Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны предварительные требования для резервного копирования Azure Kubernetes Service (AKS).
Azure Backup теперь позволяет создавать резервные копии кластеров AKS (ресурсы кластера и постоянные тома, подключенные к кластеру) с помощью расширения резервного копирования, которое должно быть установлено в кластере. Хранилище резервных копий взаимодействует с кластером с помощью этого расширения резервного копирования для выполнения операций резервного копирования и восстановления. На основе наименее привилегированной модели безопасности хранилище резервных копий должно иметь доверенный доступ для взаимодействия с кластером AKS.
Расширение резервного копирования
Расширение включает возможности резервного копирования и восстановления для контейнерных рабочих нагрузок и постоянных томов, используемых рабочими нагрузками, работающими в кластерах AKS.
Расширение резервного копирования по умолчанию устанавливается в собственное пространство имен dataprotection-microsoft. Устанавливается с кластерным уровнем доступа, что позволяет расширению получать доступ ко всем ресурсам кластера. During the extension installation, it also creates a User-assigned Managed Identity (Extension Identity) in the Node Pool resource group.
Расширение резервного копирования использует контейнер blob (предоставленный при установке) в качестве расположения по умолчанию для хранилища резервов. To access this blob container, the Extension Identity requires Storage Blob Data Contributor role on the storage account that has the container.
Необходимо установить расширение резервного копирования в исходном кластере для резервного копирования и целевого кластера, в котором необходимо восстановить резервную копию.
Backup Extension can be installed in the cluster from the AKS portal blade on the Backup tab under Settings. Вы также можете использовать команды Azure CLI для управления установкой и другими операциями с расширением резервного копирования.
Перед установкой расширения в кластере AKS необходимо зарегистрировать
Microsoft.KubernetesConfigurationпоставщика ресурсов на уровне подписки. Узнайте, как зарегистрировать поставщика ресурсов.Агент расширения и оператор расширения — это основные компоненты платформы в AKS, которые устанавливаются при первом установке расширения любого типа в кластере AKS. Эти возможности позволяют развертывать как первосторонние, так и сторонние (третьих сторон) расширения. Расширение резервного копирования также использует их для установки и обновления.
Примечание.
Оба этих основных компонента развертываются с агрессивными жесткими ограничениями на ЦП и память, при этом использование ЦП составляет менее 0,5% от ядра, а лимит памяти варьируется от 50 до 200 МБ. Таким образом, влияние COGS этих компонентов очень низкое. Так как они являются основными компонентами платформы, обходной путь недоступен для их удаления после установки в кластере.
Если учетная запись хранения, которую необходимо предоставить в качестве входных данных для установки расширения, находится в разделе виртуальная сеть/Брандмауэр, то BackupVault необходимо добавить в качестве надежного доступа в параметрах сети учетной записи хранения. Узнайте, как предоставить доступ к доверенной службе Azure, которая помогает хранить резервные копии в хранилище данных Хранилища.
Контейнер BLOB, введенный на вход во время установки расширения, не должен содержать файлы, не связанные с резервным копированием.
Узнайте , как управлять операцией для установки расширения резервного копирования с помощью Azure CLI.
Доверенный доступ
Многие службы Azure зависят от clusterAdmin kubeconfig и общедоступной конечной точки kube-apiserver для доступа к кластерам AKS. Функция доверенного доступа AKS позволяет обойти ограничение частной конечной точки. Without using Microsoft Entra application, this feature enables you to give explicit consent to your system-assigned identity of allowed resources to access your AKS clusters using an Azure resource RoleBinding. Эта функция позволяет получить доступ к кластерам AKS с различными конфигурациями, которые не ограничиваются частными кластерами, кластерами с отключенными локальными учетными записями, кластерами идентификаторов Microsoft Entra и авторизованными кластерами диапазонов IP-адресов.
Your Azure resources access AKS clusters through the AKS regional gateway using system-assigned managed identity authentication. The managed identity must have the appropriate Kubernetes permissions assigned via an Azure resource role.
Для резервного копирования AKS хранилище резервных копий обращается к кластерам AKS через доверенный доступ для настройки резервных копий и восстановления. Хранилище резервных копий назначается предопределенной ролью Microsoft.DataProtection/backupVaults/backup-operator в кластере AKS, что позволяет выполнять только определенные операции резервного копирования.
Чтобы включить доверенный доступ между хранилищем резервного копирования и кластером AKS. Узнайте , как включить доверенный доступ
Примечание.
- Расширение резервного копирования можно установить в кластере AKS непосредственно из портала Azure, в разделе Резервное копирование на портале AKS.
- Вы также можете включить доверенный доступ между хранилищем резервного копирования и кластером AKS во время операций резервного копирования или восстановления в портал Azure.
Кластер AKS
Чтобы включить резервное копирование для кластера AKS, ознакомьтесь со следующими предварительными условиями:
AKS backup uses Container Storage Interface (CSI) drivers snapshot capabilities to perform backups of persistent volumes. Поддержка драйвера CSI доступна для кластеров AKS с Kubernetes версии 1.21.1 или более поздней.
Примечание.
- В настоящее время резервное копирование AKS поддерживает только резервное копирование постоянных томов на основе дисков Azure (включено драйвером CSI). Если вы используете общую папку Azure и постоянные тома типа BLOB-объектов Azure в кластерах AKS, вы можете настроить резервные копии для них с помощью решений Azure Backup, доступных для общей папки Azure и BLOB-объектов Azure.
- In Tree, volumes aren't supported by AKS backup; only CSI driver based volumes can be backed up. You can migrate from tree volumes to CSI driver based Persistent Volumes.
Before installing Backup Extension in the AKS cluster, ensure that the CSI drivers and snapshots are enabled for your cluster. Если они отключены, просмотрите эти действия, чтобы включить их.
Azure Backup для AKS поддерживает кластеры AKS с помощью управляемого удостоверения, назначаемого системой, или управляемого удостоверения, назначаемого пользователем, для операций резервного копирования. Although clusters using a service principal aren't supported, you can update an existing AKS cluster to use a system-assigned managed identity or a user-assigned managed identity.
Расширение резервного копирования во время установки извлекает образы контейнеров, хранящиеся в реестре контейнеров Майкрософт (MCR). Если включить брандмауэр в кластере AKS, процесс установки расширения может завершиться ошибкой из-за проблем с доступом к реестру. Узнайте , как разрешить доступ MCR из брандмауэра.
Если у вас есть кластер в частной виртуальной сети и брандмауэре, примените следующие правила FQDN/приложения:
*.microsoft.com,mcr.microsoft.com,data.mcr.microsoft.com,crl.microsoft.com,mscrl.microsoft.com,oneocsp.microsoft.com,*.azure.com,management.azure.com,gcs.prod.monitoring.core.windows.net,*.prod.warm.ingest.monitor.core.windows.net,*.blob.core.windows.net,*.azmk8s.io,ocsp.digicert.com,cacerts.digicert.com,crl3.digicert.com,crl4.digicert.com,ocsp.digicert.cn,cacerts.digicert.cn,cacerts.geotrust.com,cdp.geotrust.com,status.geotrust.com,ocsp.msocsp.com,*.azurecr.io,docker.io,*.dp.kubernetesconfiguration.azure.com. Узнайте, как применять правила для полного доменного имени (FQDN).Если у вас есть предыдущая установка Velero в кластере AKS, перед установкой расширения резервного копирования необходимо удалить его.
[!ПРИМЕЧАНИЕ]
The Velero CRDs installed in the cluster are shared between AKS Backup and the customer’s own Velero installation. Однако версии, используемые каждой установкой, могут отличаться, что может привести к сбоям из-за несоответствия контрактов.
Кроме того, пользовательские конфигурации Velero, созданные клиентом, такие как VolumeSnapshotClass для создания моментальных снимков на основе Velero CSI, могут мешать настройке создания моментальных снимков резервного копирования в AKS.
Аннотации Velero, содержащие
velero.io, применённые к различным ресурсам в кластере, также могут повлиять на поведение резервного копирования AKS неподдерживаемым образом.
Если вы используете политики Azure в вашем кластере AKS, убедитесь, что пространство имен расширения dataprotection-microsoft исключено из этих политик, чтобы обеспечить успешное выполнение операций резервного копирования и восстановления.
Если вы используете группу безопасности сети Azure для фильтрации сетевого трафика между ресурсами Azure в виртуальной сети Azure, установите правило для входящего трафика, чтобы разрешить теги служб azurebackup и azurecloud.
Необходимые роли и разрешения
To perform AKS backup and restore operations as a user, you need to have specific roles on the AKS cluster, Backup vault, Storage account, and Snapshot resource group.
| Область | Предпочтительная роль | Описание |
|---|---|---|
| Кластер AKS | Владелец | Позволяет установить расширение резервного копирования, включить доверенный доступ и предоставить разрешения для хранилища резервных копий по кластеру. |
| Группа ресурсов хранилища резервных копий | Автор резервных копий | Позволяет создавать хранилище резервных копий в группе ресурсов, создавать политику резервного копирования, настраивать резервное копирование и восстанавливать и назначать отсутствующие роли, необходимые для операций резервного копирования. |
| Учетная запись хранения | Владелец | Позволяет выполнять операции чтения и записи в учетной записи хранения и назначать необходимые роли другим ресурсам Azure в рамках операций резервного копирования. |
| Snapshot resource group | Владелец | Позволяет выполнять операции чтения и записи в группе ресурсов моментальных снимков и назначать необходимые роли другим ресурсам Azure в рамках операций резервного копирования. |
Примечание.
Роль владельца ресурса Azure позволяет выполнять операции Azure RBAC этого ресурса. Если он недоступен, владелец ресурса должен предоставить необходимые роли в хранилище резервных копий и кластер AKS перед началом операций резервного копирования или восстановления.
Кроме того, в рамках операций резервного копирования и восстановления следующие роли назначаются кластеру AKS, идентификатору расширения резервного копирования и хранилищу резервных копий.
| Роль | Assigned to | Assigned on | Описание |
|---|---|---|---|
| Reader | Хранилище резервных копий | Кластер AKS | Позволяет хранилищу резервных копий выполнять операции "Список" и "Чтение" в кластере AKS. |
| Reader | Хранилище резервных копий | Snapshot resource group | Allows the Backup vault to perform List and Read operations on snapshot resource group. |
| Contributor | Кластер AKS | Snapshot resource group | Allows AKS cluster to store persistent volume snapshots in the resource group. |
| Storage Blob Data Contributor | Extension Identity | Учетная запись хранения | Позволяет расширению резервного копирования хранить резервные копии кластерного ресурса в контейнере BLOB. |
| Оператор данных для управляемых дисков | Хранилище резервных копий | Группа ресурсов снапшотов | Allows Backup Vault service to move incremental snapshot data to the Vault. |
| Disk Snapshot Contributor | Хранилище резервных копий | Группа ресурсов снапшотов | Allows Backup Vault to access Disks snapshots and perform Vaulting operation. |
| Storage Blob Data Reader | Хранилище резервных копий | Учетная запись хранения | Allow Backup Vault to access Blob Container with backup data stored to move to Vault. |
| Contributor | Хранилище резервных копий | Staging Resource Group | Allows Backup Vault to hydrate backups as Disks stored in Vault Tier. |
| Storage Account Contributor | Хранилище резервных копий | Staging Storage Account | Allows Backup Vault to hydrate backups stored in Vault Tier. |
| Storage Blob Data Owner | Хранилище резервных копий | Staging Storage Account | Allows Backup Vault to copy cluster state in a blob container stored in Vault Tier. |
Примечание.
Резервное копирование AKS позволяет назначать эти роли во время процессов резервного копирования и восстановления через портал Azure одним щелчком мыши.
Следующие шаги
- О резервном копировании в службе Azure Kubernetes
- Поддерживаемые сценарии резервного копирования для кластеров Azure Kubernetes Service
- Резервное копирование кластера Azure Kubernetes с помощью портала Azure или Azure PowerShell
- Restore Azure Kubernetes Service cluster using Azure portal, Azure CLI, Azure PowerShell
- Управление резервными копиями кластера Служба Azure Kubernetes