Verwalten von Azure Kubernetes Service-Sicherungen mithilfe von Azure Backup

In diesem Artikel wird beschrieben, wie Sie Ressourcenanbieter für Ihre Abonnements für die Verwendung der Sicherungserweiterung und von vertrauenswürdigem Zugriff registrieren. Außerdem lernen Sie die Azure CLI-Befehle für ihre Verwaltung kennen.

Mit Azure Backup können Sie jetzt AKS-Cluster (Clusterressourcen und an den Cluster angefügte persistente Volumes) mithilfe einer Sicherungserweiterung sichern. Diese Erweiterung muss im Cluster installiert werden. Der AKS-Cluster erfordert vertrauenswürdigen Zugriff, der mit dem Sicherungstresor aktiviert wird, damit der Tresor mit der Sicherungserweiterung kommunizieren kann, um Sicherungs- und Wiederherstellungsvorgänge auszuführen.

Ressourcenanbieterregistrierungen

• Sie müssen diese Ressourcenanbieter für das Abonnement registrieren, bevor Sie einen Sicherungs- und Wiederherstellungsvorgang initiieren.
• Nach Abschluss der Registrierung können Sie Sicherungs- und Wiederherstellungsvorgänge für den gesamten Cluster unter dem Abonnement ausführen.

Registrieren der Sicherungserweiterung

Zum Installieren der Sicherungserweiterung müssen Sie den Microsoft.KubernetesConfiguration-Ressourcenanbieter für das Abonnement registrieren. Führen Sie zum Ausführen der Registrierung den folgenden Befehl aus:

az provider register --namespace Microsoft.KubernetesConfiguration

Die Registrierung kann bis zu 10 Minuten dauern. Führen Sie den folgenden Befehl aus, um den Registrierungsprozess zu überwachen:

az provider show --name Microsoft.KubernetesConfiguration --output table

Registrieren von vertrauenswürdigem Zugriff

Um vertrauenswürdigen Zugriff zwischen dem Sicherungstresor und dem AKS-Cluster zu aktivieren, müssen Sie das Featureflag TrustedAccessPreview bei Microsoft.ContainerService über das Abonnement registrieren. Führen Sie zum Ausführen der Registrierung die folgenden Befehle aus:

Aktivieren des Featureflag

Gehen Sie folgendermaßen vor, um das Featureflag zu aktivieren:

1. Installieren Sie die Erweiterung aks-preview:

   az extension add --name aks-preview
   

2. Führen Sie ein Update auf die neueste Version der veröffentlichten Erweiterung aus:

   az extension update --name aks-preview
   

3. Registrieren Sie das Featureflag TrustedAccessPreview:

   az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview"
   

   Es dauert einige Minuten, bis der Status Registered (Registriert) angezeigt wird.

4. Überprüfen Sie den Registrierungsstatus:

   az feature show --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview"
   

5. Wenn der Status als Registriert angezeigt wird, aktualisieren Sie die Registrierung des Microsoft.ContainerService-Ressourcenanbieters:

   az provider register --namespace Microsoft.ContainerService
   

Vorgänge im Zusammenhang mit der Sicherungserweiterung

Dieser Abschnitt enthält die Azure CLI-Befehle zum Erstellen, Aktualisieren und Löschen von Vorgängen für die Sicherungserweiterung. Sie können den Aktualisierungsbefehl verwenden, um die Computelimits für die zugrunde liegenden Pods der Sicherungserweiterung zu ändern.

Installieren der Backup-Erweiterung

Führen Sie den folgenden Befehl aus, um die Sicherungserweiterung zu installieren:

az k8s-extension create --name azure-aks-backup --extension-type microsoft.dataprotection.kubernetes --scope cluster --cluster-type managedClusters --cluster-name <aksclustername> --resource-group <aksclusterrg> --release-train stable --configuration-settings blobContainer=<containername> storageAccount=<storageaccountname> storageAccountResourceGroup=<storageaccountrg> storageAccountSubscriptionId=<subscriptionid>

Installationsstatus der Backup-Erweiterung anzeigen

Verwenden Sie den folgenden Befehl, um den Fortschritt der Installation der Backup-Erweiterung anzuzeigen:

az k8s-extension show --name azure-aks-backup --cluster-type managedClusters --cluster-name <aksclustername> --resource-group <aksclusterrg>

Aktualisieren von Ressourcen in der Backup-Erweiterung

Verwenden Sie den folgenden Befehl, um Blobcontainer, CPU und Arbeitsspeicher in der Backup-Erweiterung zu aktualisieren:

az k8s-extension update --name azure-aks-backup --cluster-type managedClusters --cluster-name <aksclustername> --resource-group <aksclusterrg> --release-train stable --configuration-settings [blobContainer=<containername> storageAccount=<storageaccountname> storageAccountResourceGroup=<storageaccountrg> storageAccountSubscriptionId=<subscriptionid>] [cpuLimit=1] [memoryLimit=1Gi]

[]: denotes the 3 different sub-groups of updates possible (discard the brackets while using the command)

Installationsvorgang der Backup-Erweiterung löschen

Verwenden Sie den folgenden Befehl, um den Installationsvorgang der Backup-Erweiterung zu beenden:

az k8s-extension delete --name azure-aks-backup --cluster-type managedClusters --cluster-name <aksclustername> --resource-group <aksclusterrg>

Zuweisen der Berechtigung für das Speicherkonto

Führen Sie den folgenden Befehl aus, um der Erweiterungsidentität für das Speicherkonto die Berechtigung für Speicherkontomitwirkende zuzuweisen:

az role assignment create --assignee-object-id $(az k8s-extension show --name azure-aks-backup --cluster-name <aksclustername> --resource-group <aksclusterrg> --cluster-type managedClusters --query aksAssignedIdentity.principalId --output tsv) --role 'Storage Blob Data Contributor' --scope /subscriptions/<subscriptionid>/resourceGroups/<storageaccountrg>/providers/Microsoft.Storage/storageAccounts/<storageaccountname> 

Vorgänge im Zusammenhang mit vertrauenswürdigem Zugriff

Verwenden Sie den folgenden Azure CLI-Befehl, um den vertrauenswürdigen Zugriff zwischen Backup-Tresor und AKS-Cluster zu aktivieren:

az aks trustedaccess rolebinding create \
--resource-group <aksclusterrg> \
--cluster-name <aksclustername> \
--name <randomRoleBindingName> \
--source-resource-id $(az dataprotection backup-vault show --resource-group <vaultrg> --vault <VaultName> --query id -o tsv) \
--roles Microsoft.DataProtection/backupVaults/backup-operator   

Erfahren Sie mehr über andere Befehle im Zusammenhang mit Trusted Access.

Überwachen der mit Warnungen abgeschlossenen AKS-Sicherungsaufträge

Wenn ein geplanter oder bedarfsgesteuerter Sicherungs- oder Wiederherstellungsvorgang ausgeführt wird, wird ein Auftrag für den Vorgang erstellt, um den Fortschritt nachzuverfolgen. Bei einem Fehler können Sie mit diesen Aufträgen Fehlercodes identifizieren und Probleme beheben, um später einen erfolgreichen Auftrag auszuführen.

Bei Sicherungs- sowie bei Sicherungs- und Wiederherstellungsaufträgen in AKS kann der Status Mit Warnungen abgeschlossen angezeigt werden. Dieser Status wird angezeigt, wenn der Sicherungs- und Wiederherstellungsvorgang aufgrund von Problemen in benutzerdefinierten Konfigurationen oder im internen Zustand der Workload nicht vollständig erfolgreich ist.

Wenn beispielsweise ein Sicherungsauftrag für einen AKS-Cluster mit dem Status Mit Warnungen abgeschlossen ausgeführt wurde, wird ein Wiederherstellungspunkt erstellt, aber möglicherweise konnten nicht alle Ressourcen im Cluster gemäß der Sicherungskonfiguration gesichert werden. Für den Auftrag werden Warnungsdetails angezeigt, wobei die Probleme und Ressourcen angegeben werden, die während des Vorgangs betroffen waren.

Um diese Warnungen anzuzeigen, wählen Sie Details anzeigen neben Warnungsdetails aus.

Erfahren Sie, wie Sie den Fehler identifizieren und beheben.

Nächste Schritte

• Sichern des Azure Kubernetes Service-Clusters
• Wiederherstellen des Azure Kubernetes Service-Clusters
• Unterstützte Szenarien zum Sichern des Azure Kubernetes Service-Clusters