Início Rápido: Configurar o backup em cofre para um cluster do Serviço Azure Kubernetes (AKS) usando o PowerShell

Este início rápido descreve como configurar o backup em cofre para um cluster do Azure Kubernetes Service (AKS) usando o PowerShell.

O Backup do Azure para AKS é um serviço de backup nativo de nuvem, pronto para empresas e centrado em aplicativos que permite configurar rapidamente o backup para clusters AKS.

Antes de começar

Antes de configurar o backup protegido para o cluster do AKS, verifique se os seguintes pré-requisitos são atendidos:

• Execute todos os pré-requisitos antes de iniciar a operação de backup ou restauração do backup do AKS.

Criar um cofre de backup

Para criar o cofre de Backup, execute o seguinte comando:

$storageSetting = New-AzDataProtectionBackupVaultStorageSettingObject -Type GloballyRedundant -DataStoreType VaultStore

New-AzDataProtectionBackupVault -ResourceGroupName testBkpVaultRG -VaultName TestBkpVault -Location westus -StorageSetting $storageSetting

$TestBkpVault = Get-AzDataProtectionBackupVault -VaultName TestBkpVault

O cofre recém-criado tem configurações de armazenamento definidas como Globalmente Redundantes, portanto, os backups armazenados na camada de cofre estarão disponíveis na região emparelhada do Azure. Depois que a criação do cofre for concluída, crie uma política de backup para proteger os clusters do AKS.

Criar uma política de backup

Recupere o modelo de política usando o comando Get-AzDataProtectionPolicyTemplate.

$policyDefn = Get-AzDataProtectionPolicyTemplate -DatasourceType AzureKubernetesService

O modelo de política consiste em um critério de gatilho (que decide os fatores para disparar o trabalho de backup) e um ciclo de vida (que decide quando excluir, copiar ou mover os backups). No backup do AKS, o valor padrão para o gatilho é um gatilho agendado por hora para cada 4 horas (PT4H) e para manter cada backup por sete dias. Para backups protegidos, adicione a retenção para o armazenamento de dados do cofre.

New-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name aksBkpPolicy -Policy $policyDefn

$aksBkpPol = Get-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name "aksBkpPolicy"

Quando o JSON da política tiver todos os valores necessários, crie uma nova política com base no objeto de política.

az dataprotection backup-policy create -g testBkpVaultRG --vault-name TestBkpVault -n mypolicy --policy policy.json

Preparar o cluster do AKS para backup

Depois que o cofre e a criação da política forem concluídos, execute os seguintes pré-requisitos para preparar o cluster do AKS para backup:

1. Crie uma conta de armazenamento e um contêiner de blobs.

   O backup para AKS armazena recursos do Kubernetes em um contêiner de blob como backups. Para preparar o cluster do AKS para backup, você precisa instalar uma extensão no cluster. Essa extensão requer a conta de armazenamento e o contêiner de blob como entradas.

   Para criar uma nova conta de armazenamento e um contêiner de blob, confira estas etapas.

2. Instalar extensão de backup.

   A Extensão de Backup é obrigatória para ser instalada no cluster do AKS para executar as operações de backup e restauração. A Extensão de Backup cria um namespace dataprotection-microsoft no cluster e usa o mesmo para implantar seus recursos. Essa extensão requer a conta de armazenamento e o contêiner de blob como entradas para instalação. Saiba mais sobre os comandos de instalação da extensão.

   Como parte da instalação da extensão, uma identidade de usuário é criada no grupo de recursos do pool de nós do cluster do AKS. Para que a extensão acesse a conta de armazenamento, você precisa fornecer essa identidade a função Colaborador da Conta de Armazenamento . Para atribuir a função necessária, execute estes comandos

3. Habilitar o acesso confiável

   Para que o Cofre de Backup se conecte ao cluster do AKS, você deve habilitar o Acesso Confiável, pois ele permite que o Cofre de Backup tenha uma linha de visão direta para o cluster do AKS. Saiba como habilitar o acesso confiável.

Observação

Para instalação da Extensão de Backup e habilitação de Acesso Confiável, os comandos estão disponíveis apenas na CLI do Azure.

Configurar backups

Com o Cofre de Backup e a política de backup criados e o cluster do AKS no estado pronto para backup, agora você pode começar a fazer backup do cluster do AKS.

Principais entidades

• Cluster do AKS a ser protegido

  Busque a ID do Azure Resource Manager do cluster do AKS a ser protegido. Isso serve como identificador do cluster. Neste exemplo, usaremos um cluster do AKS chamado PSTestAKSCluster, em um grupo de recursos aksrg, em uma assinatura diferente:

  $sourceClusterId = "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/aksrg /providers/Microsoft.ContainerService/managedClusters/ PSTestAKSCluster "
  

• Grupo de recursos de instantâneo

  Os instantâneos de volume persistente são armazenados em um grupo de recursos em sua assinatura. Recomendamos que você crie um grupo de recursos dedicado como um armazenamento de dados de instantâneos a ser usado pelo serviço de Backup do Azure.

  $snapshotrg = "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/snapshotrg"
  

Preparar a solicitação

A configuração do backup é executada em duas etapas:

A configuração do backup é executada em duas etapas:

1. Prepare a configuração de backup para definir quais recursos do cluster terão o backup feito usando o cmdlet New-AzDataProtectionBackupConfigurationClientObject. Neste exemplo, usaremos a configuração padrão e executaremos um backup de cluster completo.

   $backupConfig = New-AzDataProtectionBackupConfigurationClientObject -SnapshotVolume $true -IncludeClusterScopeResource $true -DatasourceType AzureKubernetesService -LabelSelector "env=prod"
   

2. Prepare a solicitação relevante usando o cofre, a política, o cluster do AKS, a configuração de backup e instantâneo grupo de recursos usando o cmdlet Initialize-AzDataProtectionBackupInstance.

   $backupInstance = Initialize-AzDataProtectionBackupInstance -DatasourceType AzureKubernetesService  -DatasourceLocation $dataSourceLocation -PolicyId $ aksBkpPol.Id -DatasourceId $sourceClusterId -SnapshotResourceGroupId $ snapshotrg -FriendlyName $friendlyName -BackupConfiguration $backupConfig
   

Atribuir permissões necessárias e validar

Com a solicitação preparada, primeiro você precisa atribuir as funções necessárias aos recursos envolvidos executando o seguinte comando:

Set-AzDataProtectionMSIPermission -BackupInstance $backupInstance -VaultResourceGroup $rgName -VaultName $vaultName -PermissionsScope "ResourceGroup"

Depois que as permissões forem atribuídas, execute o cmdlet a seguir para testar a preparação da instância criada.

test-AzDataProtectionBackupInstanceReadiness -ResourceGroupName $resourceGroupName -VaultName $vaultName -BackupInstance  $backupInstance.Property 

Quando a validação for bem-sucedida, você poderá enviar a solicitação para proteger o cluster do AKS usando o cmdlet New-AzDataProtectionBackupInstance.

New-AzDataProtectionBackupInstance -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -BackupInstance $backupInstance

Próximas etapas

• Restaurar o cluster do Serviço de Kubernetes do Azure usando Azure PowerShell, CLI do Azure
• Gerenciar backups de cluster do Serviço de Kubernetes do Azure
• Sobre o backup de cluster do Serviço de Kubernetes do Azure