Schnellstart: Konfigurieren der Tresorsicherung für einen AKS-Cluster (Azure Kubernetes Service) mit der Azure-Befehlszeilenschnittstelle

In diesem Schnellstart wird beschrieben, wie Sie die Tresorsicherung für einen AKS-Cluster (Azure Kubernetes Service) über die Azure-Befehlszeilenschnittstelle konfigurieren.

Azure Backup für AKS ist ein cloudnativer, für Unternehmen geeigneter und anwendungsorientierter Sicherungsdienst, mit dem Sie die Sicherung für AKS-Cluster schnell konfigurieren können.

Vor der Installation

Bevor Sie die Sicherung im Tresor für AKS-Cluster konfigurieren, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

• Sorgen Sie dafür, dass alle Voraussetzungen erfüllt sind, bevor Sie einen Sicherungsvorgang für die AKS-Sicherung initiieren.

Erstellen eines Sicherungstresors

Führen Sie zum Erstellen des Sicherungstresors den folgenden Befehl aus:

az dataprotection backup-vault create --resource-group $backupvaultresourcegroup --vault-name $backupvault --location $region --type SystemAssigned --storage-settings datastore-type="VaultStore" type="GeoRedundant"

Der neu erstellte Tresor verfügt über Speichereinstellungen, die als global redundant festgelegt sind. Daher sind Sicherungen, die auf der Tresorebene gespeichert sind, in der gekoppelten Azure-Region verfügbar. Erstellen Sie nach Abschluss der Tresorerstellung eine Sicherungsrichtlinie zum Schutz von AKS-Clustern.

Erstellen einer Sicherungsrichtlinie

Rufen Sie die Richtlinienvorlage mit dem Befehl az dataprotection backup-policy get-default-policy-template ab.

az dataprotection backup-policy get-default-policy-template --datasource-type AzureKubernetesService > akspolicy.json

Sie aktualisieren die Standardvorlage für die Sicherungsrichtlinie und fügen eine Aufbewahrungsregel hinzu, um die erste erfolgreiche Sicherung pro Tag auf Tresorebene für 30 Tage aufzubewahren.

az dataprotection backup-policy retention-rule create-lifecycle  --count 30 --retention-duration-type Days --copy-option ImmediateCopyOption --target-datastore VaultStore --source-datastore OperationalStore > ./retentionrule.json

az dataprotection backup-policy retention-rule set --lifecycles ./retentionrule.json --name Daily --policy ./akspolicy.json > ./akspolicy.json

Sobald die Richtlinien-JSON alle erforderlichen Werte enthält, erstellen Sie eine neue Richtlinie aus dem Richtlinienobjekt.

az dataprotection backup-policy create -g testBkpVaultRG --vault-name TestBkpVault -n mypolicy --policy akspolicy.json

Vorbereiten des AKS-Clusters für die Sicherung

Nach Abschluss der Tresor- und Richtlinienerstellung müssen Sie die folgenden Voraussetzungen erfüllen, um den AKS-Cluster für die Sicherung vorzubereiten:

1. Erstellen eines Speicherkontos und eines Blobcontainers.

   Sicherung für AKS speichert Kubernetes-Ressourcen in einem Blobcontainer als Sicherungen. Um den AKS-Cluster für die Sicherung vorzubereiten, müssen Sie eine Erweiterung im Cluster installieren. Diese Erweiterung erfordert das Speicherkonto und den Blobcontainer als Eingaben.

   Führen Sie den folgenden Befehl aus, um ein neues Speicherkonto zu erstellen:

   az storage account create --name $storageaccount --resource-group $storageaccountresourcegroup --location $region --sku Standard_LRS
   

   Wenn die Erstellung des Speicherkontos abgeschlossen ist, erstellen Sie einen Blobcontainer darin, indem Sie den folgenden Befehl ausführen:

   az storage container create --name $blobcontainer --account-name $storageaccount --auth-mode login
   

2. Installieren einer Sicherungserweiterung.

   Die Sicherungserweiterung muss im AKS-Cluster installiert werden, um Sicherungs- und Wiederherstellungsvorgänge auszuführen. Die Sicherungserweiterung erstellt einen Namespace dataprotection-microsoft im Cluster und verwendet denselben, um die Ressourcen bereitzustellen. Diese Erweiterung erfordert das Speicherkonto und den Blobcontainer als Eingaben für die Installation.

   az k8s-extension create --name azure-aks-backup --extension-type microsoft.dataprotection.kubernetes --scope cluster --cluster-type managedClusters --cluster-name $akscluster --resource-group $aksclusterresourcegroup --release-train stable --configuration-settings blobContainer=$blobcontainer storageAccount=$storageaccount storageAccountResourceGroup=$storageaccountresourcegroup storageAccountSubscriptionId=$subscriptionId
   

   Im Rahmen der Erweiterungsinstallation wird eine Benutzeridentität in der Knotenpool-Ressourcengruppe des AKS-Clusters erstellt. Damit die Erweiterung auf das Speicherkonto zugreifen kann, müssen Sie für diese Identität die Rolle Mitwirkender an Storage-Blobdaten angeben. Um die erforderliche Rolle zuzuweisen, führen Sie diesen Befehl aus:

   az role assignment create --assignee-object-id $(az k8s-extension show --name azure-aks-backup --cluster-name $akscluster --resource-group $aksclusterresourcegroup --cluster-type managedClusters --query aksAssignedIdentity.principalId --output tsv) --role 'Storage Blob Data Contributor' --scope /subscriptions/$subscriptionId/resourceGroups/$storageaccountresourcegroup/providers/Microsoft.Storage/storageAccounts/$storageaccount
   

3. Aktivieren des vertrauenswürdigen Zugriffs

   Damit der Backup-Tresor eine Verbindung mit dem AKS-Cluster herstellen kann, müssen Sie den vertrauenswürdigen Zugriff aktivieren, da der Sicherungstresor so eine direkte Sichtverbindung zum AKS-Cluster hat.

   Führen Sie den folgenden Befehl aus, um den vertrauenswürdigen Zugriff zu aktivieren:

   az aks trustedaccess rolebinding create --cluster-name $akscluster --name backuprolebinding --resource-group $aksclusterresourcegroup --roles Microsoft.DataProtection/backupVaults/backup-operator --source-resource-id /subscriptions/$subscriptionId/resourceGroups/$backupvaultresourcegroup/providers/Microsoft.DataProtection/BackupVaults/$backupvault
   

Konfigurieren der Tresorsicherung für AKS-Cluster

Mit dem erstellten Backup-Tresor, der Sicherungsrichtlinie und dem AKS-Cluster, der sich im Status Bereit für die Sicherung befindet, können Sie jetzt mit der Sicherung Ihres AKS-Clusters beginnen.

Vorbereiten der Anforderung

Die Konfiguration der Sicherung erfolgt in zwei Schritten:

1. Bereiten Sie die Sicherungskonfiguration vor, um zu definieren, welche Clusterressourcen mithilfe des az dataprotection backup-instance initialize-backupconfig-Befehls gesichert werden sollen. Der Befehl generiert einen JSON-Code, den Sie aktualisieren können, um die Sicherungskonfiguration für Ihren AKS-Cluster nach Bedarf zu definieren.

   az dataprotection backup-instance initialize-backupconfig --datasource-type AzureKubernetesService > aksbackupconfig.json
   

2. Bereiten Sie die relevante Anforderung mithilfe des entsprechenden Tresors, der Richtlinie, des AKS-Clusters, der Sicherungskonfiguration und Momentaufnahme-Ressourcengruppe mit dem az dataprotection backup-instance initialize-Befehl vor.

   az dataprotection backup-instance initialize --datasource-id /subscriptions/$subscriptionId/resourceGroups/$aksclusterresourcegroup/providers/Microsoft.ContainerService/managedClusters/$akscluster --datasource-location $region --datasource-type AzureKubernetesService --policy-id /subscriptions/$subscriptionId/resourceGroups/$backupvaultresourcegroup/providers/Microsoft.DataProtection/backupVaults/$backupvault/backupPolicies/$backuppolicy --backup-configuration ./aksbackupconfig.json --friendly-name ecommercebackup --snapshot-resource-group-name $snapshotresourcegroup > backupinstance.json
   

Verwenden Sie nun die JSON-Ausgabe dieses Befehls, um die Sicherung für den AKS-Cluster zu konfigurieren.

Zuweisen der erforderlichen Berechtigungen und Überprüfen

Nachdem die Anforderung vorbereitet ist, müssen Sie zunächst überprüfen, ob die erforderlichen Rollen den betroffenen Ressourcen zugewiesen sind, indem Sie den folgenden Befehl ausführen:

az dataprotection backup-instance validate-for-backup --backup-instance ./backupinstance.json --ids /subscriptions/$subscriptionId/resourceGroups/$backupvaultresourcegroup/providers/Microsoft.DataProtection/backupVaults/$backupvault

Wenn bei der Überprüfung ein Fehler auftritt und bestimmte Berechtigungen fehlen, können Sie diese zuweisen, indem Sie den folgenden Befehl ausführen:

az dataprotection backup-instance update-msi-permissions command.
az dataprotection backup-instance update-msi-permissions --datasource-type AzureKubernetesService --operation Backup --permissions-scope ResourceGroup --vault-name $backupvault --resource-group $backupvaultresourcegroup --backup-instance backupinstance.json

Nachdem die Berechtigungen zugewiesen wurden, führen Sie die Überprüfung mit dem zuvor verwendeten Befehl zum Überprüfen der Sicherung erneut durch, und fahren Sie dann mit dem Konfigurieren der Sicherung fort:

az dataprotection backup-instance create --backup-instance  backupinstance.json --resource-group $backupvaultresourcegroup --vault-name $backupvault

Nächste Schritte

• Wiederherstellen eines Azure Kubernetes Service-Clusters mit Azure CLI
• Verwalten von Azure Kubernetes Service-Clustersicherungen
• Informationen über Azure Kubernetes Service Clustersicherung