Az Azure Kubernetes Service biztonsági mentésének és visszaállításának hibaelhárítása
Ez a cikk hibaelhárítási lépéseket tartalmaz, amelyek segítenek az Azure Kubernetes Service (AKS) biztonsági mentési, visszaállítási és felügyeleti hibáinak elhárításában.
Az AKS backup bővítmény telepítési hibáinak megoldásai
1. eset
Hibaüzenet:
{Helm installation from path [] for release [azure-aks-backup] failed with the following error: err [release azure-aks-backup failed, and has been uninstalled due to atomic being set: failed post-install: timed out waiting for the condition]} occurred while doing the operation: {Installing the extension} on the config"`
Ok: A bővítmény telepítése sikeresen megtörtént, de a podok nem ívnak, mert a szükséges számítási és memória nem érhető el a podokhoz.
Megoldás: A probléma megoldásához növelje a fürt csomópontjainak számát, így elegendő számítási és memória áll rendelkezésre a podok számára. A csomópontkészlet azure portalon való méretezéséhez kövesse az alábbi lépéseket:
- Nyissa meg az AKS-fürtöt az Azure Portalon.
- Nyissa meg a csomópontkészleteket a Gépház alatt.
- Válassza a Csomópontkészlet méretezése lehetőséget, majd frissítse a csomópontok számtartományának minimális és maximális értékeit.
- Válassza az Alkalmazás lehetőséget.
2. eset
Hibaüzenet:
BackupStorageLocation "default" is unavailable: rpc error: code = Unknown desc = azure.BearerAuthorizer#WithAuthorization: Failed to refresh the Token for request to https://management.azure.com/subscriptions/e30af180-aa96-4d81-981a-b67570b0d615/resourceGroups/AzureBackupRG_westeurope_1/providers/Microsoft.Storage/storageAccounts/devhayyabackup/listKeys?%24expand=kerb&api-version=2019-06-01: StatusCode=404 -- Original Error: adal: Refresh request failed. Status Code = '404'. Response body: no azure identity found for request clientID 4e95##### REDACTED #####0777`
Endpoint http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&client_id=4e95dcc5-a769-4745-b2d9-
Ok: Ha engedélyezi a pod által felügyelt identitást az AKS-fürtön, a rendszer hozzáad egy AzurePodIdentityException nevű aks-addon-exception nevet a kube-system névtérhez. Az AzurePodIdentityException lehetővé teszi, hogy a bizonyos címkékkel rendelkező podok hozzáférjenek az Azure Instance Metadata Service (IMDS) végpontjához, és az NMI-kiszolgáló nem fogja el.
A bővítmény podok nem kivételeznek, és megkövetelik a Microsoft Entra-pod identitásának manuális engedélyezését.
Megoldás: Pod-identitáskivétel létrehozása az AKS-fürtben (amely csak a dataprotection-microsoft névtérhez és a kube-systemhez nem használható). További információ.
Futtassa az alábbi parancsot:
az aks pod-identity exception add --resource-group shracrg --cluster-name shractestcluster --namespace dataprotection-microsoft --pod-labels app.kubernetes.io/name=dataprotection-microsoft-kubernetes
Az Azurepodidentityexceptions fürtben való ellenőrzéséhez futtassa a következő parancsot:
kubectl get Azurepodidentityexceptions --all-namespaces
A Storage Blob Data Contributor szerepkör bővítményi identitáshoz való hozzárendeléséhez futtassa a következő parancsot:
az role assignment create --assignee-object-id $(az k8s-extension show --name azure-aks-backup --cluster-name aksclustername --resource-group aksclusterresourcegroup --cluster-type managedClusters --query aksAssignedIdentity.principalId --output tsv) --role 'Storage Blob Data Contributor' --scope /subscriptions/subscriptionid/resourceGroups/storageaccountresourcegroup/providers/Microsoft.Storage/storageAccounts/storageaccountname
3. eset
Hibaüzenet:
{"Message":"Error in the getting the Configurations: error {Post \https://centralus.dp.kubernetesconfiguration.azure.com/subscriptions/ subscriptionid /resourceGroups/ aksclusterresourcegroup /provider/managedclusters/clusters/ aksclustername /configurations/getPendingConfigs?api-version=2021-11-01\: dial tcp: lookup centralus.dp.kubernetesconfiguration.azure.com on 10.63.136.10:53: no such host}","LogType":"ConfigAgentTrace","LogLevel":"Error","Environment":"prod","Role":"ClusterConfigAgent","Location":"centralus","ArmId":"/subscriptions/ subscriptionid /resourceGroups/ aksclusterresourcegroup /providers/Microsoft.ContainerService/managedclusters/ aksclustername ","CorrelationId":"","AgentName":"ConfigAgent","AgentVersion":"1.8.14","AgentTimestamp":"2023/01/19 20:24:16"}`
Ok: Az AKS-fürtök fürtbővítményeinek használatához meghatározott teljes tartománynév-/alkalmazásszabályok szükségesek. További információ.
Ez a hiba azért jelenik meg, mert ezek a teljes tartománynév-szabályok nem érhetők el, mert a Fürtbővítmények szolgáltatás konfigurációs információi nem érhetők el.
Megoldás: A probléma megoldásához létre kell hoznia egy CoreDNS-egyéni felülbírálást a DP-végponthoz a nyilvános hálózaton való áthaladáshoz.
Szerezze be a meglévő CoreDNS-egyéni YAML-t a fürtben (mentse a helyi fájlba később hivatkozás céljából)::
kubectl get configmap coredns-custom -n kube-system -o yaml
A centralus DP-végpont nyilvános IP-címre való leképezésének felülbírálása (használja az alábbi YAML-t):
apiVersion: v1 kind: ConfigMap metadata: name: coredns-custom namespace: kube-system data: aksdp.override: | hosts { 20.40.200.153 centralus.dp.kubernetesconfiguration.azure.com fallthrough }
Most futtassa az alábbi parancsot a yaml-fájl frissítésének alkalmazásához:
kubectl apply -f corednsms.yaml
A podok újrabetöltésének
coredns
kényszerítéséhez futtassa a következő parancsot:kubectl delete pod --namespace kube-system -l k8s-app=kube-dns
Ha az ExtensionAgent podból szeretné ellenőrizni
NSlookup
, hogy a coreDNS-custom működik-e, futtassa a következő parancsot:kubectl exec -i -t pod/extension-agent-<pod guid that's there in your cluster> -n kube-system -- nslookup centralus.dp.kubernetesconfiguration.azure.com
Az ExtensionAgent pod naplóinak ellenőrzéséhez futtassa a következő parancsot:
kubectl logs pod/extension-agent-<pod guid that’s there in your cluster> -n kube-system --tail=200
A biztonsági mentés indításához törölje és telepítse újra a Biztonsági mentés bővítményt.
A biztonsági mentési bővítmény telepítés utáni hibái
Ezek a hibakódok az AKS-fürtben telepített Biztonsági mentési bővítmény hibái miatt jelennek meg.
KubernetesBackupListExtensionsError:
Ok: Biztonsági mentési tároló az ellenőrzés részeként ellenőrzi, hogy telepítve van-e a fürt biztonsági mentési bővítménye. Ehhez a tároló MSI-nek olvasói engedélyre van szüksége az AKS-fürtön, amely lehetővé teszi a fürtben telepített összes bővítmény felsorolását.
Javasolt művelet: Rendelje újra az Olvasó szerepkört a Tároló MSI-hez (távolítsa el a meglévő szerepkör-hozzárendelést, és rendelje hozzá ismét az Olvasó szerepkört), mert a hozzárendelt Olvasó szerepkörből hiányzik a listakiterjesztési engedély. Ha az újbóli hozzárendelés sikertelen, a biztonsági mentés konfigurálásához használjon egy másik Backup-tárolót.
UserErrorKubernetesBackupExtensionNotFoundError
Ok: A biztonsági mentési tároló az ellenőrzés részeként ellenőrzi, hogy a fürt telepítve van-e a Backup bővítmény. A tároló egy műveletet hajt végre a fürtben telepített bővítmények listázására. Ha a Backup bővítmény hiányzik a listában, ez a hiba jelenik meg.
Javasolt művelet: A CL vagy az Azure Portal-ügyfél használatával törölje a bővítményt, majd telepítse újra a bővítményt.
UserErrorKubernetesBackupExtensionHasErrors
Ok: A fürtben telepített Biztonsági mentés bővítmény belső hibákba ütközik.
Javasolt művelet: A CL vagy az Azure Portal-ügyfél használatával törölje a bővítményt, majd telepítse újra a bővítményt.
UserErrorKubernetesBackupExtensionIdentityNotFound
Ok: Az AKS biztonsági mentéséhez telepítve kell lennie egy biztonsági mentési bővítménynek a fürtben. A bővítmény a telepítésével együtt egy MSI kiterjesztésnek nevezett felhasználói identitással rendelkezik. Ez az MSI az AKS-fürt csomópontkészleteit tartalmazó erőforráscsoportban jön létre. Ez az MSI lekéri a biztonsági mentési tár helyéhez való hozzáféréshez szükséges szerepköröket. A hibakód azt jelzi, hogy a bővítmény identitása hiányzik.
Javasolt művelet: A parancssori felület vagy az Azure Portal-ügyfél használatával törölje a bővítményt, majd telepítse újra a bővítményt. A bővítmény mellett létrejön egy új identitás is.
KubernetesBackupCustomResourcesTrackingTimeOutError
Ok: Az Azure Backup for AKS-hez biztonsági mentési bővítményt kell telepíteni a fürtön. A biztonsági mentési és visszaállítási műveletek végrehajtásához egyéni erőforrások jönnek létre a fürtben. Azok a bővítmény-ívó podok, amelyek biztonsági mentéssel kapcsolatos műveleteket hajtanak végre ezeken a hitelesítésszolgáltatókon keresztül. Ez a hiba akkor fordul elő, ha a bővítmény nem tudja frissíteni ezeknek a hitelesítésszolgáltatóknak az állapotát.
Javasolt művelet: A bővítmény állapotát a parancs kubectl get pods -n dataprotection.microsoft
futtatásával kell ellenőrizni. Ha a podok nem futnak, növelje a fürt csomópontjainak számát 1-sel, vagy növelje a számítási korlátokat. Ezután várjon néhány percet, és futtassa újra a parancsot, amely a podok állapotát futásra módosítja. Ha a probléma továbbra is fennáll, törölje és telepítse újra a bővítményt.
BackupPluginDeleteBackupOperationFailed
Ok: A biztonsági mentési bővítménynek futnia kell a biztonsági másolatok törléséhez.
Javasolt művelet: Ha a fürt fut, ellenőrizze, hogy a bővítmény kifogástalan állapotban van-e. Ellenőrizze, hogy a bővítmény podok ívanak-e, ellenkező esetben növelje a csomópontokat. Ha ez nem sikerül, próbálja meg törölni és újratelepíteni a bővítményt. Ha a biztonsági mentési fürt törölve van, manuálisan törölje a pillanatképeket és a metaadatokat.
ExtensionTimedOutWaitingForBackupItemSync
Ok: A Biztonsági mentés bővítmény megvárja, amíg a biztonsági mentési elemek szinkronizálódnak a tárfiókkal.
Javasolt művelet: Ha megjelenik ez a hibakód, próbálkozzon újra a biztonsági mentési művelettel, vagy telepítse újra a bővítményt.
Tárolási helyalapú biztonsági mentési hibák
Ezek a hibakódok az AKS-fürtben telepített Backup bővítményen alapuló problémák miatt jelennek meg.
UserErrorDeleteBackupFailedBackupStorageLocationReadOnly
Ok: A Biztonsági mentés bővítmény telepítése során bemenetként megadott tárfiók írásvédett állapotban van, ami nem teszi lehetővé a biztonsági mentési adatok törlését a blobtárolóból.
Javasolt művelet: A tárfiók állapotának módosítása írási helyről írásra.
UserErrorDeleteBackupFailedBackupStorageLocationNotFound
Ok: A bővítmény telepítése során biztonsági mentési tárolóhelyet kell megadni bemenetként, amely tartalmaz egy tárfiókot és egy blobtárolót. Ez a hiba akkor jelenik meg, ha a hely törölve vagy helytelenül lett hozzáadva a bővítmény telepítése során.
Javasolt művelet: Törölje a Biztonsági mentés bővítményt, majd telepítse újra a megfelelő tárfiókkal és blobtárolóval bemenetként.
UserErrorBackupFailedBackupStorageLocationReadOnly
Ok: A Biztonsági mentés bővítmény telepítése során bemenetként megadott tárfiók írásvédett állapotban van, ami nem teszi lehetővé a biztonsági mentési adatok írását a blobtárolón.
Javasolt művelet: A tárfiók állapotának módosítása írási helyről írásra.
UserErrorNoDefaultBackupStorageLocationFound
Ok: A bővítmény telepítése során egy biztonsági mentési tárolóhelyet kell megadni bemenetként, amely tartalmaz egy tárfiókot és egy blobtárolót. A hiba akkor jelenik meg, ha a helyet törölték vagy helytelenül adták meg a bővítmény telepítése során.
Javasolt művelet: Törölje a Biztonsági mentés bővítményt, majd telepítse újra a megfelelő tárfiókkal és blobtárolóval bemenetként.
UserErrorExtensionMSIMissingPermissionsOnBackupStorageLocation
Ok: A biztonsági mentési bővítménynek rendelkeznie kell a Storage Blob-adatok közreműködői szerepkörével a biztonsági mentési tárhelyen (tárfiókon). A bővítmény-identitás hozzárendeli ezt a szerepkört.
Javasolt művelet: Ha ez a szerepkör hiányzik, az Azure Portal vagy a parancssori felület használatával rendelje újra a hiányzó engedélyt a tárfiókhoz.
UserErrorBackupStorageLocationNotReady
Ok: A bővítmény telepítése során egy biztonsági mentési tárolóhelyet kell megadni bemenetként, amely tartalmaz egy tárfiókot és egy blobtárolót. A Biztonsági mentés bővítménynek tárolóblobadatok közreműködői szerepkörével kell rendelkeznie a Backup Storage-helyen (tárfiókban). A bővítmény-identitás hozzárendeli ezt a szerepkört.
Javasolt művelet: A hiba akkor jelenik meg, ha a bővítményi identitás nem rendelkezik megfelelő engedélyekkel a tárfiók eléréséhez. Ez a hiba akkor jelenik meg, ha az AKS biztonsági mentési bővítménye a védelmi művelet konfigurálásakor először van telepítve. Ez a megadott engedélyeknek az AKS biztonsági mentési bővítményre való propagálásához szükséges ideig történik. Áthidaló megoldásként várjon egy órát, és próbálkozzon újra a védelmi konfigurációval. Ellenkező esetben az Azure Portal vagy a parancssori felület használatával rendelje újra a hiányzó engedélyt a tárfiókhoz.
Tárolóalapú biztonsági mentési hibák
Ez a hibakód akkor jelenhet meg, amikor engedélyezi az AKS biztonsági mentését a biztonsági másolatok tárolók standard adattárában való tárolásához.
DppUserErrorVaultTierPolicyNotSupported
Ok: Ez a hibakód akkor jelenik meg, ha biztonsági mentési szabályzat jön létre egy olyan régióban, ahol ez az adattár nem támogatott, tárolószabvány-adattárhoz definiált adatmegőrzési szabálysal.
Javasolt művelet: Frissítse a megőrzési szabályt az Azure Portalon definiált tárolószabvány időtartamával:
Válassza a Szabály melletti Szerkesztés ikont.
Törölje a jelet a Tárolószabvány melletti jelölőnégyzetből, majd válassza a Frissítés lehetőséget.
Hozzon létre egy biztonsági mentési szabályzatot a működési szintű biztonsági mentéshez (csak az AKS-fürt pillanatképeihez).
Az AKS biztonsági mentési és visszaállítási feladatai figyelmeztetésekkel fejeződnek be
UserErrorPVSnapshotDisallowedByPolicy
Hibakód: UserErrorPVSnapshotDisallowedByPolicy
Ok: Egy Azure-szabályzat előfizetéshez van rendelve, amely megszünteti a CSI-illesztőprogramot a kötet pillanatképének készítéséhez.
Javasolt művelet: Távolítsa el az Azure Policyt, és törölje a lemez pillanatképének műveletét, majd végezzen igény szerinti biztonsági mentést.
UserErrorPVSnapshotLimitReached
Hibakód: UserErrorPVSnapshotLimitReached
Ok: Az állandó kötetek pillanatképeinek száma korlátozott, amelyek egy adott időpontban létezhetnek. Az Azure Disk-alapú állandó kötetek esetében a korlát 500 pillanatkép. Ez a hiba akkor jelenik meg, ha adott állandó kötetek pillanatképei nem készültek, mert a támogatott korlátoknál magasabb pillanatképek léteznek.
Javasolt művelet: Frissítse a biztonsági mentési szabályzatot a megőrzési időtartam csökkentése érdekében, és várja meg, amíg a Backup Vault törli a régebbi helyreállítási pontokat.
CSISnapshottingTimedOut
Hibakód: CSISnapshottingTimedOut
Ok: A pillanatkép meghiúsult, mert a CSI-illesztőprogram időtúllépést kap a pillanatkép-leíró lekéréséhez.
Javasolt művelet: Tekintse át a naplókat, és próbálkozzon újra a művelettel a sikeres pillanatképek lekéréséhez igény szerinti biztonsági mentés futtatásával, vagy várja meg a következő ütemezett biztonsági mentést.
UserErrorHookExecutionFailed
Hibakód: UserErrorHookExecutionFailed
Ok: Amikor a biztonsági másolatokkal és visszaállításokkal együtt futtatásra alkalmazott horgok hibát észleltek, és nem lettek sikeresen alkalmazva.
Javasolt művelet: Tekintse át a naplókat, frissítse a horgokat, majd próbálkozzon újra a biztonsági mentési/visszaállítási művelettel.
UserErrorNamespaceNotFound
Hibakód: UserErrorNamespaceNotFound
Ok: A biztonsági mentési konfigurációban megadott névterek hiányoznak a biztonsági mentések végrehajtása során. A névtér helytelenül lett megadva, vagy törölve lett.
Javasolt művelet: Ellenőrizze, hogy a biztonsági mentéshez szükséges névterek megfelelően vannak-e megadva.
UserErrorPVCHasNoVolume
Hibakód: UserErrorPVCHasNoVolume
Ok: A környezet állandó kötetkövetelméhez (PVC) nincs állandó kötet csatlakoztatva. Tehát a PVC nem fog biztonsági másolatot készíteni.
Ajánlott művelet: Ha biztonsági másolatot szeretne készíteni róla, csatoljon egy kötetet a PVC-hez.
UserErrorPVCNotBoundToVolume
Hibakód: UserErrorPVCNotBoundToVolume
Ok: A környezetben lévő PVC függő állapotban van, és nem rendelkezik állandó kötettel. Tehát a PVC nem fog biztonsági másolatot készíteni.
Ajánlott művelet: Ha biztonsági másolatot szeretne készíteni róla, csatoljon egy kötetet a PVC-hez.
UserErrorPVNotFound
Hibakód: UserErrorPVNotFound
Ok: Hiányzik az állandó kötet alapjául szolgáló tárolóeszköz.
Javasolt művelet: Ellenőrizze és csatolja az új állandó kötetet, amelyhez tényleges tárolóeszköz van csatlakoztatva.
UserErrorStorageClassMissingForPVC
Hibakód: UserErrorStorageClassMissingForPVC
Ok: Az AKS biztonsági mentése ellenőrzi a használt tárosztályt, és kihagyja az állandó kötet pillanatképek készítését az osztály elérhetetlensége miatt.
Javasolt művelet: Frissítse a PVC-specifikációkat a használt tárolási osztálysal.
UserErrorSourceandTargetClusterCRDVersionMismatch
Hibakód: UserErrorSourceandTargetClusterCRDVersionMismatch
Ok: A forrás AKS-fürt és a cél AKS-fürt a visszaállítás során a FlowSchema és a PriorityLevelConfigurations CR különböző verzióival rendelkezik. Egyes Kubernetes-erőforrások a fürtverziók eltérése miatt nem állíthatók vissza.
Javasolt művelet: Használja ugyanazt a fürtverziót a célfürthöz, mint a forrásfürt, vagy manuálisan alkalmazza a hitelesítésszolgáltatókat.