Pré-requisitos para backup do Serviço de Kubernetes do Azure usando o Backup do Azure
Este artigo descreve os pré-requisitos para o backup do Serviço de Kubernetes do Azure (AKS).
Agora, o Backup do Azure permite fazer backup de clusters do AKS (recursos de cluster e volumes persistentes anexados ao cluster) usando uma extensão de backup, que precisa ser instalada no cluster. O cofre de backup se comunica com o cluster por meio dessa extensão de backup para executar operações de backup e restauração. Com base no modelo de segurança de privilégios mínimos, um cofre de backup precisar ter o acesso confiável habilitado para se comunicar com o cluster do AKS.
Extensão de Backup
A extensão permite funcionalidades de backup e restauração de cargas de trabalho conteinerizadas e de volumes persistentes usados pelas cargas de trabalho em execução em clusters do AKS.
A extensão de backup é instalada no próprio namespace dataprotection-microsoft por padrão. Ela é instalado com todo o cluster como escopo, o que permite que a extensão acesse todos os recursos do cluster. Durante a instalação da extensão, ela também cria uma identidade gerenciada atribuída pelo usuário (identidade da extensão) no grupo de recursos do pool de nós.
A extensão de backup usa um contêiner de blob (fornecido como entrada durante a instalação) como um local padrão para armazenamento de backup. Para acessar esse contêiner de blob, a identidade da extensão requer a função Colaborador de Dados de Blob de Armazenamento na conta de armazenamento que tem o contêiner.
Você precisa instalar a extensão de backup no cluster de origem para fazer backup e no cluster de destino em que o backup deve ser restaurado.
A extensão de backup pode ser instalada no cluster a partir da folha do portal do AKS na guia Backup em Configurações. Você também pode usar os comandos da CLI do Azure para gerenciar a instalação e outras operações na Extensão de Backup.
Antes de instalar uma extensão em um cluster do AKS, você deve registrar o provedor de recursos
Microsoft.KubernetesConfigurationno nível da assinatura. Saiba como registrar o provedor de recursos.O agente de extensão e o operador de extensão são os principais componentes da plataforma no AKS, que são instalados quando uma extensão de qualquer tipo é instalada pela primeira vez em um cluster do AKS. Eles fornecem recursos para implantar extensões de primeiro e terceiros. A extensão de backup também depende delas para instalação e atualizações.
Observação
Ambos os componentes principais são implantados com limites rígidos agressivos na CPU e na memória, com CPU inferior a 0,5% de um limite de núcleo e memória variando de 50 a 200 MB. Portanto, o impacto de COGS desses componentes é muito baixo. Como eles são componentes principais da plataforma, não há nenhuma solução alternativa disponível para removê-los depois de instalados no cluster.
Se a conta de armazenamento, a ser fornecida como entrada para a instalação da extensão, estiver em Rede Virtual/Firewall, BackupVault precisará ser adicionado como acesso confiável nas Configurações de Rede da Conta de Armazenamento. Saiba como conceder acesso ao serviço confiável do Azure, o que ajuda a armazenar backups no armazenamento de dados do cofre
Saiba como gerenciar a operação para instalar a extensão de backup usando a CLI do Azure.
Acesso Confiável
Muitos serviços do Azure dependem do clusterAdmin kubeconfig e do ponto de extremidade kube-apiserver acessível publicamente para acessar clusters do AKS. O recurso de acesso confiável do AKS permite ignorar a restrição de ponto de extremidade privado. Sem usar o aplicativo Microsoft Entra, esse recurso permite que você dê consentimento explícito à identidade atribuída pelo sistema de recursos permitidos para acessar os clusters do AKS usando uma RoleBinding de recurso do Azure. O recurso permite acessar clusters do AKS com diferentes configurações, incluindo, entre outros, clusters privados, clusters com contas locais desabilitadas, clusters do Microsoft Entra ID e clusters de intervalo de IP autorizado.
Os recursos do Azure acessam os clusters do AKS por meio do gateway regional do AKS usando a autenticação de identidade gerenciada atribuída pelo sistema. A identidade gerenciada precisa ter as permissões apropriadas do Kubernetes atribuídas por meio de uma função de recurso do Azure.
No backup do AKS, o cofre de backup acessa os clusters do AKS por meio do acesso confiável para configurar backups e restaurações. O cofre de backup recebe uma função predefinida Microsoft.DataProtection/backupVaults/backup-operator no cluster do AKS, permitindo que ele execute apenas operações de backup específicas.
Para habilitar o acesso confiável entre um cofre de backup e um cluster AKS. Aprenda como habilitar o Trusted Access
Observação
- Você pode instalar a Extensão de Backup em seu cluster AKS diretamente do portal do Azure na seção Backup em portal do AKS.
- Você também pode habilitar o Acesso Confiável entre o cofre de Backup e o cluster AKS durante as operações de restauração ou backup no portal do Azure.
Cluster do AKS
Para habilitar o backup de um cluster do AKS, confira os seguintes pré-requisitos: .
O backup do AKS usa recursos de instantâneo de drivers da CSI (Interface de Armazenamento de Contêiner) para executar backups de volumes persistentes. O suporte ao driver CSI está disponível para clusters do AKS com o Kubernetes versão 1.21.1 ou posterior.
Observação
- No momento, o backup do AKS dá suporte apenas ao backup de volumes persistentes baseados em Disco do Azure (habilitados pelo driver CSI). Se você estiver usando volumes persistentes do tipo Compartilhamento de Arquivo do Azure e Blob do Azure nos clusters do AKS, poderá configurar backups para eles por meio das soluções de Backup do Azure disponíveis para o Compartilhamento de Arquivo do Azure e o Blob do Azure.
- Em árvore, os volumes não são compatíveis com o backup do AKS. Somente volumes baseados em driver CSI podem ser copiados para backup. Você pode migrar de volumes em árvore para volumes persistentes baseados em driver CSI.
Antes de instalar a extensão de backup no cluster do AKS, verifique se os drivers CSI e os instantâneos estão habilitados para o cluster. Se estiverem desabilitados, confira estas etapas para habilitá-los.
O Backup do Azure para AKS dá suporte a clusters AKS usando uma identidade gerenciada atribuída pelo sistema ou uma identidade gerenciada atribuída pelo usuário para operações de backup. Embora não haja suporte para clusters que usam uma entidade de serviço, você pode atualizar um cluster do AKS existente para usar uma identidade gerenciada atribuída pelo sistema ou uma identidade gerenciada atribuída pelo usuário.
A extensão de backup durante a instalação busca imagens de contêiner armazenadas no MCR (Microsoft Container Registry). Se você habilitar um firewall no cluster do AKS, o processo de instalação da extensão poderá falhar devido a problemas de acesso no Registro. Saiba como permitir o acesso ao MCR pelo firewall.
Caso você tenha o cluster em uma Rede Virtual Privada e firewall, aplique as seguintes regras de FQDN/aplicativo:
*.microsoft.com,*.azure.com,*.core.windows.net,*.azmk8s.io,*.digicert.com,*.digicert.cn,*.geotrust.com,*.msocsp.com. Saiba como aplicar para acesso.Se você tiver uma instalação anterior do Velero no cluster do AKS, precisará excluí-la antes de instalar a extensão de backup.
Funções e permissões necessárias
Para executar operações de backup e restauração do AKS como usuário, você precisa ter funções específicas no cluster do AKS, no cofre de backup, na conta de armazenamento e no grupo de recursos de instantâneo.
| Escopo | Função preferencial | Descrição |
|---|---|---|
| Cluster do AKS | Proprietário | Permite instalar a extensão de backup, habilitar o acesso confiável e conceder permissões ao cofre de backup no cluster. |
| Grupo de recursos do cofre de backup | Colaborador de Backup | Permite que você crie o cofre de backup em um grupo de recursos, crie uma política de backup, configure o backup e restaure e atribua as funções ausentes necessárias para operações de backup. |
| Conta de armazenamento | Proprietário | Permite que você execute operações de leitura e gravação na conta de armazenamento e atribua funções necessárias a outros recursos do Azure como parte das operações de backup. |
| Grupo de recursos de instantâneo | Proprietário | Permite que você execute operações de leitura e gravação no grupo de recursos de instantâneo e atribua funções necessárias a outros recursos do Azure como parte das operações de backup. |
Observação
A função de proprietário em um recurso do Azure permite que você execute operações do Azure RBAC desse recurso. Se ele não estiver disponível, o proprietário do recurso precisará fornecer as funções necessárias para o cofre de backup e o cluster do AKS antes de iniciar as operações de backup ou restauração.
Além disso, como parte das operações de backup e restauração, as funções a seguir são atribuídas ao cluster do AKS, à identidade da extensão de backup e ao cofre de backup.
| Função | Atribuído a | Atribuído em | Descrição |
|---|---|---|---|
| Leitor | Cofre de backup | Cluster do AKS | Permite que o cofre de backup execute as operações de Listagem e Leitura no cluster do AKS. |
| Leitor | Cofre de backup | Grupo de recursos de instantâneo | Permite que o cofre de backup execute as operações de Listagem e Leitura no grupo de recursos de instantâneo. |
| Colaborador | Cluster do AKS | Grupo de recursos de instantâneo | Permite que o cluster do AKS armazene instantâneos de volume persistente no grupo de recursos. |
| Colaborador de dados de blob de armazenamento | Identidade da extensão | Conta de armazenamento | Permite que a extensão de backup armazene backups de recursos de cluster no contêiner de blob. |
| Operador de dados do Managed Disks | Cofre de backup | Grupo de Recursos de Instantâneo | Permite que o serviço de Cofre de Backup mova os dados de instantâneo incrementais para o Cofre. |
| Colaborador de Instantâneo de Disco | Cofre de backup | Grupo de Recursos de Instantâneo | Permite que o Cofre de Backup acesse instantâneos do Disks e execute a operação de colocação em cofre. |
| Leitor de Dados do Blob de Armazenamento | Cofre de backup | Conta de Armazenamento | Permite que o Cofre de Backup acesse o Contêiner de Blobs onde os dados de backup estão armazenados para movê-los para o Cofre. |
| Colaborador | Cofre de backup | Grupo de recursos de preparo | Permite que o Cofre de Backup hidrate os backups como discos armazenados na Camada do Cofre. |
| Colaborador da Conta de Armazenamento | Cofre de backup | Conta de armazenamento de preparo | Permite que o Cofre de Backup hidrate os backups armazenados na Camada do Cofre. |
| Proprietário de Dados do Blob de Armazenamento | Cofre de backup | Conta de armazenamento de preparo | Permite que o Cofre de Backup copie o estado do cluster em um contêiner de blob armazenado na Camada do Cofre. |
Observação
O backup do AKS permite atribuir essas funções durante os processos de backup e restauração por meio do portal do Azure com um só clique.
Próximas etapas
- Sobre o Backup do Serviço de Kubernetes do Azure
- Cenários com suporte para o backup de cluster do Serviço de Kubernetes do Azure
- Fazer backup do cluster do Serviço de Kubernetes do Azure
- Restaurar o cluster do Serviço de Kubernetes do Azure
- Gerenciar backups de cluster do Serviço de Kubernetes do Azure