Prasyarat untuk pencadangan Azure Kubernetes Service menggunakan Azure Backup
Artikel ini menjelaskan prasyarat untuk pencadangan Azure Kubernetes Service (AKS).
Azure Backup sekarang memungkinkan Anda mencadangkan kluster AKS (sumber daya kluster dan volume persisten yang terpasang pada kluster) menggunakan ekstensi cadangan, yang harus diinstal di kluster. Brankas cadangan berkomunikasi dengan kluster melalui Ekstensi Cadangan ini untuk melakukan operasi pencadangan dan pemulihan. Berdasarkan model keamanan dengan hak istimewa paling sedikit, brankas Cadangan harus mengaktifkan Akses Tepercaya untuk berkomunikasi dengan kluster AKS.
Catatan
Pencadangan vault dan Pemulihan Lintas Wilayah untuk AKS menggunakan Azure Backup saat ini dalam pratinjau.
Ekstensi Cadangan
Ekstensi ini memungkinkan kemampuan pencadangan dan pemulihan untuk beban kerja kontainer dan volume persisten yang digunakan oleh beban kerja yang berjalan di kluster AKS.
Ekstensi Cadangan diinstal di namespace dataprotection-microsoft sendiri secara default. Ini diinstal dengan cakupan lebar kluster yang memungkinkan ekstensi untuk mengakses semua sumber daya kluster. Selama penginstalan ekstensi, ekstensi ini juga membuat Identitas Terkelola yang ditetapkan pengguna (Identitas Ekstensi) di grup sumber daya Kumpulan Simpul.
Ekstensi Cadangan menggunakan kontainer blob (disediakan dalam input selama penginstalan) sebagai lokasi default untuk penyimpanan cadangan. Untuk mengakses kontainer blob ini, Identitas Ekstensi memerlukan peran Kontributor Data Blob Penyimpanan pada akun penyimpanan yang memiliki kontainer.
Anda perlu menginstal Ekstensi Cadangan pada kluster sumber untuk dicadangkan dan kluster target tempat cadangan akan dipulihkan.
Ekstensi Cadangan dapat diinstal di kluster dari bilah portal AKS pada tab Cadangan di bawah Pengaturan. Anda juga dapat menggunakan perintah Azure CLI untuk mengelola penginstalan dan operasi lain pada Ekstensi Cadangan.
Sebelum menginstal ekstensi di kluster AKS, Anda harus mendaftarkan
Microsoft.KubernetesConfigurationpenyedia sumber daya di tingkat langganan. Pelajari cara mendaftarkan penyedia sumber daya.Agen ekstensi dan operator ekstensi adalah komponen platform inti di AKS, yang diinstal ketika ekstensi jenis apa pun diinstal untuk pertama kalinya dalam kluster AKS. Ini menyediakan kemampuan untuk menyebarkan ekstensi 1P dan 3P . Ekstensi cadangan juga bergantung pada ekstensi tersebut untuk penginstalan dan peningkatan.
Catatan
Kedua komponen inti ini disebarkan dengan batas keras agresif pada CPU dan memori, dengan CPU kurang dari 0,5% dari batas inti dan memori berkisar antara 50-200 MB. Jadi, dampak COGS dari komponen-komponen ini sangat rendah. Karena merupakan komponen platform inti, tidak ada solusi yang tersedia untuk menghapusnya setelah diinstal di kluster.
Jika Akun Penyimpanan, yang akan disediakan sebagai input untuk penginstalan Ekstensi, berada di bawah Virtual Network/Firewall, maka BackupVault perlu ditambahkan sebagai akses tepercaya di Jaringan Akun Penyimpanan Pengaturan. Pelajari cara memberikan akses ke layanan Azure tepercaya, yang membantu menyimpan cadangan di datastore Vault
Pelajari cara mengelola operasi untuk menginstal Ekstensi Cadangan menggunakan Azure CLI.
Akses Tepercaya
Banyak layanan Azure bergantung pada kubeconfig clusterAdmin dan titik akhir kube-apiserver yang dapat diakses publik untuk mengakses kluster AKS. Fitur Akses Tepercaya AKS memungkinkan Anda melewati pembatasan titik akhir privat. Tanpa menggunakan aplikasi Microsoft Entra, fitur ini memungkinkan Anda memberikan persetujuan eksplisit untuk identitas sumber daya yang diizinkan yang ditetapkan sistem Anda untuk mengakses kluster AKS Anda menggunakan RoleBinding sumber daya Azure. Fitur ini memungkinkan Anda mengakses kluster AKS dengan konfigurasi yang berbeda, yang tidak terbatas pada kluster privat, kluster dengan akun lokal yang dinonaktifkan, kluster ID Microsoft Entra, dan kluster rentang IP resmi.
Sumber daya Azure Anda mengakses kluster AKS melalui gateway regional AKS menggunakan autentikasi identitas terkelola yang ditetapkan sistem. Identitas terkelola harus memiliki izin Kubernetes yang sesuai yang ditetapkan melalui peran sumber daya Azure.
Untuk pencadangan AKS, vault Backup mengakses kluster AKS Anda melalui Akses Tepercaya untuk mengonfigurasi pencadangan dan pemulihan. Vault Backup diberi peran yang telah ditentukan sebelumnya Microsoft.DataProtection/backupVaults/backup-operator di kluster AKS, memungkinkannya untuk hanya melakukan operasi pencadangan tertentu.
Untuk mengaktifkan Akses Tepercaya antara brankas Cadangan dan kluster AKS, Anda harus mendaftarkan TrustedAccessPreview bendera fitur di Microsoft.ContainerService tingkat langganan. Pelajari lebih lanjut untuk mendaftarkan penyedia sumber daya.
Pelajari cara mengaktifkan Akses Tepercaya.
Catatan
- Anda dapat menginstal Ekstensi Cadangan pada kluster AKS Langsung dari portal Azure di bawah bagian Cadangan di portal AKS.
- Anda juga dapat mengaktifkan Akses Tepercaya antara brankas Cadangan dan kluster AKS selama operasi pencadangan atau pemulihan di portal Azure.
Kluster AKS
Untuk mengaktifkan pencadangan untuk kluster AKS, lihat prasyarat berikut: .
Pencadangan AKS menggunakan kemampuan rekam jepret driver CSI untuk melakukan pencadangan volume persisten. Dukungan Driver CSI tersedia untuk kluster AKS dengan Kubernetes versi 1.21.1 atau yang lebih baru.
Catatan
- Saat ini, cadangan AKS hanya mendukung pencadangan volume persisten berbasis Disk Azure (diaktifkan oleh driver CSI). Jika Anda menggunakan Azure File Share dan Azure Blob mengetik volume persisten di kluster AKS, Anda dapat mengonfigurasi cadangan untuk volume tersebut melalui solusi Azure Backup yang tersedia untuk Azure File Share dan Azure Blob.
- Di Tree, volume tidak didukung oleh cadangan AKS; hanya volume berbasis driver CSI yang dapat dicadangkan. Anda dapat bermigrasi dari volume pohon ke Volume Persisten berbasis driver CSI.
Sebelum menginstal Ekstensi Cadangan di kluster AKS, pastikan driver dan rekam jepret CSI diaktifkan untuk kluster Anda. Jika dinonaktifkan, lihat langkah-langkah ini untuk mengaktifkannya.
Azure Backup untuk AKS mendukung kluster AKS menggunakan Identitas Sistem atau Identitas Pengguna, untuk operasi pencadangan. Meskipun kluster yang menggunakan Prinsip Layanan tidak didukung, Anda dapat memperbarui kluster AKS tersebut untuk menggunakan Identitas Sistem Terkelola.
Ekstensi Cadangan selama penginstalan mengambil Gambar Kontainer yang disimpan di Microsoft Container Registry (MCR). Jika Anda mengaktifkan firewall pada kluster AKS, proses penginstalan ekstensi mungkin gagal karena masalah akses pada Registri. Pelajari cara mengizinkan akses MCR dari firewall.
Jika Anda memiliki kluster dalam Jaringan Virtual Privat dan Firewall, terapkan aturan FQDN/aplikasi berikut:
*.microsoft.com, ,*.azure.com,*.core.windows.net,*.azmk8s.io,*.digicert.com*.digicert.cn, , .*.msocsp.com*.geotrust.comPelajari cara menerapkan aturan FQDN.Jika Anda memiliki instalasi Velero sebelumnya di kluster AKS, Anda perlu menghapusnya sebelum menginstal Ekstensi Cadangan.
Peran dan izin akses yang diperlukan
Untuk melakukan operasi pencadangan dan pemulihan AKS sebagai pengguna, Anda harus memiliki peran tertentu pada kluster AKS, brankas Cadangan, akun Penyimpanan, dan grup sumber daya Rekam Jepret.
| Cakupan | Peran yang disukai | Deskripsi |
|---|---|---|
| Kluster AKS | Pemilik | Memungkinkan Anda menginstal Ekstensi Cadangan, mengaktifkan Akses Tepercaya dan memberikan izin ke brankas Cadangan melalui kluster. |
| Grup sumber daya brankas cadangan | Kontributor Cadangan | Memungkinkan Anda membuat brankas Cadangan dalam grup sumber daya, membuat kebijakan pencadangan, mengonfigurasi pencadangan, dan memulihkan serta menetapkan peran yang hilang yang diperlukan untuk operasi Pencadangan. |
| Akun Penyimpanan | Pemilik | Memungkinkan Anda melakukan operasi baca dan tulis pada akun penyimpanan dan menetapkan peran yang diperlukan ke sumber daya Azure lainnya sebagai bagian dari operasi pencadangan. |
| Grup sumber daya rekam jepret | Pemilik | Memungkinkan Anda melakukan operasi baca dan tulis pada grup sumber daya Snapshot dan menetapkan peran yang diperlukan ke sumber daya Azure lainnya sebagai bagian dari operasi pencadangan. |
Catatan
Peran pemilik pada sumber daya Azure memungkinkan Anda melakukan operasi Azure RBAC dari sumber daya tersebut. Jika tidak tersedia, pemilik sumber daya harus memberikan peran yang diperlukan ke brankas Cadangan dan kluster AKS sebelum memulai operasi pencadangan atau pemulihan.
Selain itu, sebagai bagian dari operasi pencadangan dan pemulihan, peran berikut ditetapkan ke kluster AKS, Identitas Ekstensi Cadangan, dan brankas Cadangan.
| Peran | Ditetapkan ke | Ditetapkan aktif | Deskripsi |
|---|---|---|---|
| Pembaca | Kubah cadangan | Kluster AKS | Memungkinkan vault Backup untuk melakukan operasi Daftar dan Baca pada kluster AKS. |
| Pembaca | Kubah cadangan | Grup sumber daya rekam jepret | Memungkinkan vault Backup untuk melakukan operasi Daftar dan Baca pada grup sumber daya rekam jepret. |
| Kontributor | Kluster AKS | Grup sumber daya rekam jepret | Mengizinkan kluster AKS menyimpan snapshot volume persisten di grup sumber daya. |
| Kontributor Data Blob Penyimpanan | Identitas Ekstensi | Akun Penyimpanan | Mengizinkan Ekstensi Cadangan menyimpan cadangan sumber daya kluster dalam kontainer blob. |
| Operator Data untuk Disk Terkelola | Kubah cadangan | Grup Sumber Daya Snapshot | Memungkinkan layanan Backup Vault memindahkan data rekam jepret bertahap ke Vault. |
| Kontributor Snapshot Disk | Kubah cadangan | Grup Sumber Daya Snapshot | Memungkinkan Backup Vault mengakses rekam jepret Disk dan melakukan operasi Vaulting. |
| Pembaca Data Blob Penyimpanan | Kubah cadangan | Akun Penyimpanan | Izinkan Backup Vault mengakses Kontainer Blob dengan data cadangan yang disimpan untuk pindah ke Vault. |
| Kontributor | Kubah cadangan | Grup Sumber Daya Penahapan | Memungkinkan Backup Vault untuk menghidrasi cadangan sebagai Disk yang disimpan di Tingkat Vault. |
| Kontributor Akun Penyimpanan | Kubah cadangan | Akun Penyimpanan Penahapan | Memungkinkan Backup Vault untuk menghidrasi cadangan yang disimpan di Tingkat Vault. |
| pemilik Data Blob Penyimpanan | Kubah cadangan | Akun Penyimpanan Penahapan | Memungkinkan Backup Vault menyalin status kluster dalam kontainer blob yang disimpan di Tingkat Vault. |
Catatan
Pencadangan AKS memungkinkan Anda menetapkan peran ini selama proses pencadangan dan pemulihan melalui portal Azure dengan satu klik.