Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Você pode usar o Backup do Azure para ajudar a proteger o Serviço Kubernetes do Azure (AKS). Este artigo resume a disponibilidade da região, os cenários suportados e as limitações.
Regiões suportadas
- O Backup do Azure para AKS oferece suporte ao armazenamento de dados de backup nas camadas Vault e Operacional (Snapshot) nas seguintes regiões do Azure:
Austrália Central, Austrália Central 2, Leste da Austrália, Austrália Sudeste, Brasil Sul, Brasil Sudeste, Canadá Central, Canadá Leste, Índia Central, EUA Central, Leste da Ásia, Leste dos EUA, Leste dos EUA 2, França Central, França Sul, Alemanha Norte, Alemanha Oeste Central, Itália Norte, Leste do Japão, Oeste do Japão, Jio Índia Oeste, Coreia Central, Coreia Sul, Centro-Norte dos EUA, Norte da Europa, Noruega Leste, Noruega Oeste, África do Sul Norte, África do Sul Oeste, Centro-Sul dos EUA, Sul da Índia, Sudeste Asiático, Suécia Central, Suíça Norte, Suíça Oeste, Norte dos Emirados Árabes Unidos, Sul do Reino Unido, Oeste do Reino Unido, Centro-Oeste dos EUA, Europa Ocidental, Oeste dos EUA, Oeste dos EUA 2, Oeste dos EUA 3
- As seguintes regiões suportam apenas a camada Operacional (Snapshot):
China Leste 2, China Leste 3, China Norte 2, China Norte 3, US GOV Arizona, US GOV Texas, US GOV Virginia, Israel Central, Polônia Central e Espanha Central
Nota
Se você precisar de backups com redundância geográfica com a capacidade de restaurar sob demanda, armazene seus backups na camada do Vault e habilite a restauração entre regiões no seu cofre de backup. Isso garante que seus backups também estejam disponíveis na região emparelhada do Azure, permitindo que você execute restaurações mesmo que a região primária não esteja disponível. Consulte a lista de Região Emparelhada do Azure.
Cenários Suportados
O Backup do Azure para AKS suporta apenas clusters que executam versões Kubernetes suportadas. Aqui está a lista das versões suportadas do Kubernetes. Se o cluster estiver em uma versão sem suporte, as operações de backup ainda poderão ser executadas, mas as falhas durante o backup ou a restauração não serão cobertas. Para garantir suporte total e confiabilidade, atualize para uma versão compatível, valide seus backups e entre em contato com o suporte se os problemas persistirem.
O Backup do Azure para AKS dá suporte apenas a volumes persistentes baseados em driver CSI (Discos do Azure). Não há suporte para plugins de volume na árvore. Verifique se o driver CSI e o instantâneo estão habilitados para o cluster. Se estiverem desativadas, ative estas definições. Além disso, se suas cargas de trabalho usarem volumes em árvore, migre-os para volumes baseados em CSI para habilitar o suporte a backup.
Atualmente, o Backup do Azure para AKS dá suporte apenas a volumes persistentes baseados em disco do Azure provisionados usando o driver CSI. Os SKUs de disco suportados incluem HDD padrão, SSD padrão e SSD premium.
Há suporte para volumes provisionados dinamicamente e estaticamente; no entanto, para volumes estáticos, a classe de armazenamento deve ser explicitamente definida na especificação YAML — caso contrário, o volume será ignorado durante o backup.
O Backup do Azure para AKS dá suporte a clusters que usam uma identidade gerenciadaatribuída pelo sistema ou pelo usuário. Não há suporte para clusters configurados com uma entidade de serviço. Para habilitar o backup, atualize o cluster para usar uma identidade gerenciada atribuída pelo sistema ou uma identidade gerenciada atribuída pelo usuário.
O Backup do Azure para AKS oferece backups de Camada Operacional e de Camada de Vault. Os backups de camada operacional consistem em instantâneos de tipos de volume persistentes suportados, juntamente com metadados armazenados no contêiner de blob especificado durante a instalação da extensão de backup. Os backups de nível do Vault, por outro lado, são armazenados externamente — com segurança e fora do seu locatário. Usando a política de backup, você pode optar por habilitar backups de nível operacional e de nível do vault ou usar apenas a camada operacional.
Os instantâneos de Volume Persistente tirados como parte do backup da Camada Operacional são consistentes com falhas por natureza. Embora o Backup do Azure para AKS atualmente não ofereça suporte à obtenção de instantâneos de todos os PVs exatamente no mesmo milissegundo para obter instantâneos consistentes entre volumes.
A frequência mínima de backup suportada no Backup do Azure para AKS é a cada 4 horas, com opções adicionais para intervalos de 6, 8, 12 e 24 horas. Espera-se que os backups sejam concluídos dentro de uma janela de 2 horas a partir da hora de início agendada. Essas frequências se aplicam aos backups de nível operacional, permitindo vários backups por dia. No entanto, apenas o primeiro backup bem-sucedido em um período de 24 horas é elegível para ser transferido para a camada do Vault. Depois que um backup é criado na camada operacional, pode levar até quatro horas para ser movido para a camada do Vault.
O Backup Vault e o cluster AKS devem estar localizados na mesma região. No entanto, eles podem residir em assinaturas diferentes, desde que estejam dentro do mesmo locatário.
O Backup do Azure para AKS dá suporte à restauração de backups para o mesmo cluster AKS ou para um cluster AKS diferente usando backups de Nível Operacional e de Camada de Vault. O cluster AKS de destino pode estar na mesma assinatura ou em uma assinatura diferente, conhecida como Restauração entre Assinaturas.
Ao restaurar a partir da camada operacional, o cluster AKS de destino deve estar na mesma região dos backups. No entanto, se os backups forem armazenados na camada do cofre com configuração de armazenamento com redundância geográfica e restauração entre regiões habilitada no cofre de backup, você poderá restaurar para uma região diferente dentro de uma região emparelhada do Azure.
Para habilitar o Backup do Azure para AKS usando a CLI do Azure, verifique se você está usando a versão 2.41.0 ou posterior. Você pode atualizar a CLI executando o comando az upgrade.
Para habilitar o Backup do Azure para AKS usando o Terraform, use a versão 3.99.0 ou posterior.
O Backup do Azure para AKS requer uma extensão de backup para ser instalada. Esta extensão requer uma conta de armazenamento e, de preferência, um contêiner de blob vazio dentro dele como entrada durante a instalação. Não use um contêiner de blob com arquivos relacionados que não sejam de backup.
A conta de armazenamento especificada durante a instalação da extensão de backup deve estar na mesma região do cluster AKS. Somente contas de armazenamento v2 de uso geral são suportadas; Não há suporte para contas de armazenamento premium.
Se o cluster AKS for implantado em uma rede virtual privada, um ponto de extremidade privado deverá ser configurado para habilitar operações de backup.
A Extensão de Backup só pode ser instalada em pools de nós que usam processadores baseados em x86 e executam o Ubuntu ou o Azure Linux como sistema operacional.
Tanto o cluster AKS quanto os pods de extensão de backup devem estar em um estado de execução e íntegro antes de executar qualquer operação de backup ou restauração, incluindo a exclusão de pontos de recuperação expirados.
O Backup do Azure para AKS fornece alertas por meio do Azure Monitor que permite que você tenha uma experiência consistente para gerenciamento de alertas em diferentes serviços do Azure, incluindo alertas clássicos, alertas internos do Azure Monitor e alertas de log personalizados para notificações de falha de backup. Os alertas de backup suportados estão disponíveis aqui
O Backup do Azure para AKS dá suporte a vários relatórios relacionados ao backup. Atualmente, os dados de backup só podem ser visualizados selecionando "Todos" para o tipo de carga de trabalho nos filtros de relatório. Os relatórios de backup suportados estão disponíveis aqui
O Backup do Azure para AKS dá suporte ao Enhanced Soft Delete para backups armazenados na camada do Vault, fornecendo proteção contra exclusão acidental ou maliciosa. Para backups armazenados na camada operacional, os snapshots subjacentes não são protegidos por soft delete e podem ser excluídos permanentemente.
O Backup do Azure para AKS dá suporte à autorização multiusuário (MUA), permitindo que você adicione uma camada adicional de proteção a operações críticas em seus cofres de backup onde os backups são configurados.
O Backup do Azure para AKS dá suporte ao cofre imutável, que ajuda a proteger seus dados de backup impedindo operações que podem resultar na perda de pontos de recuperação. No entanto, o armazenamento WORM (Write Once, Read Many) para backups não é suportado atualmente.
O Backup do Azure para AKS dá suporte à criptografia de ChaveCustomer-Managed (CMK), mas é aplicável apenas a backups armazenados na camada do Vault.
Para operações de backup e restauração bem-sucedidas, a identidade gerida do cofre de backup requer atribuições de função. Se não tiver as permissões necessárias, poderão ocorrer problemas de permissão durante a configuração de cópias de segurança ou operações de restauro logo após a atribuição de funções, uma vez que as atribuições de funções demoram alguns minutos a entrar em vigor. Saiba mais sobre definições de função.
Cenários e limitações sem suporte
O Backup do Azure para AKS não suporta os seguintes SKUs de disco do Azure: SSD Premium v2 e Ultra Disks.
Os Compartilhamentos de Arquivos do Azure, o Armazenamento de Blobs do Azure e os volumes persistentes baseados no Armazenamento de Contêiner do Azure não são suportados pelo AKS Backup. Se você estiver usando esses tipos de volumes persistentes em seus clusters AKS, poderá fazer backup deles separadamente usando soluções dedicadas de Backup do Azure. Para obter mais informações, consulte Backup de compartilhamento de arquivos do Azure e Backup do Armazenamento de Blob do Azure.
Todos os tipos de volume persistentes não suportados são automaticamente ignorados durante o processo de backup para o cluster AKS.
A extensão de backup não pode ser instalada em pools de nós baseados no Windows ou pools de nós baseados em ARM64. Os clusters AKS que usam esses nós devem provisionar um pool de nós baseado em Linux separado (de preferência um pool de nós do sistema com processadores baseados em x86) para suportar a instalação da Extensão de Backup.
Atualmente, o Backup do Azure para AKS não tem suporte para clusters AKS isolados de rede.
Não instale a extensão de backup AKS ao lado do Velero ou de qualquer solução de backup baseada em Velero, pois isso pode causar conflitos durante as operações de backup e restauração. Além disso, certifique-se de que seus recursos do Kubernetes não usem rótulos ou anotações contendo o prefixo
velero.io, a menos que explicitamente exigido por um cenário suportado. A presença desses metadados pode levar a um comportamento inesperado.Não há suporte para modificar a configuração de backup ou o grupo de recursos de snapshot atribuído a uma instância de backup durante a configuração de backup de cluster AKS.
Os namespaces a seguir são ignorados da Configuração de Backup e não podem ser configurados para backups:
kube-system,kube-node-lease,kube-public.O Backup do Azure não dimensiona automaticamente os nós AKS, apenas restaura dados e recursos associados. O dimensionamento automático é gerenciado pelo próprio AKS, usando recursos como o Cluster Autoscaler. Se o dimensionamento automático estiver habilitado no cluster de destino, ele deverá lidar com o dimensionamento de recursos automaticamente. Antes de restaurar, verifique se o cluster de destino tem recursos suficientes para evitar falhas de restauração ou problemas de desempenho.
Aqui estão os limites de backup do AKS:
Definição Limite Número de políticas de backup por Backup vault 5.000 Número de instâncias de backup por Backup vault 5.000 Número de backups sob demanda permitidos num dia por instância de backup 10 Número de namespaces por instância de backup 800 Número de restaurações permitidas por instância de backup num dia 10
Limitações específicas para backup em cofre e restauração entre regiões
Atualmente, os Discos do Azure com Volumes Persistentes de tamanho <= 1 TB são elegíveis para serem movidos para a Camada do Vault, os discos com o tamanho mais alto são ignorados nos dados de backup movidos para a Camada do Vault.
Atualmente, há suporte para instâncias de backup com <= 100 discos conectados como volume persistente. As operações de backup e restauração podem falhar se o número de discos for maior do que o limite.
Somente os Discos do Azure com acesso público habilitado de todas as redes são elegíveis para serem movidos para a Camada do Vault; Se houver discos com acesso à rede além do acesso público, a operação de hierarquização falhará.
O recurso de Recuperação de Desastres só está disponível entre Regiões Emparelhadas do Azure (se o backup estiver configurado em um cofre de Backup com Redundância Geográfica com a Restauração entre Regiões habilitada). Os dados de backup só estão disponíveis numa região emparelhada do Azure. Por exemplo, se você tiver um cluster AKS no Leste dos EUA cujo backup seja feito em um cofre de Backup com Redundância Geográfica com a Restauração entre Regiões habilitada, os dados de backup também estarão disponíveis no Oeste dos EUA para restauração.
Na camada do Vault, apenas um ponto de recuperação agendado é criado por dia, fornecendo um RPO (Recovery Point Objetive, objetivo de ponto de recuperação) de 24 horas na região primária. Na região secundária, a replicação desse ponto de recuperação pode levar até 12 horas adicionais, resultando em um RPO efetivo de até 36 horas.
Quando um backup é criado na camada operacional e se torna elegível para a camada do Vault, pode levar até quatro horas para que o processo de hierarquização seja iniciado.
Ao mover backups da camada Operacional para a camada do Vault, a lógica de remoção preserva instantâneos essenciais para garantir operações de hierarquização bem-sucedidas e integridade de dados. Especificamente, durante a hierarquização do ponto de recuperação (RP) mais recente no armazenamento de origem (camada operacional), são necessários instantâneos de ambos os itens a seguir:
- O RP mais recente na camada Operacional (armazenamento de origem).
- O RP de proteção anterior na camada do Vault (armazenamento de destino).
Como resultado, dois pontos de recuperação na camada operacional são intencionalmente retidos e não podados:
- O RP mais recente na camada Operacional.
- O RP na camada Operacional vinculado ao RP mais recente da camada do Vault.
Esse comportamento evita a perda acidental de dados e garante backups consistentes. Consequentemente, você pode notar que alguns backups operacionais persistem por mais tempo do que a política de retenção diária configurada devido a essas dependências de hierarquização.
Ao mover backups da camada Operacional para a camada do Vault, a conta de armazenamento fornecida à Extensão de Backup deve, de preferência, ter o acesso à rede pública habilitado. Se a conta de armazenamento estiver protegida por um firewall ou tiver o acesso privado habilitado, certifique-se de que o Cofre de Backup seja adicionado como um Serviço Confiável nas configurações de rede da conta de armazenamento para permitir a transferência contínua de dados.
Durante a restauração a partir do nível do Vault, os recursos hidratados no local de preparação, que inclui uma conta de armazenamento e um grupo de recursos, não são limpos após a restauração. Têm de ser eliminados manualmente.
Durante a restauração, a conta de armazenamento de preparo deve ter o acesso à rede pública habilitado para permitir que o serviço de backup acesse e transfira dados. Sem acesso público, a operação de restauração pode falhar devido a restrições de conectividade.
Durante a restauração, se o cluster AKS de destino for implantado em uma rede virtual privada, você deverá habilitar um ponto de extremidade privado entre o cluster e a conta de armazenamento de preparo para garantir uma transferência de dados segura e bem-sucedida.
Se a versão do cluster AKS de destino for diferente da versão usada durante o backup, a operação de restauração poderá falhar ou ser concluída com avisos para vários cenários, como recursos preteridos na versão mais recente do cluster. No caso de restauração a partir da camada do Vault, você pode usar os recursos hidratados no local de preparo para restaurar os recursos do aplicativo para o cluster de destino.
Atualmente, o backup baseado na camada do Vault não é compatível com a implantação do Terraform.
Próximos passos
- Sobre o backup de cluster do Serviço Kubernetes do Azure.
- Faça backup do cluster do Serviço Kubernetes do Azure usando o portal do Azure, Azure CLI,Azure PowerShell, Azure Resource Manager, Bicep, Terraform.
- Restaure o cluster do Serviço Kubernetes do Azure usando o portal do Azure, CLI do Azure, Azure PowerShell.
- Gerencie backups do Serviço Kubernetes do Azure usando o Backup do Azure.