Azure Backup kullanarak Azure Kubernetes Service yedeklemesi için önkoşullar
Bu makalede Azure Kubernetes Service (AKS) yedeklemesinin önkoşulları açıklanmaktadır.
Azure Backup artık kümeye yüklenmesi gereken bir yedekleme uzantısı kullanarak AKS kümelerini (küme kaynakları ve kümeye bağlı kalıcı birimler) yedeklemenize olanak tanır. Yedekleme kasası, yedekleme ve geri yükleme işlemlerini gerçekleştirmek için bu Yedekleme Uzantısı aracılığıyla kümeyle iletişim kurar. En düşük ayrıcalıklı güvenlik modeline bağlı olarak, AKS kümesiyle iletişim kurmak için Bir Backup kasasının Güvenilen Erişim'in etkinleştirilmiş olması gerekir.
Not
Azure Backup kullanarak AKS için kasalı yedekleme ve Bölgeler Arası Geri Yükleme şu anda önizleme aşamasındadır.
Yedek Dahili Hat
Uzantı, AKS kümelerinde çalışan iş yükleri tarafından kullanılan kapsayıcılı iş yükleri ve kalıcı birimler için yedekleme ve geri yükleme özelliklerini etkinleştirir.
Yedekleme Uzantısı varsayılan olarak kendi ad alanı dataprotection-microsoft'a yüklenir. Uzantının tüm küme kaynaklarına erişmesine olanak tanıyan küme geniş kapsamlı olarak yüklenir. Uzantı yüklemesi sırasında, Düğüm Havuzu kaynak grubunda Kullanıcı Tarafından Atanan Yönetilen Kimlik (Uzantı Kimliği) de oluşturulur.
Yedekleme Uzantısı, yedekleme depolaması için varsayılan konum olarak bir blob kapsayıcısı (yükleme sırasında girişte sağlanır) kullanır. Bu blob kapsayıcısına erişmek için Uzantı Kimliği, kapsayıcıya sahip depolama hesabında Depolama Blob Verileri Katkıda Bulunanı rolü gerektirir.
Yedekleme Uzantısı'nı hem yedeklenecek kaynak kümeye hem de yedeklemenin geri yükleneceği hedef kümeye yüklemeniz gerekir.
Yedekleme Uzantısı, Ayarlar altındaki Yedekleme sekmesinin AKS portalı dikey penceresinden kümeye yüklenebilir. Yedekleme Uzantısı'nda yüklemeyi ve diğer işlemleri yönetmek için Azure CLI komutlarını da kullanabilirsiniz.
AKS kümesine uzantı yüklemeden önce kaynak sağlayıcısını
Microsoft.KubernetesConfigurationabonelik düzeyinde kaydetmeniz gerekir. Kaynak sağlayıcısını kaydetmeyi öğrenin.Uzantı aracısı ve uzantı işleci, AKS kümesinde ilk kez herhangi bir türde uzantı yüklendiğinde yüklenen AKS'deki temel platform bileşenleridir. Bunlar, birinci taraf ve üçüncü taraf uzantılarını dağıtmaya yönelik özellikler sağlar. Yedekleme uzantısı ayrıca yükleme ve yükseltmeler için de bu uzantılara dayanır.
Not
Bu temel bileşenlerin her ikisi de CPU ve bellek üzerinde agresif sabit sınırlarla dağıtılır ve CPU, çekirdeğin %0,5'inden az ve bellek sınırı 50-200 MB arasında değişir. Bu nedenle, bu bileşenlerin COGS etkisi çok düşüktür. Bunlar temel platform bileşenleri olduğundan, kümeye yüklendikten sonra bunları kaldırmak için herhangi bir geçici çözüm yoktur.
Uzantı yüklemesi için giriş olarak sağlanacak Depolama Hesabı Sanal Ağ/Güvenlik Duvarı altındaysa BackupVault'un Depolama Hesabı Ağ Ayarları'na güvenilir erişim olarak eklenmesi gerekir. Kasa veri deposunda yedeklemeleri depolamaya yardımcı olan güvenilir Azure hizmetine nasıl erişim vereceğinizi öğrenin
Azure CLI kullanarak Yedekleme Uzantısını yükleme işlemini yönetmeyi öğrenin.
Güvenilen Erişim
Birçok Azure hizmeti, AKS kümelerine erişmek için clusterAdmin kubeconfig ve genel olarak erişilebilen kube-apiserver uç noktasına bağlıdır. AKS Güvenilen Erişim özelliği, özel uç nokta kısıtlamasını atlamanızı sağlar. Microsoft Entra uygulamasını kullanmadan bu özellik, Azure kaynağı RoleBinding kullanarak AKS kümelerinize erişmek için izin verilen kaynakların sistem tarafından atanan kimliğine açık onay vermenize olanak tanır. Bu özellik, özel kümelerle sınırlı olmayan farklı yapılandırmalara sahip AKS kümelerine, yerel hesapları devre dışı bırakılmış kümelere, Microsoft Entra ID kümelerine ve yetkili IP aralığı kümelerine erişmenizi sağlar.
Azure kaynaklarınız, sistem tarafından atanan yönetilen kimlik kimlik doğrulamasını kullanarak AKS bölgesel ağ geçidi üzerinden AKS kümelerine erişmektedir. Yönetilen kimlik, azure kaynak rolü aracılığıyla atanan uygun Kubernetes izinlerine sahip olmalıdır.
AKS yedeklemesi için Backup kasası, yedeklemeleri ve geri yüklemeleri yapılandırmak için Güvenilen Erişim aracılığıyla AKS kümelerinize erişir. Backup kasasına AKS kümesinde önceden tanımlanmış bir Microsoft.DataProtection/backupVaults/backup-operator rolü atanır ve bu rol yalnızca belirli yedekleme işlemlerini gerçekleştirmesine olanak sağlar.
Backup kasası ve AKS kümesi arasında Güvenilen Erişimi etkinleştirmek için özellik bayrağını TrustedAccessPreviewMicrosoft.ContainerService abonelik düzeyinde kaydetmeniz gerekir. Kaynak sağlayıcısını kaydetmek için daha fazla bilgi edinin.
Güvenilen Erişimi etkinleştirmeyi öğrenin.
Not
- Yedekleme Uzantısı'nı AKS kümenize doğrudan Azure portalından AKS portalındaki Yedekleme bölümünden yükleyebilirsiniz.
- Ayrıca, Azure portalındaki yedekleme veya geri yükleme işlemleri sırasında Yedekleme kasası ile AKS kümesi arasında Güvenilen Erişimi etkinleştirebilirsiniz.
AKS Kümesi
AKS kümesinde yedeklemeyi etkinleştirmek için aşağıdaki önkoşullara bakın: .
AKS yedeklemesi, kalıcı birimlerin yedeklemelerini gerçekleştirmek için Kapsayıcı Depolama Arabirimi (CSI) sürücülerinin anlık görüntü özelliklerini kullanır. Kubernetes sürüm 1.21.1 veya sonraki bir sürüme sahip AKS kümeleri için CSI Sürücüsü desteği sağlanır.
Not
- Şu anda AKS yedeklemesi yalnızca Azure Disk tabanlı kalıcı birimlerin (CSI sürücüsü tarafından etkinleştirilmiştir) yedeklenmesini destekler. AKS kümelerinizde Azure Dosya Paylaşımı ve Azure Blob türü kalıcı birimler kullanıyorsanız, Azure Dosya Paylaşımı ve Azure Blob için kullanılabilen Azure Backup çözümleri aracılığıyla bunların yedeklerini yapılandırabilirsiniz.
- Ağaç'ta birimler AKS yedeklemesi tarafından desteklenmez; yalnızca CSI sürücü tabanlı birimler yedeklenebilir. Ağaç birimlerinden CSI sürücüsü tabanlı Kalıcı Birimlere geçiş yapabilirsiniz.
AKS kümesine Yedekleme Uzantısı'nı yüklemeden önce, kümeniz için CSI sürücülerinin ve anlık görüntülerin etkinleştirildiğinden emin olun. Devre dışı bırakılırsa, bunları etkinleştirmek için bu adımlara bakın.
AKS için Azure Backup, yedekleme işlemleri için sistem tarafından atanan yönetilen kimliği veya kullanıcı tarafından atanan yönetilen kimliği kullanarak AKS kümelerini destekler. Hizmet sorumlusu kullanan kümeler desteklenmese de, mevcut aks kümesini sistem tarafından atanan yönetilen kimliği veya kullanıcı tarafından atanan yönetilen kimliği kullanacak şekilde güncelleştirebilirsiniz.
Yükleme sırasında Yedekleme Uzantısı, Microsoft Container Registry'de (MCR) depolanan Kapsayıcı Görüntülerini getirir. AKS kümesinde bir güvenlik duvarını etkinleştirirseniz, kayıt defterindeki erişim sorunları nedeniyle uzantı yükleme işlemi başarısız olabilir. Güvenlik duvarından MCR erişimine nasıl izin vereceğinizi öğrenin.
Kümeyi Özel Sanal Ağ ve Güvenlik Duvarı'nda varsa, aşağıdaki FQDN/uygulama kurallarını uygulayın:
*.microsoft.com,*.azure.com,*.core.windows.net,*.azmk8s.io,*.digicert.com, ,*.digicert.cn,*.geotrust.com, .*.msocsp.comFQDN kurallarını uygulamayı öğrenin.AKS kümesinde Velero'nun daha önce yüklenmiş bir yüklemesine sahipseniz Yedekleme Uzantısı'nı yüklemeden önce bunu silmeniz gerekir.
Gerekli roller ve izinler
Kullanıcı olarak AKS yedekleme ve geri yükleme işlemlerini gerçekleştirmek için AKS kümesi, Backup kasası, Depolama hesabı ve Anlık görüntü kaynak grubunda belirli rollere sahip olmanız gerekir.
| Kapsam | Tercih edilen rol | Açıklama |
|---|---|---|
| AKS Kümesi | Sahip | Yedekleme Uzantısı'nı yüklemenize, Güvenilen Erişim'i etkinleştirmenize ve küme üzerinden Backup kasasına izinler vermenizi sağlar. |
| Yedekleme kasası kaynak grubu | Yedekleme Katkıda Bulunanı | Bir kaynak grubunda Backup kasası oluşturmanıza, yedekleme ilkesi oluşturmanıza, yedeklemeyi yapılandırmanıza ve Yedekleme işlemleri için gereken eksik rolleri geri yüklemenize ve atamanıza olanak tanır. |
| Storage account | Sahip | Depolama hesabında okuma ve yazma işlemleri gerçekleştirmenize ve yedekleme işlemlerinin bir parçası olarak diğer Azure kaynaklarına gerekli rolleri atamanıza olanak tanır. |
| Anlık görüntü kaynak grubu | Sahip | Anlık Görüntü kaynak grubunda okuma ve yazma işlemleri gerçekleştirmenize ve yedekleme işlemlerinin bir parçası olarak diğer Azure kaynaklarına gerekli rolleri atamanıza olanak tanır. |
Not
Azure kaynağındaki sahip rolü, bu kaynağın Azure RBAC işlemlerini gerçekleştirmenizi sağlar. Kullanılabilir değilse, yedekleme veya geri yükleme işlemlerini başlatmadan önce kaynak sahibinin Backup kasasına ve AKS kümesine gerekli rolleri sağlaması gerekir.
Ayrıca, yedekleme ve geri yükleme işlemlerinin bir parçası olarak AKS kümesine, Yedekleme Uzantısı Kimliği'ne ve Backup kasasına aşağıdaki roller atanır.
| Role | Atanan | Atama tarihi: | Açıklama |
|---|---|---|---|
| Okuyucu | Yedekleme kasası | AKS kümesi | Backup kasasının AKS kümesinde Listele ve Oku işlemlerini gerçekleştirmesine izin verir. |
| Okuyucu | Yedekleme kasası | Anlık görüntü kaynak grubu | Backup kasasının anlık görüntü kaynak grubunda Listele ve Oku işlemlerini gerçekleştirmesine izin verir. |
| Katılımcı | AKS kümesi | Anlık görüntü kaynak grubu | AKS kümesinin kaynak grubunda kalıcı birim anlık görüntülerini depolamasına izin verir. |
| Depolama Blobu Veri Katılımcısı | Uzantı Kimliği | Storage account | Yedekleme Uzantısı'nın blob kapsayıcısında küme kaynağı yedeklemelerini depolamasına izin verir. |
| Yönetilen Disk için Veri İşleci | Yedekleme kasası | Anlık Görüntü Kaynak Grubu | Backup Vault hizmetinin artımlı anlık görüntü verilerini Kasaya taşımasına izin verir. |
| Disk Anlık Görüntüsü Katılımcısı | Yedekleme kasası | Anlık Görüntü Kaynak Grubu | Backup Vault'un Disk anlık görüntülerine erişmesine ve Kasa işlemi gerçekleştirmesine izin verir. |
| Depolama Blob Verileri Okuyucusu | Yedekleme kasası | Depolama Hesabı | Backup Vault'un Kasaya taşımak için depolanan yedekleme verileriyle Blob Kapsayıcısına erişmesine izin verin. |
| Katılımcı | Yedekleme kasası | Hazırlama Kaynak Grubu | Backup Vault'un yedeklemeleri Kasa Katmanında depolanan Diskler olarak nemlendirmesine izin verir. |
| Depolama Hesabı Katılımcısı | Yedekleme kasası | Hazırlama Depolama Hesabı | Backup Vault'un Kasa Katmanında depolanan yedeklemeleri nemlendirmesine izin verir. |
| Depolama Blobu Veri Sahibi | Yedekleme kasası | Hazırlama Depolama Hesabı | Backup Vault'un Kasa Katmanında depolanan bir blob kapsayıcısında küme durumunu kopyalamasına izin verir. |
Not
AKS yedeklemesi, azure portalı aracılığıyla yedekleme ve geri yükleme işlemleri sırasında bu rolleri tek bir tıklamayla atamanızı sağlar.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin