Conditions préalables à la sauvegarde Azure Kubernetes Service en utilisant Sauvegarde Azure
Cet article décrit les conditions préalables à la sauvegarde Azure Kubernetes Service (AKS).
Sauvegarde Azure vous permet désormais de sauvegarder des clusters AKS (ressources de cluster et volumes persistants attachés au cluster) à l’aide d’une extension de sauvegarde, qui doit être installée dans le cluster. Le coffre de sauvegarde communique avec le cluster via cette extension de sauvegarde pour effectuer des opérations de sauvegarde et de restauration. Selon le modèle de sécurité le moins privilégié, un coffre Sauvegarde doit avoir l’accès approuvé activé pour communiquer avec le cluster AKS.
Remarque
La sauvegarde dans un coffre et la restauration inter-région pour AKS en utilisant Sauvegarde Azure sont actuellement en préversion.
Extension de sauvegarde
L’extension active des fonctionnalités de sauvegarde et de restauration pour les charges de travail conteneurisées et les volumes persistants utilisés par les charges de travail s’exécutant dans des clusters AKS.
L’extension de sauvegarde est installée dans son propre espace de noms dataprotection-microsoft par défaut. Elle est installée avec une étendue à l’échelle du cluster qui permet à l’extension d’accéder à toutes les ressources du cluster. Pendant l’installation de l’extension, cette dernière crée également une identité managée affectée par l’utilisateur (identité d’extension) dans le groupe de ressources du pool de nœuds.
L’extension de sauvegarde utilise un conteneur d’objets blob (fourni en entrée lors de l’installation) comme emplacement par défaut pour le stockage de sauvegarde. Pour accéder à ce conteneur d’objets blob, l’identité d’extension nécessite le rôle Contributeur de données d’objets blob de stockage sur le compte de stockage qui contient le conteneur.
Vous devez installer l’extension de sauvegarde sur le cluster source à sauvegarder et sur le cluster cible où la sauvegarde doit être restaurée.
L’extension de sauvegarde peut être installée dans le cluster à partir du panneau du portail AKS sous l’onglet Sauvegarde sous Paramètres. Vous pouvez également utiliser les commandes Azure CLI pour gérer l’installation et d’autres opérations sur l’extension de sauvegarde.
Avant d’installer une extension dans un cluster AKS, vous devez inscrire le fournisseur de ressources
Microsoft.KubernetesConfigurationau niveau de l’abonnement. Découvrez comment inscrire le fournisseur de ressources.L’agent d’extension et l’opérateur d’extension sont les composants de plateforme principaux dans AKS, qui sont installés lorsqu’une extension de tout type est installée pour la première fois dans un cluster AKS. Ces fonctionnalités permettent de déployer des extensions 1P et 3P . L’extension de sauvegarde s’appuie également sur eux pour l’installation et les mises à niveau.
Remarque
Ces deux composants principaux sont déployés avec des limites strictes agressives sur le processeur et la mémoire, avec un processeur inférieur à 0,5 % d’un cœur et une limite de mémoire comprise entre 50 et 200 Mo. Par conséquent, l’impact cogs de ces composants est très faible. Étant donné qu’il s’agit de composants de plateforme de base, il n’existe aucune solution de contournement disponible pour les supprimer une fois installés dans le cluster.
Si le compte de stockage, à fournir comme entrée pour l’installation de l’extension, se trouve sous Réseau virtuel/Pare-feu, BackupVault doit être ajouté en tant qu’accès approuvé dans les paramètres réseau du compte de stockage. Découvrez comment accorder l’accès au service Azure approuvé, ce qui permet de stocker des sauvegardes dans le magasin de données Vault
Découvrez comment gérer l’opération d’installation de l’extension de sauvegarde à l’aide d’Azure CLI.
Accès approuvé
De nombreux services Azure dépendent de clusterAdmin kubeconfig et du point de terminaison kube-apiserver accessible publiquement pour accéder aux clusters AKS. La fonctionnalité d’accès approuvé AKS vous permet de contourner la restriction de point de terminaison privé. Sans utiliser l’application Microsoft Entra, cette fonctionnalité vous permet d’accorder un consentement explicite à votre identité affectée par le système des ressources autorisées pour accéder à vos clusters AKS à l’aide d’un RoleBinding de ressource Azure. La fonctionnalité vous permet d’accéder aux clusters AKS avec différentes configurations, y compris, mais sans s’y limiter, les clusters privés, les clusters avec les comptes locaux désactivés, les clusters Microsoft Entra ID et les clusters de plages d’adresses IP autorisées.
Vos ressources Azure accèdent aux clusters AKS grâce à la passerelle régionale AKS au moyen de l’authentification par une identité managée affectée par le système. L’identité managée doit disposer des autorisations Kubernetes appropriées attribuées via un rôle de ressource Azure.
Pour la sauvegarde AKS, le coffre de sauvegarde accède à vos clusters AKS via l’accès approuvé pour configurer les sauvegardes et les restaurations. Le coffre de sauvegarde se voit attribuer un rôle prédéfini Microsoft.DataProtection/backupVaults/backup-operator dans le cluster AKS, ce qui lui permet d’effectuer uniquement des opérations de sauvegarde spécifiques.
Pour activer l’accès approuvé entre un coffre de sauvegarde et un cluster AKS, vous devez inscrire l’indicateur de fonctionnalité TrustedAccessPreview à Microsoft.ContainerService au niveau de l’abonnement. Découvrez comment inscrire le fournisseur de ressources.
Découvrez comment activer l’accès approuvé.
Notes
- Vous pouvez installer l’extension de sauvegarde directement sur votre cluster AKS depuis le Portail Azure dans la section Sauvegarde du portail AKS.
- Vous pouvez aussi activer l’accès approuvé entre le coffre de sauvegarde et le cluster AKS pendant les opérations de sauvegarde ou de restauration dans le Portail Azure.
Cluster AKS
Pour activer la sauvegarde d’un cluster AKS, consultez les conditions préalables suivantes : .
La sauvegarde AKS utilise les fonctionnalités d’instantané des pilotes CSI pour effectuer des sauvegardes de volumes persistants. La prise en charge du pilote CSI est disponible pour les clusters AKS avec Kubernetes version 1.21.1 ou ultérieure.
Notes
- Actuellement, la sauvegarde AKS prend uniquement en charge la sauvegarde des volumes persistants basés sur des disques Azure (activée par le pilote CSI). Si vous utilisez un partage de fichiers Azure et des volumes persistants de type Blob Azure dans vos clusters AKS, vous pouvez configurer des sauvegardes pour ceux-ci via les solutions Sauvegarde Azure disponibles pour le partage de fichiers Azure et Azure Blob.
- Dans l’arborescence, les volumes ne sont pas pris en charge par la sauvegarde AKS ; seuls les volumes basés sur le pilote CSI peuvent être sauvegardés. Vous pouvez migrer des volumes d’arborescence vers des volumes persistants basés sur un pilote CSI.
Avant d’installer l’extension de sauvegarde dans le cluster AKS, assurez-vous que les pilotes et captures instantanées CSI sont activés pour votre cluster. Si cette option est désactivée, consultez ces étapes pour les activer.
La sauvegarde Azure pour AKS prend en charge les clusters AKS à l’aide de l’identité système ou de l’identité de l’utilisateur, pour les opérations de sauvegarde. Bien que les clusters utilisant le principal du service ne soient pas pris en charge, vous pouvez mettre à jour un tel cluster AKS, afin d’utiliser une identité système managée.
L’extension de sauvegarde lors de l’installation extrait les images de conteneur stockées dans Microsoft Container Registry (MCR). Si vous activez un pare-feu sur le cluster AKS, le processus d’installation de l’extension peut échouer en raison de problèmes d’accès sur le Registre. Découvrez comment autoriser l’accès à MCR à partir du pare-feu.
Si vous disposez du cluster dans un réseau virtuel privé et un pare-feu, appliquez les règles de nom de domaine complet ou règles d’application suivantes :
*.microsoft.com,*.azure.com,*.core.windows.net,*.azmk8s.io,*.digicert.com,*.digicert.cn,*.geotrust.com,*.msocsp.com. Découvrez comment Appliquer des mises à jour de règles de nom de domaine complet.Si vous aviez installé Velero dans le cluster AKS, vous devez le supprimer avant d’installer l’extension de sauvegarde.
Rôles et autorisations obligatoires
Pour effectuer des opérations de sauvegarde et de restauration AKS en tant qu’utilisateur, vous devez disposer de rôles spécifiques sur le cluster AKS, le coffre de sauvegarde, le compte de stockage et le groupe de ressources d’instantané.
| Étendue | Rôle préféré | Description |
|---|---|---|
| Cluster AKS | Propriétaire | Vous permet d’installer l’extension de sauvegarde, d’activer l’accès approuvé et d’accorder des autorisations au coffre de sauvegarde sur le cluster. |
| Groupe de ressources du coffre de sauvegarde | Contributeur de sauvegarde | Vous permet de créer un coffre de sauvegarde dans un groupe de ressources, de créer une stratégie de sauvegarde, de configurer la sauvegarde et la restauration et d’attribuer les rôles manquants requis pour les opérations de sauvegarde. |
| Compte de stockage | Propriétaire | Vous permet d’effectuer des opérations de lecture et d’écriture sur le compte de stockage et d’attribuer les rôles requis à d’autres ressources Azure dans le cadre des opérations de sauvegarde. |
| Groupe de ressources d'instantanés | Propriétaire | Vous permet d’effectuer des opérations de lecture et d’écriture sur le groupe de ressources Snapshot et d’attribuer les rôles requis à d’autres ressources Azure dans le cadre des opérations de sauvegarde. |
Notes
Le rôle propriétaire sur une ressource Azure vous permet d’effectuer des opérations RBAC Azure de cette ressource. S’il n’est pas disponible, le propriétaire de la ressource doit fournir les rôles requis au coffre de sauvegarde et au cluster AKS avant de lancer les opérations de sauvegarde ou de restauration.
En outre, dans le cadre des opérations de sauvegarde et de restauration, les rôles suivants sont attribués au cluster AKS, à l’identité de l’extension de sauvegarde et au coffre de sauvegarde.
| Role | Affecté à | Attribué le | Description |
|---|---|---|---|
| Lecteur | Archivage de sauvegarde | Cluster AKS | Permet au coffre de sauvegarde d’effectuer des opérations de type Liste et Lecture sur le cluster AKS. |
| Lecteur | Archivage de sauvegarde | Groupe de ressources d'instantanés | Permet au coffre de sauvegarde d’effectuer des opérations de type Liste et Lecture sur le groupe de ressources de l’instantané. |
| Contributeur | Cluster AKS | Groupe de ressources d'instantanés | Permet au cluster AKS de stocker des instantanés de volume persistant dans le groupe de ressources. |
| Contributeur aux données Blob du stockage | Identité d’extension | Compte de stockage | Permet à l’extension de sauvegarde de stocker les sauvegardes de ressources de cluster dans le conteneur d’objets blob. |
| Opérateur de données pour les disques managés | Archivage de sauvegarde | Groupe de ressources d'instantanés | Autorise un service coffre de sauvegarde à déplacer des données de capture instantanée incrémentielle vers le coffre. |
| Contributeur d’instantané de disque | Archivage de sauvegarde | Groupe de ressources d'instantanés | Autorise un coffre de sauvegarde à accéder aux captures instantanées Disk et effectuer une opération d’archivage. |
| Lecteur des données blob du stockage | Archivage de sauvegarde | Compte de stockage | Autorise un coffre de sauvegarde à accéder au conteneur d’objets blob avec des données stockées de sauvegarde à déplacer vers le coffre. |
| Contributeur | Archivage de sauvegarde | Groupe de ressources intermédiaire | Autorise un coffre de sauvegarde à alimenter des sauvegardes comme disques stockés dans un niveau Coffre. |
| Contributeur de compte de stockage | Archivage de sauvegarde | Compte de stockage intermédiaire | Autorise un coffre de sauvegarde à alimenter des sauvegardes stockées dans un niveau Coffre. |
| Propriétaire des données Blob du stockage | Archivage de sauvegarde | Compte de stockage intermédiaire | Autorise un coffre de sauvegarde à copier un état de cluster dans un conteneur d’objets blob stocké dans un niveau Coffre. |
Remarque
La sauvegarde AKS vous permet d’attribuer ces rôles pendant les processus de sauvegarde et de restauration via le Portail Azure d’un simple clic.