Guia de início rápido: configurar o backup em cofre para um cluster do Serviço Kubernetes do Azure (AKS) usando o PowerShell

Este guia de início rápido descreve como configurar o backup em cofre para um cluster do Serviço Kubernetes do Azure (AKS) usando o PowerShell.

O Backup do Azure para AKS é um serviço de backup centrado em aplicativos, pronto para a empresa e nativo da nuvem que permite configurar rapidamente o backup para clusters AKS.

Antes de começar

Antes de configurar o backup em cofre para cluster AKS, verifique se os seguintes pré-requisitos são atendidos:

• Execute todos os pré-requisitos antes de iniciar a operação de backup ou de restauro para o AKS backup.

Criar um cofre de backup

Para criar o cofre de backup, execute o seguinte comando:

$storageSetting = New-AzDataProtectionBackupVaultStorageSettingObject -Type GloballyRedundant -DataStoreType VaultStore

New-AzDataProtectionBackupVault -ResourceGroupName testBkpVaultRG -VaultName TestBkpVault -Location westus -StorageSetting $storageSetting

$TestBkpVault = Get-AzDataProtectionBackupVault -VaultName TestBkpVault

O cofre recém-criado tem configurações de armazenamento definidas como Globalmente Redundante, portanto, os backups armazenados na camada do cofre estarão disponíveis na região emparelhada do Azure. Quando a criação do cofre estiver concluída, crie uma política de backup para proteger os clusters AKS.

Criar uma política de cópias de segurança

Recupere o modelo de política usando o comando Get-AzDataProtectionPolicyTemplate.

$policyDefn = Get-AzDataProtectionPolicyTemplate -DatasourceType AzureKubernetesService

O modelo de política consiste em um critério de gatilho (que decide os fatores para disparar o trabalho de backup) e um ciclo de vida (que decide quando excluir, copiar ou mover os backups). No backup do AKS, o valor padrão para disparador é um gatilho horário agendado a cada 4 horas (PT4H), e a retenção de cada backup é de sete dias. Para backups em cofre, adicione retenção para armazenamento de dados do cofre.

New-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name aksBkpPolicy -Policy $policyDefn

$aksBkpPol = Get-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name "aksBkpPolicy"

Quando o JSON de política tiver todos os valores necessários, prossiga para criar uma nova política a partir do objeto de política.

az dataprotection backup-policy create -g testBkpVaultRG --vault-name TestBkpVault -n mypolicy --policy policy.json

Preparar o cluster AKS para a cópia de segurança

Quando o vault e a criação da política estiverem concluídos, você precisará executar os seguintes pré-requisitos para preparar o cluster AKS para backup:

1. Crie uma conta de armazenamento e um contentor de blob.

   O backup do AKS armazena os recursos do Kubernetes num contentor de blobs como cópias de segurança. Para preparar o cluster AKS para backup, você precisa instalar uma extensão no cluster. Esta extensão requer a conta de armazenamento e o contêiner de blob como entradas.

   Para criar uma nova conta de armazenamento e um contêiner de blob, consulte estas etapas.

2. Instale a extensão de backup.

   A Extensão de Backup é obrigatória para ser instalada no cluster AKS para executar quaisquer operações de backup e restauração. A Extensão de Backup cria um namespace dataprotection-microsoft no cluster e usa o mesmo para implantar seus recursos. A extensão requer a conta de armazenamento e o contêiner de blob como entradas para a instalação. Saiba mais sobre os comandos de instalação da extensão.

   Como parte da instalação da extensão, uma identidade de usuário é criada no grupo de recursos do pool de nós do cluster AKS. Para que a extensão possa aceder à conta de armazenamento, é necessário atribuir a esta identidade o papel de Colaborador da Conta de Armazenamento. Para atribuir a função necessária, execute estes comandos

3. Habilitar acesso confiável

   Para que o cofre de Backup se conecte ao cluster AKS, você deve habilitar o Acesso Confiável, pois ele permite que o cofre de Backup tenha uma linha de visão direta para o cluster AKS. Saiba como ativar o Fidedigno Acesso.

Nota

Para a instalação da Extensão de Backup e a ativação do Acesso Confiável, os comandos estão disponíveis somente na CLI do Azure.

Configurar cópias de segurança

Com o cofre de backup e a política de backup criados, e o cluster AKS no estado pronto para backup , agora você pode começar a fazer backup do cluster AKS.

Entidades principais

• Cluster AKS a ser protegido

  Obtenha a ID do Azure Resource Manager do cluster AKS que deve ser protegido. Isso serve como o identificador do cluster. Neste exemplo, vamos usar um cluster AKS chamado PSTestAKSCluster, em um grupo de recursos aksrg, em uma assinatura diferente:

  $sourceClusterId = "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/aksrg /providers/Microsoft.ContainerService/managedClusters/ PSTestAKSCluster "
  

• Grupo de recursos de instantâneo

  Os instantâneos de volume persistentes são armazenados num grupo de recursos na sua assinatura. Recomendamos que você crie um grupo de recursos dedicado como um armazenamento de dados de instantâneo a ser usado pelo serviço de Backup do Azure.

  $snapshotrg = "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/snapshotrg"
  

Preparar o pedido

A configuração do backup é realizada em duas etapas:

A configuração do backup é realizada em duas etapas:

1. Prepare a configuração de backup para definir quais recursos de cluster devem ser submetidos a backup usando o New-AzDataProtectionBackupConfigurationClientObject cmdlet. Neste exemplo, vamos usar a configuração padrão e executar um backup de cluster completo.

   $backupConfig = New-AzDataProtectionBackupConfigurationClientObject -SnapshotVolume $true -IncludeClusterScopeResource $true -DatasourceType AzureKubernetesService -LabelSelector "env=prod"
   

2. Prepare a solicitação relevante usando o vault, a política, o cluster AKS, a configuração de backup e o grupo de recursos de snapshot relevantes usando o Initialize-AzDataProtectionBackupInstance cmdlet.

   $backupInstance = Initialize-AzDataProtectionBackupInstance -DatasourceType AzureKubernetesService  -DatasourceLocation $dataSourceLocation -PolicyId $ aksBkpPol.Id -DatasourceId $sourceClusterId -SnapshotResourceGroupId $ snapshotrg -FriendlyName $friendlyName -BackupConfiguration $backupConfig
   

Atribua as permissões necessárias e valide

Com a solicitação preparada, primeiro você precisa atribuir as funções necessárias aos recursos envolvidos, executando o seguinte comando:

Set-AzDataProtectionMSIPermission -BackupInstance $backupInstance -VaultResourceGroup $rgName -VaultName $vaultName -PermissionsScope "ResourceGroup"

Depois que as permissões forem atribuídas, execute o cmdlet a seguir para testar a prontidão da instância criada.

test-AzDataProtectionBackupInstanceReadiness -ResourceGroupName $resourceGroupName -VaultName $vaultName -BackupInstance  $backupInstance.Property 

Quando a validação for bem-sucedida, você poderá enviar a solicitação para proteger o cluster AKS usando o New-AzDataProtectionBackupInstance cmdlet.

New-AzDataProtectionBackupInstance -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -BackupInstance $backupInstance

Próximos passos

• Restaurar o cluster do Serviço Kubernetes do Azure usando o Azure PowerShell, CLI do Azure
• Gerenciar backups de cluster do Serviço Kubernetes do Azure
• Sobre o backup de cluster do Serviço Kubernetes do Azure