Az Azure Kubernetes Service Azure Backup használatával történő biztonsági mentésének előfeltételei
Ez a cikk az Azure Kubernetes Service (AKS) biztonsági mentésének előfeltételeit ismerteti.
Az Azure Backup mostantól lehetővé teszi az AKS-fürtök (fürterőforrások és a fürthöz csatlakoztatott állandó kötetek) biztonsági mentési bővítmény használatával történő biztonsági mentését, amelyet telepíteni kell a fürtön. A Backup-tároló ezen a Biztonsági mentési bővítményen keresztül kommunikál a fürttel a biztonsági mentési és visszaállítási műveletek végrehajtásához. A legkevésbé kiemelt biztonsági modell alapján a Biztonsági mentési tárolónak engedélyezve kell lennie a megbízható hozzáféréssel az AKS-fürttel való kommunikációhoz.
Feljegyzés
A tárolóalapú biztonsági mentés és a régiók közötti visszaállítás az AKS-hez az Azure Backup használatával jelenleg előzetes verzióban érhető el.
Biztonsági mentési bővítmény
A bővítmény lehetővé teszi a biztonsági mentési és visszaállítási képességeket az AKS-fürtökben futó számítási feladatok által használt tárolóalapú számítási feladatokhoz és állandó kötetekhez.
A Backup Extension alapértelmezés szerint a saját névtérbeli dataprotection-microsoft fájljában van telepítve. Fürtszintű hatókörrel van telepítve, amely lehetővé teszi a bővítmény számára az összes fürterőforrás elérését. A bővítmény telepítése során egy felhasználó által hozzárendelt felügyelt identitást (Extension Identity) is létrehoz a csomópontkészlet erőforráscsoportjában.
A Biztonsági mentési bővítmény egy blobtárolót használ (a telepítés során bemenetként) a biztonsági mentési tároló alapértelmezett helyeként. A blobtároló eléréséhez a bővítményidentitáshoz tárolóblobadat-közreműködői szerepkörre van szükség a tárolót tartalmazó tárfiókban.
Telepítenie kell a biztonsági mentési bővítményt a biztonsági mentést készíteni kívánt forrásfürtre és arra a célfürtre, ahol a biztonsági mentést vissza kell állítani.
A biztonsági mentési bővítmény a fürtön a Beállítások alatti Biztonsági mentés lap AKS-portál paneljén telepíthető. Az Azure CLI-parancsokkal is kezelheti a telepítést és a biztonsági mentési bővítmény egyéb műveleteit.
Mielőtt bővítményt telepít egy AKS-fürtbe, regisztrálnia kell az
Microsoft.KubernetesConfiguration
erőforrás-szolgáltatót az előfizetés szintjén. Megtudhatja, hogyan regisztrálhatja az erőforrás-szolgáltatót.A bővítményügynök és a bővítmény-operátor az AKS fő platformösszetevői, amelyek akkor lesznek telepítve, ha egy bármilyen típusú bővítményt először telepítenek egy AKS-fürtben. Ezek lehetővé teszik a külső és külső bővítmények üzembe helyezését. A biztonsági mentési bővítmény a telepítésre és a frissítésekre is támaszkodik.
Feljegyzés
Mindkét alapösszetevőt agresszív, a processzorra és a memóriára vonatkozó szigorú korlátozásokkal helyezik üzembe, és a processzor a mag és a memória 0,5%-ánál kisebb, 50–200 MB-os korláttal rendelkezik. Tehát ezeknek az összetevőknek a COGS-hatása nagyon alacsony. Mivel ezek alapvető platformösszetevők, a fürtben való telepítés után nem érhető el megkerülő megoldás.
Ha a bővítmény telepítéséhez bemenetként megadott Tárfiók a Virtuális hálózat/tűzfal területen található, akkor a BackupVaultot megbízható hozzáférésként kell hozzáadni a tárfiók hálózati beállításai között. Megtudhatja, hogyan biztosíthat hozzáférést a megbízható Azure-szolgáltatáshoz, amely segít a biztonsági másolatok tárolásában a Vault-adattárban
Megtudhatja , hogyan kezelheti a Backup-bővítmény Azure CLI-vel történő telepítéséhez szükséges műveletet.
Megbízható hozzáférés
Számos Azure-szolgáltatás függ a clusterAdmin kubeconfigtól és a nyilvánosan elérhető kube-apiserver végponttól az AKS-fürtök eléréséhez. Az AKS Megbízható hozzáférés funkció lehetővé teszi a privát végpont korlátozásának megkerülését. A Microsoft Entra-alkalmazás használata nélkül ez a funkció lehetővé teszi, hogy kifejezett hozzájárulást adjon az engedélyezett erőforrások rendszer által hozzárendelt identitásához az AKS-fürtök azure-erőforrás-szerepkörbinding használatával való eléréséhez. A funkció lehetővé teszi a különböző konfigurációjú AKS-fürtök elérését, amelyek nem korlátozódnak a privát fürtökre, a letiltott helyi fiókokkal rendelkező fürtökre, a Microsoft Entra ID-fürtökre és az engedélyezett IP-címtartomány-fürtökre.
Az Azure-erőforrások a rendszer által hozzárendelt felügyelt identitás hitelesítésével férnek hozzá az AKS-fürtökhöz az AKS regionális átjárón keresztül. A felügyelt identitásnak rendelkeznie kell a megfelelő Kubernetes-engedélyekkel egy Azure-erőforrásszerepkörön keresztül.
Az AKS biztonsági mentéséhez a Backup-tároló a Megbízható hozzáférésen keresztül éri el az AKS-fürtöket a biztonsági mentések és visszaállítások konfigurálásához. A Backup-tárolóhoz egy előre definiált szerepkör van hozzárendelve: Microsoft.DataProtection/backupVaults/backup-operátor az AKS-fürtben, így csak adott biztonsági mentési műveleteket hajthat végre.
A biztonsági mentési tároló és az AKS-fürt közötti megbízható hozzáférés engedélyezése. Útmutató a Megbízható hozzáférés engedélyezéséhez
Feljegyzés
- A Biztonsági mentés bővítményt közvetlenül az Azure Portalról telepítheti az AKS-fürtre az AKS-portál Biztonsági mentés szakaszában.
- A Biztonsági mentési tároló és az AKS-fürt közötti megbízható hozzáférést az Azure Portal biztonsági mentési vagy visszaállítási műveletei során is engedélyezheti.
AKS-fürt
Az AKS-fürtök biztonsági mentésének engedélyezéséhez tekintse meg a következő előfeltételeket: .
Az AKS biztonsági mentése a Tárolótároló-illesztő (CSI) illesztőinek pillanatkép-képességeit használja az állandó kötetek biztonsági mentéséhez. A CSI-illesztőprogram támogatása a Kubernetes 1.21.1-es vagy újabb verziójával rendelkező AKS-fürtökhöz érhető el.
Feljegyzés
- Az AKS biztonsági mentése jelenleg csak az Azure Disk-alapú állandó kötetek biztonsági mentését támogatja (a CSI-illesztőprogram engedélyezi). Ha Azure-fájlmegosztást és Azure Blob típusú állandó köteteket használ az AKS-fürtökben, az Azure-fájlmegosztáshoz és az Azure Blobhoz elérhető Azure Backup-megoldásokon keresztül konfigurálhatja a biztonsági mentéseket.
- A fa esetében a köteteket nem támogatja az AKS biztonsági mentése; csak a CSI-illesztőprogram-alapú kötetek készíthetők biztonsági mentésre. A fakötetekről a CSI-illesztőprogram-alapú állandó kötetekre migrálhat.
Mielőtt telepíti a Backup-bővítményt az AKS-fürtön, győződjön meg arról, hogy a CSI-illesztőprogramok és a pillanatképek engedélyezve vannak a fürthöz. Ha le van tiltva, ezeket a lépéseket követve engedélyezheti őket.
Az Azure Backup for AKS rendszer által hozzárendelt felügyelt identitást vagy felhasználó által hozzárendelt felügyelt identitást használó AKS-fürtöket támogat a biztonsági mentési műveletekhez. Bár a szolgáltatásnevet használó fürtök nem támogatottak, frissíthet egy meglévő AKS-fürtöt, hogy rendszer által hozzárendelt felügyelt identitást vagy felhasználó által hozzárendelt felügyelt identitást használjon.
A telepítés során a Biztonsági mentés bővítmény beolvassa a Microsoft Container Registryben (MCR) tárolt tárolólemezképeket. Ha engedélyezi a tűzfalat az AKS-fürtön, előfordulhat, hogy a bővítmény telepítési folyamata meghiúsul a beállításjegyzék hozzáférési problémái miatt. Megtudhatja , hogyan engedélyezheti az MCR-hozzáférést a tűzfalról.
Ha a fürt privát virtuális hálózatban és tűzfalon található, alkalmazza a következő teljes tartománynevet/alkalmazásszabályokat:
*.microsoft.com
, ,*.azure.com
,*.core.windows.net
, ,*.azmk8s.io
*.digicert.com
*.geotrust.com
*.digicert.cn
*.msocsp.com
. Ismerje meg , hogyan alkalmazhat teljes tartománynévre vonatkozó szabályokat.Ha korábban telepítette a Velero-t az AKS-fürtben, a Backup Bővítmény telepítése előtt törölnie kell azt.
Szükséges szerepkörök és engedélyek
Az AKS biztonsági mentési és visszaállítási műveleteinek felhasználóként való végrehajtásához meghatározott szerepkörökre van szükség az AKS-fürtben, a Backup-tárolóban, a Tárfiókban és a Pillanatkép erőforráscsoportban.
Hatókör | Előnyben részesített szerepkör | Leírás |
---|---|---|
AKS-fürt | Tulajdonos | Lehetővé teszi a Biztonsági mentési bővítmény telepítését, a Megbízható hozzáférés engedélyezését és a Backup-tároló engedélyeinek megadását a fürtön keresztül. |
Biztonsági mentési tároló erőforráscsoportja | Biztonsági mentési közreműködő | Lehetővé teszi a Backup-tároló létrehozását egy erőforráscsoportban, biztonsági mentési szabályzat létrehozását, a biztonsági mentés konfigurálását, valamint a biztonsági mentési műveletekhez szükséges hiányzó szerepkörök visszaállítását és hozzárendelését. |
Tárfiók | Tulajdonos | Lehetővé teszi olvasási és írási műveletek elvégzését a tárfiókon, és a szükséges szerepkörök hozzárendelését más Azure-erőforrásokhoz a biztonsági mentési műveletek részeként. |
Pillanatkép-erőforráscsoport | Tulajdonos | Lehetővé teszi az olvasási és írási műveletek végrehajtását a Pillanatkép erőforráscsoporton, és a szükséges szerepkörök hozzárendelését más Azure-erőforrásokhoz a biztonsági mentési műveletek részeként. |
Feljegyzés
Az Azure-erőforrások tulajdonosi szerepköre lehetővé teszi az adott erőforrás Azure RBAC-műveleteinek végrehajtását. Ha nem érhető el, az erőforrás-tulajdonosnak meg kell adnia a szükséges szerepköröket a Backup-tárolónak és az AKS-fürtnek a biztonsági mentési vagy visszaállítási műveletek megkezdése előtt.
A biztonsági mentési és visszaállítási műveletek részeként a következő szerepkörök lesznek hozzárendelve az AKS-fürthöz, a Backup Extension Identityhez és a Backup-tárolóhoz.
Szerepkör | Hozzárendelve: | Hozzárendelve ekkor | Leírás |
---|---|---|---|
Olvasó | Biztonsági mentési tár | AKS-fürt | Lehetővé teszi, hogy a Backup-tároló listázási és olvasási műveleteket hajtson végre az AKS-fürtön. |
Olvasó | Biztonsági mentési tár | Pillanatkép-erőforráscsoport | Lehetővé teszi, hogy a Backup-tároló lista- és olvasási műveleteket hajtson végre a pillanatkép-erőforráscsoporton. |
Közreműködő | AKS-fürt | Pillanatkép-erőforráscsoport | Lehetővé teszi, hogy az AKS-fürt állandó kötet-pillanatképeket tároljon az erőforráscsoportban. |
Storage blobadat-közreműködő | Bővítmény identitása | Tárfiók | Lehetővé teszi a biztonsági mentési bővítmény számára a fürterőforrás-biztonsági mentések blobtárolóban való tárolását. |
Felügyelt lemez adatszolgáltatója | Biztonsági mentési tár | Pillanatkép-erőforráscsoport | Lehetővé teszi, hogy a Backup Vault szolgáltatás növekményes pillanatképadatokat helyezzen át a tárolóba. |
Lemez pillanatkép-közreműködője | Biztonsági mentési tár | Pillanatkép-erőforráscsoport | Lehetővé teszi a Backup Vault számára, hogy hozzáférjen a lemezek pillanatképeihez, és végrehajtsa a Tárolókezelés műveletet. |
Storage Blob adatolvasó | Biztonsági mentési tár | Tárfiók | Engedélyezze a Backup Vault számára, hogy hozzáférjen a Blob-tárolóhoz a tárolóba való áthelyezéshez tárolt biztonsági mentési adatokkal. |
Közreműködő | Biztonsági mentési tár | Átmeneti erőforráscsoport | Lehetővé teszi a Backup Vault számára, hogy a tárolószinten tárolt lemezekként hidratálja a biztonsági mentéseket. |
Tárfiók-közreműködő | Biztonsági mentési tár | Átmeneti tárfiók | Lehetővé teszi, hogy a Backup Vault hidratálja a tárolószinten tárolt biztonsági mentéseket. |
Storage Blob adattulajdonos | Biztonsági mentési tár | Átmeneti tárfiók | Lehetővé teszi, hogy a Backup Vault a tárolószinten tárolt blobtárolóban másolja a fürt állapotát. |
Feljegyzés
Az AKS biztonsági mentése lehetővé teszi ezeknek a szerepköröknek a hozzárendelését a biztonsági mentési és visszaállítási folyamatok során az Azure Portalon egyetlen kattintással.