Vad är säkerhetskopiering av Azure Kubernetes Service?
Azure Kubernetes Service-säkerhetskopiering (AKS) är en enkel, molnbaserad process som du kan använda för att säkerhetskopiera och återställa containerbaserade program och data som körs i ditt AKS-kluster. Du kan konfigurera schemalagda säkerhetskopieringar för klustertillstånd och programdata som lagras på beständiga volymer i CSI-drivrutinsbaserad Azure Disk Storage. Lösningen ger dig detaljerad kontroll för att välja ett specifikt namnområde eller ett helt kluster för säkerhetskopiering eller återställning genom att lagra säkerhetskopior lokalt i en blobcontainer och som ögonblicksbilder av diskar. Du kan använda AKS-säkerhetskopiering för scenarier från slutpunkt till slutpunkt, inklusive driftåterställning, kloning av utvecklar-/testmiljöer och scenarier för klusteruppgradering.
AKS-säkerhetskopiering integreras med Backup Center i Azure, vilket ger en enda vy som kan hjälpa dig att styra, övervaka, använda och analysera säkerhetskopior i stor skala. Dina säkerhetskopior är också tillgängliga i Azure-portalen under Inställningar i resursmenyn för en AKS-instans.
Kommentar
Säkerhetskopiering med valv och återställning mellan regioner för AKS med Azure Backup är för närvarande i förhandsversion.
Hur fungerar AKS-säkerhetskopiering?
Använd AKS-säkerhetskopiering för att säkerhetskopiera dina AKS-arbetsbelastningar och beständiga volymer som distribueras i AKS-kluster. Lösningen kräver att säkerhetskopieringstillägget installeras i AKS-klustret. Backup-valvet kommunicerar med tillägget för att slutföra åtgärder som är relaterade till säkerhetskopiering och återställning. Det är obligatoriskt att använda tillägget Säkerhetskopiering och tillägget måste installeras i AKS-klustret för att aktivera säkerhetskopiering och återställning för klustret. När du konfigurerar AKS-säkerhetskopiering lägger du till värden för ett lagringskonto och en blobcontainer där säkerhetskopior lagras.
Tillsammans med tillägget Säkerhetskopiering skapas en användaridentitet (kallas en tilläggsidentitet) i AKS-klustrets hanterade resursgrupp. Tilläggsidentiteten tilldelas rollen Lagringskontodeltagare på lagringskontot där säkerhetskopior lagras i en blobcontainer.
För att stödja offentliga, privata och auktoriserade IP-baserade kluster kräver AKS-säkerhetskopiering att betrodd åtkomst är aktiverad mellan AKS-klustret och säkerhetskopieringsvalvet. Med betrodd åtkomst kan säkerhetskopieringsvalvet komma åt AKS-klustret på grund av specifika behörigheter som tilldelats det för säkerhetskopieringsåtgärder. Mer information om betrodd AKS-åtkomst finns i Aktivera Azure-resurser för åtkomst till AKS-kluster med hjälp av betrodd åtkomst.
Kommentar
Med AKS-säkerhetskopiering kan du lagra säkerhetskopior på driftnivån. Driftnivån är ett lokalt datalager (i din klientorganisation som ögonblicksbilder). Nu kan du flytta en återställningspunkt per dag och lagra den på valvnivå som blobar (utanför klientorganisationen) med hjälp av AKS-säkerhetskopiering. Du kan också använda Backup-valvet för att hantera säkerhetskopior.
När säkerhetskopieringstillägget har installerats och betrodd åtkomst har aktiverats kan du konfigurera schemalagda säkerhetskopieringar för klustren enligt din säkerhetskopieringsprincip. Du kan också återställa säkerhetskopiorna till det ursprungliga klustret eller till ett alternativt kluster som finns i samma prenumeration och region. Du kan välja ett specifikt namnområde eller ett helt kluster som en konfiguration för säkerhetskopiering och återställning när du konfigurerar den specifika åtgärden.
Säkerhetskopieringslösningen möjliggör säkerhetskopieringsåtgärder för dina AKS-datakällor som distribueras i klustret och för de data som lagras i den beständiga volymen för klustret och lagrar sedan säkerhetskopiorna i en blobcontainer. De diskbaserade beständiga volymerna säkerhetskopieras som diskögonblicksbilder i en resursgrupp för ögonblicksbilder. Ögonblicksbilderna och klustertillståndet i en blob kombineras båda för att bilda en återställningspunkt som lagras i din klientorganisation med namnet Operational Tier. Du kan också konvertera säkerhetskopior (första lyckade säkerhetskopieringen på en dag, vecka, månad eller år) på driftnivån till blobar och sedan flytta dem till ett valv (utanför din klientorganisation) en gång om dagen.
Kommentar
För närvarande stöder Azure Backup endast beständiga volymer i CSI-drivrutinsbaserad Azure Disk Storage. Under säkerhetskopieringar hoppar lösningen över andra beständiga volymtyper, till exempel Azure-filresurs och blobar. Säkerhetskopior kan också flyttas till valvet om de beständiga volymerna har en storlek som är mindre än eller lika med 1 TB.
Konfigurera säkerhetskopiering
Om du vill konfigurera säkerhetskopior för AKS-kluster skapar du först ett säkerhetskopieringsvalv. Valvet ger dig en samlad vy över de säkerhetskopior som har konfigurerats för olika datakällor. AKS-säkerhetskopiering stöder säkerhetskopiering på både driftnivå och valvnivå.
Kommentar
- Säkerhetskopieringsvalvet och AKS-klustret som du vill säkerhetskopiera eller återställa måste finnas i samma region och prenumeration.
- Inställningen för lagringsredundans för Backup Vault (LRS/GRS) gäller endast för säkerhetskopior som lagras på valvnivå. Om du vill använda säkerhetskopior för haveriberedskap anger du lagringsredundansen som GRS med återställning mellan regioner aktiverad.
AKS-säkerhetskopiering utlöser automatiskt ett schemalagt säkerhetskopieringsjobb. Jobbet kopierar klusterresurserna till en blobcontainer och skapar en inkrementell ögonblicksbild av diskbaserade beständiga volymer enligt säkerhetskopieringsfrekvensen. Säkerhetskopiorna behålls på den operativa nivån och valvnivån enligt den kvarhållningstid som definieras i säkerhetskopieringsprincipen och tas bort när varaktigheten är över.
Kommentar
Du kan använda AKS-säkerhetskopiering för att skapa flera säkerhetskopieringsinstanser för ett enda AKS-kluster med hjälp av olika säkerhetskopieringskonfigurationer per säkerhetskopieringsinstans. Varje säkerhetskopieringsinstans av ett AKS-kluster bör dock skapas antingen i ett annat säkerhetskopieringsvalv eller med hjälp av en separat säkerhetskopieringsprincip i samma säkerhetskopieringsvalv.
Hantera säkerhetskopiering
När säkerhetskopieringskonfigurationen för ett AKS-kluster är klar skapas en säkerhetskopieringsinstans i säkerhetskopieringsvalvet. Du kan visa säkerhetskopieringsinstansen för klustret i avsnittet Säkerhetskopiering för en AKS-instans i Azure-portalen. Du kan utföra alla säkerhetskopieringsrelaterade åtgärder för instansen, till exempel initiera återställningar, övervaka, stoppa skydd och så vidare via motsvarande säkerhetskopieringsinstans.
AKS-säkerhetskopiering integreras också direkt med Backup Center för att hjälpa dig att hantera skydd för alla dina AKS-kluster och andra arbetsbelastningar som stöds av säkerhetskopiering centralt. Säkerhetskopieringscenter är en enda vy för alla dina säkerhetskopieringskrav, till exempel övervakningsjobb och tillståndet för säkerhetskopieringar och återställningar. Säkerhetskopieringscenter hjälper dig att säkerställa efterlevnad och styrning, analysera användningen av säkerhetskopiering och utföra kritiska åtgärder för att säkerhetskopiera och återställa data.
AKS-säkerhetskopiering använder hanterad identitet för att få åtkomst till andra Azure-resurser. För att konfigurera säkerhetskopiering av ett AKS-kluster och återställa från en tidigare säkerhetskopia kräver säkerhetskopieringsvalvets hanterade identitet en uppsättning behörigheter för AKS-klustret och resursgruppen för ögonblicksbilder där ögonblicksbilder skapas och hanteras. För närvarande kräver AKS-klustret en uppsättning behörigheter för resursgruppen för ögonblicksbilder. Dessutom skapar säkerhetskopieringstillägget en användaridentitet och tilldelar en uppsättning behörigheter för att komma åt lagringskontot där säkerhetskopior lagras i en blob. Du kan bevilja behörigheter till den hanterade identiteten med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC). En hanterad identitet är en särskild typ av tjänstprincip som endast kan användas med Azure-resurser. Läs mer om hanterade identiteter.
Återställ från en säkerhetskopia
Du kan återställa data från vilken tidpunkt som helst för vilken återställningspunkt som helst. En återställningspunkt skapas när en säkerhetskopieringsinstans är i ett skyddat tillstånd och kan användas för att återställa data tills den behålls av säkerhetskopieringsprincipen.
Med Azure Backup kan du återställa alla objekt som säkerhetskopieras eller använda detaljerade kontroller för att välja specifika objekt från säkerhetskopiorna genom att välja namnområden och andra filteralternativ. Du kan också återställa det ursprungliga AKS-klustret (klustret som säkerhetskopieras) eller i ett alternativt AKS-kluster. Du kan återställa säkerhetskopior som lagras på drift- och valvnivå till ett kluster i samma och en annan prenumeration. Endast säkerhetskopior som lagras på valvnivå kan användas för att återställa till ett kluster i en annan region (Azure Paired Region).
Om du vill återställa säkerhetskopiering som lagras på valvnivå måste du ange en mellanlagringsplats där säkerhetskopieringsdata är hydratiserade. Den här mellanlagringsplatsen innehåller en resursgrupp och ett lagringskonto i samma region och en prenumeration som målklustret för återställning. Under återställningen skapas specifika resurser (blobcontainer, diskar och diskögonblicksbilder) som en del av hydreringen, som sedan rensas när återställningen har slutförts.
Azure Backup för AKS stöder för närvarande följande två alternativ när du utför en återställningsåtgärd när resurskonflikter inträffar (säkerhetskopierade resurser har samma namn som resursen i AKS-målklustret). Du kan välja något av dessa alternativ när du definierar återställningskonfigurationen.
Hoppa över: Det här alternativet är markerat som standard. Om du till exempel har säkerhetskopierat en PVC med namnet pvc-azuredisk och du återställer den i ett målkluster som har PVC med samma namn hoppar säkerhetskopieringstillägget över återställningen av det säkerhetskopierade beständiga volymanspråket (PVC). I sådana scenarier rekommenderar vi att du tar bort resursen från klustret och sedan utför återställningsåtgärden så att säkerhetskopierade objekt endast är tillgängliga i klustret och inte hoppas över.
Korrigering: Med det här alternativet kan du korrigera föränderlig variabel i den säkerhetskopierade resursen på resursen i målklustret. Om du vill uppdatera antalet repliker i målklustret kan du välja att korrigera som en åtgärd.
Kommentar
AKS-säkerhetskopiering tar för närvarande inte bort och återskapar inte resurser i målklustret om de redan finns. Om du försöker återställa beständiga volymer på den ursprungliga platsen tar du bort befintliga beständiga volymer och utför sedan återställningsåtgärden.
Använda anpassade krokar för säkerhetskopiering och återställning
Du kan använda anpassade krokar för att ta programkonsekventa ögonblicksbilder av volymer som används för databaser som distribueras som containerbaserade arbetsbelastningar.
Vad är anpassade krokar?
Du kan använda AKS-säkerhetskopiering för att köra anpassade krokar som en del av en säkerhetskopierings- och återställningsåtgärd. Hooks är kommandon som är konfigurerade för att köra ett eller flera kommandon som ska köras i en podd under en container under en säkerhetskopieringsåtgärd eller efter återställningen. Du definierar dessa krokar som en anpassad resurs och distribuerar dem i det AKS-kluster som du vill säkerhetskopiera eller återställa. När den anpassade resursen distribueras i AKS-klustret i det obligatoriska namnområdet anger du informationen som indata för flödet för att konfigurera säkerhetskopiering och återställning. Säkerhetskopieringstillägget kör krokarna enligt definitionen i en YAML-fil.
Kommentar
Krokar körs inte i ett gränssnitt på containrarna.
Säkerhetskopiering i AKS har två typer av krokar:
- Säkerhetskopieringskrokar
- Återställa krokar
Säkerhetskopieringskrokar
I en säkerhetskopieringskrok kan du konfigurera kommandona för att köra kroken innan någon anpassad åtgärdsbearbetning (pre-hooks) eller när alla anpassade åtgärder har slutförts och eventuella ytterligare objekt som anges av anpassade åtgärder säkerhetskopieras (efter hooks).
Här är till exempel YAML-mallen för en anpassad resurs som ska distribueras med hjälp av säkerhetskopieringskrokar:
apiVersion: clusterbackup.dataprotection.microsoft.com/v1alpha1
kind: BackupHook
metadata:
# BackupHook CR Name and Namespace
name: bkphookname0
namespace: default
spec:
# BackupHook is a list of hooks to execute before and after backing up a resource.
backupHook:
# BackupHook Name. This is the name of the hook that will be executed during backup.
# compulsory
- name: hook1
# Namespaces where this hook will be executed.
includedNamespaces:
- hrweb
excludedNamespaces:
labelSelector:
# PreHooks is a list of BackupResourceHooks to execute prior to backing up an item.
preHooks:
- exec:
# Container is the container in the pod where the command should be executed.
container: webcontainer
# Command is the command and arguments to execute.
command:
- /bin/uname
- -a
# OnError specifies how Velero should behave if it encounters an error executing this hook
onError: Continue
# Timeout is the amount of time to wait for the hook to complete before considering it failed.
timeout: 10s
- exec:
command:
- /bin/bash
- -c
- echo hello > hello.txt && echo goodbye > goodbye.txt
container: webcontainer
onError: Continue
# PostHooks is a list of BackupResourceHooks to execute after backing up an item.
postHooks:
- exec:
container: webcontainer
command:
- /bin/uname
- -a
onError: Continue
timeout: 10s
Återställa krokar
I skriptet för återställningskroken skrivs anpassade kommandon eller skript för att köras i containrarna i en återställd AKS-podd.
Här är YAML-mallen för en anpassad resurs som ska distribueras med hjälp av återställningskrokar:
apiVersion: clusterbackup.dataprotection.microsoft.com/v1alpha1
kind: RestoreHook
metadata:
name: restorehookname0
namespace: default
spec:
# RestoreHook is a list of hooks to execute after restoring a resource.
restoreHook:
# Name is the name of this hook.
- name: myhook-1
# Restored Namespaces where this hook will be executed.
includedNamespaces:
excludedNamespaces:
labelSelector:
# PostHooks is a list of RestoreResourceHooks to execute during and after restoring a resource.
postHooks:
- exec:
# Container is the container in the pod where the command should be executed.
container: webcontainer
# Command is the command and arguments to execute from within a container after a pod has been restored.
command:
- /bin/bash
- -c
- echo hello > hello.txt && echo goodbye > goodbye.txt
# OnError specifies how Velero should behave if it encounters an error executing this hook
# default value is Continue
onError: Continue
# Timeout is the amount of time to wait for the hook to complete before considering it failed.
execTimeout: 30s
# WaitTimeout defines the maximum amount of time Velero should wait for the container to be ready before attempting to run the command.
waitTimeout: 5m
Lär dig hur du använder krokar under AKS-säkerhetskopiering.
Vilken lagringsnivå för säkerhetskopiering stöder AKS-säkerhetskopiering?
Azure Backup för AKS stöder två lagringsnivåer som säkerhetskopieringsdatalager:
Driftnivå: Säkerhetskopieringstillägget som är installerat i AKS-klustret tar först säkerhetskopian genom att ta ögonblicksbilder av volymer via CSI-drivrutin och lagrar klustertillståndet i en blobcontainer i din egen klientorganisation. Den här nivån stöder lägre RPO med minsta varaktighet mellan två säkerhetskopior på fyra timmar. För Azure Disk-baserade volymer har driftnivån dessutom stöd för snabbare återställningar.
Standardnivå för valv (förhandsversion): Om du vill lagra säkerhetskopierade data under längre tid till lägre kostnad än ögonblicksbilder stöder AKS-säkerhetskopiering valvstandarddatalager. Enligt de kvarhållningsregler som anges i säkerhetskopieringsprincipen flyttas den första lyckade säkerhetskopieringen (för en dag, vecka, månad eller år) till en blobcontainer utanför klientorganisationen. Det här dataarkivet tillåter inte bara längre kvarhållning, utan ger även skydd mot utpressningstrojaner. Du kan också flytta säkerhetskopior som lagras i valvet till en annan region (Azure Paired Region) för återställning genom att aktivera Geo-redundans och Återställning mellan regioner i säkerhetskopieringsvalvet.
Kommentar
Du kan lagra säkerhetskopierade data i ett valvstandarddatalager via säkerhetskopieringsprincip genom att definiera kvarhållningsregler. Endast en schemalagd återställningspunkt per dag flyttas till valvnivå. Du kan dock flytta valfritt antal säkerhetskopieringar på begäran till valvet enligt den valda regeln.
Förstå prissättningen
Du debiteras för:
Avgift för skyddad instans: Azure Backup för AKS debiterar en avgift för skyddad instans per namnområde per månad. När du konfigurerar säkerhetskopiering för ett AKS-kluster skapas en skyddad instans. Varje instans har ett visst antal namnområden som säkerhetskopieras enligt definitionen i säkerhetskopieringskonfigurationen. Mer information om prissättningen för AKS-säkerhetskopiering finns i Prissättning för cloud backup och välj Azure Kubernetes Service som arbetsbelastning
Avgift för ögonblicksbilder: Azure Backup för AKS skyddar en diskbaserad beständig volym genom att ta ögonblicksbilder som lagras i resursgruppen i din Azure-prenumeration. Dessa ögonblicksbilder medför lagringsavgifter för ögonblicksbilder. Eftersom ögonblicksbilderna inte kopieras till Säkerhetskopieringsvalvet gäller inte kostnaden för lagring av säkerhetskopior. Mer information om prissättningen för ögonblicksbilder finns i Priser för hanterade diskar.