Prerequisiti per il backup di servizio Azure Kubernetes tramite Backup di Azure
Questo articolo descrive i prerequisiti per il backup di servizio Azure Kubernetes (servizio Azure Kubernetes).
Backup di Azure consente ora di eseguire il backup dei cluster del servizio Azure Kubernetes (risorse cluster e volumi permanenti collegati al cluster) usando un'estensione di backup, che deve essere installata nel cluster. L'insieme di credenziali di Backup comunica con il cluster tramite l'estensione Backup per eseguire operazioni di backup e ripristino. In base al modello di sicurezza con privilegi minimi, un insieme di credenziali di backup deve avere l'accesso attendibile abilitato per comunicare con il cluster del servizio Azure Kubernetes.
Nota
Le funzionalità di backup archiviato nell'insieme di credenziali e il ripristino tra aree per il servizio Azure Kubernetes con Backup di Azure sono attualmente in anteprima.
Estensione di backup
L'estensione abilita le funzionalità di backup e ripristino per i carichi di lavoro in contenitori e i volumi persistenti usati dai carichi di lavoro in esecuzione nei cluster del servizio Azure Kubernetes.
L'estensione di backup viene installata nel proprio spazio dei nomi dataprotection-microsoft per impostazione predefinita. Viene installato con ambito a livello di cluster che consente all'estensione di accedere a tutte le risorse del cluster. Durante l'installazione dell'estensione, crea anche un'identità gestita assegnata dall'utente (identità di estensione) nel gruppo di risorse Pool di nodi.
L'estensione di backup usa un contenitore BLOB (fornito in input durante l'installazione) come percorso predefinito per l'archiviazione di backup. Per accedere a questo contenitore BLOB, l'identità dell'estensione richiede Archiviazione ruolo Collaboratore dati BLOB nell'account di archiviazione con il contenitore.
È necessario installare l'estensione di backup sia nel cluster di origine di cui eseguire il backup che nel cluster di destinazione in cui deve essere ripristinato il backup.
È possibile installare l'estensione di backup nel cluster dal pannello del portale del servizio Azure Kubernetes nella scheda Backup in Impostazioni. È anche possibile usare i comandi dell'interfaccia della riga di comando di Azure per gestire l'installazione e altre operazioni nell'estensione di backup.
Prima di installare un'estensione in un cluster del servizio Azure Kubernetes, è necessario registrare il
Microsoft.KubernetesConfigurationprovider di risorse a livello di sottoscrizione. Informazioni su come registrare il provider di risorse.L'agente di estensione e l'operatore di estensione sono i componenti principali della piattaforma nel servizio Azure Kubernetes, che vengono installati quando un'estensione di qualsiasi tipo viene installata per la prima volta in un cluster del servizio Azure Kubernetes. Queste funzionalità offrono funzionalità per distribuire estensioni 1P e 3P . L'estensione di backup si basa anche su di esse per l'installazione e gli aggiornamenti.
Nota
Entrambi questi componenti principali vengono distribuiti con limiti rigidi aggressivi sulla CPU e sulla memoria, con CPU inferiore allo 0,5% di un limite di core e memoria compreso tra 50 e 200 MB. Quindi, l'impatto COGS di questi componenti è molto basso. Poiché sono componenti principali della piattaforma, non è disponibile alcuna soluzione alternativa per rimuoverli dopo l'installazione nel cluster.
Se Archiviazione Account, da specificare come input per l'installazione dell'estensione, è in Rete virtuale/firewall, BackupVault deve essere aggiunto come accesso attendibile in Archiviazione Account Network Impostazioni. Informazioni su come concedere l'accesso al servizio di Azure attendibile, che consente di archiviare i backup nell'archivio dati dell'insieme di credenziali
Informazioni su come gestire l'operazione per installare l'estensione di backup usando l'interfaccia della riga di comando di Azure.
Accesso attendibile
Molti servizi di Azure dipendono dal cluster Amministrazione kubeconfig e dall'endpoint kube-apiserver accessibile pubblicamente per accedere ai cluster del servizio Azure Kubernetes. La funzionalità Accesso attendibile del servizio Azure Kubernetes consente di ignorare la restrizione dell'endpoint privato. Senza usare l'applicazione Microsoft Entra, questa funzionalità consente di fornire il consenso esplicito per l'identità assegnata dal sistema delle risorse consentite per accedere ai cluster del servizio Azure Kubernetes usando un RoleBinding della risorsa di Azure. La funzionalità consente di accedere ai cluster del servizio Azure Kubernetes con configurazioni diverse, che non sono limitate a cluster privati, cluster con account locali disabilitati, cluster MICROSOFT Entra ID e cluster di intervalli IP autorizzati.
Le risorse di Azure accedono ai cluster del servizio Azure Kubernetes tramite il gateway a livello di area del servizio Azure Kubernetes usando l'autenticazione dell'identità gestita assegnata dal sistema. L'identità gestita deve disporre delle autorizzazioni Kubernetes appropriate assegnate tramite un ruolo risorsa di Azure.
Per il backup del servizio Azure Kubernetes, l'insieme di credenziali di backup accede ai cluster del servizio Azure Kubernetes tramite Accesso attendibile per configurare i backup e i ripristini. All'insieme di credenziali di Backup viene assegnato un ruolo predefinito Microsoft.DataProtection/backupVaults/backup-operator nel cluster del servizio Azure Kubernetes, consentendo di eseguire solo operazioni di backup specifiche.
Per abilitare l'accesso attendibile tra un insieme di credenziali di backup e un cluster del servizio Azure Kubernetes, è necessario registrare il TrustedAccessPreview flag di funzionalità a Microsoft.ContainerService livello di sottoscrizione. Altre informazioni per registrare il provider di risorse.
Informazioni su come abilitare l'accesso attendibile.
Nota
- È possibile installare l'estensione di backup nel cluster del servizio Azure Kubernetes direttamente dal portale di Azure nella sezione Backup del portale del servizio Azure Kubernetes.
- È anche possibile abilitare l'accesso attendibile tra l'insieme di credenziali di backup e il cluster del servizio Azure Kubernetes durante le operazioni di backup o ripristino nel portale di Azure.
Cluster del servizio Azure Kubernetes
Per abilitare il backup per un cluster del servizio Azure Kubernetes, vedere i prerequisiti seguenti: .
Il backup del servizio Azure Kubernetes usa le funzionalità di snapshot dei driver CSI per eseguire backup di volumi persistenti. Il supporto del driver CSI è disponibile per i cluster del servizio Azure Kubernetes con Kubernetes versione 1.21.1 o successiva.
Nota
- Attualmente, il backup del servizio Azure Kubernetes supporta solo il backup di volumi persistenti basati su disco di Azure (abilitati dal driver CSI). Se si usano condivisioni file di Azure e volumi persistenti di tipo BLOB di Azure nei cluster del servizio Azure Kubernetes, è possibile configurare i backup tramite le soluzioni Backup di Azure disponibili per Condivisione file di Azure e BLOB di Azure.
- In Albero i volumi non sono supportati dal backup del servizio Azure Kubernetes. è possibile eseguire il backup solo dei volumi basati su driver CSI. È possibile eseguire la migrazione da volumi ad albero a volumi persistenti basati su driver CSI.
Prima di installare l'estensione di backup nel cluster del servizio Azure Kubernetes, assicurarsi che i driver e gli snapshot CSI siano abilitati per il cluster. Se disabilitato, vedere questi passaggi per abilitarli.
Backup di Azure per il servizio Azure Kubernetes supporta i cluster del servizio Azure Kubernetes usando identità di sistema o identità utente per le operazioni di backup. Anche se i cluster che usano Service Principle non sono supportati, è possibile aggiornare tale cluster del servizio Azure Kubernetes per usare un'identità del sistema gestita.
L'estensione di backup durante l'installazione recupera le immagini del contenitore archiviate in Registro Contenitori Microsoft.The Backup Extension during installation fetches Container Images stored in Microsoft Container Registry (MCR). Se si abilita un firewall nel cluster del servizio Azure Kubernetes, il processo di installazione dell'estensione potrebbe non riuscire a causa di problemi di accesso nel Registro di sistema. Informazioni su come consentire l'accesso MCR dal firewall.
Nel caso in cui il cluster sia presente in una rete virtuale privata e in un firewall, applicare le regole del nome di dominio completo/applicazione seguenti:
*.microsoft.com,*.azure.com,*.core.windows.net,*.azmk8s.io,*.digicert.com,*.digicert.cn,*.geotrust.com,*.msocsp.com. Informazioni su come applicare le regole del nome di dominio completo.Se si dispone di un'installazione precedente di Velero nel cluster del servizio Azure Kubernetes, è necessario eliminarla prima di installare l'estensione di backup.
Ruoli di sicurezza e autorizzazioni richiesti
Per eseguire operazioni di backup e ripristino del servizio Azure Kubernetes come utente, è necessario avere ruoli specifici nel cluster del servizio Azure Kubernetes, nell'insieme di credenziali di backup, nell'account Archiviazione e nel gruppo di risorse snapshot.
| Ambito | Ruolo preferito | Descrizione |
|---|---|---|
| Cluster del servizio Azure Kubernetes | Proprietario | Consente di installare l'estensione di backup, abilitare l'accesso attendibile e concedere le autorizzazioni per l'insieme di credenziali di backup nel cluster. |
| Gruppo di risorse dell'insieme di credenziali di backup | Collaboratore di backup | Consente di creare un insieme di credenziali di backup in un gruppo di risorse, creare criteri di backup, configurare il backup e ripristinare e assegnare i ruoli mancanti necessari per le operazioni di backup. |
| Account di archiviazione | Proprietario | Consente di eseguire operazioni di lettura e scrittura nell'account di archiviazione e di assegnare i ruoli necessari ad altre risorse di Azure come parte delle operazioni di backup. |
| Gruppo di risorse snapshot | Proprietario | Consente di eseguire operazioni di lettura e scrittura nel gruppo di risorse Snapshot e di assegnare i ruoli necessari ad altre risorse di Azure come parte delle operazioni di backup. |
Nota
Il ruolo proprietario in una risorsa di Azure consente di eseguire operazioni di controllo degli accessi in base al ruolo di Azure di tale risorsa. Se non è disponibile, il proprietario della risorsa deve fornire i ruoli necessari all'insieme di credenziali di backup e al cluster del servizio Azure Kubernetes prima di avviare le operazioni di backup o ripristino.
Inoltre, come parte delle operazioni di backup e ripristino, i ruoli seguenti vengono assegnati al cluster del servizio Azure Kubernetes, all'identità dell'estensione di backup e all'insieme di credenziali di backup.
| Ruolo | Assegnato a | Assegnato il | Descrizione |
|---|---|---|---|
| Lettore | Insieme di credenziali per il backup | Cluster del servizio Azure Kubernetes | Consente all'insieme di credenziali di backup di eseguire operazioni di elenco e lettura nel cluster del servizio Azure Kubernetes. |
| Lettore | Insieme di credenziali per il backup | Gruppo di risorse dello snapshot | Consente all'insieme di credenziali di backup di eseguire operazioni di elenco e lettura nel gruppo di risorse snapshot. |
| Collaboratore | Cluster del servizio Azure Kubernetes | Gruppo di risorse dello snapshot | Consente al cluster del servizio Azure Kubernetes di archiviare snapshot del volume permanenti nel gruppo di risorse. |
| Collaboratore dati BLOB di archiviazione | Identità dell'estensione | Account di archiviazione | Consente all'estensione di backup di archiviare i backup delle risorse cluster nel contenitore BLOB. |
| Operatore dati per Managed Disk | Insieme di credenziali per il backup | Gruppo di risorse dello snapshot | Consente al servizio Backup Vault di spostare i dati incrementali degli snapshot nell'insieme di credenziali. |
| Collaboratore snapshot del disco | Insieme di credenziali per il backup | Gruppo di risorse dello snapshot | Consente all'insieme di credenziali di backup di accedere agli snapshot dei dischi ed eseguire l'operazione di insieme di credenziali. |
| Lettore dei dati del BLOB di archiviazione | Insieme di credenziali per il backup | Account di archiviazione | Consentire a Backup Vault di accedere al contenitore BLOB con i dati di backup archiviati per passare all'insieme di credenziali. |
| Collaboratore | Insieme di credenziali per il backup | Gruppo di risorse di per la gestione temporanea | Consente a Backup Vault di idratare i backup come dischi archiviati nel livello dell'insieme di credenziali. |
| Collaboratore account di archiviazione | Insieme di credenziali per il backup | Account di archiviazione per la gestione temporanea | Consente a Backup Vault di idratare i backup archiviati nel livello dell'insieme di credenziali. |
| Proprietario dei dati del BLOB di archiviazione | Insieme di credenziali per il backup | Account di archiviazione per la gestione temporanea | Consente a Backup Vault di copiare lo stato del cluster in un contenitore BLOB archiviato nel livello dell'insieme di credenziali. |
Nota
Il backup del servizio Azure Kubernetes consente di assegnare questi ruoli durante i processi di backup e ripristino tramite il portale di Azure con un solo clic.