Share via

Wymagania wstępne dotyczące tworzenia kopii zapasowej usługi Azure Kubernetes Service przy użyciu usługi Azure Backup

  • Artykuł

W tym artykule opisano wymagania wstępne dotyczące tworzenia kopii zapasowych usługi Azure Kubernetes Service (AKS).

Usługa Azure Backup umożliwia teraz tworzenie kopii zapasowych klastrów usługi AKS (zasobów klastra i trwałych woluminów dołączonych do klastra) przy użyciu rozszerzenia kopii zapasowej, które należy zainstalować w klastrze. Magazyn kopii zapasowych komunikuje się z klastrem za pośrednictwem tego rozszerzenia kopii zapasowej w celu wykonywania operacji tworzenia kopii zapasowych i przywracania. W oparciu o najmniej uprzywilejowany model zabezpieczeń magazyn kopii zapasowych musi mieć włączony zaufany dostęp do komunikacji z klastrem usługi AKS.

Uwaga

Przechowywanie kopii zapasowych i przywracanie między regionami dla usługi AKS przy użyciu usługi Azure Backup jest obecnie dostępne w wersji zapoznawczej.

Zapasowy numer wewnętrzny

  • Rozszerzenie umożliwia tworzenie i przywracanie kopii zapasowych dla konteneryzowanych obciążeń i trwałych woluminów używanych przez obciążenia uruchomione w klastrach usługi AKS.

  • Rozszerzenie kopii zapasowej jest instalowane w własnej przestrzeni nazw dataprotection-microsoft domyślnie. Jest on instalowany z szerokim zakresem klastra, który umożliwia rozszerzenie dostępu do wszystkich zasobów klastra. Podczas instalacji rozszerzenia tworzy również tożsamość zarządzaną przypisaną przez użytkownika (tożsamość rozszerzenia) w grupie zasobów Puli węzłów.

  • Rozszerzenie kopii zapasowej używa kontenera obiektów blob (podanych w danych wejściowych podczas instalacji) jako domyślnej lokalizacji magazynu kopii zapasowych. Aby uzyskać dostęp do tego kontenera obiektów blob, tożsamość rozszerzenia wymaga roli Współautor danych obiektu blob usługi Storage na koncie magazynu, które ma kontener.

  • Należy zainstalować rozszerzenie kopii zapasowej zarówno w klastrze źródłowym, jak i w docelowym klastrze, w którym ma zostać przywrócona kopia zapasowa.

  • Rozszerzenie kopii zapasowej można zainstalować w klastrze z poziomu bloku portalu usługi AKS na karcie Kopia zapasowa w Ustawienia. Polecenia interfejsu wiersza polecenia platformy Azure umożliwiają również zarządzanie instalacją i innymi operacjami w rozszerzeniu kopii zapasowej.

  • Przed zainstalowaniem rozszerzenia w klastrze usługi AKS należy zarejestrować dostawcę Microsoft.KubernetesConfiguration zasobów na poziomie subskrypcji. Dowiedz się, jak zarejestrować dostawcę zasobów.

  • Agent rozszerzenia i operator rozszerzenia to podstawowe składniki platformy w usłudze AKS, które są instalowane po zainstalowaniu rozszerzenia dowolnego typu po raz pierwszy w klastrze usługi AKS. Zapewniają one możliwości wdrażania rozszerzeń 1P i 3P . Rozszerzenie kopii zapasowej opiera się również na nich na potrzeby instalacji i uaktualnień.

    Uwaga

    Oba te podstawowe składniki są wdrażane z agresywnymi limitami twardymi procesora CPU i pamięci, przy użyciu procesora CPU mniejszego niż 0,5% limitu rdzeni i pamięci w zakresie od 50 do 200 MB. W związku z tym wpływ tych składników na coGS jest bardzo niski. Ponieważ są to podstawowe składniki platformy, nie ma dostępnego obejścia, aby je usunąć po zainstalowaniu w klastrze.

  • Jeśli konto magazynu, które ma zostać podane jako dane wejściowe dla instalacji rozszerzenia, znajduje się w obszarze Sieć wirtualna/Zapora, należy dodać usługę BackupVault jako zaufany dostęp w Ustawienia sieci konta magazynu. Dowiedz się, jak udzielić dostępu do zaufanej usługi platformy Azure, która ułatwia przechowywanie kopii zapasowych w magazynie danych magazynu

Dowiedz się , jak zarządzać operacją instalowania rozszerzenia kopii zapasowej przy użyciu interfejsu wiersza polecenia platformy Azure.

Zaufany dostęp

Wiele usług platformy Azure zależy od klastra Administracja kubeconfig i publicznie dostępnego punktu końcowego kube-apiserver w celu uzyskania dostępu do klastrów usługi AKS. Funkcja zaufanego dostępu usługi AKS umożliwia obejście ograniczenia prywatnego punktu końcowego. Bez korzystania z aplikacji Microsoft Entra ta funkcja umożliwia jawne wyrażenie zgody na tożsamość przypisaną przez system dozwolonych zasobów w celu uzyskania dostępu do klastrów usługi AKS przy użyciu usługi RoleBinding zasobu platformy Azure. Ta funkcja umożliwia dostęp do klastrów usługi AKS z różnymi konfiguracjami, które nie są ograniczone do klastrów prywatnych, klastrów z wyłączonymi kontami lokalnymi, klastrami Microsoft Entra ID i autoryzowanymi klastrami zakresów adresów IP.

Zasoby platformy Azure uzyskują dostęp do klastrów usługi AKS za pośrednictwem bramy regionalnej usługi AKS przy użyciu uwierzytelniania tożsamości zarządzanej przypisanej przez system. Tożsamość zarządzana musi mieć odpowiednie uprawnienia platformy Kubernetes przypisane za pośrednictwem roli zasobu platformy Azure.

W przypadku kopii zapasowej usługi AKS magazyn usługi Backup uzyskuje dostęp do klastrów usługi AKS za pośrednictwem zaufanego dostępu w celu skonfigurowania kopii zapasowych i przywracania. Magazyn kopii zapasowych ma przypisaną wstępnie zdefiniowaną rolę Microsoft.DataProtection/backupVaults/backup-operator w klastrze usługi AKS, umożliwiając jej wykonywanie tylko określonych operacji tworzenia kopii zapasowych.

Aby włączyć zaufany dostęp między magazynem kopii zapasowych i klastrem usługi AKS, należy zarejestrować flagę TrustedAccessPreview funkcji na Microsoft.ContainerService poziomie subskrypcji. Dowiedz się więcej , aby zarejestrować dostawcę zasobów.

Dowiedz się , jak włączyć zaufany dostęp.

Uwaga

  • Rozszerzenie kopii zapasowej można zainstalować w klastrze usługi AKS bezpośrednio z witryny Azure Portal w sekcji Kopia zapasowa w portalu usługi AKS.
  • Możesz również włączyć zaufany dostęp między magazynem kopii zapasowych i klastrem usługi AKS podczas operacji tworzenia kopii zapasowej lub przywracania w witrynie Azure Portal.

Klaster AKS

Aby włączyć tworzenie kopii zapasowej klastra usługi AKS, zobacz następujące wymagania wstępne: .

  • Kopia zapasowa usługi AKS używa funkcji migawek sterowników CSI do wykonywania kopii zapasowych woluminów trwałych. Obsługa sterowników CSI jest dostępna dla klastrów usługi AKS z rozwiązaniem Kubernetes w wersji 1.21.1 lub nowszej.

    Uwaga

    • Obecnie kopia zapasowa usługi AKS obsługuje tylko kopie zapasowe woluminów trwałych opartych na dyskach platformy Azure (włączone przez sterownik CSI). Jeśli używasz udziałów plików platformy Azure i trwałych woluminów typu obiektów blob platformy Azure w klastrach usługi AKS, możesz skonfigurować kopie zapasowe za pośrednictwem rozwiązań usługi Azure Backup dostępnych dla udziału plików platformy Azure i obiektu blob platformy Azure.
    • W drzewie woluminy nie są obsługiwane przez kopię zapasową usługi AKS; Można utworzyć kopię zapasową tylko woluminów opartych na sterownikach CSI. Można przeprowadzić migrację z woluminów drzewa do woluminów trwałych opartych na sterownikach CSI.

  • Przed zainstalowaniem rozszerzenia kopii zapasowej w klastrze usługi AKS upewnij się, że sterowniki i migawki CSI są włączone dla klastra. Jeśli to ustawienie jest wyłączone, zapoznaj się z tymi krokami, aby je włączyć.

  • Usługa Azure Backup for AKS obsługuje klastry usługi AKS przy użyciu tożsamości systemu lub tożsamości użytkownika na potrzeby operacji tworzenia kopii zapasowych. Mimo że klastry korzystające z jednostki usługi nie są obsługiwane, można zaktualizować taki klaster usługi AKS, aby użyć tożsamości systemu zarządzanego.

  • Rozszerzenie kopii zapasowej podczas instalacji pobiera obrazy kontenerów przechowywane w usłudze Microsoft Container Registry (MCR). Jeśli włączysz zaporę w klastrze usługi AKS, proces instalacji rozszerzenia może zakończyć się niepowodzeniem z powodu problemów z dostępem do rejestru. Dowiedz się , jak zezwolić na dostęp mcR z zapory.

  • Jeśli masz klaster w prywatnej sieci wirtualnej i zaporze, zastosuj następujące reguły FQDN/aplikacji: *.microsoft.com, , *.digicert.com*.azure.com*.azmk8s.io*.digicert.cn*.core.windows.net, . *.msocsp.com*.geotrust.com Dowiedz się , jak stosować reguły nazw FQDN.

  • Jeśli masz poprzednią instalację platformy Velero w klastrze usługi AKS, musisz ją usunąć przed zainstalowaniem rozszerzenia kopii zapasowej.

Wymagane role i uprawnienia

Aby wykonać operacje tworzenia i przywracania kopii zapasowej usługi AKS jako użytkownik, musisz mieć określone role w klastrze AKS, magazynie kopii zapasowych, koncie magazynu magazynu i grupie zasobów migawki.

Scope Preferowana rola opis
Klaster AKS Właściciel Umożliwia zainstalowanie rozszerzenia kopii zapasowej, włączenie zaufanego dostępu i przyznanie uprawnień do magazynu kopii zapasowych w klastrze.
Grupa zasobów magazynu kopii zapasowych Współautor kopii zapasowej Umożliwia tworzenie magazynu kopii zapasowych w grupie zasobów, tworzenie zasad tworzenia kopii zapasowych, konfigurowanie kopii zapasowej i przywracanie oraz przypisywanie brakujących ról wymaganych do wykonywania operacji tworzenia kopii zapasowych.
Konto magazynu Właściciel Umożliwia wykonywanie operacji odczytu i zapisu na koncie magazynu i przypisywanie wymaganych ról do innych zasobów platformy Azure w ramach operacji tworzenia kopii zapasowych.
Grupa zasobów migawki Właściciel Umożliwia wykonywanie operacji odczytu i zapisu w grupie zasobów Migawka i przypisywanie wymaganych ról do innych zasobów platformy Azure w ramach operacji tworzenia kopii zapasowych.

Uwaga

Rola właściciela zasobu platformy Azure umożliwia wykonywanie operacji kontroli dostępu opartej na rolach platformy Azure dla tego zasobu. Jeśli nie jest dostępna, właściciel zasobu musi podać wymagane role do magazynu kopii zapasowych i klastra usługi AKS przed zainicjowaniem operacji tworzenia kopii zapasowej lub przywracania.

Ponadto w ramach operacji tworzenia kopii zapasowej i przywracania następujące role są przypisywane do klastra usługi AKS, tożsamości rozszerzenia kopii zapasowej i magazynu kopii zapasowych.

Rola Przypisano do Przypisana Opis
Czytelnik Magazyn kopii zapasowych Klaster usługi AKS Umożliwia magazynowi kopii zapasowych wykonywanie operacji list i odczytu w klastrze usługi AKS.
Czytelnik Magazyn kopii zapasowych Grupa zasobów migawki Umożliwia magazynowi kopii zapasowych wykonywanie operacji listy i odczytu w grupie zasobów migawki.
Współautor Klaster usługi AKS Grupa zasobów migawki Umożliwia klastrowi usługi AKS przechowywanie trwałych migawek woluminów w grupie zasobów.
Współautor danych w usłudze Blob Storage Tożsamość rozszerzenia Konto magazynu Umożliwia rozszerzenie kopii zapasowej do przechowywania kopii zapasowych zasobów klastra w kontenerze obiektów BLOB.
Operator danych dla dysku zarządzanego Magazyn kopii zapasowych Grupa zasobów migawki Umożliwia usłudze Backup Vault przenoszenie przyrostowych danych migawek do magazynu.
Uczestnik migawki dysku Magazyn kopii zapasowych Grupa zasobów migawki Umożliwia usłudze Backup Vault uzyskiwanie dostępu do migawek dysków i wykonywanie operacji magazynowania.
Czytelnik danych obiektu BLOB usługi Storage Magazyn kopii zapasowych Konto magazynu Zezwól usłudze Backup Vault na dostęp do kontenera obiektów blob przy użyciu danych kopii zapasowej przechowywanych w celu przeniesienia do magazynu.
Współautor Magazyn kopii zapasowych Tymczasowa grupa zasobów Umożliwia magazynowi kopii zapasowych nawodnienie kopii zapasowych jako dysków przechowywanych w warstwie magazynu.
Współautor konta magazynu Magazyn kopii zapasowych Przejściowe konto magazynu Umożliwia magazynowi kopii zapasowych nawilżanie kopii zapasowych przechowywanych w warstwie magazynu.
Właściciel danych obiektu BLOB usługi Storage Magazyn kopii zapasowych Przejściowe konto magazynu Umożliwia usłudze Backup Vault kopiowanie stanu klastra w kontenerze obiektów blob przechowywanym w warstwie magazynu.

Uwaga

Tworzenie kopii zapasowej usługi AKS umożliwia przypisywanie tych ról podczas procesów tworzenia kopii zapasowych i przywracania za pośrednictwem witryny Azure Portal za pomocą jednego kliknięcia.

Następne kroki