Förutsättningar för säkerhetskopiering av Azure Kubernetes Service med Azure Backup
Den här artikeln beskriver förutsättningarna för säkerhetskopiering av Azure Kubernetes Service (AKS).
Med Azure Backup kan du nu säkerhetskopiera AKS-kluster (klusterresurser och beständiga volymer som är anslutna till klustret) med hjälp av ett säkerhetskopieringstillägg som måste installeras i klustret. Säkerhetskopieringsvalvet kommunicerar med klustret via det här säkerhetskopieringstillägget för att utföra säkerhetskopierings- och återställningsåtgärder. Baserat på den minst privilegierade säkerhetsmodellen måste ett säkerhetskopieringsvalv ha betrodd åtkomst aktiverat för att kommunicera med AKS-klustret.
Kommentar
Säkerhetskopiering med valv och återställning mellan regioner för AKS med Azure Backup är för närvarande i förhandsversion.
Säkerhetskopieringstillägg
Tillägget möjliggör säkerhetskopierings- och återställningsfunktioner för de containerbaserade arbetsbelastningar och beständiga volymer som används av arbetsbelastningarna som körs i AKS-kluster.
Säkerhetskopieringstillägget installeras som standard i sitt eget namnområdesdataprotection-microsoft. Det installeras med ett klusteromfattande omfång som gör att tillägget kan komma åt alla klusterresurser. Under tilläggsinstallationen skapas även en användartilldelad hanterad identitet (tilläggsidentitet) i resursgruppen Nodpool.
Säkerhetskopieringstillägget använder en blobcontainer (som anges i indata under installationen) som standardplats för lagring av säkerhetskopior. För att få åtkomst till den här blobcontainern kräver tilläggsidentiteten rollen Storage Blob Data Contributor för lagringskontot som har containern.
Du måste installera säkerhetskopieringstillägget på både källklustret som ska säkerhetskopieras och målklustret där säkerhetskopieringen ska återställas.
Säkerhetskopieringstillägget kan installeras i klustret från AKS-portalbladet på fliken Säkerhetskopiering under Inställningar. Du kan också använda Azure CLI-kommandon för att hantera installationen och andra åtgärder i säkerhetskopieringstillägget.
Innan du installerar ett tillägg i ett AKS-kluster måste du registrera
Microsoft.KubernetesConfigurationresursprovidern på prenumerationsnivå. Lär dig hur du registrerar resursprovidern.Tilläggsagenten och tilläggsoperatorn är kärnplattformskomponenterna i AKS, som installeras när ett tillägg av någon typ installeras för första gången i ett AKS-kluster. Dessa tillhandahåller funktioner för att distribuera 1P - och 3P-tillägg . Säkerhetskopieringstillägget förlitar sig också på dem för installation och uppgraderingar.
Kommentar
Båda dessa kärnkomponenter distribueras med aggressiva hårda gränser för processor och minne, med processorer som är mindre än 0,5 % av en kärn- och minnesgräns på mellan 50 och 200 MB. Cogs-effekten av dessa komponenter är därför mycket låg. Eftersom de är grundläggande plattformskomponenter finns det ingen lösning tillgänglig för att ta bort dem när de har installerats i klustret.
Om lagringskontot, som ska anges som indata för tilläggsinstallation, finns under Virtuellt nätverk/brandvägg måste BackupVault läggas till som betrodd åtkomst i Storage Account Network Inställningar. Lär dig hur du beviljar åtkomst till betrodd Azure-tjänst, vilket hjälper dig att lagra säkerhetskopior i Vault-datalagret
Lär dig hur du hanterar åtgärden för att installera säkerhetskopieringstillägget med Hjälp av Azure CLI.
Betrodd åtkomst
Många Azure-tjänster är beroende av klusterAdmin kubeconfig och den offentligt tillgängliga kube-apiserverslutpunkten för åtkomst till AKS-kluster. Med funktionen betrodd åtkomst i AKS kan du kringgå begränsningen av den privata slutpunkten. Utan att använda Microsoft Entra-programmet kan du med den här funktionen ge uttryckligt medgivande till din systemtilldelade identitet för tillåtna resurser för att få åtkomst till dina AKS-kluster med hjälp av en Rollbinding för Azure-resurser. Med funktionen kan du komma åt AKS-kluster med olika konfigurationer, som inte är begränsade till privata kluster, kluster med lokala konton inaktiverade, Microsoft Entra ID-kluster och auktoriserade IP-intervallkluster.
Dina Azure-resurser får åtkomst till AKS-kluster via den regionala AKS-gatewayen med hjälp av systemtilldelad hanterad identitetsautentisering. Den hanterade identiteten måste ha rätt Kubernetes-behörigheter tilldelade via en Azure-resursroll.
För AKS-säkerhetskopiering får backup-valvet åtkomst till dina AKS-kluster via betrodd åtkomst för att konfigurera säkerhetskopior och återställningar. Säkerhetskopieringsvalvet tilldelas en fördefinierad roll Microsoft.DataProtection/backupVaults/backup-operator i AKS-klustret, vilket gör att den endast kan utföra specifika säkerhetskopieringsåtgärder.
Om du vill aktivera betrodd åtkomst mellan ett säkerhetskopieringsvalv och ett AKS-kluster måste du registrera TrustedAccessPreview funktionsflaggan på Microsoft.ContainerService prenumerationsnivå. Läs mer om att registrera resursprovidern.
Lär dig hur du aktiverar betrodd åtkomst.
Kommentar
- Du kan installera säkerhetskopieringstillägget i AKS-klustret direkt från Azure-portalen under avsnittet Säkerhetskopiering i AKS-portalen.
- Du kan också aktivera betrodd åtkomst mellan Backup-valv och AKS-kluster under säkerhetskopierings- eller återställningsåtgärderna i Azure-portalen.
AKS-kluster
Information om hur du aktiverar säkerhetskopiering för ett AKS-kluster finns i följande förutsättningar: .
AKS-säkerhetskopiering använder funktioner för ögonblicksbilder av CSI-drivrutiner för att utföra säkerhetskopior av beständiga volymer. Stöd för CSI-drivrutin är tillgängligt för AKS-kluster med Kubernetes version 1.21.1 eller senare.
Kommentar
- För närvarande stöder AKS-säkerhetskopiering endast säkerhetskopiering av Azure Disk-baserade beständiga volymer (aktiverad av CSI-drivrutin). Om du använder beständiga volymer av Azure-filresurs och Azure Blob-typ i dina AKS-kluster kan du konfigurera säkerhetskopior för dem via Azure Backup-lösningarna som är tillgängliga för Azure File Share och Azure Blob.
- I Träd stöds volymer inte av AKS-säkerhetskopiering. Endast CSI-drivrutinsbaserade volymer kan säkerhetskopieras. Du kan migrera från trädvolymer till CSI-drivrutinsbaserade beständiga volymer.
Innan du installerar säkerhetskopieringstillägget i AKS-klustret kontrollerar du att CSI-drivrutinerna och ögonblicksbilderna är aktiverade för klustret. Om du är inaktiverad kan du läsa de här stegen för att aktivera dem.
Azure Backup för AKS stöder AKS-kluster som använder antingen systemidentitet eller användaridentitet för säkerhetskopieringsåtgärder. Även om kluster som använder tjänstprincip inte stöds kan du uppdatera ett sådant AKS-kluster för att använda en hanterad systemidentitet.
Säkerhetskopieringstillägget under installationen hämtar containeravbildningar som lagras i Microsoft Container Registry (MCR). Om du aktiverar en brandvägg i AKS-klustret kan tilläggsinstallationsprocessen misslyckas på grund av åtkomstproblem i registret. Lär dig hur du tillåter MCR-åtkomst från brandväggen.
Om du har klustret i ett privat virtuellt nätverk och en brandvägg tillämpar du följande FQDN/programregler:
*.microsoft.com,*.azure.com,*.core.windows.net,*.azmk8s.io,*.digicert.com,*.digicert.cn,*.geotrust.com,*.msocsp.com. Lär dig hur du tillämpar FQDN-regler.Om du har någon tidigare installation av Velero i AKS-klustret måste du ta bort det innan du installerar säkerhetskopieringstillägget.
Roller och behörigheter som krävs
För att kunna utföra åtgärder för säkerhetskopiering och återställning av AKS som användare måste du ha specifika roller i resursgruppen AKS-kluster, Säkerhetskopieringsvalv, Lagringskonto och Ögonblicksbild.
| Omfattning | Önskad roll | beskrivning |
|---|---|---|
| AKS-kluster | Ägare | Gör att du kan installera säkerhetskopieringstillägget, aktivera betrodd åtkomst och bevilja behörigheter till Säkerhetskopieringsvalvet över klustret. |
| Resursgrupp för säkerhetskopieringsvalv | Säkerhetskopieringsdeltagare | Gör att du kan skapa säkerhetskopieringsvalv i en resursgrupp, skapa en säkerhetskopieringsprincip, konfigurera säkerhetskopiering och återställa och tilldela saknade roller som krävs för säkerhetskopieringsåtgärder. |
| Lagringskonto | Ägare | Gör att du kan utföra läs- och skrivåtgärder på lagringskontot och tilldela nödvändiga roller till andra Azure-resurser som en del av säkerhetskopieringsåtgärderna. |
| Resursgrupp för ögonblicksbilder | Ägare | Gör att du kan utföra läs- och skrivåtgärder i resursgruppen Ögonblicksbild och tilldela nödvändiga roller till andra Azure-resurser som en del av säkerhetskopieringsåtgärderna. |
Kommentar
Med ägarrollen för en Azure-resurs kan du utföra Azure RBAC-åtgärder för den resursen. Om den inte är tillgänglig måste resursägaren ange de roller som krävs för säkerhetskopieringsvalvet och AKS-klustret innan säkerhetskopierings- eller återställningsåtgärderna initieras.
Som en del av säkerhetskopierings- och återställningsåtgärderna tilldelas följande roller till AKS-klustret, identiteten för säkerhetskopieringstillägget och säkerhetskopieringsvalvet.
| Roll | Tilldelat till | Tilldelad den | Beskrivning |
|---|---|---|---|
| Läsare | Backup-valv | AKS-kluster | Tillåter säkerhetskopieringsvalvet att utföra list- och läsåtgärder i AKS-klustret. |
| Läsare | Backup-valv | Resursgrupp för ögonblicksbilder | Tillåter säkerhetskopieringsvalvet att utföra list- och läsåtgärder på resursgruppen för ögonblicksbilder. |
| Deltagare | AKS-kluster | Resursgrupp för ögonblicksbilder | Gör att AKS-klustret kan lagra beständiga ögonblicksbilder av volymer i resursgruppen. |
| Storage Blob datadeltagare | Tilläggsidentitet | Lagringskonto | Tillåter att säkerhetskopieringstillägget lagrar säkerhetskopieringar av klusterresurser i blobcontainern. |
| Dataoperatör för hanterad disk | Backup-valv | Resursgrupp för ögonblicksbilder | Tillåter att Backup Vault-tjänsten flyttar inkrementella ögonblicksbildsdata till valvet. |
| Deltagare i ögonblicksbild av disk | Backup-valv | Resursgrupp för ögonblicksbilder | Gör att Backup Vault kan komma åt ögonblicksbilder av diskar och utföra valvåtgärder. |
| Läsare av lagringsblobdata | Backup-valv | Lagringskonto | Tillåt att Backup Vault får åtkomst till blobcontainern med säkerhetskopierade data lagrade för att flytta till Valvet. |
| Deltagare | Backup-valv | Mellanlagringsresursgrupp | Gör att Backup Vault kan hydrera säkerhetskopior som diskar som lagras på valvnivå. |
| Lagringskontodeltagare | Backup-valv | Lagringskonto för mellanlagring | Gör att Backup Vault kan hydrera säkerhetskopior som lagras på valvnivå. |
| Ägare av lagringsblobdata | Backup-valv | Lagringskonto för mellanlagring | Gör att Backup Vault kan kopiera klustertillstånd i en blobcontainer som lagras på valvnivå. |
Kommentar
Med AKS-säkerhetskopiering kan du tilldela dessa roller under säkerhetskopierings- och återställningsprocesser via Azure-portalen med ett enda klick.