Freigeben über

Schnellstart: Konfigurieren der Sicherung im Tresor für einen AKS-Cluster (Azure Kubernetes Service) mit PowerShell

In dieser Schnellstartanleitung wird beschrieben, wie Sie die Sicherung im Tresor für einen AKS-Cluster (Azure Kubernetes Service) über PowerShell konfigurieren.

Azure Backup für AKS ist ein cloudnativer, für Unternehmen geeigneter und anwendungsorientierter Sicherungsdienst, mit dem Sie die Sicherung für AKS-Cluster schnell konfigurieren können.

Vor der Installation

Bevor Sie die Sicherung im Tresor für AKS-Cluster konfigurieren, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Sorgen Sie dafür, dass alle Voraussetzungen erfüllt sind, bevor Sie einen Sicherungs- oder Wiederherstellungsvorgang für die AKS-Sicherung initiieren.

Erstellen eines Sicherungstresors

Führen Sie zum Erstellen des Sicherungstresors den folgenden Befehl aus:

$storageSetting = New-AzDataProtectionBackupVaultStorageSettingObject -Type GloballyRedundant -DataStoreType VaultStore

New-AzDataProtectionBackupVault -ResourceGroupName testBkpVaultRG -VaultName TestBkpVault -Location westus -StorageSetting $storageSetting

$TestBkpVault = Get-AzDataProtectionBackupVault -VaultName TestBkpVault

Der neu erstellte Tresor verfügt über Speichereinstellungen, die als global redundant festgelegt sind. Daher sind Sicherungen, die auf der Tresorebene gespeichert sind, in der gekoppelten Azure-Region verfügbar. Erstellen Sie nach Abschluss der Tresorerstellung eine Sicherungsrichtlinie zum Schutz von AKS-Clustern.

Erstellen einer Sicherungsrichtlinie

Rufen Sie die Richtlinienvorlage mit dem Befehl Get-AzDataProtectionPolicyTemplate ab.

$policyDefn = Get-AzDataProtectionPolicyTemplate -DatasourceType AzureKubernetesService

Die Richtlinienvorlage besteht aus einem Auslöserkriterium (das die Faktoren zum Auslösen des Sicherungsauftrags bestimmt) und einem Lebenszyklus (der entscheidet, wann die Sicherungen gelöscht, kopiert oder verschoben werden sollen). In der AKS-Sicherung ist der Standardwert für Auslöser ein geplanter stündlicher Auslöser alle 4 Stunden (PT4H), und die Aufbewahrung jeder Sicherung liegt bei sieben Tagen. Bei Sicherungen im Tresor wird die Aufbewahrung für den Tresordatenspeicher hinzugefügt.

New-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name aksBkpPolicy -Policy $policyDefn

$aksBkpPol = Get-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name "aksBkpPolicy"

Sobald die Richtlinien-JSON alle erforderlichen Werte enthält, erstellen Sie eine neue Richtlinie aus dem Richtlinienobjekt.

az dataprotection backup-policy create -g testBkpVaultRG --vault-name TestBkpVault -n mypolicy --policy policy.json

Vorbereiten des AKS-Clusters für die Sicherung

Nach Abschluss der Tresor- und Richtlinienerstellung müssen Sie die folgenden Voraussetzungen erfüllen, um den AKS-Cluster für die Sicherung vorzubereiten:

  1. Erstellen eines Speicherkontos und eines Blobcontainers.

    Sicherung für AKS speichert Kubernetes-Ressourcen in einem Blobcontainer als Sicherungen. Um den AKS-Cluster für die Sicherung vorzubereiten, müssen Sie eine Erweiterung im Cluster installieren. Diese Erweiterung erfordert das Speicherkonto und den Blobcontainer als Eingaben.

    Führen Sie diese Schritte aus, um ein neues Speicherkonto und einen Blobcontainer zu erstellen.

  2. Installieren einer Sicherungserweiterung.

    Die Sicherungserweiterung muss im AKS-Cluster installiert werden, um Sicherungs- und Wiederherstellungsvorgänge auszuführen. Die Sicherungserweiterung erstellt einen Namespace dataprotection-microsoft im Cluster und verwendet denselben, um die Ressourcen bereitzustellen. Diese Erweiterung erfordert das Speicherkonto und den Blobcontainer als Eingaben für die Installation. Erfahren Sie mehr über die Erweiterungsinstallationsbefehle.

    Im Rahmen der Erweiterungsinstallation wird eine Benutzeridentität in der Knotenpool-Ressourcengruppe des AKS-Clusters erstellt. Damit die Erweiterung auf das Speicherkonto zugreifen kann, müssen Sie für diese Identität die Rolle Mitwirkender des Speicherkontos angeben. Um die erforderliche Rolle zuzuweisen, führen Sie diesen Befehl aus.

  3. Aktivieren des vertrauenswürdigen Zugriffs

    Damit der Backup-Tresor eine Verbindung mit dem AKS-Cluster herstellen kann, müssen Sie den vertrauenswürdigen Zugriff aktivieren, da der Sicherungstresor so eine direkte Sichtverbindung zum AKS-Cluster hat. Erfahren Sie, wie Sie den vertrauenswürdigen Zugriff aktivieren.

Hinweis

Für die Installation der Sicherungserweiterung und die Aktivierung des vertrauenswürdigen Zugriffs sind die Befehle nur in Azure CLI verfügbar.

Konfigurieren von Sicherungen

Mit dem erstellten Backup-Tresor, der Sicherungsrichtlinie und dem AKS-Cluster, der sich im Status Bereit für die Sicherung befindet, können Sie jetzt mit der Sicherung Ihres AKS-Clusters beginnen.

Schlüsselentitäten

  • Zu schützender AKS Cluster

    Rufen Sie die Azure Resource Manager ID (ARM ID) des zu schützenden AKS-Clusters ab. Sie fungiert als Bezeichner des Clusters. In diesem Beispiel verwenden wir einen AKS-Cluster namens PSTestAKSCluster unter der Ressourcengruppe aksrg in einem anderen Abonnement:

    $sourceClusterId = "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/aksrg /providers/Microsoft.ContainerService/managedClusters/ PSTestAKSCluster "

  • Ressourcengruppe für Momentaufnahme

    Die Momentaufnahmen des persistenten Volumes werden in einer Ressourcengruppe in Ihrem Abonnement gespeichert. Wir empfehlen, eine dedizierte Ressourcengruppe als Momentaufnahmen-Datenspeicher zu erstellen, der vom Azure Backup-Dienst verwendet werden soll.

    $snapshotrg = "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/snapshotrg"

Vorbereiten der Anforderung

Die Konfiguration der Sicherung erfolgt in zwei Schritten:

Die Konfiguration der Sicherung erfolgt in zwei Schritten:

  1. Bereiten Sie die Sicherungskonfiguration vor, um zu definieren, welche Clusterressourcen mithilfe des Cmdlets New-AzDataProtectionBackupConfigurationClientObject gesichert werden sollen. In diesem Beispiel verwenden wir die Standardkonfiguration und führen eine vollständige Clustersicherung aus.

    $backupConfig = New-AzDataProtectionBackupConfigurationClientObject -SnapshotVolume $true -IncludeClusterScopeResource $true -DatasourceType AzureKubernetesService -LabelSelector "env=prod"

  2. Bereiten Sie die relevante Anforderung mithilfe des entsprechenden Tresors, der Richtlinie, des AKS-Clusters, der Sicherungskonfiguration und Momentaufnahme-Ressourcengruppe mit dem Cmdlet Initialize-AzDataProtectionBackupInstance vor.

    $backupInstance = Initialize-AzDataProtectionBackupInstance -DatasourceType AzureKubernetesService  -DatasourceLocation $dataSourceLocation -PolicyId $ aksBkpPol.Id -DatasourceId $sourceClusterId -SnapshotResourceGroupId $ snapshotrg -FriendlyName $friendlyName -BackupConfiguration $backupConfig

Zuweisen der erforderlichen Berechtigungen und Überprüfen

Nachdem die Anforderung vorbereitet wurde, müssen Sie den entsprechenden Ressourcen zunächst die erforderlichen Rollen zuweisen, indem Sie den folgenden Befehl ausführen:

Set-AzDataProtectionMSIPermission -BackupInstance $backupInstance -VaultResourceGroup $rgName -VaultName $vaultName -PermissionsScope "ResourceGroup"

Nachdem die Berechtigungen zugewiesen wurden, führen Sie das folgende Cmdlet aus, um die Bereitschaft der erstellten Instanz zu testen.

test-AzDataProtectionBackupInstanceReadiness -ResourceGroupName $resourceGroupName -VaultName $vaultName -BackupInstance  $backupInstance.Property

Wenn die Überprüfung erfolgreich ist, können Sie die Anforderung zum Schutz des AKS-Clusters mit dem Cmdlet New-AzDataProtectionBackupInstance übermitteln.

New-AzDataProtectionBackupInstance -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -BackupInstance $backupInstance

Nächste Schritte

  • Last updated on