Vereisten voor back-ups van Azure Kubernetes Service met behulp van Azure Backup
In dit artikel worden de vereisten voor AKS-back-ups (Azure Kubernetes Service) beschreven.
Met Azure Backup kunt u nu een back-up maken van AKS-clusters (clusterbronnen en permanente volumes die aan het cluster zijn gekoppeld) met behulp van een back-upextensie die in het cluster moet worden geïnstalleerd. Back-upkluis communiceert met het cluster via deze back-upextensie om back-up- en herstelbewerkingen uit te voeren. Op basis van het beveiligingsmodel met minimale bevoegdheden moet een Backup-kluis vertrouwde toegang hebben ingeschakeld om te communiceren met het AKS-cluster.
Notitie
Gekluisde back-ups en herstel tussen regio's voor AKS met behulp van Azure Backup zijn momenteel beschikbaar als preview-versie.
Backup-extensie
De extensie maakt back-up- en herstelmogelijkheden mogelijk voor de workloads in containers en permanente volumes die worden gebruikt door de workloads die worden uitgevoerd in AKS-clusters.
De back-upextensie wordt standaard geïnstalleerd in een eigen naamruimte dataprotection-microsoft . Het is geïnstalleerd met een breed clusterbereik waarmee de extensie toegang heeft tot alle clusterbronnen. Tijdens de installatie van de extensie wordt ook een door de gebruiker toegewezen beheerde identiteit (extensie-identiteit) gemaakt in de resourcegroep van de knooppuntgroep.
De back-upextensie maakt gebruik van een blobcontainer (opgegeven in invoer tijdens de installatie) als standaardlocatie voor back-upopslag. Voor toegang tot deze blobcontainer is voor de extensie-id de rol Inzender voor opslagblobgegevens vereist voor het opslagaccount met de container.
U moet de back-upextensie installeren op het broncluster waarvan een back-up moet worden gemaakt en het doelcluster waar de back-up moet worden hersteld.
Back-upextensie kan worden geïnstalleerd in het cluster vanaf de blade AKS-portal op het tabblad Back-up onder Instellingen. U kunt ook de Azure CLI-opdrachten gebruiken om de installatie en andere bewerkingen op de back-upextensie te beheren.
Voordat u een extensie in een AKS-cluster installeert, moet u de
Microsoft.KubernetesConfigurationresourceprovider registreren op abonnementsniveau. Meer informatie over het registreren van de resourceprovider.Extensieagent en extensieoperator zijn de belangrijkste platformonderdelen in AKS, die worden geïnstalleerd wanneer een extensie van elk type voor het eerst in een AKS-cluster wordt geïnstalleerd. Deze bieden mogelijkheden voor het implementeren van 1P - en 3P-extensies . De back-upextensie is ook afhankelijk van de installatie en upgrades.
Notitie
Beide kernonderdelen worden geïmplementeerd met agressieve harde limieten voor CPU en geheugen, met minder dan 0,5% van een kern - en geheugenlimiet, variërend van 50-200 MB. De COGS-impact van deze onderdelen is dus zeer laag. Omdat het kernplatformonderdelen zijn, is er geen tijdelijke oplossing beschikbaar om ze te verwijderen nadat ze in het cluster zijn geïnstalleerd.
Als het opslagaccount moet worden opgegeven als invoer voor de installatie van extensies, zich onder Virtual Network/Firewall bevindt, moet BackupVault worden toegevoegd als vertrouwde toegang in de netwerkinstellingen van het opslagaccount. Meer informatie over het verlenen van toegang tot vertrouwde Azure-service, waarmee u back-ups kunt opslaan in het kluisgegevensarchief
Meer informatie over het beheren van de bewerking voor het installeren van de back-upextensie met behulp van Azure CLI.
Vertrouwde toegang
Veel Azure-services zijn afhankelijk van clusterAdmin kubeconfig en het openbaar toegankelijke kube-apiserver-eindpunt voor toegang tot AKS-clusters. Met de functie Vertrouwde toegang van AKS kunt u de beperking van het privé-eindpunt omzeilen. Zonder microsoft Entra-toepassing te gebruiken, kunt u met deze functie expliciet toestemming geven voor uw door het systeem toegewezen identiteit van toegestane resources voor toegang tot uw AKS-clusters met behulp van een Azure-resource RoleBinding. Met deze functie hebt u toegang tot AKS-clusters met verschillende configuraties, die niet beperkt zijn tot privéclusters, clusters met lokale accounts uitgeschakeld, Microsoft Entra ID-clusters en geautoriseerde IP-bereikclusters.
Uw Azure-resources hebben toegang tot AKS-clusters via de regionale AKS-gateway met behulp van door het systeem toegewezen beheerde identiteitverificatie. De beheerde identiteit moet beschikken over de juiste Kubernetes-machtigingen die zijn toegewezen via een Azure-resourcerol.
Voor AKS-back-ups heeft de Backup-kluis toegang tot uw AKS-clusters via vertrouwde toegang om back-ups en herstelbewerkingen te configureren. Aan de Backup-kluis wordt een vooraf gedefinieerde rol toegewezen aan Microsoft.DataProtection/backupVaults/backup-operator in het AKS-cluster, zodat alleen specifieke back-upbewerkingen kunnen worden uitgevoerd.
Als u Vertrouwde toegang wilt inschakelen tussen een Back-upkluis en een AKS-cluster, moet u de TrustedAccessPreview functievlag Microsoft.ContainerService registreren op abonnementsniveau. Meer informatie over het registreren van de resourceprovider.
Meer informatie over het inschakelen van vertrouwde toegang.
Notitie
- U kunt de back-upextensie in uw AKS-cluster rechtstreeks vanuit Azure Portal installeren in de sectie Back-up in de AKS-portal .
- U kunt vertrouwde toegang ook inschakelen tussen de Back-upkluis en het AKS-cluster tijdens de back-up- of herstelbewerkingen in Azure Portal.
AKS-cluster
Als u back-ups voor een AKS-cluster wilt inschakelen, raadpleegt u de volgende vereisten: .
AKS-back-up maakt gebruik van momentopnamemogelijkheden van CSI-stuurprogramma's om back-ups van permanente volumes uit te voeren. Ondersteuning voor CSI-stuurprogramma's is beschikbaar voor AKS-clusters met Kubernetes versie 1.21.1 of hoger.
Notitie
- Op dit moment biedt AKS-back-up alleen ondersteuning voor back-ups van permanente volumes op basis van Azure Disk (ingeschakeld door CSI-stuurprogramma). Als u azure-bestandsshare en permanente volumes van Azure Blob-typen in uw AKS-clusters gebruikt, kunt u back-ups voor deze volumes configureren via de Azure Backup-oplossingen die beschikbaar zijn voor Azure-bestandsshare en Azure Blob.
- In Tree worden volumes niet ondersteund door AKS-back-up; alleen volumes op basis van CSI-stuurprogramma's kunnen worden geback-upt. U kunt migreren van structuurvolumes naar permanente volumes op basis van CSI-stuurprogramma's.
Voordat u de back-upextensie installeert in het AKS-cluster, moet u ervoor zorgen dat de CSI-stuurprogramma's en momentopnamen zijn ingeschakeld voor uw cluster. Als deze optie is uitgeschakeld, raadpleegt u deze stappen om ze in te schakelen.
Azure Backup voor AKS ondersteunt AKS-clusters met behulp van een door het systeem toegewezen beheerde identiteit of een door de gebruiker toegewezen beheerde identiteit voor back-upbewerkingen. Hoewel clusters met een service-principal niet worden ondersteund, kunt u een bestaand AKS-cluster bijwerken om een door het systeem toegewezen beheerde identiteit of een door de gebruiker toegewezen beheerde identiteit te gebruiken.
De back-upextensie tijdens de installatie haalt containerinstallatiekopieën op die zijn opgeslagen in Microsoft Container Registry (MCR). Als u een firewall op het AKS-cluster inschakelt, kan het installatieproces van de extensie mislukken vanwege toegangsproblemen in het register. Meer informatie over het toestaan van MCR-toegang vanuit de firewall.
Als u het cluster in een particulier virtueel netwerk en firewall hebt, past u de volgende FQDN-/toepassingsregels toe:
*.microsoft.com, ,*.azure.com,*.core.windows.net,*.azmk8s.io*.digicert.com,*.digicert.cn, .*.geotrust.com*.msocsp.comMeer informatie over het toepassen van FQDN-regels.Als u een eerdere installatie van Velero in het AKS-cluster hebt, moet u het verwijderen voordat u de Back-upextensie installeert.
Vereiste rollen en machtigingen
Als u AKS-back-up- en herstelbewerkingen als gebruiker wilt uitvoeren, moet u specifieke rollen hebben in het AKS-cluster, de Back-upkluis, het opslagaccount en de resourcegroep Momentopname.
| Bereik | Voorkeursrol | Beschrijving |
|---|---|---|
| AKS-cluster | Eigenaar | Hiermee kunt u de back-upextensie installeren, vertrouwde toegang inschakelen en machtigingen verlenen aan de Backup-kluis via het cluster. |
| Back-upkluisresourcegroep | Inzender voor back-ups | Hiermee kunt u een Backup-kluis maken in een resourcegroep, back-upbeleid maken, back-up configureren en ontbrekende rollen herstellen en toewijzen die vereist zijn voor back-upbewerkingen. |
| Opslagaccount | Eigenaar | Hiermee kunt u lees- en schrijfbewerkingen uitvoeren op het opslagaccount en vereiste rollen toewijzen aan andere Azure-resources als onderdeel van back-upbewerkingen. |
| Momentopname resourcegroep | Eigenaar | Hiermee kunt u lees- en schrijfbewerkingen uitvoeren op de resourcegroep Momentopname en de vereiste rollen toewijzen aan andere Azure-resources als onderdeel van back-upbewerkingen. |
Notitie
Met de rol Eigenaar van een Azure-resource kunt u Azure RBAC-bewerkingen van die resource uitvoeren. Als deze niet beschikbaar is, moet de resource-eigenaar de vereiste rollen opgeven voor de Backup-kluis en het AKS-cluster voordat de back-up- of herstelbewerkingen worden gestart.
Als onderdeel van de back-up- en herstelbewerkingen worden ook de volgende rollen toegewezen aan het AKS-cluster, de identiteit van de back-upextensie en de Back-upkluis.
| Role | Toegewezen aan | Toegewezen op | Beschrijving |
|---|---|---|---|
| Lezer | Back-upkluis | AKS-cluster | Hiermee kan de Backup-kluis lijst- en leesbewerkingen uitvoeren op een AKS-cluster. |
| Lezer | Back-upkluis | Momentopname resourcegroep | Hiermee kan de Backup-kluis lijst- en leesbewerkingen uitvoeren voor de resourcegroep voor momentopnamen. |
| Inzender | AKS-cluster | Momentopname resourcegroep | Hiermee kan een AKS-cluster permanente momentopnamen van volumes opslaan in de resourcegroep. |
| Inzender voor opslagblobgegevens | Extensie-identiteit | Opslagaccount | Met de back-upextensie kunnen back-ups van clusterresources worden opgeslagen in de blobcontainer. |
| Gegevensoperator voor beheerde schijf | Back-upkluis | Momentopname resourcegroep | Hiermee kan de Backup Vault-service incrementele momentopnamegegevens naar de kluis verplaatsen. |
| Inzender voor momentopname van schijf | Back-upkluis | Momentopname resourcegroep | Hiermee kan Backup Vault toegang krijgen tot momentopnamen van schijven en de kluisbewerking uitvoeren. |
| Lezer voor opslagblobgegevens | Back-upkluis | Opslagaccount | Sta Backup Vault toegang tot blobcontainer toe met back-upgegevens die zijn opgeslagen om naar Vault te gaan. |
| Inzender | Back-upkluis | Resourcegroep faseren | Hiermee kan Backup Vault back-ups hydrateren als schijven die zijn opgeslagen in de kluislaag. |
| Inzender voor opslagaccounts | Back-upkluis | Opslagaccount faseren | Hiermee kan Backup Vault back-ups die zijn opgeslagen in de kluislaag hydrateren. |
| Opslag-blobgegevens eigenaar | Back-upkluis | Opslagaccount faseren | Hiermee kan Backup Vault de clusterstatus kopiëren in een blobcontainer die is opgeslagen in de Kluislaag. |
Notitie
Met een AKS-back-up kunt u deze rollen met één klik toewijzen tijdens back-up- en herstelprocessen via Azure Portal.