Requisitos previos para realizar copias de seguridad de Azure Kubernetes Service mediante Azure Backup
En este artículo se describen los requisitos previos para realizar copias de seguridad de Azure Kubernetes Service (AKS).
Azure Backup ahora permite realizar copias de seguridad de clústeres de AKS (recursos de clúster y volúmenes persistentes asociados al clúster) mediante una extensión de copia de seguridad, que debe instalarse en el clúster. El almacén de Backup se comunica con el clúster mediante esta extensión de copia de seguridad para realizar operaciones de copia de seguridad y restauración. Si se usa el modelo de seguridad con privilegios mínimos, los almacenes de Backup deben tener habilitada la opción de acceso de confianza para comunicarse con el clúster de AKS.
Nota:
La copia de seguridad con almacén y la restauración entre regiones para AKS mediante Azure Backup se encuentran actualmente en versión preliminar.
Extensión de reserva
La extensión habilita las funcionalidades de copia de seguridad y restauración para las cargas de trabajo contenedorizadas y los volúmenes persistentes usados por las cargas de trabajo que se ejecutan en clústeres de AKS.
La extensión de copia de seguridad se instala de forma predeterminada en dataprotection-microsoft, su propio espacio de nombres. Se instala con un ámbito amplio del clúster que permite que la extensión acceda a todos los recursos del clúster. Durante la instalación de la extensión, también crea una identidad administrada asignada por el usuario (identidad de extensión) en el grupo de recursos del grupo de nodos.
La extensión de copia de seguridad usa un contenedor de blobs (proporcionado en la entrada durante la instalación) como ubicación predeterminada para el almacenamiento de copia de seguridad. Para acceder a este contenedor de blobs, la identidad de extensión requiere rol colaborador de datos de Blob Storage en la cuenta de almacenamiento que tiene el contenedor.
Debe instalar la extensión de copia de seguridad en el clúster de origen para realizar copias de seguridad y el clúster de destino en el que se va a restaurar la copia de seguridad.
La extensión de copia de seguridad se puede instalar en el clúster desde la hoja del portal de AKS en la pestaña Copia de seguridad en Configuración. También puede usar los comandos de la CLI de Azure para administrar la instalación y otras operaciones en la extensión de copia de seguridad.
Antes de instalar una extensión en un clúster de AKS, debe registrar el proveedor de recursos
Microsoft.KubernetesConfigurationen el nivel de suscripción. Obtenga información sobre cómo registrar el proveedor de recursos.El agente de extensión y el operador de extensión son los componentes principales de la plataforma en AKS, que se instalan cuando se instala una extensión de cualquier tipo por primera vez en un clúster de AKS. Proporcionan funcionalidades para implementar extensiones 1P y 3P . La extensión de copia de seguridad también se basa en ellas para la instalación y las actualizaciones.
Nota:
Ambos componentes principales se implementan con límites estrictos agresivos en la CPU y la memoria, con una CPU inferior al 0,5 % de un límite de núcleo y memoria comprendido entre 50 y 200 MB. Por lo tanto, el impacto del COGS de estos componentes es muy bajo. Dado que son componentes principales de la plataforma, no hay ninguna solución alternativa disponible para quitarlos una vez instalados en el clúster.
Si la cuenta de almacenamiento, que se va a proporcionar como entrada para la instalación de la extensión, se encuentra en Virtual Network/Firewall, BackupVault debe agregarse como acceso de confianza en configuración de red de la cuenta de almacenamiento. Obtenga información sobre cómo conceder acceso al servicio de Azure de confianza, que ayuda a almacenar copias de seguridad en el almacén de datos del almacén de datos del almacén de datos
Aprenda a administrar la operación para instalar la extensión de copia de seguridad mediante la CLI de Azure.
Acceso de confianza
Muchos servicios de Azure dependen de clusterAdmin kubeconfig y del punto de conexión kube-apiserver públicamente accesible para acceder a los clústeres de AKS. La característica acceso de confianza de AKS permite omitir la restricción del punto de conexión privado. Sin usar la aplicación de Microsoft Entra, esta característica le permite dar consentimiento explícito a la identidad asignada por el sistema de los recursos permitidos para acceder a los clústeres de AKS mediante un recurso de Azure RoleBinding. La característica permite acceder a clústeres de AKS con distintas configuraciones, que no están limitadas a clústeres privados, clústeres con cuentas locales deshabilitadas, clústeres de Microsoft Entra ID y clústeres de intervalos IP autorizados.
Los recursos de Azure acceden a los clústeres de AKS mediante la puerta de enlace regional de AKS por medio de la autenticación de identidades administradas asignadas por el sistema. La identidad administrada debe tener asignados los permisos de Kubernetes adecuados a través de un rol de recurso de Azure.
Para la copia de seguridad de AKS, el almacén de Backup accede a los clústeres de AKS a través del acceso de confianza para configurar copias de seguridad y restauraciones. Al almacén de Backup se le asigna el rol predefinido Microsoft.DataProtection/backupVaults/backup-operator en el clúster de AKS, que le permite realizar solo operaciones de copia de seguridad específicas.
Para habilitar el acceso de confianza entre un almacén de Backup y un clúster de AKS, debe registrar la marca de característica TrustedAccessPreview en Microsoft.ContainerService en el nivel de suscripción. Obtenga más información sobre cómo registrar el proveedor de recursos.
Más información sobre cómo habilitar el acceso de confianza.
Nota:
- Puede instalar la extensión de copia de seguridad en el clúster de AKS directamente desde Azure Portal en la sección Copia de seguridad del portal de AKS.
- También puede habilitar el acceso de confianza entre el almacén de Backup y el clúster de AKS durante las operaciones de copia de seguridad o restauración en Azure Portal.
Clúster de AKS
Para habilitar la copia de seguridad de un clúster de AKS, consulte los siguientes requisitos previos:
La copia de seguridad de AKS usa funcionalidades de instantáneas de controladores CSI para realizar copias de seguridad de volúmenes persistentes. La compatibilidad con el controlador CSI está disponible para clústeres de AKS con la versión de Kubernetes 1.21.1 o posterior.
Nota:
- Actualmente, la copia de seguridad de AKS solo admite la copia de seguridad de volúmenes persistentes basados en discos de Azure (habilitados por el controlador CSI). Si usa recursos compartidos de archivos de Azure y volúmenes persistentes de tipo blob de Azure en los clústeres de AKS, puede configurar copias de seguridad para ellos mediante las soluciones de Azure Backup disponibles para recursos compartidos de archivos de Azure y blobs de Azure.
- En árbol, los volúmenes no son compatibles con la copia de seguridad de AKS; solo se puede realizar una copia de seguridad de los volúmenes basados en controladores CSI. Puede migrar de volúmenes de árbol a volúmenes persistentes basados en controladores CSI.
Antes de instalar la extensión de copia de seguridad en el clúster de AKS, asegúrese de que los controladores e instantáneas CSI estén habilitados para el clúster. Si están deshabilitados, consulte estos pasos para habilitarlos.
Azure Backup para AKS admite clústeres de AKS mediante la identidad del sistema o la identidad de usuario, para las operaciones de copia de seguridad. Aunque no se admiten clústeres que usan Service Principle, puede actualizar este clúster de AKS para usar una identidad de sistema administrada.
La extensión de copia de seguridad durante la instalación captura imágenes de contenedor almacenadas en Microsoft Container Registry (MCR). Si habilita un firewall en el clúster de AKS, es posible que se produzca un error en el proceso de instalación de la extensión debido a problemas de acceso en el Registro. Descubra cómo permitir el acceso de MCR desde el firewall.
En el caso de que tenga el clúster en una red virtual privada con un firewall, aplique las siguientes reglas de FQDN o aplicación:
*.microsoft.com,*.azure.com,*.core.windows.net,*.azmk8s.io,*.digicert.com,*.digicert.cn,*.geotrust.com,*.msocsp.com. Más información sobre cómo aplicar reglas de FQDN.Si tiene alguna instalación anterior de Velero en el clúster de AKS, debe eliminarla antes de instalar la extensión de copia de seguridad.
Roles y permisos necesarios
Para realizar operaciones de copia de seguridad y restauración de AKS como usuario, debe tener roles específicos en el clúster de AKS, el almacén de Backup, la cuenta de almacenamiento y el grupo de recursos de instantánea.
| Ámbito | Rol preferido | Descripción |
|---|---|---|
| Clúster de AKS | Propietario | Permite instalar la extensión de copia de seguridad, habilitar el acceso de confianza y conceder permisos al almacén de Backup a través del clúster. |
| Grupo de recursos del almacén de Backup | Colaborador de copias de seguridad | Permite crear un almacén de Backup en un grupo de recursos, crear una directiva de copia de seguridad, configurar la copia de seguridad, y restaurar y asignar roles que faltan necesarios para las operaciones de copia de seguridad. |
| Cuenta de almacenamiento | Propietario | Permite realizar operaciones de lectura y escritura en la cuenta de almacenamiento y asignar roles necesarios a otros recursos de Azure como parte de las operaciones de copia de seguridad. |
| Grupo de recursos de instantáneas | Propietario | Permite realizar operaciones de lectura y escritura en el grupo de recursos instantáneas y asignar roles necesarios a otros recursos de Azure como parte de las operaciones de copia de seguridad. |
Nota:
El rol de propietario en un recurso de Azure le permite realizar operaciones de Azure RBAC de ese recurso. Si no está disponible, el propietario del recurso debe proporcionar los roles necesarios al almacén de Backup y al clúster de AKS antes de iniciar las operaciones de copia de seguridad o restauración.
Además, como parte de las operaciones de copia de seguridad y restauración, se asignan los siguientes roles al clúster de AKS, la identidad de la extensión de copia de seguridad y el almacén de Backup.
| Rol | Asignado a | Fecha de asignación | Descripción |
|---|---|---|---|
| Lector | Almacén de Backup | Clúster de AKS | Permite que el almacén de Backup realice operaciones de enumeración y lectura en el clúster de AKS. |
| Lector | Almacén de Backup | Grupo de recursos de instantáneas | Permite que el almacén de Backup realice operaciones de enumeración y lectura en el grupo de recursos de instantáneas. |
| Colaborador | Clúster de AKS | Grupo de recursos de instantáneas | Permite que el clúster de AKS almacene instantáneas de volúmenes persistentes en el grupo de recursos. |
| Colaborador de datos de blobs de almacenamiento | Identidad de extensión | Cuenta de almacenamiento | Permite que la extensión de copia de seguridad almacene copias de seguridad de recursos de clúster en el contenedor de blobs. |
| Operador de datos para disco administrado | Almacén de copia de seguridad | Grupo de recursos de instantáneas | Permite que el servicio Backup Vault mueva los datos de instantánea incrementales al almacén. |
| Colaborador de instantáneas de discos | Almacén de copia de seguridad | Grupo de recursos de instantáneas | Permite que Backup Vault acceda a las instantáneas de discos y realice la operación de almacenamiento. |
| Lector de datos de blobs de almacenamiento | Almacén de copia de seguridad | Cuenta de almacenamiento | Permitir que Backup Vault acceda al contenedor Blob con datos almacenados de copia de seguridad para moverlos a Vault. |
| Colaborador | Almacén de copia de seguridad | Grupo de recursos de almacenamiento provisional | Permite a Backup Vault hidratar las copias de seguridad como discos almacenados en el nivel de almacén. |
| Colaborador de la cuenta de almacenamiento | Almacén de copia de seguridad | Cuenta de almacenamiento provisional | Permite a Backup Vault hidratar las copias de seguridad almacenadas en el nivel de almacén. |
| Propietario de datos de blobs de almacenamiento | Almacén de copia de seguridad | Cuenta de almacenamiento provisional | Permite que Backup Vault copie el estado del clúster en un contenedor de blobs almacenado en el nivel de almacén. |
Nota:
La copia de seguridad de AKS permite asignar estos roles durante los procesos de copia de seguridad y restauración mediante Azure Portal con un solo clic.
Pasos siguientes
- Acerca de Copia de seguridad de Azure Kubernetes Service
- Escenarios admitidos para la copia de seguridad del clúster de Azure Kubernetes Service
- Copia de seguridad de un clúster de Azure Kubernetes Service
- Restauración del clúster de Azure Kubernetes Service
- Administración de copias de seguridad de clústeres de Azure Kubernetes Service