Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve os pré-requisitos para o backup do Serviço Kubernetes do Azure (AKS).
O Backup do Azure agora permite fazer backup de clusters AKS (recursos de cluster e volumes persistentes anexados ao cluster) usando uma extensão de backup, que deve ser instalada no cluster. O cofre de backup se comunica com o cluster por meio dessa extensão de backup para executar operações de backup e restauração. Com base no modelo de segurança menos privilegiado, um cofre de backup deve ter o Acesso Confiável habilitado para se comunicar com o cluster AKS.
Extensão de Backup
A extensão permite recursos de backup e restauração para as cargas de trabalho em contêineres e volumes persistentes usados pelas cargas de trabalho em execução em clusters AKS.
Backup Extension é instalado em seu próprio namespace dataprotection-microsoft por padrão. Ele é instalado com âmbito amplo no cluster, permitindo à extensão aceder a todos os recursos do cluster. Durante a instalação da extensão, também é criada uma Identidade Gerida Atribuída pelo Utilizador no grupo de recursos do conjunto de nós.
A Extensão de Backup usa um contêiner de blob (fornecido na entrada durante a instalação) como um local padrão para armazenamento de backup. Para acessar esse contêiner de blob, a Identidade de Extensão requer a função de Colaborador de Dados de Blob de Armazenamento na conta de armazenamento que possui o contêiner.
Você precisa instalar a Extensão de Backup no cluster de origem para backup e no cluster de destino onde o backup deve ser restaurado.
A Extensão de Backup pode ser instalada no cluster a partir do painel do portal AKS, na aba Backup em Configurações. Você também pode usar os comandos da CLI do Azure para gerenciar a instalação e outras operações na Extensão de Backup.
Antes de instalar uma extensão em um cluster AKS, você deve registrar o
Microsoft.KubernetesConfigurationprovedor de recursos no nível da assinatura. Saiba como registrar o provedor de recursos.O agente de extensão e o operador de extensão são os principais componentes da plataforma no AKS, que são instalados quando uma extensão de qualquer tipo é instalada pela primeira vez em um cluster AKS. Eles fornecem recursos para implantar extensões próprias e de terceiros. A extensão de backup também depende deles para instalação e atualizações.
Nota
Ambos os componentes principais são implantados com limites rígidos agressivos na CPU e na memória, com CPU inferior a 0,5% de um núcleo e limite de memória variando de 50-200 MB. Então, o impacto do COGS desses componentes é muito baixo. Como eles são componentes principais da plataforma, não há solução alternativa disponível para removê-los uma vez instalados no cluster.
Se a conta de armazenamento fornecida como parâmetro para a instalação da extensão usar quaisquer restrições de rede (pontos de extremidade privados ou o firewall do Armazenamento do Azure), conceda acesso específico ao cofre de backup à conta de armazenamento seguindo estas etapas:
Conceda acesso a uma instância de recurso. Use estas configurações:
-
Tipo de recurso:
Microsoft.DataProtection/BackupVaults - Nome da instância: nome da instância da identidade gerenciada.
-
Tipo de recurso:
Habilite Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento.
Para obter mais informações sobre a segurança de rede do Armazenamento do Azure, consulte Regras de firewall do Armazenamento do Azure.
O contêiner de blob fornecido na entrada durante a instalação da extensão não deve conter nenhum arquivo não relacionado ao backup.
Saiba como gerenciar a operação para instalar a Extensão de Backup usando a CLI do Azure.
Acesso Fidedigno
Muitos serviços do Azure dependem do clusterAdmin kubeconfig e do endpoint kube-apiserver acessível publicamente para aceder aos clusters AKS. O recurso AKS Trusted Access permite que você ignore a restrição de ponto final privado. Sem usar o aplicativo Microsoft Entra, esse recurso permite que você dê consentimento explícito à sua identidade atribuída pelo sistema de recursos permitidos para acessar seus clusters AKS usando um recurso do Azure RoleBinding. O recurso permite que você acesse clusters AKS com diferentes configurações, que não estão limitadas a clusters privados, clusters com contas locais desabilitadas, clusters Microsoft Entra ID e clusters de intervalo IP autorizados.
Os seus recursos do Azure acedem a clusters AKS através do gateway regional AKS utilizando a autenticação de identidade gerida atribuída pelo sistema. A identidade gerenciada deve ter as permissões Kubernetes apropriadas atribuídas por meio de uma função de recurso do Azure.
Para o backup do AKS, o cofre de backup acede aos seus clusters AKS através de acesso confiável para realizar cópias de segurança e restaurações. O cofre de backup recebe uma função predefinida Microsoft.DataProtection/backupVaults/backup-operator no cluster AKS, permitindo que ele execute apenas operações de backup específicas.
Para habilitar o Acesso Confiável entre um cofre de Backup e um cluster AKS. Saiba como ativar o Acesso Fidedigno
Nota
- Você pode instalar a Extensão de Backup em seu cluster AKS diretamente do portal do Azure na seção Backup no portal AKS.
- Você também pode habilitar o Acesso Confiável entre o cofre de Backup e o cluster AKS durante as operações de backup ou restauração no portal do Azure.
Cluster AKS
Para habilitar o backup para um cluster AKS, consulte os seguintes pré-requisitos: .
O backup do AKS usa os recursos de snapshot dos drivers CSI (Container Storage Interface) para executar backups de volumes persistentes. O suporte ao driver CSI está disponível para clusters AKS com Kubernetes versão 1.21.1 ou posterior.
Nota
- Atualmente, o backup do AKS oferece suporte apenas ao backup de volumes persistentes baseados em disco do Azure (habilitado pelo driver CSI). Se você estiver usando o Compartilhamento de Arquivos do Azure e os volumes persistentes do tipo Blob do Azure em seus clusters AKS, poderá configurar backups para eles por meio das soluções de Backup do Azure disponíveis para o Compartilhamento de Arquivos do Azure e o Blob do Azure.
- No Tree, os volumes não são suportados pelo backup AKS; apenas volumes baseados em driver CSI podem ser copiados. Você pode migrar de volumes de árvore para Volumes Persistentes baseados em driver CSI.
Antes de instalar a Extensão de Backup no cluster AKS, verifique se os drivers CSI e os instantâneos estão ativados no cluster. Se estiverem desativados, veja estes passos para ativá-los.
O Backup do Azure para AKS dá suporte a clusters AKS usando uma identidade gerenciada atribuída pelo sistema ou uma identidade gerenciada atribuída pelo usuário para operações de backup. Embora não haja suporte para clusters que usam uma entidade de serviço, você pode atualizar um cluster AKS existente para usar uma identidade gerenciada atribuída pelo sistema ou uma identidade gerenciada atribuída pelo usuário.
A extensão de backup durante a instalação busca imagens de contêiner armazenadas no Microsoft Container Registry (MCR). Se ativar uma firewall no cluster AKS, o processo de instalação da extensão poderá falhar devido a problemas de acesso no Registo. Saiba como permitir o acesso MCR a partir da firewall.
Durante a instalação da extensão de backup no Serviço Kubernetes do Azure (AKS), a comunicação com vários FQDNs (Nomes de Domínio Totalmente Qualificados) é necessária para dar suporte a operações essenciais. Além das Contas de Backup e Armazenamento do Azure, o AKS também deve aceder a endereços externos para descarregar imagens de contentores, a fim de executar pods de backup e emitir logs de serviço para o Microsoft Defender for Endpoint via MDM. Portanto, se o cluster for implantado numa rede virtual privada com restrições de firewall, verifique se os seguintes FQDNs ou regras de aplicação são permitidos:
*.microsoft.com,mcr.microsoft.com,data.mcr.microsoft.com,crl.microsoft.com,mscrl.microsoft.com,oneocsp.microsoft.com,*.azure.com,management.azure.com,gcs.prod.monitoring.core.windows.net,*.prod.warm.ingest.monitor.core.windows.net,*.blob.core.windows.net,*.azmk8s.io,ocsp.digicert.com,cacerts.digicert.com,crl3.digicert.com,crl4.digicert.com,ocsp.digicert.cn,cacerts.digicert.cn,cacerts.geotrust.com,cdp.geotrust.com,status.geotrust.com,ocsp.msocsp.com,*.azurecr.io,docker.io,*.dp.kubernetesconfiguration.azure.com. Saiba como aplicar regras FQDN.Se você tiver alguma instalação anterior do Velero no cluster AKS, precisará excluí-lo antes de instalar a Extensão de Backup.
Nota
Os CRDs do Velero instalados no cluster são compartilhados entre o AKS Backup e a própria instalação do Velero do cliente. No entanto, as versões usadas por cada instalação podem diferir, potencialmente levando a falhas devido a incompatibilidades contratuais.
Além disso, as configurações personalizadas do Velero criadas pelo utilizador, como um VolumeSnapshotClass para criação de instantâneos baseado no CSI do Velero, podem interferir no processo de snapshots do AKS Backup.
As anotações do Velero contendo velero.io aplicadas a vários recursos no cluster também podem afetar o comportamento do AKS Backup de maneiras não suportadas.
Se você estiver usando políticas do Azure em seu cluster AKS, verifique se o namespace de extensão dataprotection-microsoft está excluído dessas políticas para permitir que as operações de backup e restauração sejam executadas com êxito.
Se você estiver usando o grupo de segurança de rede do Azure para filtrar o tráfego de rede entre os recursos do Azure em uma rede virtual do Azure, defina uma regra de entrada para permitir marcas de serviço azurebackup e azurecloud.
Funções e permissões requeridas
Para executar operações de backup e restauração do AKS como usuário, você precisa ter funções específicas no cluster AKS, cofre de backup, conta de armazenamento e grupo de recursos de instantâneo.
| Âmbito de aplicação | Função preferida | Descrição |
|---|---|---|
| Cluster AKS | Proprietário | Permite instalar a Extensão de Backup, habilitar Acesso Confiável e conceder permissões ao cofre de backup no cluster. |
| Grupo de recursos do cofre de backup | Colaborador de Reserva | Permite criar cofre de backup em um grupo de recursos, criar política de backup, configurar backup e restaurar e atribuir funções ausentes necessárias para operações de backup. |
| Conta de armazenamento | Proprietário | Permite executar operações de leitura e gravação na conta de armazenamento e atribuir funções necessárias a outros recursos do Azure como parte das operações de backup. |
| Grupo de recursos de Snapshot | Proprietário | Permite executar operações de leitura e gravação no grupo de recursos Instantâneo e atribuir funções necessárias a outros recursos do Azure como parte das operações de backup. |
Nota
A função de proprietário em um recurso do Azure permite que você execute operações do RBAC do Azure desse recurso. Se não estiver disponível, o proprietário do recurso deve fornecer as funções necessárias ao cofre de backup e ao cluster AKS antes de iniciar as operações de backup ou restauração.
Além disso, como parte das operações de backup e restauração, as seguintes funções são atribuídas ao cluster AKS, à Identidade de Extensão de Backup e ao cofre de backup.
| Função | Atribuído a | Atribuído em | Descrição |
|---|---|---|---|
| Leitor | Cofre de backup | Cluster AKS | Permite que o cofre de backup execute operações de Lista e Leitura no cluster AKS. |
| Leitor | Cofre de backup | Grupo de recursos de Snapshot | Permite que o cofre de backup realize operações de Listar e Ler no grupo de recursos da cópia instantânea. |
| Colaborador | Cluster AKS | Grupo de recursos de Snapshot | Permite que o cluster AKS armazene instantâneos de volume persistentes no grupo de recursos. |
| Contribuidor de Dados de Bloco de Armazenamento | Identidade da extensão | Conta de armazenamento | Permite que a Extensão de Backup armazene backups de recursos de cluster no contentor de blobs. |
| Operador de dados para discos gerenciados | Cofre de backup | Grupo de Recursos de Instantâneo | Permite que o serviço Backup Vault mova dados incrementais de snapshots para o Vault. |
| Contribuidor de Disk Snapshot | Cofre de backup | Grupo de Recursos de Instantâneo | Permite que o Backup Vault acesse instantâneos de discos e execute a operação de compartimentação. |
| Leitor de Dados de Armazenamento Blob | Cofre de backup | Conta de Armazenamento | Permita que o Backup Vault acesse o Blob Container com dados de backup armazenados para serem movidos para o Vault. |
| Colaborador | Cofre de backup | Grupo de Recursos de Encenação | Permite que o Backup Vault hidrate backups como discos armazenados na camada do Vault. |
| Contribuidor da conta de armazenamento | Cofre de backup | Conta de armazenamento intermediária | Permite que o Backup Vault hidrate os backups armazenados no nível do Vault. |
| Proprietário de dados de Blob de armazenamento | Cofre de backup | Conta de armazenamento intermediária | Permite ao Backup Vault copiar o estado do cluster num contêiner de blob armazenado na Vault Tier. |
Nota
O backup do AKS permite que você atribua essas funções durante os processos de backup e restauração por meio do portal do Azure com um único clique.
Próximos passos
- Sobre o backup do Serviço Kubernetes do Azure
- Cenários suportados para backup de cluster do Serviço Kubernetes do Azure
- Fazer backup do cluster do Serviço Kubernetes do Azure usando o portal do Azure, Azure PowerShell
- Restaurar o cluster do Serviço Kubernetes do Azure usando o portal do Azure, CLI do Azure, Azure PowerShell
- Gerenciar backups de cluster do Serviço Kubernetes do Azure