Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Você pode usar o Backup do Azure para ajudar a proteger o Serviço de Kubernetes do Azure (AKS). Este artigo resume a disponibilidade da região, os cenários com suporte e as limitações.
Regiões com suporte
- O Backup do Azure para AKS dá suporte ao armazenamento de dados de backup em camadas de Cofre e Operacional (Instantâneo) nas seguintes regiões do Azure:
Austrália Central, Austrália Central 2, Leste da Austrália, Sudeste da Austrália, Sul do Brasil, Sudeste do Brasil, Canadá Central, Leste do Canadá, Índia Central, Eua Central, Leste da Ásia, Leste dos EUA, Leste dos EUA 2, França Central, Sul da França, Norte da Alemanha, Centro-Oeste da Alemanha, Norte da Itália, Leste do Japão, Oeste do Japão, Oeste da Índia Jio, Oeste da Índia, Coreia Central, Sul da Coreia, Centro-Norte dos EUA, Norte da Europa, Leste da Noruega, Oeste da Noruega, Norte da África do Sul, Oeste da África do Sul, Centro-Sul dos EUA, Sul da Índia, Sudeste da Ásia, Centro da Suécia, Norte da Suíça, Oeste da Suíça, Norte dos Emirados Árabes Unidos, Sul do Reino Unido, Oeste dos EUA, Oeste dos EUA, Oeste dos EUA 2, Oeste dos EUA 3
- As seguintes regiões dão suporte apenas à camada Operacional (Instantâneo):
China East 2, China East 3, China North 2, China North 3, US GOV Arizona, US GOV Texas, US GOV Virginia, Israel Central, Polônia Central e Espanha Central
Observação
Se você precisar de backups com redundância geográfica com a capacidade de restaurar sob demanda, armazene seus backups na camada do Cofre e habilite a Restauração Entre Regiões em seu Cofre de Backup. Isso garante que seus backups também estejam disponíveis na região emparelhada do Azure, permitindo que você execute restaurações mesmo que a região primária não esteja disponível. Consulte a lista de Regiões Emparelhadas do Azure.
Cenários com suporte
O Backup do Azure para AKS dá suporte apenas a clusters que executam versões do Kubernetes com suporte. Aqui está a lista das versões do Kubernetes com suporte. Se o cluster estiver em uma versão sem suporte, as operações de backup ainda poderão ser executadas, mas falhas durante o backup ou restauração não serão cobertas. Para garantir total suporte e confiabilidade, atualize para uma versão com suporte, valide seus backups e entre em contato para dar suporte se os problemas persistirem.
O Backup do Azure para AKS dá suporte apenas a volumes persistentes baseados em driver csi (Azure Disks). Não há suporte para plug-ins de volume na árvore. Verifique se o driver e o instantâneo do CSI estão habilitados para o cluster. Se eles estiverem desabilitados, habilite essas configurações. Além disso, se suas cargas de trabalho usarem volumes na árvore, migre-as para volumes baseados em CSI para habilitar o suporte de backup.
Atualmente, o Backup do Azure para AKS dá suporte apenas a volumes persistentes baseados em disco do Azure provisionados usando o driver CSI. Os SKUs de disco com suporte incluem HDD Standard, SSD Standard e SSD Premium.
Há suporte para volumes provisionados dinamicamente e estaticamente; no entanto, para volumes estáticos, a classe de armazenamento deve ser definida explicitamente na especificação YAML ; caso contrário, o volume será ignorado durante o backup.
O Backup do Azure para AKS dá suporte a clusters que usam uma identidade gerenciada atribuída pelo sistema ou atribuída pelo usuário. Não há suporte para clusters configurados com uma entidade de serviço. Para habilitar o backup, atualize o cluster para usar uma identidade gerenciada atribuída pelo sistema ou uma identidade gerenciada atribuída pelo usuário.
O Backup do Azure para AKS oferece backups da Camada Operacional e da Camada do Cofre. Os backups da Camada Operacional consistem em instantâneos de tipos de volume persistente com suporte, juntamente com metadados armazenados no contêiner de blob especificado durante a instalação da extensão de backup. Os backups da Camada do Cofre, por outro lado, são armazenados fora do local — com segurança e fora do locatário. Usando a política de backup, você pode optar por habilitar backups de camada operacional e de cofre ou usar apenas a Camada Operacional.
Os instantâneos de volume persistente obtidos como parte do backup da Camada Operacional são consistentes com falhas por natureza. Embora o Backup do Azure para AKS atualmente não dê suporte à tomada de instantâneos de todos os PVs exatamente no mesmo milissegundo para obter instantâneos consistentes entre volumes.
A frequência mínima de backup com suporte no Backup do Azure para AKS é a cada 4 horas, com opções adicionais para intervalos de 6, 8, 12 e 24 horas. Espera-se que os backups sejam concluídos dentro de uma janela de 2 horas a partir da hora de início agendada. Essas frequências se aplicam a backups da Camada Operacional, permitindo vários backups por dia. No entanto, somente o primeiro backup bem-sucedido em um período de 24 horas é qualificado para ser transferido para a Camada do Cofre. Depois que um backup é criado na Camada Operacional, pode levar até quatro horas para que ele seja movido para a Camada do Cofre.
O Cofre de Backup e o cluster do AKS devem estar localizados na mesma região. No entanto, eles podem residir em assinaturas diferentes, desde que estejam dentro do mesmo locatário.
O Backup do Azure para AKS dá suporte à restauração de backups no mesmo cluster do AKS ou em um cluster diferente usando backups operacionais e de camada do cofre. O cluster AKS de destino pode estar na mesma assinatura ou em uma assinatura diferente, conhecida como Restauração Entre Assinaturas.
Ao restaurar da Camada Operacional, o cluster AKS de destino deve estar na mesma região que os backups. No entanto, se os backups forem armazenados na Camada do Cofre com a configuração de armazenamento com redundância geográfica e a Restauração Entre Regiões habilitada no Cofre de Backup, você poderá restaurar para uma região diferente em uma Região Emparelhada do Azure.
Para habilitar o Backup do Azure para AKS usando a CLI do Azure, verifique se você está usando a versão 2.41.0 ou posterior. Você pode atualizar a CLI executando o comando az upgrade.
Para habilitar o Backup do Azure para AKS usando o Terraform, use a versão 3.99.0 ou posterior.
O Backup do Azure para AKS requer que uma extensão de backup seja instalada. Essa extensão requer uma conta de armazenamento e, preferencialmente, um contêiner de blob vazio dentro dela como entrada durante a instalação. Não use um contêiner de blob com arquivos não relacionados ao backup.
A conta de armazenamento especificada durante a instalação da extensão de backup deve estar na mesma região que o cluster do AKS. Há suporte apenas para contas de armazenamento de uso geral v2; Não há suporte para contas de armazenamento Premium.
Se o cluster do AKS for implantado em uma rede virtual privada, um ponto de extremidade privado deverá ser configurado para habilitar as operações de backup.
A Extensão de Backup só pode ser instalada em pools de nós que usam processadores baseados em x86 e executam o Ubuntu ou o Azure Linux como o sistema operacional.
Tanto o cluster do AKS quanto os pods de Extensão de Backup devem estar em um estado em execução e íntegro antes de executar qualquer operação de backup ou restauração, incluindo a exclusão de pontos de recuperação expirados.
O Backup do Azure para AKS fornece alertas por meio do Azure Monitor que permitem que você tenha uma experiência consistente para o gerenciamento de alertas em diferentes serviços do Azure, incluindo alertas clássicos, alertas internos do Azure Monitor e alertas de log personalizados para notificações de falha de backup. Os alertas de backup com suporte estão disponíveis aqui
O Backup do Azure para AKS dá suporte a vários relatórios relacionados a backup. Atualmente, os dados de backup só podem ser exibidos selecionando "Todos" para o tipo de carga de trabalho nos filtros de relatório. Os relatórios de backup com suporte estão disponíveis aqui
O Backup do Azure para AKS dá suporte à Exclusão Reversível Aprimorada para backups armazenados na Camada do Cofre, fornecendo proteção contra exclusão acidental ou mal-intencionada. Para backups armazenados na Camada Operacional, os instantâneos subjacentes não são protegidos por exclusão reversível e podem ser excluídos permanentemente.
O Backup do Azure para AKS dá suporte à MUA (autorização multiusuário), permitindo que você adicione uma camada adicional de proteção a operações críticas em seus cofres de Backup em que os backups estão configurados.
O Backup do Azure para AKS dá suporte ao cofre Imutável, que ajuda a proteger seus dados de backup, impedindo operações que podem resultar na perda de pontos de recuperação. No entanto, o armazenamento WORM (Gravar uma vez, ler muitos) para backups não tem suporte no momento.
O Backup do Azure para AKS dá suporte à criptografia cmk (chave deCustomer-Managed), mas é aplicável somente a backups armazenados na Camada do Cofre.
Para operações bem-sucedidas de backup e de restauração, as atribuições de função são exigidas pela identidade gerenciada do cofre de backup. Se você não tiver as permissões necessárias, poderá observar problemas de permissão durante as operações de configuração ou restauração de backup logo após a atribuição de funções, pois as atribuições de função demoram um pouco para entrar em vigor. Saiba mais sobre as definições de função.
Cenários e limitações sem suporte
O Backup do Azure para AKS não dá suporte aos seguintes SKUs de Disco do Azure: SSD Premium v2 e Discos Ultra.
Os Compartilhamentos de Arquivos do Azure, o Armazenamento de Blobs do Azure e os volumes persistentes baseados no Armazenamento de Contêineres do Azure não são compatíveis com o Backup do AKS. Se você estiver usando esses tipos de volumes persistentes em seus clusters do AKS, poderá fazer backup deles separadamente usando soluções dedicadas do Backup do Azure. Para obter mais informações, confira Backup de compartilhamento de arquivos do Azure e Backup do Armazenamento de Blobs do Azure.
Todos os tipos de volume persistente sem suporte são ignorados automaticamente durante o processo de backup para o cluster do AKS.
A Extensão de Backup não pode ser instalada em pools de nós baseados no Windows ou em pools de nós baseados em ARM64. Os clusters do AKS que usam esses nós devem provisionar um pool de nós baseado em Linux separado (preferencialmente um pool de nós do sistema com processadores baseados em x86) para dar suporte à instalação da Extensão de Backup.
No momento, não há suporte para o Backup do Azure para AKS para clusters aks isolados de rede.
Não instale a Extensão de Backup do AKS ao lado do Velero ou de soluções de backup baseadas em Velero, pois isso pode causar conflitos durante operações de backup e restauração. Além disso, verifique se os recursos do Kubernetes não usam rótulos ou anotações que contêm o prefixo
velero.io, a menos que seja explicitamente exigido por um cenário com suporte. A presença desses metadados pode levar a um comportamento inesperado.Não há suporte para modificar a configuração de backup ou o grupo de recursos de instantâneo atribuído a uma instância de backup durante a instalação de backup do cluster do AKS.
Os namespaces a seguir são ignorados da Configuração de Backup e não podem ser configurados para backups:
kube-system, ,kube-node-leasekube-public.O Backup do Azure não dimensiona automaticamente os nós do AKS, ele restaura apenas dados e recursos associados. O dimensionamento automático é gerenciado pelo próprio AKS, usando recursos como o Dimensionador Automático de Cluster. Se o dimensionamento automático estiver habilitado no cluster de destino, ele deverá lidar com o dimensionamento de recursos automaticamente. Antes de restaurar, verifique se o cluster de destino tem recursos suficientes para evitar falhas de restauração ou problemas de desempenho.
Aqui estão os limites de backup do AKS:
Configuração Limite Número de políticas de backup por cofre de backup 5\.000 Número de instâncias de backup por cofre de backup 5\.000 Número de backups sob demanda permitidos em um dia por instância de backup 10 Número de namespaces por instância de backup Oitocentos Número de restaurações permitidas por instância de backup em um dia 10
Limitações específicas para backup abobadado e restauração entre regiões
Atualmente, os discos do Azure com volumes persistentes de tamanho <= 1 TB estão qualificados para serem movidos para a camada de cofre; os discos com o tamanho mais alto são ignorados nos dados de backup movidos para a camada de cofre.
Atualmente, há suporte para instâncias de backup com <= 100 discos anexados como volume persistente. As operações de backup e restauração podem falhar se o número de discos for maior que o limite.
Somente os Discos do Azure com acesso público habilitado de todas as redes são qualificados para serem movidos para a Camada do Cofre; se houver discos com acesso à rede além do acesso público, a operação de camada falhará.
O recurso recuperação de desastre só estará disponível entre regiões emparelhadas do Azure (se o backup estiver configurado em um cofre de Backup com Redundância Geográfica com Restauração Entre Regiões habilitada). Os dados de backup só estão disponíveis em uma região emparelhada do Azure. Por exemplo, se você tiver um cluster DO AKS no Leste dos EUA com backup em um cofre de Backup Com Redundância Geográfica com Restauração Entre Regiões habilitada, os dados de backup também estarão disponíveis no Oeste dos EUA para restauração.
Na Camada do Cofre, apenas um ponto de recuperação agendado é criado por dia, fornecendo um RPO (Objetivo de Ponto de Recuperação) de 24 horas na região primária. Na região secundária, a replicação desse ponto de recuperação pode levar até 12 horas adicionais, resultando em um RPO efetivo de até 36 horas.
Quando um backup é criado na Camada Operacional e se torna elegível para a Camada do Cofre, pode levar até quatro horas para o processo de camadas começar.
Ao mover backups da camada operacional para a camada do Cofre, a lógica de poda preserva instantâneos essenciais para garantir operações de camada e integridade de dados bem-sucedidas. Especificamente, durante a camada do RP (Ponto de Recuperação) mais recente no repositório de origem (camada operacional), instantâneos de ambos os seguintes são necessários:
- O RP mais recente na camada operacional (repositório de origem).
- O RP de proteção anterior na camada do Cofre (repositório de destino).
Como resultado, dois pontos de recuperação na camada operacional são intencionalmente retidos e não removidos:
- O RP mais recente na camada operacional.
- O RP na camada operacional vinculada ao RP da camada de cofre mais recente.
Esse comportamento impede a perda acidental de dados e garante backups consistentes. Consequentemente, você pode observar que alguns backups operacionais persistem por mais tempo do que a política de retenção diária configurada devido a essas dependências de camadas.
Ao mover backups da camada operacional para a camada vault, a conta de armazenamento fornecida para a Extensão de Backup deve, preferencialmente, ter o acesso à rede pública habilitado. Se a conta de armazenamento estiver atrás de um firewall ou tiver acesso privado habilitado, certifique-se de que o Cofre de Backup seja adicionado como um Serviço Confiável nas configurações de rede da conta de armazenamento para permitir a transferência direta de dados.
Durante a restauração da camada do cofre, os recursos hidratados no local de preparo, que inclui uma conta de armazenamento e um grupo de recursos, não são limpos após a restauração. Eles devem ser excluídos manualmente.
Durante a restauração, a conta de armazenamento de preparo deve ter acesso à rede pública habilitado para permitir que o serviço de backup acesse e transfira dados. Sem acesso público, a operação de restauração pode falhar devido a restrições de conectividade.
Durante a restauração, se o cluster AKS de destino for implantado em uma rede virtual privada, você deverá habilitar um ponto de extremidade privado entre o cluster e a conta de armazenamento de preparo para garantir a transferência de dados segura e bem-sucedida.
Se a versão do cluster AKS de destino for diferente da versão usada durante o backup, a operação de restauração poderá falhar ou ser concluída com avisos para vários cenários, como recursos preteridos na versão mais recente do cluster. No caso de restauração do nível do Vault, você pode usar os recursos hidratados no local de preparo para restaurar os recursos do aplicativo para o cluster de destino.
Atualmente, o backup baseado no nível do Vault não é compatível com a implantação do Terraform.
Próximas etapas
- Sobre o backup de cluster do Serviço de Kubernetes do Azure.
- Faça backup do cluster do Serviço de Kubernetes do Azure usando o portal do Azure, a CLI do Azure, o Azure PowerShell, o Azure Resource Manager, o Bicep, o Terraform.
- Restaure o cluster do Serviço de Kubernetes do Azure usando o portal do Azure, a CLI do Azure e o Azure PowerShell.
- Gerenciar backups do Serviço de Kubernetes do Azure usando o Backup do Azure.