Az Azure Kubernetes Service biztonsági mentése a PowerShell használatával

Ez a cikk az Azure Kubernetes Service (AKS) Azure PowerShell használatával történő konfigurálását és biztonsági mentését ismerteti.

Az Azure Backup mostantól lehetővé teszi az AKS-fürtök (fürterőforrások és a fürthöz csatlakoztatott állandó kötetek) biztonsági mentési bővítmény használatával történő biztonsági mentését, amelyet telepíteni kell a fürtön. A Backup-tároló ezen a Biztonsági mentési bővítményen keresztül kommunikál a fürttel a biztonsági mentési és visszaállítási műveletek végrehajtásához.

Mielőtt elkezdené

Mielőtt megkezdené egy AKS-fürt biztonsági mentését, tekintse át az alábbi előfeltételeket:

• Az AKS biztonsági mentése jelenleg csak az Azure Disk-alapú állandó köteteket támogatja (amelyeket a CSI-illesztőprogram engedélyez). A biztonsági másolatok csak az operatív adattárban (a bérlőben) vannak tárolva, és nem kerülnek tárolóba. A Backup-tárolónak és az AKS-fürtnek ugyanabban a régióban kell lennie.

• Az AKS biztonsági mentése blobtárolót és erőforráscsoportot használ a biztonsági mentések tárolásához. A blobtárolóban az AKS-fürt erőforrásai vannak tárolva, míg az állandó kötet-pillanatképek az erőforráscsoportban vannak tárolva. Az AKS-fürtnek és a tárolási helyeknek ugyanabban a régióban kell lenniük. Megtudhatja , hogyan hozhat létre blobtárolót.

• Az AKS biztonsági mentése jelenleg napi egyszeri biztonsági mentést támogat. Emellett támogatja a gyakoribb biztonsági mentéseket is ( 4, 8 és 12 óránként) naponta. Ezzel a megoldással akár 360 napig is megőrizheti az adatokat visszaállítás céljából. Megtudhatja, hogyan hozhat létre biztonsági mentési szabályzatot.

• Az AKS-fürt biztonsági mentési és visszaállítási műveleteinek konfigurálásához telepítenie kell a "Biztonsági mentési bővítményt". További információ a biztonsági mentési bővítményről.

• Mielőtt megkezdené a biztonsági mentési konfigurációt és a visszaállítási műveleteket, győződjön meg róla, hogy Microsoft.KubernetesConfiguration, Microsoft.DataProtection, és Microsoft.ContainerService regisztrálva vannak az előfizetéséhez.

• Az AKS biztonsági mentési vagy visszaállítási műveletének megkezdése előtt győződjön meg arról, hogy az összes előfeltételt végrehajtja.

A támogatott forgatókönyvekről, korlátozásokról és rendelkezésre állásról további információt a támogatási mátrixban talál.

Backup-tároló létrehozása

A Backup-tároló egy felügyeleti entitás az Azure-ban, amely biztonsági mentési adatokat tárol az Azure Backup által támogatott újabb számítási feladatokhoz, például az Azure Database for PostgreSQL-kiszolgálókhoz és az Azure Diskshez. A biztonsági mentési tárolók megkönnyítik a biztonsági mentési adatok rendszerezését a felügyeleti többletterhelés minimalizálása mellett. Ezek az Azure Resource Manager-modellen alapulnak, amely továbbfejlesztett képességeket biztosít a biztonsági mentési adatok védelméhez. A Backup-tároló létrehozása előtt válassza ki a tárolóban lévő adatok tárolási redundanciáját, majd hozza létre a Biztonsági mentési tárolót ezzel a tárredundanciával és a helyével.

Itt létrehozunk egy Backup vault TestBkpVaultot az USA nyugati régiójában a testBkpVaultRG erőforráscsoport alatt. New-AzDataProtectionBackupVault A parancsmag használatával hozzon létre egy Backup-tárolót. További információ a Backup-tárolók létrehozásáról.

Feljegyzés

Bár a kijelölt tároló rendelkezhet a globális redundancia beállításával, az AKS biztonsági mentése jelenleg csak az operatív szintet támogatja. Az összes biztonsági mentés ugyanabban a régióban van tárolva az előfizetésben, mint az AKS cluster, és nem másolják át a Backup-tárolóba.

1. A Backup-tároló tárolási beállításainak meghatározásához futtassa a következő parancsmagot:

   Feljegyzés

   A tároló csak a helyi redundancia és az operatív adattár támogatásával kerül létrehozásra.

   $storageSetting = New-AzDataProtectionBackupVaultStorageSettingObject -Type LocallyRedundant -DataStoreType OperationalStore
   

2. A biztonsági mentési tárolónak a korábban említett részleteknek megfelelően történő létrehozásához futtassa a következő parancsmagot:

   New-AzDataProtectionBackupVault -ResourceGroupName testBkpVaultRG -VaultName TestBkpVault -Location westus -StorageSetting $storageSetting
   $TestBkpVault = Get-AzDataProtectionBackupVault -VaultName TestBkpVault
   

A tároló létrehozása után hozzon létre egy biztonsági mentési szabályzatot az AKS-fürtök védelméhez.

Biztonsági mentési szabályzat létrehozása

Az Azure Backup lehetővé teszi, hogy biztonsági mentési szabályzatokat hozzon létre az AKS-fürtök védelme érdekében napi biztonsági mentésekkel vagy naponta többszöri biztonsági mentéssel.

Ha biztonsági mentési szabályzatot szeretne létrehozni az AKS-fürthöz, futtassa a következő parancsmagokat:

1. Kérje le a szabályzatsablont a parancsmag Get-AzDataProtectionPolicyTemplate használatával, és ellenőrizze a biztonsági mentési szabályzat belső összetevőit az AKS biztonsági mentéséhez. Ez a parancs egy alapértelmezett szabályzatsablont ad vissza egy adott adatforrástípushoz. Ezzel a szabályzatsablonnal új szabályzatot hozhat létre.

   $policyDefn = Get-AzDataProtectionPolicyTemplate -DatasourceType AzureKubernetesService
   

   A szabályzatsablon egy eseményindító feltételből (amely meghatározza a biztonsági mentési feladat aktiválásának tényezőit) és egy életciklusból (amely dönti el, hogy mikor törli, másolja vagy helyezi át a biztonsági másolatokat). Az AKS biztonsági mentésében az eseményindító alapértelmezett értéke egy ütemezett eseményindító, amely 4 óránként (PT4H) történik, és az egyes biztonsági másolatok megőrzése 7 napig tart.

   $policyDefn.PolicyRule[0]. Trigger | fl
   
   ObjectType: ScheduleBasedTriggerContext
   ScheduleRepeatingTimeInterval: {R/2023-04-05T13:00:00+00:00/PT4H}
   TaggingCriterion: {Default}
   
   $policyDefn.PolicyRule[1]. Lifecycle | fl
   
   DeleteAfterDuration: P7D
   DeleteAfterObjectType: AbsoluteDeleteOption
   SourceDataStoreObjectType : DataStoreInfoBase
   SourceDataStoreType: OperationalStore
   TargetDataStoreCopySetting:
   

2. A napi biztonsági mentés gyakoriságához adja meg a biztonsági mentések készítésének napját.

   Fontos

   A nap időpontja a biztonsági mentés kezdési idejét jelzi, nem pedig a biztonsági mentés befejezésének időpontját. A biztonsági mentési művelet végrehajtásához szükséges idő különböző tényezőktől függ, például az állandó kötetek számától és méretétől, valamint az egymást követő biztonsági mentések közötti adatváltozási sebességtől.

   Az AKS biztonsági mentése naponta több biztonsági mentést biztosít. A biztonsági másolatok egyenlően oszlanak el a nap folyamán, ha gyakoribb biztonsági mentésre van szükség az óránkénti biztonsági mentési gyakoriság kiválasztásával, amely 4, 6, 8 vagy 12 óránként képes biztonsági mentéseket készíteni. A biztonsági mentések ütemezése a kiválasztott időintervallum alapján történik. Ha például 4 óránként választja ki a biztonsági mentéseket, a rendszer körülbelül 4 óránként készít biztonsági másolatot.

3. Ha módosítani szeretné az óránkénti gyakoriságot vagy a megőrzési időtartamot, használja a és/vagy Edit-AzDataProtectionPolicyTriggerClientObject a Edit-AzDataProtectionPolicyRetentionRuleClientObject parancsmagokat. Ha a szabályzatobjektum rendelkezik az összes szükséges értékkel, hozzon létre egy új szabályzatot a szabályzatobjektumból a New-AzDataProtectionBackupPolicy parancsmag használatával.

   New-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name aksBkpPolicy -Policy $policyDefn
   
   $aksBkpPol = Get-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name "aksBkpPolicy"
   

AKS-fürt előkészítése biztonsági mentésre

A tároló és a szabályzat létrehozásának befejezése után az alábbi előfeltételeket kell teljesíteni, hogy az AKS-fürt készen álljon a backupra:

1. Tárfiók és blobtároló létrehozása

   Az AKS biztonsági mentése biztonsági másolatként tárolja a Kubernetes-erőforrásokat egy blobtárolóban. Ahhoz, hogy az AKS-fürt készen álljon a mentéshez, szükséges telepítenie egy bővítményt a fürtben. Ehhez a bővítményhez bemenetként a tárfiók és a blobtároló szükséges.

   Ha új tárfiókot és blobtárolót szeretne létrehozni, tekintse meg ezeket a lépéseket.

   Feljegyzés

   1. A tárfióknak és az AKS-fürtnek ugyanabban a régióban és előfizetésben kell lennie.
   2. A blobtároló nem tartalmazhat korábban létrehozott fájlrendszereket (kivéve az AKS biztonsági mentésével létrehozottakat).
   3. Ha a forrás vagy a cél AKS-fürt privát virtuális hálózaton található, akkor létre kell hoznia egy privát végpontot a tárfiók és az AKS-fürt összekapcsolásához.

2. Biztonsági mentési bővítmény telepítése

   A biztonsági mentési bővítményt kötelező telepíteni az AKS-fürtben a biztonsági mentési és visszaállítási műveletek elvégzéséhez. A Biztonsági mentési bővítmény létrehoz egy névteret dataprotection-microsoft a fürtben, és ezt használja az erőforrások üzembe helyezéséhez. A bővítményhez a tárfiók és a blobtároló szükséges bemenetként a telepítéshez. Ismerje meg a bővítménytelepítési parancsokat.

   A bővítménytelepítés részeként létrejön egy felhasználói identitás az AKS-fürt csomópontkészlet-erőforráscsoportjában. Ahhoz, hogy a bővítmény hozzáférhessen a tárfiókhoz, meg kell adnia ezt az identitást a tárfiók közreműködői szerepkörének . A szükséges szerepkör hozzárendeléséhez futtassa ezeket a parancsokat

3. Megbízható hozzáférés engedélyezése

Ahhoz, hogy a Backup-tároló csatlakozzon az AKS-fürthöz, engedélyeznie kell a Megbízható hozzáférést, mivel lehetővé teszi, hogy a Backup-tároló közvetlen látóvonalat láthasson az AKS-fürthöz. Megtudhatja , hogyan engedélyezheti a megbízható hozzáférést.

Feljegyzés

A Biztonsági mentési bővítmény telepítése és a Megbízható hozzáférés engedélyezése esetén a parancsok csak az Azure CLI-ben érhetők el.

Biztonsági másolatok konfigurálása

A létrehozott biztonsági mentési tároló és szabályzat, valamint az AKS-fürt készen áll a biztonsági mentésre, így most elkezdheti az AKS-fürt biztonsági mentését.

Kulcsfontosságú entitások

• Védendő AKS-fürt

  Kérje le a védendő AKS-fürt Azure Resource Manager-azonosítóját. Ez a klaszter azonosítójaként szolgál. Ebben a példában egy PSTestAKSCluster nevű AKS-fürtöt használjunk egy aksrg erőforráscsoport alatt, egy másik előfizetésben:

  $sourceClusterId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourcegroups/aksrg /providers/Microsoft.ContainerService/managedClusters/ PSTestAKSCluster "
  

• Pillanatkép-erőforrás csoportja

  Az állandó kötet pillanatképei az előfizetés egy erőforráscsoportjában vannak tárolva. Javasoljuk, hogy hozzon létre egy dedikált erőforráscsoportot pillanatkép-adattárként, amelyet az Azure Backup szolgáltatás használ. A dedikált erőforráscsoport lehetővé teszi a hozzáférési engedélyek korlátozását az erőforráscsoporton, biztosítva a biztonsági mentési adatok biztonságát és könnyű kezelését. Mentse az erőforráscsoport Azure Resource Manager-azonosítóját arra a helyre, ahol az állandó kötet pillanatképeit tárolni szeretné.

  $snapshotrg = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourcegroups/snapshotrg"
  

A kérés előkészítése

A biztonsági mentés konfigurálása két lépésben történik:

1. Készítsen biztonsági mentési konfigurációt annak meghatározásához, hogy mely fürterőforrásokról kell biztonsági másolatot készíteni a New-AzDataProtectionBackupConfigurationClientObject parancsmag használatával. Az alábbi példában a konfiguráció úgy van definiálva, hogy minden klaszter erőforrás, az aktuális és a jövőbeli névterek alatt, biztonsági másolatot kapjon a címkével key-value pair x=y. Emellett a fürt hatókörébe tartozó erőforrások és állandó kötetek biztonsági mentése is létrejön. A következő névterek kimaradnak a biztonsági mentési konfigurációból, és nincsenek biztonsági mentésekhez konfigurálva: kube-system, kube-node-lease, kube-public.

   $backupConfig = New-AzDataProtectionBackupConfigurationClientObject -SnapshotVolume $true -IncludeClusterScopeResource $true -DatasourceType AzureKubernetesService -LabelSelector "env=prod"
   

2. Készítse elő a szükséges kérést a megfelelő tároló, szabályzat, AKS-fürt, biztonsági mentési konfiguráció és pillanatkép-erőforráscsoport használatával a Initialize-AzDataProtectionBackupInstance parancsmag használatával.

   $backupInstance = Initialize-AzDataProtectionBackupInstance -DatasourceType AzureKubernetesService  -DatasourceLocation $dataSourceLocation -PolicyId $ aksBkpPol.Id -DatasourceId $sourceClusterId -SnapshotResourceGroupId $ snapshotrg -FriendlyName $friendlyName -BackupConfiguration $backupConfig
   

A szükséges engedélyek hozzárendelése és érvényesítése

A szükséges engedélyek hozzárendeléséhez és az AKS-fürt védelmének érvényesítéséhez futtassa a következő parancsmagokat:

1. A kérelem előkészítése után a felhasználónak a szükséges engedélyeket az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) segítségével kell hozzárendelnie a tárolóhoz (amelyet a tároló által kezelt rendszerdentitás képvisel) és az AKS-fürthöz. Ezt a Set-AzDataProtectionMSIPermission parancsmaggal hajthatja végre. A Backup-tároló felügyelt identitással fér hozzá más Azure-erőforrásokhoz. Az AKS-fürt biztonsági mentésének konfigurálásához a Backup tároló felügyelt identitásának engedélyekre van szüksége az AKS-fürtön és az erőforráscsoportokon, ahol pillanatképeket hoznak létre és kezelnek. Emellett az AKS-fürtnek engedélyre van szüksége a pillanatkép-erőforráscsoporthoz.

   Megjegyzés

   Csak a rendszer által hozzárendelt felügyelt identitás támogatott a biztonsági mentéshez (a Backup-tárolóhoz és az AKS-fürthöz is). A rendszer által hozzárendelt felügyelt identitás erőforrásonként csak egyre korlátozódik, és az adott erőforrás életciklusához van kötve. Engedélyeket adhat a felügyelt identitáshoz az Azure RBAC használatával. A felügyelt identitás egy speciális típusú szolgáltatásnév, amelyet csak Azure-erőforrásokhoz lehet használni. További információ a felügyelt identitásokról.

   Set-AzDataProtectionMSIPermission -BackupInstance $backupInstance -VaultResourceGroup $rgName -VaultName $vaultName -PermissionsScope "ResourceGroup"
   

2. Az engedélyek hozzárendelése után tesztelje a létrehozott példány felkészültségét.

   test-AzDataProtectionBackupInstanceReadiness -ResourceGroupName $resourceGroupName -VaultName $vaultName -BackupInstance  $backupInstance.Property 
   

3. Ha az ellenőrzés sikeres, nyújtsa be az AKS-fürt védelmére irányuló kérést a New-AzDataProtectionBackupInstance parancsmag használatával.

   New-AzDataProtectionBackupInstance -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -BackupInstance $backupInstance
   

Igény szerinti biztonsági mentések futtatása

Igény szerinti biztonsági mentés indításához futtassa a következő parancsmagokat:

1. A parancsmag futtatásával Get-AzDataProtectionBackupInstance kérje le a megfelelő biztonsági mentési példányt, amelyen biztonsági másolatot szeretne indítani.

   $instance = Get-AzDataProtectionBackupInstance -SubscriptionId "xxxx-xxx-xxx" -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name "BackupInstanceName"
   

2. Adjon meg egy adatmegőrzési szabályt a biztonsági mentés indításakor. A házirend megőrzési szabályainak megtekintéséhez lépjen a megőrzési szabályokhoz tartozó házirend-objektumra. Az alábbi példában megjelenik az alapértelmezett névvel rendelkező szabály, és ezt a szabályt fogjuk használni az igény szerinti biztonsági mentéshez.

   $policyDefn.PolicyRule | fl
   BackupParameter: Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.AzureBackupParams
   BackupParameterObjectType: AzureBackupParams
   DataStoreObjectType: DataStoreInfoBase
   DataStoreType: OperationalStore
   Name: BackupHourly
   ObjectType: AzureBackupRule
   Trigger: Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.ScheduleBasedTriggerContext
   TriggerObjectType: ScheduleBasedTriggerContext
   IsDefault: True
   Lifecycle: {Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.SourceLifeCycle}
   Name: Default
   ObjectType: AzureRetentionRule
   

3. Igény szerinti biztonsági mentés indítása a Backup-AzDataProtectionBackupInstanceAdhoc parancsmaggal.

   $AllInstances = Get-AzDataProtectionBackupInstance -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name
   
   Backup-AzDataProtectionBackupInstanceAdhoc -BackupInstanceName $AllInstances[0].Name -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -BackupRuleOptionRuleName "Default"
   

Feladatok nyomon követése

A parancsmaggal nyomon követheti az Get-AzDataProtectionJob összes feladatot. Listázhatja az összes feladatot, és lekérhet egy adott feladatrészletet. A parancsmaggal Az.ResourceGraph az összes feladat nyomon követhető az összes Backup-tárolóban. Search-AzDataProtectionJobInAzGraph A parancsmaggal lekérheti a megfelelő feladatadatokat bármely Backup-tárolóból.

$job = Search-AzDataProtectionJobInAzGraph -Subscription $sub -ResourceGroupName "testBkpVaultRG" -Vault $TestBkpVault.Name -DatasourceType AzureKubernetesService  -Operation OnDemandBackup

Következő lépések

• Állítsa vissza az Azure Kubernetes Service-fürtöt PowerShell használatával
• Azure Kubernetes Service-fürtök biztonsági mentéseinek kezelése
• Tudnivalók az Azure Kubernetes Service-fürt biztonsági mentéséről