Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze quickstart wordt beschreven hoe u een gekluisde back-up configureert voor een AKS-cluster (Azure Kubernetes Service) met behulp van Azure CLI.
Azure Backup voor AKS is een cloudeigen, bedrijfsklare, toepassingsgerichte back-upservice waarmee u snel back-ups voor AKS-clusters kunt configureren.
Voordat u begint
Voordat u een gekluisde back-up voor een AKS-cluster configureert, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:
- Voer alle vereisten uit voordat u een back-upbewerking voor AKS-back-up start.
Een Backup-kluis maken
Voer de volgende opdracht uit om de Backup-kluis te maken:
az dataprotection backup-vault create --resource-group $backupvaultresourcegroup --vault-name $backupvault --location $region --type SystemAssigned --storage-settings datastore-type="VaultStore" type="GeoRedundant"
De zojuist aangemaakte kluis heeft opslaginstellingen die zijn ingesteld op globaal redundant. Hierdoor zijn back-ups die zijn opgeslagen in het kluisniveau beschikbaar in de gekoppelde Azure-regio. Zodra de kluis is aangemaakt, maakt u een back-up beleid om AKS-clusters te beschermen.
Maak een back-upbeleid
Haal de beleidssjabloon op met behulp van de opdracht az dataprotection backup-policy get-default-policy-template.
az dataprotection backup-policy get-default-policy-template --datasource-type AzureKubernetesService > akspolicy.json
We werken de standaardsjabloon voor het back-upbeleid bij en voegen een bewaarregel toe om de eerste geslaagde back-up per dag in de Kluislaag gedurende 30 dagen te behouden.
az dataprotection backup-policy retention-rule create-lifecycle --count 30 --retention-duration-type Days --copy-option ImmediateCopyOption --target-datastore VaultStore --source-datastore OperationalStore > ./retentionrule.json
az dataprotection backup-policy retention-rule set --lifecycles ./retentionrule.json --name Daily --policy ./akspolicy.json > ./akspolicy.json
Zodra de JSON van het beleid alle vereiste waarden heeft, gaat u verder met het maken van een nieuw beleid op basis van het beleidsobject.
az dataprotection backup-policy create -g testBkpVaultRG --vault-name TestBkpVault -n mypolicy --policy akspolicy.json
AKS-cluster voorbereiden voor back-up
Zodra de kluis en de beleidscreatie zijn voltooid, moet u de volgende stappen doorlopen om het AKS-cluster gereed te maken voor back-up:
Maak een opslagaccount en een blobcontainer.
Back-up voor AKS slaat Kubernetes-resources op in een blobcontainer als back-ups. Als u het AKS-cluster klaar wilt maken voor back-up, moet u een extensie in het cluster installeren. Voor deze extensie zijn het opslagaccount en de blobcontainer als invoer vereist.
Voer de volgende opdracht uit om een nieuw opslagaccount te maken:
az storage account create --name $storageaccount --resource-group $storageaccountresourcegroup --location $region --sku Standard_LRSZodra het maken van het opslagaccount is voltooid, maakt u een blobcontainer binnen door de volgende opdracht uit te voeren:
az storage container create --name $blobcontainer --account-name $storageaccount --auth-mode loginInstalleer de back-upextensie.
De back-upextensie moet worden geïnstalleerd in het AKS-cluster om back-up- en herstelbewerkingen uit te voeren. De back-upextensie maakt een naamruimte
dataprotection-microsoftin het cluster en gebruikt hetzelfde om de resources te implementeren. Voor de extensie zijn het opslagaccount en de blobcontainer vereist als invoer voor de installatie.az k8s-extension create --name azure-aks-backup --extension-type microsoft.dataprotection.kubernetes --scope cluster --cluster-type managedClusters --cluster-name $akscluster --resource-group $aksclusterresourcegroup --release-train stable --configuration-settings blobContainer=$blobcontainer storageAccount=$storageaccount storageAccountResourceGroup=$storageaccountresourcegroup storageAccountSubscriptionId=$subscriptionIdAls onderdeel van de installatie van de extensie wordt een gebruikersidentiteit gemaakt in de knooppuntgroep van het AKS-cluster. Om de extensie toegang te geven tot het opslagaccount, moet u deze identiteit de rol van opslag Blob-gegevens bijdrager toekennen. Voer de volgende opdracht uit om de vereiste rol toe te wijzen:
az role assignment create --assignee-object-id $(az k8s-extension show --name azure-aks-backup --cluster-name $akscluster --resource-group $aksclusterresourcegroup --cluster-type managedClusters --query aksAssignedIdentity.principalId --output tsv) --role 'Storage Blob Data Contributor' --scope /subscriptions/$subscriptionId/resourceGroups/$storageaccountresourcegroup/providers/Microsoft.Storage/storageAccounts/$storageaccountVertrouwde toegang inschakelen
Voordat de Backup-kluis verbinding kan maken met het AKS-cluster, moet u Vertrouwde toegang inschakelen, omdat de Backup-kluis een directe zichtlijn naar het AKS-cluster kan hebben.
Voer de volgende opdracht uit om Vertrouwde toegang in te schakelen:
az aks trustedaccess rolebinding create --cluster-name $akscluster --name backuprolebinding --resource-group $aksclusterresourcegroup --roles Microsoft.DataProtection/backupVaults/backup-operator --source-resource-id /subscriptions/$subscriptionId/resourceGroups/$backupvaultresourcegroup/providers/Microsoft.DataProtection/BackupVaults/$backupvault
Configureer geborgde back-ups voor AKS-cluster
Met de aangemaakte back-upkluis en het back-upbeleid, en het AKS-cluster in de status gereed om een back-up te maken, kunt u nu een back-up maken van uw AKS-cluster.
De aanvraag voorbereiden
De configuratie van back-ups wordt in twee stappen uitgevoerd:
Bereid de back-upconfiguratie voor om te definiëren welke clusterbronnen moeten worden geback-upt met behulp van de
az dataprotection backup-instance initialize-backupconfigopdracht. Met de opdracht wordt een JSON gegenereerd, die u zo nodig kunt bijwerken om de back-upconfiguratie voor uw AKS-cluster te definiëren.az dataprotection backup-instance initialize-backupconfig --datasource-type AzureKubernetesService > aksbackupconfig.jsonBereid de relevante verzoek in door gebruik te maken van de kluis, het beleid, het AKS-cluster, de back-upconfiguratie en de momentopname-resourcegroep met de
az dataprotection backup-instance initializeopdracht.az dataprotection backup-instance initialize --datasource-id /subscriptions/$subscriptionId/resourceGroups/$aksclusterresourcegroup/providers/Microsoft.ContainerService/managedClusters/$akscluster --datasource-location $region --datasource-type AzureKubernetesService --policy-id /subscriptions/$subscriptionId/resourceGroups/$backupvaultresourcegroup/providers/Microsoft.DataProtection/backupVaults/$backupvault/backupPolicies/$backuppolicy --backup-configuration ./aksbackupconfig.json --friendly-name ecommercebackup --snapshot-resource-group-name $snapshotresourcegroup > backupinstance.json
Gebruik nu de JSON-uitvoer van deze opdracht om een back-up voor het AKS-cluster te configureren.
Vereiste machtigingen toewijzen en valideren
Wanneer de aanvraag is voorbereid, moet u eerst controleren of de vereiste rollen zijn toegewezen aan de betrokken resources door de volgende opdracht uit te voeren:
az dataprotection backup-instance validate-for-backup --backup-instance ./backupinstance.json --ids /subscriptions/$subscriptionId/resourceGroups/$backupvaultresourcegroup/providers/Microsoft.DataProtection/backupVaults/$backupvault
Als de validatie mislukt en er bepaalde machtigingen ontbreken, kunt u deze toewijzen door de volgende opdracht uit te voeren:
az dataprotection backup-instance update-msi-permissions command.
az dataprotection backup-instance update-msi-permissions --datasource-type AzureKubernetesService --operation Backup --permissions-scope ResourceGroup --vault-name $backupvault --resource-group $backupvaultresourcegroup --backup-instance backupinstance.json
Zodra de machtigingen zijn toegewezen, valideert u opnieuw met behulp van de eerdere validatie voor de back-upopdracht en gaat u verder met het configureren van de back-up :
az dataprotection backup-instance create --backup-instance backupinstance.json --resource-group $backupvaultresourcegroup --vault-name $backupvault
Volgende stappen
- Azure Kubernetes Service-cluster herstellen met behulp van Azure CLI
- Back-ups van Azure Kubernetes Service-clusters beheren
- Over de back-up van Azure Kubernetes Service-clusters