Share via

Az Azure Kubernetes Service biztonsági mentésének és visszaállításának hibaelhárítása

  • Cikk

Ez a cikk hibaelhárítási lépéseket tartalmaz, amelyek segítenek az Azure Kubernetes Service (AKS) biztonsági mentési, visszaállítási és felügyeleti hibáinak elhárításában.

Az AKS backup bővítmény telepítési hibáinak megoldásai

1. eset

Hibaüzenet:

{Helm installation from path [] for release [azure-aks-backup] failed with the following error: err [release azure-aks-backup failed, and has been uninstalled due to atomic being set: failed post-install: timed out waiting for the condition]} occurred while doing the operation: {Installing the extension} on the config"`

Ok: A bővítmény telepítése sikeresen megtörtént, de a podok nem ívnak, mert a szükséges számítási és memória nem érhető el a podokhoz.

Megoldás: A probléma megoldásához növelje a fürt csomópontjainak számát, így elegendő számítási és memória áll rendelkezésre a podok számára. A csomópontkészlet azure portalon való méretezéséhez kövesse az alábbi lépéseket:

  1. Nyissa meg az AKS-fürtöt az Azure Portalon.
  2. Nyissa meg a csomópontkészleteket a Gépház alatt.
  3. Válassza a Csomópontkészlet méretezése lehetőséget, majd frissítse a csomópontok számtartományának minimális és maximális értékeit.
  4. Válassza az Alkalmazás lehetőséget.

2. eset

Hibaüzenet:

BackupStorageLocation "default" is unavailable: rpc error: code = Unknown desc = azure.BearerAuthorizer#WithAuthorization: Failed to refresh the Token for request to https://management.azure.com/subscriptions/e30af180-aa96-4d81-981a-b67570b0d615/resourceGroups/AzureBackupRG_westeurope_1/providers/Microsoft.Storage/storageAccounts/devhayyabackup/listKeys?%24expand=kerb&api-version=2019-06-01: StatusCode=404 -- Original Error: adal: Refresh request failed. Status Code = '404'. Response body: no azure identity found for request clientID 4e95##### REDACTED #####0777`

Endpoint http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&client_id=4e95dcc5-a769-4745-b2d9-

Ok: Ha engedélyezi a pod által felügyelt identitást az AKS-fürtön, a rendszer hozzáad egy AzurePodIdentityException nevű aks-addon-exception nevet a kube-system névtérhez. Az AzurePodIdentityException lehetővé teszi, hogy a bizonyos címkékkel rendelkező podok hozzáférjenek az Azure Instance Metadata Service (IMDS) végpontjához, és az NMI-kiszolgáló nem fogja el.

A bővítmény podok nem kivételeznek, és megkövetelik a Microsoft Entra-pod identitásának manuális engedélyezését.

Megoldás: Pod-identitáskivétel létrehozása az AKS-fürtben (amely csak a dataprotection-microsoft névtérhez és a kube-systemhez nem használható). További információ.

  1. Futtassa az alábbi parancsot:

    az aks pod-identity exception add --resource-group shracrg --cluster-name shractestcluster --namespace dataprotection-microsoft --pod-labels app.kubernetes.io/name=dataprotection-microsoft-kubernetes

  2. Az Azurepodidentityexceptions fürtben való ellenőrzéséhez futtassa a következő parancsot:

    kubectl get Azurepodidentityexceptions --all-namespaces

  3. A Storage Blob Data Contributor szerepkör bővítményi identitáshoz való hozzárendeléséhez futtassa a következő parancsot:

    az role assignment create --assignee-object-id $(az k8s-extension show --name azure-aks-backup --cluster-name aksclustername --resource-group aksclusterresourcegroup --cluster-type managedClusters --query aksAssignedIdentity.principalId --output tsv) --role 'Storage Blob Data Contributor' --scope /subscriptions/subscriptionid/resourceGroups/storageaccountresourcegroup/providers/Microsoft.Storage/storageAccounts/storageaccountname

3. eset

Hibaüzenet:

{"Message":"Error in the getting the Configurations: error {Post \https://centralus.dp.kubernetesconfiguration.azure.com/subscriptions/ subscriptionid /resourceGroups/ aksclusterresourcegroup /provider/managedclusters/clusters/ aksclustername /configurations/getPendingConfigs?api-version=2021-11-01\: dial tcp: lookup centralus.dp.kubernetesconfiguration.azure.com on 10.63.136.10:53: no such host}","LogType":"ConfigAgentTrace","LogLevel":"Error","Environment":"prod","Role":"ClusterConfigAgent","Location":"centralus","ArmId":"/subscriptions/ subscriptionid /resourceGroups/ aksclusterresourcegroup /providers/Microsoft.ContainerService/managedclusters/ aksclustername ","CorrelationId":"","AgentName":"ConfigAgent","AgentVersion":"1.8.14","AgentTimestamp":"2023/01/19 20:24:16"}`

Ok: Az AKS-fürtök fürtbővítményeinek használatához meghatározott teljes tartománynév-/alkalmazásszabályok szükségesek. További információ.

Ez a hiba azért jelenik meg, mert ezek a teljes tartománynév-szabályok nem érhetők el, mert a Fürtbővítmények szolgáltatás konfigurációs információi nem érhetők el.

Megoldás: A probléma megoldásához létre kell hoznia egy CoreDNS-egyéni felülbírálást a DP-végponthoz a nyilvános hálózaton való áthaladáshoz.

  1. Szerezze be a meglévő CoreDNS-egyéni YAML-t a fürtben (mentse a helyi fájlba később hivatkozás céljából)::

    kubectl get configmap coredns-custom -n kube-system -o yaml

  2. A centralus DP-végpont nyilvános IP-címre való leképezésének felülbírálása (használja az alábbi YAML-t):

    apiVersion: v1
kind: ConfigMap
metadata:
  name: coredns-custom 
  namespace: kube-system
data:
    aksdp.override: |
          hosts { 
              20.40.200.153 centralus.dp.kubernetesconfiguration.azure.com
              fallthrough
           }

    Most futtassa az alábbi parancsot a yaml-fájl frissítésének alkalmazásához:

    kubectl apply -f corednsms.yaml

  3. A podok újrabetöltésének coredns kényszerítéséhez futtassa a következő parancsot:

    kubectl delete pod --namespace kube-system -l k8s-app=kube-dns

  4. Ha az ExtensionAgent podból szeretné ellenőrizniNSlookup, hogy a coreDNS-custom működik-e, futtassa a következő parancsot:

    kubectl exec -i -t pod/extension-agent-<pod guid that's there in your cluster> -n kube-system -- nslookup centralus.dp.kubernetesconfiguration.azure.com

  5. Az ExtensionAgent pod naplóinak ellenőrzéséhez futtassa a következő parancsot:

    kubectl logs pod/extension-agent-<pod guid that’s there in your cluster> -n kube-system --tail=200

  6. A biztonsági mentés indításához törölje és telepítse újra a Biztonsági mentés bővítményt.

A biztonsági mentési bővítmény telepítés utáni hibái

Ezek a hibakódok az AKS-fürtben telepített Biztonsági mentési bővítmény hibái miatt jelennek meg.

KubernetesBackupListExtensionsError:

Ok: Biztonsági mentési tároló az ellenőrzés részeként ellenőrzi, hogy telepítve van-e a fürt biztonsági mentési bővítménye. Ehhez a tároló MSI-nek olvasói engedélyre van szüksége az AKS-fürtön, amely lehetővé teszi a fürtben telepített összes bővítmény felsorolását.

Javasolt művelet: Rendelje újra az Olvasó szerepkört a Tároló MSI-hez (távolítsa el a meglévő szerepkör-hozzárendelést, és rendelje hozzá ismét az Olvasó szerepkört), mert a hozzárendelt Olvasó szerepkörből hiányzik a listakiterjesztési engedély. Ha az újbóli hozzárendelés sikertelen, a biztonsági mentés konfigurálásához használjon egy másik Backup-tárolót.

UserErrorKubernetesBackupExtensionNotFoundError

Ok: A biztonsági mentési tároló az ellenőrzés részeként ellenőrzi, hogy a fürt telepítve van-e a Backup bővítmény. A tároló egy műveletet hajt végre a fürtben telepített bővítmények listázására. Ha a Backup bővítmény hiányzik a listában, ez a hiba jelenik meg.

Javasolt művelet: A CL vagy az Azure Portal-ügyfél használatával törölje a bővítményt, majd telepítse újra a bővítményt.

UserErrorKubernetesBackupExtensionHasErrors

Ok: A fürtben telepített Biztonsági mentés bővítmény belső hibákba ütközik.

Javasolt művelet: A CL vagy az Azure Portal-ügyfél használatával törölje a bővítményt, majd telepítse újra a bővítményt.

UserErrorKubernetesBackupExtensionIdentityNotFound

Ok: Az AKS biztonsági mentéséhez telepítve kell lennie egy biztonsági mentési bővítménynek a fürtben. A bővítmény a telepítésével együtt egy MSI kiterjesztésnek nevezett felhasználói identitással rendelkezik. Ez az MSI az AKS-fürt csomópontkészleteit tartalmazó erőforráscsoportban jön létre. Ez az MSI lekéri a biztonsági mentési tár helyéhez való hozzáféréshez szükséges szerepköröket. A hibakód azt jelzi, hogy a bővítmény identitása hiányzik.

Javasolt művelet: A parancssori felület vagy az Azure Portal-ügyfél használatával törölje a bővítményt, majd telepítse újra a bővítményt. A bővítmény mellett létrejön egy új identitás is.

KubernetesBackupCustomResourcesTrackingTimeOutError

Ok: Az Azure Backup for AKS-hez biztonsági mentési bővítményt kell telepíteni a fürtön. A biztonsági mentési és visszaállítási műveletek végrehajtásához egyéni erőforrások jönnek létre a fürtben. Azok a bővítmény-ívó podok, amelyek biztonsági mentéssel kapcsolatos műveleteket hajtanak végre ezeken a hitelesítésszolgáltatókon keresztül. Ez a hiba akkor fordul elő, ha a bővítmény nem tudja frissíteni ezeknek a hitelesítésszolgáltatóknak az állapotát.

Javasolt művelet: A bővítmény állapotát a parancs kubectl get pods -n dataprotection.microsoftfuttatásával kell ellenőrizni. Ha a podok nem futnak, növelje a fürt csomópontjainak számát 1-sel, vagy növelje a számítási korlátokat. Ezután várjon néhány percet, és futtassa újra a parancsot, amely a podok állapotát futásra módosítja. Ha a probléma továbbra is fennáll, törölje és telepítse újra a bővítményt.

BackupPluginDeleteBackupOperationFailed

Ok: A biztonsági mentési bővítménynek futnia kell a biztonsági másolatok törléséhez.

Javasolt művelet: Ha a fürt fut, ellenőrizze, hogy a bővítmény kifogástalan állapotban van-e. Ellenőrizze, hogy a bővítmény podok ívanak-e, ellenkező esetben növelje a csomópontokat. Ha ez nem sikerül, próbálja meg törölni és újratelepíteni a bővítményt. Ha a biztonsági mentési fürt törölve van, manuálisan törölje a pillanatképeket és a metaadatokat.

ExtensionTimedOutWaitingForBackupItemSync

Ok: A Biztonsági mentés bővítmény megvárja, amíg a biztonsági mentési elemek szinkronizálódnak a tárfiókkal.

Javasolt művelet: Ha megjelenik ez a hibakód, próbálkozzon újra a biztonsági mentési művelettel, vagy telepítse újra a bővítményt.

Tárolási helyalapú biztonsági mentési hibák

Ezek a hibakódok az AKS-fürtben telepített Backup bővítményen alapuló problémák miatt jelennek meg.

UserErrorDeleteBackupFailedBackupStorageLocationReadOnly

Ok: A Biztonsági mentés bővítmény telepítése során bemenetként megadott tárfiók írásvédett állapotban van, ami nem teszi lehetővé a biztonsági mentési adatok törlését a blobtárolóból.

Javasolt művelet: A tárfiók állapotának módosítása írási helyről írásra.

UserErrorDeleteBackupFailedBackupStorageLocationNotFound

Ok: A bővítmény telepítése során biztonsági mentési tárolóhelyet kell megadni bemenetként, amely tartalmaz egy tárfiókot és egy blobtárolót. Ez a hiba akkor jelenik meg, ha a hely törölve vagy helytelenül lett hozzáadva a bővítmény telepítése során.

Javasolt művelet: Törölje a Biztonsági mentés bővítményt, majd telepítse újra a megfelelő tárfiókkal és blobtárolóval bemenetként.

UserErrorBackupFailedBackupStorageLocationReadOnly

Ok: A Biztonsági mentés bővítmény telepítése során bemenetként megadott tárfiók írásvédett állapotban van, ami nem teszi lehetővé a biztonsági mentési adatok írását a blobtárolón.

Javasolt művelet: A tárfiók állapotának módosítása írási helyről írásra.

UserErrorNoDefaultBackupStorageLocationFound

Ok: A bővítmény telepítése során egy biztonsági mentési tárolóhelyet kell megadni bemenetként, amely tartalmaz egy tárfiókot és egy blobtárolót. A hiba akkor jelenik meg, ha a helyet törölték vagy helytelenül adták meg a bővítmény telepítése során.

Javasolt művelet: Törölje a Biztonsági mentés bővítményt, majd telepítse újra a megfelelő tárfiókkal és blobtárolóval bemenetként.

UserErrorExtensionMSIMissingPermissionsOnBackupStorageLocation

Ok: A biztonsági mentési bővítménynek rendelkeznie kell a Storage Blob-adatok közreműködői szerepkörével a biztonsági mentési tárhelyen (tárfiókon). A bővítmény-identitás hozzárendeli ezt a szerepkört.

Javasolt művelet: Ha ez a szerepkör hiányzik, az Azure Portal vagy a parancssori felület használatával rendelje újra a hiányzó engedélyt a tárfiókhoz.

UserErrorBackupStorageLocationNotReady

Ok: A bővítmény telepítése során egy biztonsági mentési tárolóhelyet kell megadni bemenetként, amely tartalmaz egy tárfiókot és egy blobtárolót. A Biztonsági mentés bővítménynek tárolóblobadatok közreműködői szerepkörével kell rendelkeznie a Backup Storage-helyen (tárfiókban). A bővítmény-identitás hozzárendeli ezt a szerepkört.

Javasolt művelet: A hiba akkor jelenik meg, ha a bővítményi identitás nem rendelkezik megfelelő engedélyekkel a tárfiók eléréséhez. Ez a hiba akkor jelenik meg, ha az AKS biztonsági mentési bővítménye a védelmi művelet konfigurálásakor először van telepítve. Ez a megadott engedélyeknek az AKS biztonsági mentési bővítményre való propagálásához szükséges ideig történik. Áthidaló megoldásként várjon egy órát, és próbálkozzon újra a védelmi konfigurációval. Ellenkező esetben az Azure Portal vagy a parancssori felület használatával rendelje újra a hiányzó engedélyt a tárfiókhoz.

Tárolóalapú biztonsági mentési hibák

Ez a hibakód akkor jelenhet meg, amikor engedélyezi az AKS biztonsági mentését a biztonsági másolatok tárolók standard adattárában való tárolásához.

DppUserErrorVaultTierPolicyNotSupported

Ok: Ez a hibakód akkor jelenik meg, ha biztonsági mentési szabályzat jön létre egy olyan régióban, ahol ez az adattár nem támogatott, tárolószabvány-adattárhoz definiált adatmegőrzési szabálysal.

Javasolt művelet: Frissítse a megőrzési szabályt az Azure Portalon definiált tárolószabvány időtartamával:

  1. Válassza a Szabály melletti Szerkesztés ikont.

    Képernyőkép az AKS biztonsági másolatok megőrzési időtartamának szerkesztéséről.

  2. Törölje a jelet a Tárolószabvány melletti jelölőnégyzetből, majd válassza a Frissítés lehetőséget.

    Képernyőkép a tároló standard jelölőnégyzetének törléséről.

  3. Hozzon létre egy biztonsági mentési szabályzatot a működési szintű biztonsági mentéshez (csak az AKS-fürt pillanatképeihez).

Az AKS biztonsági mentési és visszaállítási feladatai figyelmeztetésekkel fejeződnek be

UserErrorPVSnapshotDisallowedByPolicy

Hibakód: UserErrorPVSnapshotDisallowedByPolicy

Ok: Egy Azure-szabályzat előfizetéshez van rendelve, amely megszünteti a CSI-illesztőprogramot a kötet pillanatképének készítéséhez.

Javasolt művelet: Távolítsa el az Azure Policyt, és törölje a lemez pillanatképének műveletét, majd végezzen igény szerinti biztonsági mentést.

UserErrorPVSnapshotLimitReached

Hibakód: UserErrorPVSnapshotLimitReached

Ok: Az állandó kötetek pillanatképeinek száma korlátozott, amelyek egy adott időpontban létezhetnek. Az Azure Disk-alapú állandó kötetek esetében a korlát 500 pillanatkép. Ez a hiba akkor jelenik meg, ha adott állandó kötetek pillanatképei nem készültek, mert a támogatott korlátoknál magasabb pillanatképek léteznek.

Javasolt művelet: Frissítse a biztonsági mentési szabályzatot a megőrzési időtartam csökkentése érdekében, és várja meg, amíg a Backup Vault törli a régebbi helyreállítási pontokat.

CSISnapshottingTimedOut

Hibakód: CSISnapshottingTimedOut

Ok: A pillanatkép meghiúsult, mert a CSI-illesztőprogram időtúllépést kap a pillanatkép-leíró lekéréséhez.

Javasolt művelet: Tekintse át a naplókat, és próbálkozzon újra a művelettel a sikeres pillanatképek lekéréséhez igény szerinti biztonsági mentés futtatásával, vagy várja meg a következő ütemezett biztonsági mentést.

UserErrorHookExecutionFailed

Hibakód: UserErrorHookExecutionFailed

Ok: Amikor a biztonsági másolatokkal és visszaállításokkal együtt futtatásra alkalmazott horgok hibát észleltek, és nem lettek sikeresen alkalmazva.

Javasolt művelet: Tekintse át a naplókat, frissítse a horgokat, majd próbálkozzon újra a biztonsági mentési/visszaállítási művelettel.

UserErrorNamespaceNotFound

Hibakód: UserErrorNamespaceNotFound

Ok: A biztonsági mentési konfigurációban megadott névterek hiányoznak a biztonsági mentések végrehajtása során. A névtér helytelenül lett megadva, vagy törölve lett.

Javasolt művelet: Ellenőrizze, hogy a biztonsági mentéshez szükséges névterek megfelelően vannak-e megadva.

UserErrorPVCHasNoVolume

Hibakód: UserErrorPVCHasNoVolume

Ok: A környezet állandó kötetkövetelméhez (PVC) nincs állandó kötet csatlakoztatva. Tehát a PVC nem fog biztonsági másolatot készíteni.

Ajánlott művelet: Ha biztonsági másolatot szeretne készíteni róla, csatoljon egy kötetet a PVC-hez.

UserErrorPVCNotBoundToVolume

Hibakód: UserErrorPVCNotBoundToVolume

Ok: A környezetben lévő PVC függő állapotban van, és nem rendelkezik állandó kötettel. Tehát a PVC nem fog biztonsági másolatot készíteni.

Ajánlott művelet: Ha biztonsági másolatot szeretne készíteni róla, csatoljon egy kötetet a PVC-hez.

UserErrorPVNotFound

Hibakód: UserErrorPVNotFound

Ok: Hiányzik az állandó kötet alapjául szolgáló tárolóeszköz.

Javasolt művelet: Ellenőrizze és csatolja az új állandó kötetet, amelyhez tényleges tárolóeszköz van csatlakoztatva.

UserErrorStorageClassMissingForPVC

Hibakód: UserErrorStorageClassMissingForPVC

Ok: Az AKS biztonsági mentése ellenőrzi a használt tárosztályt, és kihagyja az állandó kötet pillanatképek készítését az osztály elérhetetlensége miatt.

Javasolt művelet: Frissítse a PVC-specifikációkat a használt tárolási osztálysal.

UserErrorSourceandTargetClusterCRDVersionMismatch

Hibakód: UserErrorSourceandTargetClusterCRDVersionMismatch

Ok: A forrás AKS-fürt és a cél AKS-fürt a visszaállítás során a FlowSchema és a PriorityLevelConfigurations CR különböző verzióival rendelkezik. Egyes Kubernetes-erőforrások a fürtverziók eltérése miatt nem állíthatók vissza.

Javasolt művelet: Használja ugyanazt a fürtverziót a célfürthöz, mint a forrásfürt, vagy manuálisan alkalmazza a hitelesítésszolgáltatókat.

Következő lépések