Предварительные требования для резервного копирования Служба Azure Kubernetes с помощью Azure Backup
В этой статье описаны предварительные требования для резервного копирования Служба Azure Kubernetes (AKS).
Azure Backup теперь позволяет создавать резервные копии кластеров AKS (ресурсы кластера и постоянные тома, подключенные к кластеру) с помощью расширения резервного копирования, которое должно быть установлено в кластере. Хранилище резервных копий взаимодействует с кластером с помощью этого расширения резервного копирования для выполнения операций резервного копирования и восстановления. На основе наименее привилегированной модели безопасности хранилище резервных копий должно иметь доверенный доступ для взаимодействия с кластером AKS.
Расширение резервного копирования
Расширение включает возможности резервного копирования и восстановления для контейнерных рабочих нагрузок и постоянных томов, используемых рабочими нагрузками, работающими в кластерах AKS.
Расширение резервного копирования устанавливается в собственном пространстве имен dataprotection-microsoft по умолчанию. Он устанавливается с областью кластера, которая позволяет расширению получать доступ ко всем ресурсам кластера. Во время установки расширения он также создает назначаемое пользователем управляемое удостоверение (удостоверение расширения) в группе ресурсов пула узлов.
Расширение резервного копирования использует контейнер BLOB-объектов (предоставленный во время установки) в качестве расположения по умолчанию для хранилища резервных копий. Чтобы получить доступ к этому контейнеру BLOB-объектов, удостоверение расширения требует роли участника данных BLOB-объектов хранилища в учетной записи хранения с контейнером.
Необходимо установить расширение резервного копирования в исходном кластере для резервного копирования и целевого кластера, в котором необходимо восстановить резервную копию.
Расширение резервного копирования можно установить в кластере из колонки портала AKS на вкладке "Резервное копирование" в разделе "Параметры". Вы также можете использовать команды Azure CLI для управления установкой и другими операциями с расширением резервного копирования.
Перед установкой расширения в кластере AKS необходимо зарегистрировать
Microsoft.KubernetesConfigurationпоставщика ресурсов на уровне подписки. Узнайте, как зарегистрировать поставщика ресурсов.Агент расширения и оператор расширения — это основные компоненты платформы в AKS, которые устанавливаются при первом установке расширения любого типа в кластере AKS. Эти возможности позволяют развертывать сторонние и сторонние расширения. Расширение резервного копирования также использует их для установки и обновления.
Примечание.
Оба этих основных компонента развертываются с агрессивными жесткими ограничениями на ЦП и памяти, при этом ЦП меньше 0,5 % от 50 до 200 МБ. Таким образом, влияние COGS этих компонентов очень низкое. Так как они являются основными компонентами платформы, обходной путь недоступен для их удаления после установки в кластере.
Если учетная запись хранения, которую необходимо предоставить в качестве входных данных для установки расширения, находится в разделе виртуальная сеть/Брандмауэр, то BackupVault необходимо добавить в качестве надежного доступа в параметрах сети учетной записи хранения. Узнайте, как предоставить доступ к доверенной службе Azure, которая помогает хранить резервные копии в хранилище данных Хранилища.
Узнайте , как управлять операцией для установки расширения резервного копирования с помощью Azure CLI.
Доверенный доступ
Многие службы Azure зависят от clusterAdmin kubeconfig и общедоступной конечной точки kube-apiserver для доступа к кластерам AKS. Функция доверенного доступа AKS позволяет обойти ограничение частной конечной точки. Без использования приложения Microsoft Entra эта функция позволяет предоставить явное согласие на назначенное системой удостоверение разрешенных ресурсов для доступа к кластерам AKS с помощью роли ресурса Azure RoleBinding. Эта функция позволяет получить доступ к кластерам AKS с различными конфигурациями, которые не ограничиваются частными кластерами, кластерами с отключенными локальными учетными записями, кластерами идентификаторов Microsoft Entra и авторизованными кластерами диапазонов IP-адресов.
Ресурсы Azure получают доступ к кластерам AKS через региональный шлюз AKS с помощью проверки подлинности управляемого удостоверения, назначаемого системой. Управляемое удостоверение должно иметь соответствующие разрешения Kubernetes, назначенные с помощью роли ресурса Azure.
Для резервного копирования AKS хранилище резервных копий обращается к кластерам AKS через доверенный доступ для настройки резервных копий и восстановления. Хранилище резервных копий назначается предопределенной ролью Microsoft.DataProtection/backupVaults/backup-operator в кластере AKS, что позволяет выполнять только определенные операции резервного копирования.
Чтобы включить доверенный доступ между хранилищем резервного копирования и кластером AKS. Узнайте , как включить доверенный доступ
Примечание.
- Расширение резервного копирования можно установить в кластере AKS непосредственно из портал Azure в разделе "Резервное копирование" на портале AKS.
- Вы также можете включить доверенный доступ между хранилищем резервного копирования и кластером AKS во время операций резервного копирования или восстановления в портал Azure.
Кластер AKS
Чтобы включить резервное копирование для кластера AKS, ознакомьтесь со следующими предварительными условиями:
Резервное копирование AKS использует возможности моментального снимка драйверов интерфейса хранилища контейнеров (CSI) для выполнения резервных копий постоянных томов. Поддержка драйвера CSI доступна для кластеров AKS с Kubernetes версии 1.21.1 или более поздней.
Примечание.
- В настоящее время резервное копирование AKS поддерживает только резервное копирование постоянных томов на основе дисков Azure (включено драйвером CSI). Если вы используете общую папку Azure и постоянные тома типа BLOB-объектов Azure в кластерах AKS, вы можете настроить резервные копии для них с помощью решений Azure Backup, доступных для общей папки Azure и BLOB-объектов Azure.
- В дереве тома не поддерживаются резервным копированием AKS; Резервное копирование можно создавать только тома на основе драйвера CSI. Вы можете перенести из томов дерева в драйверы CSI на основе постоянных томов на основе CSI.
Перед установкой расширения резервного копирования в кластере AKS убедитесь, что драйверы и моментальные снимки CSI включены для кластера. Если они отключены, просмотрите эти действия, чтобы включить их.
Azure Backup для AKS поддерживает кластеры AKS с помощью управляемого удостоверения, назначаемого системой, или управляемого удостоверения, назначаемого пользователем, для операций резервного копирования. Хотя кластеры, использующие субъект-службу, не поддерживаются, можно обновить существующий кластер AKS, чтобы использовать управляемое удостоверение, назначаемое системой, или управляемое удостоверение, назначаемое пользователем.
Расширение резервного копирования во время установки извлекает образы контейнеров, хранящиеся в реестре контейнеров Майкрософт (MCR). Если включить брандмауэр в кластере AKS, процесс установки расширения может завершиться ошибкой из-за проблем с доступом к реестру. Узнайте , как разрешить доступ MCR из брандмауэра.
Если у вас есть кластер в частной виртуальная сеть и брандмауэре, примените следующие правила FQDN/application:
*.microsoft.com, , .*.msocsp.com*.geotrust.com*.digicert.com*.core.windows.net*.azure.com*.azmk8s.io*.digicert.cnУзнайте , как применять полное доменное имя.Если у вас есть предыдущая установка Velero в кластере AKS, перед установкой расширения резервного копирования необходимо удалить его.
Необходимые роли и разрешения
Для выполнения операций резервного копирования и восстановления AKS в качестве пользователя необходимо иметь определенные роли в кластере AKS, хранилище резервных копий, учетной записи хранения и группе ресурсов моментальных снимков.
| Область | Предпочтительная роль | Description |
|---|---|---|
| Кластер AKS | Ответственный | Позволяет установить расширение резервного копирования, включить доверенный доступ и предоставить разрешения для хранилища резервных копий по кластеру. |
| Группа ресурсов хранилища резервных копий | Участник резервного копирования | Позволяет создавать хранилище резервных копий в группе ресурсов, создавать политику резервного копирования, настраивать резервное копирование и восстанавливать и назначать отсутствующие роли, необходимые для операций резервного копирования. |
| Storage account | Ответственный | Позволяет выполнять операции чтения и записи в учетной записи хранения и назначать необходимые роли другим ресурсам Azure в рамках операций резервного копирования. |
| Группа ресурсов моментальных снимков | Ответственный | Позволяет выполнять операции чтения и записи в группе ресурсов моментальных снимков и назначать необходимые роли другим ресурсам Azure в рамках операций резервного копирования. |
Примечание.
Роль владельца ресурса Azure позволяет выполнять операции Azure RBAC этого ресурса. Если он недоступен, владелец ресурса должен предоставить необходимые роли в хранилище резервных копий и кластер AKS перед началом операций резервного копирования или восстановления.
Кроме того, в рамках операций резервного копирования и восстановления следующие роли назначаются кластеру AKS, идентификатору расширения резервного копирования и хранилищу резервных копий.
| Роль | Кому назначено: | Где назначено | Description |
|---|---|---|---|
| Читатель | Хранилище резервных копий | Кластер AKS | Позволяет хранилищу резервных копий выполнять операции "Список " и "Чтение " в кластере AKS. |
| Читатель | Хранилище резервных копий | Группа ресурсов моментальных снимков | Позволяет хранилищу резервных копий выполнять операции "Список " и "Чтение " в группе ресурсов моментальных снимков. |
| Участник | Кластер AKS | Группа ресурсов моментальных снимков | Позволяет кластеру AKS хранить моментальные снимки постоянных томов в группе ресурсов. |
| Участник данных хранилища BLOB-объектов | Удостоверение расширения | Storage account | Позволяет расширению резервного копирования хранить резервные копии кластерного ресурса в контейнере BLOB-объектов. |
| Оператор данных для Управляемые диски | Хранилище резервных копий | Группа ресурсов моментальных снимков | Позволяет службе Backup Vault перемещать добавочные данные моментального снимка в хранилище. |
| Участник моментальных снимков дисков | Хранилище резервных копий | Группа ресурсов моментальных снимков | Позволяет Backup Vault получать доступ к моментальным снимкам дисков и выполнять операцию хранилища. |
| Читатель данных больших двоичных объектов хранилища | Хранилище резервных копий | Учетная запись хранения | Разрешить Backup Vault получить доступ к контейнеру BLOB-объектов с данными резервного копирования, хранящимися для перемещения в Хранилище. |
| Участник | Хранилище резервных копий | Промежуточная группа ресурсов | Позволяет Резервному хранилищу гидратировать резервные копии в качестве дисков, хранящихся на уровне хранилища. |
| Участник учетных записей хранения | Хранилище резервных копий | Промежуточная учетная запись хранения | Позволяет Backup Vault гидратировать резервные копии, хранящиеся на уровне хранилища. |
| Владелец данных BLOB-объектов хранилища | Хранилище резервных копий | Промежуточная учетная запись хранения | Позволяет Backup Vault копировать состояние кластера в контейнере BLOB-объектов, хранящейся на уровне хранилища. |
Примечание.
Резервное копирование AKS позволяет назначать эти роли во время процессов резервного копирования и восстановления через портал Azure одним щелчком мыши.
Следующие шаги
- Сведения о резервном копировании Служба Azure Kubernetes
- Поддерживаемые сценарии резервного копирования кластеров Служба Azure Kubernetes
- Резервное копирование кластера Служба Azure Kubernetes
- Восстановление кластера Служба Azure Kubernetes
- Управление резервными копиями кластера Служба Azure Kubernetes