestellt wird, vorzugsweise über aktivierten öffentlichen Netzwerkzugriff verfügen. Wenn sich das Speicherkonto hinter einer Firewall befindet oder der private Zugriff aktiviert ist, stellen Sie sicher, dass der Sicherungstresor in den Netzwerkeinstellungen des Speicherkontos als vertrauenswürdiger Dienst hinzugefügt wird, um eine nahtlose Datenübertragung zu ermöglichen.
Während der Wiederherstellung aus der Vault-Ebene werden die hydratisierten Ressourcen im Stagingspeicherort, einschließlich eines Speicherkontos und einer Ressourcengruppe, nach der Wiederherstellung nicht bereinigt. Sie müssen manuell gelöscht werden.
Während der Wiederherstellung muss das Stagingspeicherkonto über einen öffentlichen Netzwerkzugriff verfügen, damit der Sicherungsdienst auf Daten zugreifen und diese übertragen kann. Ohne öffentlichen Zugriff kann der Wiederherstellungsvorgang aufgrund von Konnektivitätseinschränkungen fehlschlagen.
Wenn der Ziel-AKS-Cluster während der Wiederherstellung in einem privaten virtuellen Netzwerk bereitgestellt wird, müssen Sie einen privaten Endpunkt zwischen dem Cluster und dem Stagingspeicherkonto aktivieren, um eine sichere und erfolgreiche Datenübertragung sicherzustellen.
Wenn sich die Version des AKS-Zielclusters von der während des Sicherungsvorgangs verwendeten Version unterscheidet, ist der Wiederherstellungsvorgang u. U. nicht erfolgreich oder wird mit Warnungen für verschiedene Szenarien (etwa veraltete Ressourcen in der neueren Clusterversion) abgeschlossen. Bei der Wiederherstellung aus der Tresorebene können Sie die hydratisierten Ressourcen im Stagingspeicherort verwenden, um Anwendungsressourcen auf dem Zielcluster wiederherzustellen.
Derzeit wird die Vault Tier-basierte Sicherung bei der Terraform-Bereitstellung nicht unterstützt.
Nächste Schritte
- Informationen zur Azure Kubernetes-Dienstclustersicherung.
- Sichern Sie den Azure Kubernetes-Dienstcluster mithilfe von Azure-Portal, Azure CLI, Azure PowerShell, Azure Resource Manager, Bicep, Terraform.
- Stellen Sie den Azure Kubernetes-Dienstcluster mithilfe des Azure-Portals, azure CLI, Azure PowerShell wieder her.
- Verwalten Sie Azure Kubernetes-Dienstsicherungen mithilfe von Azure Backup.