Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano wymagania wstępne dotyczące tworzenia kopii zapasowych usługi Azure Kubernetes Service (AKS).
Usługa Azure Backup umożliwia teraz tworzenie kopii zapasowych klastrów usługi AKS (zasobów klastra i trwałych woluminów dołączonych do klastra) przy użyciu rozszerzenia kopii zapasowej, które należy zainstalować w klastrze. Magazyn kopii zapasowych komunikuje się z klastrem za pośrednictwem tego rozszerzenia do kopii zapasowych, aby wykonywać operacje tworzenia kopii zapasowych i ich przywracania. W oparciu o najmniej uprzywilejowany model zabezpieczeń magazyn kopii zapasowych musi mieć włączony zaufany dostęp do komunikacji z klastrem usługi AKS.
Zapasowe rozszerzenie
Rozszerzenie umożliwia tworzenie i przywracanie kopii zapasowych dla konteneryzowanych obciążeń i trwałych woluminów używanych przez obciążenia uruchomione w klastrach usługi AKS.
Rozszerzenie kopii zapasowej jest domyślnie instalowane we własnej przestrzeni nazw dataprotection-microsoft. Jest instalowany z zakresem obejmującym cały klaster, co umożliwia rozszerzeniu dostęp do wszystkich zasobów klastra. Podczas instalacji rozszerzenia tworzy również zarządzaną tożsamość przypisaną przez użytkownika (tożsamość rozszerzenia) w grupie zasobów puli węzłów.
Rozszerzenie kopii zapasowej używa kontenera blob, określonego w danych wejściowych podczas instalacji, jako domyślnej lokalizacji przechowywania kopii zapasowych. Aby uzyskać dostęp do tego kontenera obiektów blob, tożsamość rozszerzenia wymaga roli Współautora danych obiektu blob na koncie magazynu, które zawiera ten kontener.
Należy zainstalować rozszerzenie kopii zapasowej zarówno w klastrze źródłowym, jak i w docelowym klastrze, w którym ma zostać przywrócona kopia zapasowa.
Rozszerzenie kopii zapasowej można zainstalować w klastrze z karty portalu AKS na karcie Kopia zapasowa w obszarze Ustawienia. Polecenia interfejsu wiersza polecenia platformy Azure umożliwiają również zarządzanie instalacją i innymi operacjami rozszerzenia kopii zapasowej.
Przed zainstalowaniem rozszerzenia w klastrze usługi AKS należy zarejestrować dostawcę
Microsoft.KubernetesConfigurationzasobów na poziomie subskrypcji. Dowiedz się, jak zarejestrować dostawcę zasobów.Agent rozszerzenia i operator rozszerzenia to podstawowe składniki platformy w usłudze AKS, które są instalowane po zainstalowaniu rozszerzenia dowolnego typu po raz pierwszy w klastrze usługi AKS. Zapewniają one możliwości wdrażania rozszerzeń własnych i zewnętrznych. Rozszerzenie kopii zapasowej opiera się również na nich na potrzeby instalacji i uaktualnień.
Uwaga
Oba te podstawowe składniki są wdrażane z agresywnymi twardymi limitami procesora i pamięci, z użyciem CPU mniejszego niż 0,5% rdzenia i limitem pamięci w zakresie od 50 do 200 MB. W związku z tym wpływ tych składników na coGS jest bardzo niski. Ponieważ są to podstawowe składniki platformy, nie ma dostępnego obejścia, aby je usunąć po zainstalowaniu w klastrze.
Jeśli konto magazynu podane jako wejście dla instalacji rozszerzenia używa jakichkolwiek ograniczeń sieciowych (prywatnych punktów końcowych lub zapory usługi Azure Storage), przyznaj magazynowi kopii zapasowych konkretny dostęp do konta magazynu, wykonując następujące kroki:
Przyznaj dostęp do instancji zasobu. Użyj następujących ustawień:
-
Typ zasobu:
Microsoft.DataProtection/BackupVaults - Nazwa wystąpienia: nazwa wystąpienia tożsamości zarządzanej.
-
Typ zasobu:
Włącz Zezwalaj usługom platformy Azure na zaufanej liście, aby uzyskały dostęp do tego konta magazynowego.
Aby uzyskać więcej informacji na temat zabezpieczeń sieci usługi Azure Storage, zobacz Reguły zapory usługi Azure Storage.
Kontener obiektów blob podany w danych wejściowych podczas instalacji rozszerzenia nie powinien zawierać żadnych plików niepowiązanych z kopią zapasową.
Dowiedz się , jak zarządzać operacją instalowania rozszerzenia kopii zapasowej przy użyciu interfejsu wiersza polecenia platformy Azure.
Zaufany dostęp
Wiele usług platformy Azure zależy od kubeconfig clusterAdmin oraz publicznie dostępnego punktu końcowego kube-apiservera do uzyskiwania dostępu do klastrów AKS. Funkcja zaufanego dostępu usługi AKS umożliwia obejście ograniczenia prywatnego punktu końcowego. Bez korzystania z aplikacji Microsoft Entra ta funkcja umożliwia jawne wyrażenie zgody na tożsamość przypisaną przez system dozwolonych zasobów w celu uzyskania dostępu do klastrów usługi AKS przy użyciu usługi RoleBinding zasobu platformy Azure. Ta funkcja umożliwia dostęp do klastrów usługi AKS z różnymi konfiguracjami, które nie są ograniczone do klastrów prywatnych, klastrów z wyłączonymi kontami lokalnymi, klastrami Microsoft Entra ID i autoryzowanymi klastrami zakresów adresów IP.
Zasoby platformy Azure uzyskują dostęp do klastrów usługi AKS za pośrednictwem regionalnej bramy usługi AKS, używając uwierzytelniania zarządzanej tożsamości przypisanej przez system. Zarządzana tożsamość musi mieć przypisane odpowiednie uprawnienia Kubernetes poprzez rolę zasobów Azure.
W przypadku kopii zapasowej AKS, magazyn kopii zapasowych uzyskuje dostęp do klastrów AKS za pomocą zaufanego dostępu w celu skonfigurowania tworzenia kopii zapasowych i przywracania. Magazyn kopii zapasowych ma przypisaną wstępnie zdefiniowaną rolę Microsoft.DataProtection/backupVaults/backup-operator w klastrze usługi AKS, umożliwiając jej wykonywanie tylko określonych operacji tworzenia kopii zapasowych.
Aby włączyć zaufany dostęp między magazynem kopii zapasowych a klastrem AKS. Dowiedz się , jak włączyć zaufany dostęp
Uwaga
- Rozszerzenie kopii zapasowej można zainstalować w klastrze usługi AKS bezpośrednio z witryny Azure Portal w sekcji Kopia zapasowa w portalu usługi AKS.
- Możesz również włączyć zaufany dostęp między magazynem kopii zapasowych i klastrem usługi AKS podczas operacji tworzenia kopii zapasowej lub przywracania w witrynie Azure Portal.
Klaster AKS
Aby włączyć tworzenie kopii zapasowej klastra usługi AKS, zapoznaj się z następującymi wymaganiami wstępnymi: .
Usługa AKS używa funkcji migawek sterowników interfejsu magazynu kontenerów (CSI) do tworzenia kopii zapasowych wolumenów trwałych. Obsługa sterowników CSI jest dostępna dla klastrów usługi AKS z wersją Kubernetes 1.21.1 lub nowszą.
Uwaga
- Obecnie kopia zapasowa usługi AKS obsługuje tylko kopie zapasowe woluminów trwałych opartych na dyskach platformy Azure (włączone przez sterownik CSI). Jeśli używasz Azure File Share i trwałych woluminów typu Azure Blob w swoich klastrach AKS, możesz skonfigurować kopie zapasowe za pośrednictwem rozwiązań Azure Backup dostępnych dla Azure File Share i Azure Blob.
- W systemie Tree woluminy nie są obsługiwane przez kopię zapasową AKS; można utworzyć kopię zapasową tylko woluminów opartych na sterownikach CSI. Można przeprowadzić migrację z woluminów drzewa katalogów do woluminów trwałych opartych na sterowniku CSI.
Przed zainstalowaniem rozszerzenia Backup w klastrze AKS, upewnij się, że sterowniki CSI i migawki są włączone w klastrze. Jeśli to ustawienie jest wyłączone, zapoznaj się z tymi krokami, aby je włączyć.
Usługa Azure Backup dla usługi AKS obsługuje klastry AKS przy użyciu tożsamości zarządzanej przypisanej przez system lub tożsamości zarządzanej przypisanej przez użytkownika na potrzeby operacji tworzenia kopii zapasowych. Mimo że klastry korzystające z zasady usługi nie są obsługiwane, można zaktualizować istniejący klaster AKS, aby używać tożsamości zarządzanej przypisanej przez system lub tożsamości zarządzanej przypisanej przez użytkownika.
Rozszerzenie kopii zapasowej podczas instalacji pobiera obrazy kontenerów przechowywane w usłudze Microsoft Container Registry (MCR). Jeśli włączysz zaporę w klastrze usługi AKS, proces instalacji rozszerzenia może zakończyć się niepowodzeniem z powodu problemów z dostępem do rejestru. Dowiedz się jak zezwolić na dostęp MCR z zapory.
Podczas instalacji rozszerzenia kopii zapasowej w usłudze Azure Kubernetes Service (AKS) komunikacja z kilkoma w pełni kwalifikowanymi nazwami domen (FQDN) jest wymagana do obsługi podstawowych operacji. Oprócz kont usługi Azure Backup i magazynu usługa AKS musi również uzyskiwać dostęp do zewnętrznych punktów końcowych, aby pobierać obrazy kontenerów na potrzeby uruchamiania zasobników kopii zapasowych i emitować dzienniki usług do usługi Microsoft Defender dla punktu końcowego za pośrednictwem rozwiązania MDM. W związku z tym, jeśli klaster jest wdrożony w prywatnej sieci wirtualnej z ograniczeniami zapory, upewnij się, że następujące nazwy FQDN lub reguły aplikacji są dozwolone:
*.microsoft.com,mcr.microsoft.com,data.mcr.microsoft.com,crl.microsoft.com,mscrl.microsoft.com,oneocsp.microsoft.com,*.azure.com,management.azure.com,gcs.prod.monitoring.core.windows.net,*.prod.warm.ingest.monitor.core.windows.net,*.blob.core.windows.net,*.azmk8s.io,ocsp.digicert.com,cacerts.digicert.com,crl3.digicert.com,crl4.digicert.com,ocsp.digicert.cn,cacerts.digicert.cn,cacerts.geotrust.com,cdp.geotrust.com,status.geotrust.com,ocsp.msocsp.com,*.azurecr.io,docker.io,*.dp.kubernetesconfiguration.azure.com. Dowiedz się, jak stosować reguły FQDN.Jeśli masz poprzednią instalację platformy Velero w klastrze usługi AKS, musisz ją usunąć przed zainstalowaniem rozszerzenia kopii zapasowej.
Uwaga
Dyski CRD platformy Velero zainstalowane w klastrze są współużytkowane przez usługę AKS Backup i własną instalację platformy Velero klienta. Jednak wersje używane przez każdą instalację mogą się różnić, co potencjalnie prowadzi do awarii z powodu niezgodności.
Ponadto niestandardowe konfiguracje Velero utworzone przez klienta — takie jak VolumeSnapshotClass dla migawek opartych na Velero CSI — mogą zakłócać proces tworzenia migawek w ramach kopii zapasowej na AKS.
Adnotacje Velero zawierające velero.io zastosowane do różnych zasobów w klastrze mogą również wpływać na zachowanie kopii zapasowej AKS w sposób nieobsługiwany.
Jeśli używasz zasad platformy Azure w klastrze AKS, upewnij się, że przestrzeń nazw rozszerzenia dataprotection-microsoft jest wykluczona z tych zasad, aby umożliwić pomyślne uruchamianie operacji tworzenia kopii zapasowych i przywracania.
Jeśli używasz sieciowej grupy zabezpieczeń platformy Azure do filtrowania ruchu sieciowego między zasobami platformy Azure w sieci wirtualnej platformy Azure, ustaw regułę ruchu przychodzącego, aby zezwolić na używanie tagów usługi azurebackup i azurecloud.
Wymagane role i uprawnienia
Aby wykonać operacje tworzenia i przywracania kopii zapasowej usługi AKS jako użytkownik, musisz mieć określone role w klastrze AKS, skarbcu kopii zapasowych, koncie magazynu i grupie zasobów migawki.
| Scope | Preferowana rola | opis |
|---|---|---|
| Klaster AKS | Właściciel | Umożliwia zainstalowanie backupowego rozszerzenia, włączenie Zaufanego dostępu oraz przyznanie uprawnień do sejfu kopii zapasowych w klastrze. |
| Grupa zasobów sejfu kopii zapasowych | Wkładca kopii zapasowej | Umożliwia tworzenie magazynu kopii zapasowych w grupie zasobów, tworzenie zasad tworzenia kopii zapasowych, konfigurowanie kopii zapasowej i przywracanie oraz przypisywanie brakujących ról wymaganych do wykonywania operacji tworzenia kopii zapasowych. |
| Konto magazynu | Właściciel | Umożliwia wykonywanie operacji odczytu i zapisu na koncie magazynu oraz przypisywanie wymaganych ról innym zasobom platformy Azure w ramach działań związanych z tworzeniem kopii zapasowych. |
| Grupa zasobów dla migawek | Właściciel | Umożliwia wykonywanie operacji odczytu i zapisu w grupie zasobów Migawka i przypisywanie wymaganych ról do innych zasobów platformy Azure w ramach operacji tworzenia kopii zapasowych. |
Uwaga
Rola właściciela zasobu platformy Azure umożliwia wykonywanie operacji Azure RBAC dla tego zasobu. Jeśli nie jest dostępna, właściciel zasobu musi przypisać wymagane role skarbcowi kopii zapasowych i klastrowi usługi AKS przed zainicjowaniem operacji tworzenia kopii zapasowej lub przywracania.
Ponadto w ramach operacji tworzenia kopii zapasowej i przywracania następujące role są przypisywane klastrowi AKS, tożsamości rozszerzenia kopii zapasowej i magazynowi kopii zapasowych.
| Rola | Przypisano do | Przypisano | opis |
|---|---|---|---|
| Czytelnik | Sejf kopii zapasowych | Klaster AKS | Umożliwia magazynowi kopii zapasowych wykonywanie operacji listowania i odczytu w klastrze AKS. |
| Czytelnik | Sejf kopii zapasowych | Grupa zasobów dla migawek | Umożliwia magazynowi kopii zapasowych wykonywanie operacji wyświetlania i odczytu na grupie zasobów migawki. |
| Współautor | Klaster AKS | Grupa zasobów dla migawek | Umożliwia klastrowi AKS przechowywanie trwałych migawek woluminów w grupie zasobów. |
| Kontrybutor danych Blob Storage | Tożsamość rozszerzenia | Konto magazynu | Umożliwia funkcji rozszerzenia kopii zapasowej przechowywanie kopii zapasowych zasobów klastra w kontenerze BLOB. |
| Operator danych dla zarządzanych dysków | Sejf kopii zapasowych | Grupa zasobów migawki | Umożliwia usłudze Backup Vault przenoszenie przyrostowych danych migawek do Vault. |
| Współtwórca migawki dysku | Sejf kopii zapasowych | Grupa zasobów migawki | Umożliwia usłudze Backup Vault uzyskiwanie dostępu do migawek dysków i wykonywanie operacji vaultingu. |
| Czytelnik danych obiektu BLOB usługi Storage | Sejf kopii zapasowych | Konto magazynu | Zezwól usłudze Backup Vault na dostęp do kontenera obiektów blob, w którym są przechowywane dane kopii zapasowej, w celu ich przeniesienia do magazynu Vault. |
| Współautor | Sejf kopii zapasowych | Grupa zasobów przygotowawczych | Umożliwia magazynowi kopii zapasowych konwersję kopii zapasowych do postaci dysków przechowywanych w warstwie Vault. |
| Kontrybutor konta magazynowego | Sejf kopii zapasowych | Konto magazynu pośredniego | Umożliwia magazynowi kopii zapasowych nawilżanie kopii zapasowych przechowywanych w warstwie magazynu. |
| Właściciel danych obiektu BLOB usługi Storage | Sejf kopii zapasowych | Konto magazynu pośredniego | Pozwala usłudze Backup Vault na kopiowanie stanu klastra do kontenera blobów przechowywanego w warstwie Vault. |
Uwaga
Kopie zapasowe AKS umożliwiają przypisywanie tych ról podczas procesów tworzenia kopii zapasowych i przywracania w portalu Azure za pomocą jednorazowego kliknięcia.
Następne kroki
- Informacje o kopii zapasowej usługi Azure Kubernetes Service
- Obsługiwane scenariusze tworzenia kopii zapasowej klastra usługi Azure Kubernetes Service
- Tworzenie kopii zapasowej klastra usługi Azure Kubernetes Service przy użyciu witryny Azure Portal, programu Azure PowerShell
- Przywracanie klastra usługi Azure Kubernetes Service przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell
- Zarządzanie kopiami zapasowymi klastra usługi Azure Kubernetes Service