Pré-requisitos para o backup do Serviço Kubernetes do Azure usando o Backup do Azure
Este artigo descreve os pré-requisitos para o backup do Serviço Kubernetes do Azure (AKS).
O Backup do Azure agora permite fazer backup de clusters AKS (recursos de cluster e volumes persistentes anexados ao cluster) usando uma extensão de backup, que deve ser instalada no cluster. O cofre de backup se comunica com o cluster por meio dessa extensão de backup para executar operações de backup e restauração. Com base no modelo de segurança menos privilegiado, um cofre de backup deve ter o Acesso Confiável habilitado para se comunicar com o cluster AKS.
Nota
O backup em cofre e a restauração entre regiões para AKS usando o Backup do Azure estão atualmente em visualização.
Extensão Alternativa
A extensão permite recursos de backup e restauração para as cargas de trabalho em contêineres e volumes persistentes usados pelas cargas de trabalho em execução em clusters AKS.
Backup Extension é instalado em seu próprio namespace dataprotection-microsoft por padrão. Ele é instalado com escopo amplo do cluster que permite que a extensão acesse todos os recursos do cluster. Durante a instalação da extensão, ele também cria uma Identidade Gerenciada atribuída pelo Usuário (Identidade de Extensão) no grupo de recursos do Pool de Nós.
A Extensão de Backup usa um contêiner de blob (fornecido na entrada durante a instalação) como um local padrão para armazenamento de backup. Para acessar esse contêiner de blob, a Identidade de Extensão requer a função de Colaborador de Dados de Blob de Armazenamento na conta de armazenamento que possui o contêiner.
Você precisa instalar a Extensão de Backup no cluster de origem para backup e no cluster de destino onde o backup deve ser restaurado.
A Extensão de Backup pode ser instalada no cluster a partir da folha do portal AKS na guia Backup em Configurações. Você também pode usar os comandos da CLI do Azure para gerenciar a instalação e outras operações na Extensão de Backup.
Antes de instalar uma extensão em um cluster AKS, você deve registrar o
Microsoft.KubernetesConfigurationprovedor de recursos no nível da assinatura. Saiba como registrar o provedor de recursos.O agente de extensão e o operador de extensão são os principais componentes da plataforma no AKS, que são instalados quando uma extensão de qualquer tipo é instalada pela primeira vez em um cluster AKS. Eles fornecem recursos para implantar extensões 1P e 3P . A extensão de backup também depende deles para instalação e atualizações.
Nota
Ambos os componentes principais são implantados com limites rígidos agressivos na CPU e na memória, com CPU inferior a 0,5% de um núcleo e limite de memória variando de 50-200 MB. Então, o impacto do COGS desses componentes é muito baixo. Como eles são componentes principais da plataforma, não há solução alternativa disponível para removê-los uma vez instalados no cluster.
Se a Conta de Armazenamento, a ser fornecida como entrada para a instalação da Extensão, estiver em Rede Virtual/Firewall, o BackupVault precisará ser adicionado como acesso confiável nas Configurações de Rede da Conta de Armazenamento. Saiba como conceder acesso ao serviço confiável do Azure, que ajuda a armazenar backups no armazenamento de dados do Vault
Saiba como gerenciar a operação para instalar a Extensão de Backup usando a CLI do Azure.
Acesso Fidedigno
Muitos serviços do Azure dependem do clusterAdmin kubeconfig e do ponto de extremidade kube-apiserver acessível publicamente para acessar clusters AKS. O recurso AKS Trusted Access permite que você ignore a restrição de ponto final privado. Sem usar o aplicativo Microsoft Entra, esse recurso permite que você dê consentimento explícito à sua identidade atribuída pelo sistema de recursos permitidos para acessar seus clusters AKS usando um recurso do Azure RoleBinding. O recurso permite que você acesse clusters AKS com diferentes configurações, que não estão limitadas a clusters privados, clusters com contas locais desabilitadas, clusters Microsoft Entra ID e clusters de intervalo IP autorizados.
Os seus recursos do Azure acedem a clusters AKS através do gateway regional AKS utilizando a autenticação de identidade gerida atribuída pelo sistema. A identidade gerenciada deve ter as permissões Kubernetes apropriadas atribuídas por meio de uma função de recurso do Azure.
Para backup AKS, o cofre de backup acessa seus clusters AKS via Acesso Confiável para configurar backups e restaurações. O cofre de backup recebe uma função predefinida Microsoft.DataProtection/backupVaults/backup-operator no cluster AKS, permitindo que ele execute apenas operações de backup específicas.
Para habilitar o Acesso Confiável entre um cofre de backup e um cluster AKS, você deve registrar o TrustedAccessPreview sinalizador de recurso no Microsoft.ContainerService nível da assinatura. Saiba mais para registrar o provedor de recursos.
Saiba como ativar o Acesso Fidedigno.
Nota
- Você pode instalar a Extensão de Backup em seu cluster AKS diretamente do portal do Azure na seção Backup no portal AKS.
- Você também pode habilitar o Acesso Confiável entre o cofre de Backup e o cluster AKS durante as operações de backup ou restauração no portal do Azure.
Cluster AKS
Para habilitar o backup para um cluster AKS, consulte os seguintes pré-requisitos: .
O backup do AKS usa os recursos de snapshot dos drivers CSI para executar backups de volumes persistentes. O suporte ao driver CSI está disponível para clusters AKS com Kubernetes versão 1.21.1 ou posterior.
Nota
- Atualmente, o backup do AKS oferece suporte apenas ao backup de volumes persistentes baseados em disco do Azure (habilitado pelo driver CSI). Se você estiver usando o Compartilhamento de Arquivos do Azure e os volumes persistentes do tipo Blob do Azure em seus clusters AKS, poderá configurar backups para eles por meio das soluções de Backup do Azure disponíveis para o Compartilhamento de Arquivos do Azure e o Blob do Azure.
- No Tree, os volumes não são suportados pelo backup AKS; apenas volumes baseados em driver CSI podem ser copiados. Você pode migrar de volumes de árvore para Volumes Persistentes baseados em driver CSI.
Antes de instalar a Extensão de Backup no cluster AKS, verifique se os drivers e instantâneos CSI estão habilitados para o cluster. Se desativado, consulte estas etapas para habilitá-los.
O Backup do Azure para AKS dá suporte a clusters AKS usando a Identidade do Sistema ou a Identidade do Usuário, para operações de backup. Embora não haja suporte para clusters que usam o Princípio de Serviço, você pode atualizar esse cluster AKS para usar uma Identidade do Sistema Gerenciado.
A extensão de backup durante a instalação busca imagens de contêiner armazenadas no Microsoft Container Registry (MCR). Se ativar uma firewall no cluster AKS, o processo de instalação da extensão poderá falhar devido a problemas de acesso no Registo. Saiba como permitir o acesso MCR a partir da firewall.
Caso você tenha o cluster em uma Rede Virtual Privada e Firewall, aplique as seguintes regras FQDN/aplicativo:
*.microsoft.com,*.azure.com,*.core.windows.net,*.azmk8s.io,*.digicert.com,*.digicert.cn,*.geotrust.com,*.msocsp.com. Saiba como aplicar regras FQDN.Se você tiver alguma instalação anterior do Velero no cluster AKS, precisará excluí-lo antes de instalar a Extensão de Backup.
Direitos de acesso e permissões requeridos
Para executar operações de backup e restauração do AKS como usuário, você precisa ter funções específicas no cluster AKS, cofre de backup, conta de armazenamento e grupo de recursos de instantâneo.
| Âmbito | Função preferida | Description |
|---|---|---|
| Cluster AKS | Proprietário | Permite instalar a Extensão de Backup, habilitar o Acesso Confiável e conceder permissões ao cofre de Backup no cluster. |
| Grupo de recursos do cofre de backup | Colaborador de backup | Permite criar cofre de backup em um grupo de recursos, criar política de backup, configurar backup e restaurar e atribuir funções ausentes necessárias para operações de backup. |
| Conta de armazenamento | Proprietário | Permite executar operações de leitura e gravação na conta de armazenamento e atribuir funções necessárias a outros recursos do Azure como parte das operações de backup. |
| Grupo de recursos de Snapshot | Proprietário | Permite executar operações de leitura e gravação no grupo de recursos Instantâneo e atribuir funções necessárias a outros recursos do Azure como parte das operações de backup. |
Nota
A função de proprietário em um recurso do Azure permite que você execute operações do RBAC do Azure desse recurso. Se não estiver disponível, o proprietário do recurso deve fornecer as funções necessárias ao cofre de backup e ao cluster AKS antes de iniciar as operações de backup ou restauração.
Além disso, como parte das operações de backup e restauração, as seguintes funções são atribuídas ao cluster AKS, à Identidade de Extensão de Backup e ao cofre de backup.
| Role | Atribuído a | Atribuído em | Description |
|---|---|---|---|
| Leitor | Backup vault | Cluster do AKS | Permite que o cofre de backup execute operações de Lista e Leitura no cluster AKS. |
| Leitor | Backup vault | Grupo de recursos de Snapshot | Permite que o cofre de backup execute operações de Lista e Leitura no grupo de recursos de instantâneo. |
| Contribuinte | Cluster do AKS | Grupo de recursos de Snapshot | Permite que o cluster AKS armazene Snapshots de volume persistentes no grupo de recursos. |
| Contribuidor de Dados de Blobs de Armazenamento | Identidade da extensão | Conta de armazenamento | Permite que a Extensão de Backup armazene backups de recursos de cluster no contentor de blob. |
| Operador de dados para disco gerido | Backup vault | Grupo de recursos de snapshot | Permite que o serviço Backup Vault mova dados incrementais de snapshot para o Vault. |
| Contribuidor de Disk Snapshot | Backup vault | Grupo de recursos de snapshot | Permite que o Backup Vault acesse instantâneos de discos e execute a operação de compartimentação. |
| Leitor de Dados de Blobs de Armazenamento | Backup vault | Conta de Armazenamento | Permita que o Backup Vault acesse o Blob Container com dados de backup armazenados para serem movidos para o Vault. |
| Contribuinte | Backup vault | Grupo de recursos de preparação | Permite que o Backup Vault hidrate backups como discos armazenados na camada do Vault. |
| Contribuidor de Conta de Armazenamento | Backup vault | Conta de armazenamento de preparação | Permite que o Backup Vault hidrate os backups armazenados no nível do Vault. |
| Proprietário de Dados de Blobs de Armazenamento | Backup vault | Conta de armazenamento de preparação | Permite que o Backup Vault copie o estado do cluster em um contêiner de blob armazenado na camada do Vault. |
Nota
O backup do AKS permite que você atribua essas funções durante os processos de backup e restauração por meio do portal do Azure com um único clique.