Mi az Azure Kubernetes Service biztonsági mentés?

Az Azure Kubernetes Service (AKS) biztonsági mentése egy egyszerű, felhőalapú natív folyamat, amellyel biztonsági másolatot készíthet és visszaállíthat az AKS-fürtön futó tárolóalapú alkalmazásokról és adatokról. Konfigurálhatja a fürtállapot és az alkalmazásadatok ütemezett biztonsági mentéseit, amelyeket a Kubernetes állandó kötetei tárolnak a Container Storage Interface (CSI) illesztőprogram-alapú Azure Disk Storage-ban.

A megoldás részletes vezérlést biztosít. Egy adott névtérről vagy egy teljes fürtről biztonsági másolatot készíthet vagy állíthat vissza, ha a biztonsági másolatokat helyileg egy blobtárolóban és lemez pillanatképeként tárolja. Az AKS biztonsági mentését a végpontok közötti forgatókönyvekhez használhatja, beleértve az operatív helyreállítást, a fejlesztői vagy tesztelési környezetek klónozását, valamint a fürtfrissítési forgatókönyveket.

Az AKS biztonsági mentése integrálható az Azure Backup centerrel, hogy egyetlen nézetet biztosítson, amely segíthet a biztonsági mentések nagy léptékű szabályozásában, monitorozásában, működtetésében és elemzésében. A biztonsági másolatok az Azure Portalon , az AKS-példány szolgáltatásmenüjének Beállítások területén is elérhetők.

Hogyan működik az AKS biztonsági mentése?

Az AKS biztonsági mentés használatával készíthet biztonsági másolatot az AKS-fürtökben üzembe helyezett AKS-munkaterhelésekről és tartós kötetekről. A megoldás megköveteli, hogy az AKS-fürtben telepítsék a Backup bővítményt. A Backup-tároló a biztonsági mentési és visszaállítási műveletek elvégzéséhez kommunikál a bővítménysel. A Backup bővítmény használata kötelező. A bővítményt az AKS-fürtön belül kell telepíteni, hogy engedélyezze a fürt biztonsági mentését és visszaállítását. Az AKS biztonsági mentésének konfigurálásakor értékeket ad hozzá egy tárfiókhoz és egy blobtárolóhoz, ahol a biztonsági másolatok tárolása történik.

A Biztonsági mentés bővítmény mellett a felhasználói identitás (az úgynevezett bővítményidentitás) az AKS-fürt felügyelt erőforráscsoportjában jön létre. A bővítményidentitáshoz a tárfiók közreműködői szerepköre van hozzárendelve azon a tárfiókon, amelyben a biztonsági másolatok egy blobtárolóban vannak tárolva.

A nyilvános, privát és engedélyezett IP-alapú fürtök támogatásához az AKS biztonsági mentéshez engedélyeznie kell a Megbízható hozzáférés funkciót az AKS-fürt és a biztonsági mentési tároló között. A megbízható hozzáférés lehetővé teszi, hogy a biztonsági mentési tároló hozzáférjen az AKS klaszterhez, mivel a biztonsági mentési műveletekhez adott konkrét engedélyek vannak hozzárendelve. Az AKS megbízható hozzáférésről további információkat talál itt: Az Azure-erőforrások hozzáférésének engedélyezése az AKS-fürtökhöz megbízható hozzáféréssel.

Az AKS biztonsági mentése lehetővé teszi a biztonsági másolatok tárolását mind az operatív szinten, mind a tárolószinten. Az operatív szint egy helyi adattár (a biztonsági másolatok pillanatképekként vannak tárolva a bérlőben). Mostantól naponta egy helyreállítási pontot áthelyezhet, és blobként tárolhatja a tárolószinten (a bérlőn kívül) az AKS biztonsági mentésével. A tárolószinten tárolt biztonsági másolatok egy másodlagos régióban (Azure-párosított régióban) tárolt adatok visszaállítására is használhatók.

A Biztonsági mentés bővítmény telepítése és a Megbízható hozzáférés engedélyezése után a biztonsági mentési szabályzatnak megfelelően konfigurálhatja a fürtök ütemezett biztonsági mentéseit. A biztonsági másolatokat visszaállíthatja az eredeti fürtre vagy egy másik fürtre ugyanabban az előfizetésben és régióban. Az adott művelet beállításakor kiválaszthat egy adott névteret vagy egy teljes fürtöt biztonsági mentési és visszaállítási konfigurációként.

Az AKS biztonsági mentése lehetővé teszi a fürtön üzembe helyezett AKS-adatforrások biztonsági mentési műveleteit. Emellett lehetővé teszi a fürt állandó kötetében tárolt adatok biztonsági mentési műveleteit is. Ezután egy blobtárolóban tárolja a biztonsági másolatokat. A lemezalapú állandó kötetek lemezpillanatképekként vannak biztonsági másolatot készítve egy pillanatkép-erőforráscsoportban. A blob pillanatképei és fürtállapotai kombinálva létrehoznak egy, a bérlőben tárolt operatív szint nevű helyreállítási pontot. Az operatív szint biztonsági másolatait (egy nap, hét, hónap vagy év első sikeres biztonsági mentése) blobokká is konvertálhatja, majd naponta egyszer áthelyezheti őket egy tárolóba (a bérlőn kívül).

Megjegyzés

Az Azure Backup jelenleg csak az állandó köteteket támogatja a CSI illesztőprogram-alapú Azure Disk Storage-ban. A biztonsági mentések során a megoldás kihagyja a többi állandó kötettípust, például az Azure Files-megosztást és a blobokat. Emellett ha definiált adatmegőrzési szabályokat állít be a tárolószinthez, a biztonsági másolatok csak akkor helyezhetők át a tárolóba, ha az állandó kötetek kisebbek vagy egyenlők 1 TB-nál.

Biztonsági mentés konfigurálása

Az AKS-fürtök biztonsági mentéseinek konfigurálásához először hozzon létre egy biztonsági mentési tárolót. A tároló a különböző adatforrások között konfigurált biztonsági másolatok összesített nézetét nyújtja. Az AKS biztonsági mentése támogatja az operatív szint és a tárolószint biztonsági mentését is.

A Backup Vault storage redundanciabeállítása (helyileg redundáns tárolás vagy georedundáns tárolás) csak a tárolószinten tárolt biztonsági mentésekre vonatkozik. Ha biztonsági másolatokat szeretne használni a vészhelyreállításhoz, állítsa be a tárolóredundanciát GRS-ként , ha engedélyezve van a régiók közötti visszaállítás .

Megjegyzés

A biztonsági mentések tárolására szolgáló tárhely és az AKS klaszter, amelyeket menteni vagy visszaállítani szeretne, ugyanabban a régióban és előfizetésben kell legyenek.

Az AKS biztonsági mentése automatikusan elindít egy ütemezett biztonsági mentési feladatot. A feladat a cluster erőforrásokat egy blobtárolóba másolja, és létrehozza a lemezalapú állandó kötetekről készült növekményes pillanatképet a biztonsági mentés gyakoriságának megfelelően. A biztonsági másolatok a biztonsági mentési szabályzatban meghatározott megőrzési időtartamnak megfelelően megmaradnak az operatív szinten és a tárolószinten. A biztonsági másolatok az időtartam lejártával törlődnek.

Az AKS biztonsági mentésével több biztonsági mentési példányt is létrehozhat egyetlen AKS-fürthöz a biztonsági mentési példányonkénti különböző biztonsági mentési konfigurációk használatával. Javasoljuk azonban, hogy az alábbi két módszer egyikével hozza létre az AKS-fürt minden biztonsági mentési példányát:

• Másik Backup-tárolóban
• Külön biztonsági mentési szabályzat használatával ugyanabban a Backup-tárolóban

Biztonsági mentés kezelése

Amikor az AKS fürt biztonsági mentési konfigurációja befejeződik, egy biztonsági mentési példány létrejön a Biztonsági mentés tárhelyében. Az Azure portálon található AKS-fürt biztonsági mentési példányát a Biztonsági mentés szakaszban tekintheti meg. Például a visszaállítások kezdeményezése, a figyelés és a védelem megszüntetése, valamint más biztonsági mentéssel kapcsolatos műveletek a megfelelő biztonsági mentési példányon keresztül hajthatók végre.

Az AKS biztonsági mentése közvetlenül a Backup centerrel is integrálható, így központilag kezelheti az összes AKS-fürt és más biztonsági mentés által támogatott számítási feladat védelmét. A Biztonsági mentési központ egyetlen nézetet biztosít az összes biztonsági mentési követelményhez, például a feladatok figyeléséhez, valamint a biztonsági mentések és visszaállítások állapotához. A Biztonsági mentési központ segít biztosítani a megfelelőséget és a szabályozást, elemezni a biztonsági mentések használatát, és kritikus műveleteket végrehajtani az adatok biztonsági mentéséhez és visszaállításához.

Az AKS biztonsági mentése felügyelt identitással fér hozzá más Azure-erőforrásokhoz. Az AKS-fürt biztonsági mentésének konfigurálásához és egy korábbi biztonsági mentésből való visszaállításhoz a Backup tároló felügyelt identitásának egy meghatározott engedélykészletre van szüksége az AKS-fürtön. Emellett engedélyeket is igényel a pillanatkép-erőforráscsoporthoz, ahol a pillanatképek létrejönnek és kezelhetők. Az AKS-fürtnek jelenleg engedélyekre van szüksége a pillanatképeket tartalmazó erőforráscsoporthoz.

A Biztonsági mentés bővítmény emellett létrehoz egy felhasználói identitást, és engedélyek készletét rendeli hozzá ahhoz a tárfiókhoz, ahol a biztonsági másolatok egy blobban vannak tárolva. A felügyelt identitáshoz az Azure szerepköralapú hozzáférés-vezérlésével adhat engedélyeket. A felügyelt identitás egy speciális szolgáltatási elv, amely csak Azure-erőforrásokhoz használható. További információ a felügyelt identitásokról.

Visszaállítás biztonsági mentésből

Az adatokat bármely olyan időpontról visszaállíthatja, amelyhez helyreállítási pont tartozik. Helyreállítási pont akkor jön létre, ha egy biztonsági mentési példány védett állapotban van. Az adatok visszaállítására használható, amíg a biztonsági mentési szabályzat meg nem őrzi az adatokat.

Az Azure Backup lehetővé teszi, hogy visszaállítsa a biztonsági másolatban szereplő összes elemet, vagy részletes vezérlőkkel válasszon ki bizonyos elemeket a biztonsági másolatokból névterek és egyéb szűrőbeállítások használatával. Emellett elvégezheti a visszaállítást az eredeti AKS-fürtön (a biztonsági másolatban szereplő fürtön) vagy egy másik AKS-fürtön. Az operatív szinten és a tárolószinten tárolt biztonsági másolatokat visszaállíthatja egy ugyanabban vagy egy másik előfizetésben lévő fürtre. Csak a Vault szintben tárolt biztonsági másolatok használhatók a különböző régiókban (Azure-párosított régióban) lévő klaszterek visszaállításának végrehajtására.

A Vault szinten tárolt biztonsági mentés visszaállításához meg kell adnia egy átmeneti helyet, ahol a biztonsági mentési adatokat helyreállítják. Ez az előkészítési hely egy erőforráscsoportot és egy tárfiókot tartalmaz, amelyek ugyanabban a régióban és előfizetésben találhatók, mint a visszaállítás célfürtje. A visszaállítás során meghatározott erőforrások (blobtároló, lemez- és lemezpillanatképek) jönnek létre a hidratálás részeként. Miután a visszaállítási művelet befejeződik, azok törlődnek.

Az Azure Backup for AKS jelenleg az alábbi két lehetőséget támogatja egy olyan forgatókönyv esetében, amelyben erőforrás-ütközés történik. Erőforrás-ütközés akkor fordul elő, ha egy mentett erőforrás neve megegyezik a cél AKS-fürtben lévő erőforrás nevével. A visszaállítási konfiguráció meghatározásakor ezek közül a beállítások közül választhat.

• Kihagyás: Ez a beállítás alapértelmezés szerint be van jelölve. Ha például biztonsági másolatot készít egy elnevezett pvc-azuredisk állandó mennyiségi jogcímről (PVC), és egy azonos nevű PVC-vel rendelkező célfürtben állítja vissza, a biztonsági mentési bővítmény kihagyja a biztonsági másolattal ellátott PVC visszaállítását. Ilyen esetekben javasoljuk, hogy törölje a forrást a klaszterből. Ezután végezze el a visszaállítási műveletet, hogy a biztonsági mentési elemek csak a fürtben legyenek elérhetők, és ne legyenek kihagyva.

• Javítás: Ez a beállítás lehetővé teszi változtatható változók módosítását a mentett erőforrásban a célfürt erőforrásán. Ha frissíteni szeretné a célfürt replikáinak számát, választhatja a javítást műveletként.

Megjegyzés

Az AKS biztonsági mentése jelenleg nem törli és hozza létre újra az erőforrásokat a célfürtben, ha már léteznek. Ha az eredeti helyen próbálja visszaállítani az állandó köteteket, törölje a meglévő állandó köteteket, majd hajtsa végre a visszaállítási műveletet.

Egyéni horgok használata biztonsági mentéshez és visszaállításhoz

Egyéni horgokkal alkalmazáskonzisztens pillanatképeket készíthet a tárolóalapú számítási feladatként üzembe helyezett adatbázisokhoz használt kötetekről.

Mik azok az egyéni horgok?

Az AKS biztonsági mentési funkciók használatával egyedi hookokat hajthat végre a biztonsági mentési és visszaállítási művelet részeként. A hookok úgy vannak konfigurálva, hogy egy vagy több parancsot futtassanak egy tárolóban egy pod alatt a biztonsági mentési művelet során vagy a visszaállítás után.

Ezeket a hookokat egyedi erőforrásként definiálja, és telepíti őket az AKS klaszterben, amelyet biztonsági mentéshez vagy visszaállításhoz kíván használni. Amikor az egyedi erőforrás telepítve van az AKS klaszterben a szükséges névtérben, Ön megadja a részleteket bemenetként a folyamat számára, hogy beállítsa a biztonsági mentést és visszaállítást. A Backup bővítmény a YAML-fájlban meghatározott módon futtatja a horgokat.

Megjegyzés

A horgok nem egy shell-ben lesznek végrehajtva a konténereken.

Az AKS biztonsági mentésének két típusa van:

• Biztonsági mentési horgok
• Kampók visszaállítása

Biztonsági mentési horgok

Biztonsági mentési horog használata esetén konfigurálhatja a parancsokat a horog futtatására az egyéni műveletfeldolgozás (PreHooks) előtt. A horogot az összes egyéni művelet befejezése után is futtathatja, és az egyéni műveletek által megadott további elemekről biztonsági másolatot készít (PostHooks).

Itt látható például egy egyéni erőforráshoz tartozó YAML-sablon, amelyet mentési horgok használatával kell üzembe helyezni.

apiVersion: clusterbackup.dataprotection.microsoft.com/v1alpha1
kind: BackupHook
metadata:
  # BackupHook CR Name and Namespace
  name: bkphookname0
  namespace: default
spec:
  # BackupHook is a list of hooks to execute before and after backing up a resource.
  backupHook:
    # BackupHook Name. This is the name of the hook that will be executed during backup.
    # compulsory
  - name: hook1
    # Namespaces where this hook will be executed.
    includedNamespaces: 
    - hrweb
    excludedNamespaces:
    labelSelector:
    # PreHooks is a list of BackupResourceHooks to execute prior to backing up an item.
    preHooks:
      - exec:
          # Container is the container in the pod where the command should be executed.
          container: webcontainer
          # Command is the command and arguments to execute.
          command:
            - /bin/uname
            - -a
          # OnError specifies how Velero should behave if it encounters an error executing this hook  
          onError: Continue
          # Timeout is the amount of time to wait for the hook to complete before considering it failed.
          timeout: 10s
      - exec:
          command:
            - /bin/bash
            - -c
            - echo hello > hello.txt && echo goodbye > goodbye.txt
          container: webcontainer
          onError: Continue
    # PostHooks is a list of BackupResourceHooks to execute after backing up an item.
    postHooks:
      - exec:
          container: webcontainer
          command:
            - /bin/uname
            - -a
          onError: Continue
          timeout: 10s

Kampók visszaállítása

A visszaállítási horogszkriptben az egyéni parancsok vagy szkriptek úgy vannak megírva, hogy egy visszaállított AKS-pod tárolóiban legyenek végrehajtva.

Íme a YAML-sablon egy olyan egyéni erőforráshoz, amely visszaállítási horgokon keresztül kerül üzembe helyezésre:

apiVersion: clusterbackup.dataprotection.microsoft.com/v1alpha1
kind: RestoreHook
metadata:
  name: restorehookname0
  namespace: default
spec:
  # RestoreHook is a list of hooks to execute after restoring a resource.
  restoreHook:
    # Name is the name of this hook.
  - name: myhook-1  
    # Restored Namespaces where this hook will be executed.
    includedNamespaces: 
    excludedNamespaces:
    labelSelector:
    # PostHooks is a list of RestoreResourceHooks to execute during and after restoring a resource.
    postHooks:
      - exec:
          # Container is the container in the pod where the command should be executed.
          container: webcontainer
          # Command is the command and arguments to execute from within a container after a pod has been restored.
          command:
            - /bin/bash
            - -c
            - echo hello > hello.txt && echo goodbye > goodbye.txt
          # OnError specifies how Velero should behave if it encounters an error executing this hook
          # default value is Continue
          onError: Continue
          # Timeout is the amount of time to wait for the hook to complete before considering it failed.
          execTimeout: 30s
          # WaitTimeout defines the maximum amount of time Velero should wait for the container to be ready before attempting to run the command.
          waitTimeout: 5m

Ismerje meg , hogyan használhatja a hookokat az AKS biztonsági mentése során.

A visszaállítás során a biztonsági mentési bővítmény megvárja, amíg a tároló létrejön, majd végrehajtja rajtuk a visszaállítási horgokban definiált exec parancsokat.

Ha ugyanarra a névtérre hajtja végre a visszaállítást, amelyről biztonsági másolat készült, a visszaállítási horog nem lesz végrehajtva. Csak újonnan létrehozott tárolót keres. Ez az eredmény attól függetlenül következik be, hogy a kihagyási vagy javítási szabályt használja-e.

Módosítsa az erőforrást az AKS klaszterben készült biztonsági mentések visszaállítása közben.

Az Erőforrás-módosítás funkcióval módosíthatja a kubernetes-erőforrások biztonsági másolatait a visszaállítás során az AKS-fürtben üzembe helyezett JSON-javításokconfigmap megadásával.

Erőforrás-módosító konfigurációtérkép létrehozása és alkalmazása a visszaállítás során

Az erőforrás-módosítás létrehozásához és alkalmazásához kövesse az alábbi lépéseket:

1. Erőforrás-módosító létrehozása configmap.

   Létre kell hoznia egyet configmap az előnyben részesített névtérben egy olyan YAML-fájlból , amely erőforrás-módosítókat definiált.

   Példa parancs létrehozására:

   version: v1
   resourceModifierRules:
   - conditions:
       groupResource: persistentvolumeclaims
       resourceNameRegex: "^mysql.*$"
       namespaces:
       - bar
       - foo
       labelSelector:
           matchLabels:
             foo: bar
     patches:
     - operation: replace
       path: "/spec/storageClassName"
       value: "premium"
     - operation: remove
       path: "/metadata/labels/test"
   

   • Az előző configmap a JSON-javítást alkalmazza minden állandó kötetpéldányra a namespaces sávban és a foo-ban, amelynek neve mysql-vel kezdődik match label foo: bar. A JSON-javítás lecseréli a storageClassName-t premium-re, és eltávolítja a címkét test az állandó kötet példányairól.
   • Itt a namespace biztonsági másolatban szereplő erőforrás eredeti névtere, nem pedig az az új névtér, amelyre az erőforrás vissza lesz állítva.
   • Egy adott erőforráshoz több JSON-javítást is megadhat. A javítások a megadott sorrend szerint lesznek alkalmazva a configmap. A következő javítást a rendszer sorrendben alkalmazza. Ha ugyanahhoz az elérési úthoz több javítás van megadva, az utolsó javítás felülírja az előző javításokat.
   • A configmap mezőben megadhat több resourceModifierRules elemet is. A szabályokat a megadott sorrend szerint alkalmazzuk a configmap.

2. Erőforrás-módosító referencia létrehozása a visszaállítási konfigurációban

   Visszaállítási művelet végrehajtásakor adja meg a ConfigMap name és a namespace helyeit, ahol a visszaállítás telepítendő a konfiguráció részeként. Ezeket a részleteket az Erőforrás-módosító szabályok alatt kell megadni.

   

Erőforrás-módosító által támogatott műveletek

• Hozzáadás

  A Hozzáadás művelettel új blokkot adhat hozzá az erőforrás JSON-jához. A következő példában a művelet új tárolóadatokat ad hozzá a specifikációhoz egy üzembe helyezéssel.

  version: v1
  resourceModifierRules:
  - conditions:
      groupResource: deployments.apps
      resourceNameRegex: "^test-.*$"
      namespaces:
      - bar
      - foo
    patches:
      # Dealing with complex values by escaping the yaml
    - operation: add
      path: "/spec/template/spec/containers/0"
      value: "{\"name\": \"nginx\", \"image\": \"nginx:1.14.2\", \"ports\": [{\"containerPort\": 80}]}"
  

• Eltávolít

  Az Eltávolítás művelettel eltávolíthat egy kulcsot az erőforrás JSON-jából. Az alábbi példában a művelet eltávolítja a címkét test kulcsként.

  version: v1
  resourceModifierRules:
  - conditions:
        groupResource: persistentvolumeclaims
        resourceNameRegex: "^mysql.*$"
        namespaces:
        - bar
        - foo
        labelSelector:
          matchLabels:
              foo: bar
    patches:
    - operation: remove
      path: "/metadata/labels/test"
  

• Csere

  A Csere művelettel lecserélheti egy másik elérési út értékét. Az alábbi példában a művelet a PVC-ben a storageClassName-t a premium-re cseréli.

  version: v1
  resourceModifierRules:
  - conditions:
       groupResource: persistentvolumeclaims
       resourceNameRegex: "^mysql.*$"
       namespaces:
       - bar
       - foo
       labelSelector:
          matchLabels:
             foo: bar
    patches:
    - operation: replace
      path: "/spec/storageClassName"
      value: "premium"
  

• Másolás

  A Másolás műveletet használhatja arra, hogy egy értéket átmásoljon a meghatározott források egyik elérési útjáról egy másik elérési útra.

  version: v1
  resourceModifierRules:
  - conditions:
      groupResource: deployments.apps
      resourceNameRegex: "^test-.*$"
      namespaces:
      - bar
      - foo
    patches:
    - operation: copy
      from: "/spec/template/spec/containers/0"
      path: "/spec/template/spec/containers/1"
  

•    Tesztelés

  A Tesztelés művelettel ellenőrizheti, hogy egy adott érték szerepel-e az erőforrásban. Ha az érték jelen van, a rendszer alkalmazza a javítást. Ha az érték nem jelenik meg, a javítás nem lesz alkalmazva. Az alábbi példában a művelet ellenőrzi, hogy a PVC-k premium-ként rendelkeznek-e StorageClassName-vel, és ha igen, lecseréli standard-re.

  version: v1
  resourceModifierRules:
  - conditions:
      groupResource: persistentvolumeclaims
      resourceNameRegex: ".*"
      namespaces:
      - bar
      - foo
    patches:
    - operation: test
      path: "/spec/storageClassName"
      value: "premium"
    - operation: replace
      path: "/spec/storageClassName"
      value: "standard"
  

• JSON-javítás

  Ez configmap alapértelmezés szerint alkalmazza a JSON-javítást a névterekben lévő összes üzembe helyezésre, és azokra, amelyek neve nginxdep-vel kezdődik. A JSON-patch frissíti a replikák számát 12 az összes ilyen üzembe helyezés esetén.

  version: v1
  resourceModifierRules:
  - conditions:
      groupResource: deployments.apps
      resourceNameRegex: "^nginxdep.*$"
      namespaces:
     - default
     - nginx
    patches:
    - operation: replace
      path: "/spec/replicas"
      value: "12"
  

• JSON-egyesítési javítás

  Ez a configmap JSON-egyesítési javítást alkalmazza az alapértelmezett és a nginx névterekben található összes üzembe helyezésre, amelyek neve nginxdep-tel kezdődik. A JSON-egyesítési javítás hozzáadja vagy frissíti a címkét app az értékkel nginx1.

  version: v1
  resourceModifierRules:
    - conditions:
        groupResource: deployments.apps
        resourceNameRegex: "^nginxdep.*$"
        namespaces:
          - default
          - nginx
      mergePatches:
        - patchData: |
            {
              "metadata" : {
                "labels" : {
                  "app" : "nginx1"
                }
              }
            }
  

• Stratégiai egyesítési javítás

  Ez configmap az alapértelmezett névtérben lévő összes podra alkalmazza a stratégiai egyesítési javítást, amelynek neve a következővel kezdődik nginx: . A stratégiai egyesítési javítás frissíti a tároló nginx rendszerképét a következőre mcr.microsoft.com/cbl-mariner/base/nginx:1.22: .

  version: v1
  resourceModifierRules:
  - conditions:
      groupResource: pods
      resourceNameRegex: "^nginx.*$"
      namespaces:
      - default
    strategicPatches:
    - patchData: |
        {
          "spec": {
            "containers": [
              {
                "name": "nginx",
                "image": "mcr.microsoft.com/cbl-mariner/base/nginx:1.22"
              }
            ]
          }
        }
  

Melyik biztonsági mentési tárolási osztályt támogatja az AKS biztonsági mentés?

Az Azure Backup for AKS két tárolási szintet támogat biztonsági mentési adattárként:

• Működési szint: Az AKS-fürtben telepített biztonsági mentési bővítmény először a kötet pillanatképeinek CSI-illesztőprogramon keresztüli használatával készíti el a biztonsági mentést. Ezután egy blob tárolóban tárolja a fürt állapotát a saját bérlőjénél. Ez a szint egy alacsonyabb helyreállításipont-célkitűzést (RPO) támogat, amelynek minimális időtartama két biztonsági mentés között négy óra. Emellett az Azure-lemezalapú kötetek esetében az operatív szint támogatja a gyorsabb visszaállítást.

• Tárolószint: Ha hosszabb ideig szeretné tárolni a biztonsági mentési adatokat a pillanatképeknél alacsonyabb költséggel, az AKS biztonsági mentése támogatja a tárolók standard adattárait. A biztonsági mentési szabályzatban beállított megőrzési szabályok szerint az első sikeres biztonsági mentés (egy nap, hét, hónap vagy év) a bérlőn kívüli blobtárolóba kerül. Ez az adattár nem csak hosszabb megőrzést tesz lehetővé, hanem zsarolóprogram-védelmet is biztosít. A tárolóban tárolt biztonsági másolatokat egy másik régióba (Azure-párosított régióba) is áthelyezheti helyreállítás céljából, ha engedélyezi a georedundancia és a régiók közötti visszaállítást a Backup-tárolóban.

  Megjegyzés

  A biztonsági mentési adatokat a Backup Policy segítségével egy szabványos tárolóban tárolhatja, a megőrzési szabályok meghatározásával. Csak egy ütemezett helyreállítási pont kerül át a Tároló szintre naponta. A kiválasztott szabálynak megfelelően azonban tetszőleges számú igény szerinti biztonsági mentést áthelyezhet a tárolóba.

A díjszabás ismertetése

A következő díjakat kell fizetnie:

• Védett példány díja: Az AKS-hez készült Azure Backup havonta egy névtérenkénti védett példánydíjat számít fel. Amikor biztonsági mentést állít be egy AKS-klaaszterhez, egy védett példány jön létre. Minden példányhoz meghatározott számú névtér tartozik, amelyekről a biztonsági mentési konfigurációban meghatározottak szerint biztonsági másolatot készítünk. Az AKS biztonsági mentési díjszabásával kapcsolatos további információkért tekintse meg az Azure biztonsági mentés díjszabását , és válassza az Azure Kubernetes Service-t számítási feladatként.

• Pillanatkép díja: Az Azure Backup for AKS védi a lemezalapú állandó köteteket az Azure-előfizetés erőforráscsoportjában tárolt pillanatképek készítésével. Ezek a pillanatképek a pillanatképek tárolási díjait vonják maga után. Mivel a rendszer nem másolja a pillanatképeket a Backup-tárolóba, a biztonsági mentés tárolási költségei nem érvényesek. A pillanatképek díjszabásáról további információt a Managed Disks díjszabásában talál.

• Biztonsági mentés tárolási díja: Az Azure Backup for AKS a tárolószinten is támogatja a biztonsági mentések tárolását. A biztonsági másolatokat a Vault szinten tárolhatja, ha a biztonsági mentési irányelvben meghatározza a Vault szabvány megőrzési szabályait, és minden nap egy visszaállítási pont áthelyezhető a Vault-ba. A tárolószinten tárolt visszaállítási pontokért külön díjat számítunk fel (ezt biztonsági mentési tárolási díjnak nevezzük) a tárolóban tárolt összes adat alapján (gigabájtban), és a redundanciatípus engedélyezve van a Backup-tárolóban.

Kapcsolódó tartalom

• Az Azure Kubernetes Service biztonsági mentésének előfeltételei
• Az AKS biztonsági mentése az Azure PowerShell használatával
• Az AKS visszaállítása az Azure CLI használatával
• Jól megtervezett tervezés az AKS-fürtök védelméhez