Unterstützungsmatrix für die Azure Kubernetes Service-Sicherung
Sie können Azure Backup zur Unterstützung beim Schutz von Azure Kubernetes Service (AKS) verwenden. In diesem Artikel werden regionale Verfügbarkeit, unterstützte Szenarien und Einschränkungen zusammengefasst.
Unterstützte Regionen
Die Unterstützung der Operativen Ebene für die AKS-Sicherung wird in allen folgenden öffentlichen Azure-Cloudregionen unterstützt: Ost-USA, Nordeuropa, Westeuropa, Südostasien, West-USA 2, Ost-USA 2, West-USA, Nord-Zentral-USA, Zentral-USA, Frankreich Zentral, Korea Central, Australien Ost, Vereinigtes Königreich Süd-, Ostasien, West-Zentral-USA, Japan Ost, Süd-Zentral-USA, West-USA 3, Kanada Central, Kanada Ost, Australien Südost, Zentralindien, Norwegen Ost, Deutschland West Central, Schweiz Nord, Schweden Zentral, Japan West, UK West, Korea Süd, Südafrika Nord, Südindien, Frankreich Süd, Brasilien Süd, VAE Nord, China Ost 2, China Ost 3, China Nord 2, China Nord 3, USGov Virginia, USGov Arizona und USGov Texas.
Vault Tier and Cross Region Restore Support for AKS backup are available in the following regions: East US, West US, West US 3, North Europe, West Europe, North Central US, South Central US, West Central US, East US 2, Central US, UK South, UK West, East Asia, South-East Asia, Japan East South India, Central India, Kanada Central and Norwegen East.
Hinweis
Aktivieren Sie die Funktion "Regionsübergreifende Wiederherstellung" für Ihren Sicherungstresor, damit Ihre Sicherungen in einer gekoppelten Azure-Region verfügbar sind. Weitere Informationen finden Sie in der Liste der Azure-Regionspaare.
Begrenzungen
Die AKS-Sicherung unterstützt AKS-Cluster mit Kubernetes ab Version 1.22. In dieser Version sind Container Storage Interface (CSI)-Treiber installiert.
Stellen Sie vor der Installation der Sicherungserweiterung in einem AKS-Cluster sicher, dass die CSI-Treiber und die Momentaufnahme für Ihren Cluster aktiviert sind. Wenn sie deaktiviert sind, aktivieren Sie diese Einstellungen.
Stellen Sie einen neuen und leeren Blobcontainer als Eingabe bereit, während Sie die Sicherungserweiterung zum ersten Mal in einem AKS-Cluster installieren. Verwenden Sie nicht denselben BLOB-Container für mehrere AKS-Cluster.
AKS-Sicherungen unterstützen keine Volumes innerhalb der Struktur. Sie können nur treiberbasierte CSI-Volumes sichern. Sie können von Strukturvolumes zu treiberbasierten persistenten CSI-Volumes migrieren.
Derzeit unterstützt die AKS-Sicherung nur die Sicherung von auf datenträgerbasierten persistenten Azure-Volumes (durch den CSI-Treiber aktiviert). Die unterstützten Azure Disk-SKUs sind HDD Standard, SSD Standard und SSD Premium. Die Festplatten, die zu Premium SSD v2 und Ultra Disk SKU gehören, werden nicht unterstützt. Es werden sowohl statische als auch dynamisch bereitgestellte Volumes unterstützt. Für die Sicherung statischer Datenträger sollte die Spezifikation für persistente Volumes die in der YAML-Datei definierte Speicherklasse aufweisen, andernfalls werden solche persistenten Volumes vom Sicherungsvorgang übersprungen.
Azure Files-Freigaben und persistente Azure Blob Storage-Volumes werden aufgrund fehlender CSI-treiberbasierter Snapshotting-Funktion nicht von AKS-Sicherung unterstützt. Wenn Sie solche persistenten Volumes in Ihren AKS-Clustern verwenden, können Sie die Sicherung dafür über die Azure Backup-Lösungen konfigurieren. Weitere Informationen finden Sie unter Sicherung von Azure-Dateifreigaben und Azure Blob Storage-Sicherung.
Nicht unterstützte persistente Volumetypen werden bei der Erstellung einer Sicherung für den AKS-Cluster übersprungen.
Derzeit werden AKS-Cluster, die einen Dienstprinzipal verwenden, nicht unterstützt. Wenn Ihr AKS-Cluster einen Dienstprinzipal für die Autorisierung verwendet, können Sie den Cluster so aktualisieren, dass eine systemseitig zugewiesene verwaltete Identität oder eine benutzerseitig zugewiesene verwaltete Identität verwendet wird.
Sie können die Sicherungserweiterung nur auf Agentknoten mit Ubuntu und Azure Linux als Betriebssystem installieren. AKS-Cluster mit Windows-basierten Agentknoten lassen keine Installation der Sicherungserweiterung zu.
Sie können die Sicherungserweiterung nicht im AKS-Cluster mit Arm64-basierten Agentknoten installieren, unabhängig vom Betriebssystem (Ubuntu/Azure Linux/Windows), das auf diesen Knoten ausgeführt wird.
Installieren Sie keine AKS-Sicherungserweiterung zusammen mit Velero oder anderen Velero-basierten Sicherungsdiensten. Dies kann zu Unterbrechungen des Sicherungsdiensts während zukünftiger Velero-Upgrades führen, die von Ihnen oder der AKS-Sicherung gesteuert werden.
Sie müssen die Sicherungserweiterung im AKS-Cluster installieren. Wenn Sie die Sicherungserweiterung mithilfe der Azure CLI installieren, stellen Sie sicher, dass die CLI-Version 2.41 oder höher ist. Verwenden Sie den
az upgrade
-Befehl, um ein Upgrade der Azure CLI durchzuführen.Der Blobcontainer, der während der Installation der Sicherungserweiterung als Eingabe bereitgestellt wird, sollte sich in derselben Region und in demselben Abonnement wie der AKS-Cluster befinden. Nur BLOB-Container in einem allgemeinen V2-Speicherkonto werden unterstützt, und Storage Premium Konto werden nicht unterstützt.
Der Sicherungstresor und der AKS-Cluster sollten sich in derselben Region und in demselben Abonnement befinden.
Azure Backup für AKS bietet sowohl Operational Tier (Snapshot) als auch Vault Tier Backup. Mehrere Sicherungen pro Tag können auf betriebsbereiter Ebene gespeichert werden, wobei nur eine Sicherung pro Tag im Tresor gemäß der definierten Aufbewahrungsrichtlinie gespeichert werden kann.
Derzeit werden die Änderung einer Sicherungsrichtlinie und die Änderung einer Momentaufnahme-Ressourcengruppe (die während der Konfiguration der AKS-Clustersicherung einer Sicherungsinstanz zugewiesen wurde) nicht unterstützt.
AKS-Cluster- und Sicherungserweiterungspods sollten sich im Zustand „Wird ausgeführt“ befinden, bevor Sie Sicherungs- und Wiederherstellungsvorgänge ausführen. Dieser Status schließt das Löschen abgelaufener Wiederherstellungspunkte ein.
Für erfolgreiche Sicherungs- und Wiederherstellungsvorgänge sind Rollenzuweisungen für die verwaltete Identität des Sicherungstresors erforderlich. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, können bei der Sicherungskonfiguration oder während Wiederherstellungsvorgängen, kurz nachdem Sie Rollen zugewiesen haben, Berechtigungsprobleme auftreten, da die Rollenzuweisungen einige Minuten dauern, bis sie wirksam werden. Erfahren Sie mehr über Rollendefinitionen.
Der Sicherungstresor unterstützt Azure Lighthouse nicht. Daher kann die mandantenübergreifende Verwaltung nicht von Lighthouse für Azure Backup für AKS aktiviert werden, und Sie können AKS-Cluster nicht über mandantenübergreifend sichern/wiederherstellen.
Die folgenden Namespaces werden von der Sicherungskonfiguration übersprungen und nicht für Sicherungen kofiguriert:
kube-system
, ,kube-node-lease
.kube-public
Hier sind die AKS-Sicherungsgrenzwerte:
Einstellung Begrenzung Anzahl von Sicherungsrichtlinien pro Backup-Tresor 5\.000 Anzahl von Sicherungsinstanzen pro Backup-Tresor 5\.000 Zulässige Anzahl von On-Demand-Sicherungen in einer Backup-Instanz pro Tag 10 Anzahl der Namespaces pro Sicherungsinstanz 800 Anzahl der zulässigen Wiederherstellungen pro Sicherungsinstanz an einem Tag 10 Die Konfiguration eines Speicherkontos mit privatem Endpunkt wird unterstützt.
Um Azure Backup für AKS über Terraform zu aktivieren, sollte die Version = 3.99 sein >.
Zusätzliche Einschränkungen für tresorierte Sicherung und regionsübergreifende Wiederherstellung
Nur Azure Disk mit beständigen Volumes mit Größe <= 1 TB sind berechtigt, in die Tresorebene verschoben zu werden. Datenträger mit der höheren Größe werden in den Sicherungsdaten übersprungen, die in die Tresorebene verschoben werden.
Die Notfallwiederherstellungsfunktion ist nur zwischen Azure-Regionspaaren verfügbar (wenn die Sicherung in einem georedundanten Sicherungstresor konfiguriert ist). Die Sicherungsdaten sind nur in gekoppelten Azure-Regionspaaren verfügbar. Wenn Sie z.B. einen AKS-Cluster in der Region USA, Osten haben, der in einem georedundanten Sicherungstresor gesichert wird, sind die Sicherungsdaten auch in der Region USA, Westen für die Wiederherstellung verfügbar.
Nur ein geplanter Wiederherstellungspunkt ist in der Vault-Ebene pro Tag verfügbar, der ein RPO von 24 Stunden in der primären Region bereitstellt. Für die sekundäre Region kann der Wiederherstellungspunkt bis zu 12 Stunden dauern, was einen RPO von 36 Stunden ergibt.
Während der Wiederherstellung aus der Vault-Ebene werden die hydratisierten Ressourcen im Stagingspeicherort, einschließlich eines Speicherkontos und einer Ressourcengruppe, nach der Wiederherstellung nicht bereinigt. Sie müssen manuell gelöscht werden.
Wenn sich der Zielcluster in einem virtuellen Netzwerk befindet, aktivieren Sie einen privaten Endpunkt zwischen dem Cluster und dem Stagingspeicherkonto.
Wenn sich die Version des AKS-Zielclusters von der während des Sicherungsvorgangs verwendeten Version unterscheidet, ist der Wiederherstellungsvorgang u. U. nicht erfolgreich oder wird mit Warnungen für verschiedene Szenarien (etwa veraltete Ressourcen in der neueren Clusterversion) abgeschlossen. Bei der Wiederherstellung aus der Tresorebene können Sie die hydratisierten Ressourcen im Stagingspeicherort verwenden, um Anwendungsressourcen auf dem Zielcluster wiederherzustellen.
Derzeit wird die Vault Tier-basierte Sicherung bei der Terraform-Bereitstellung nicht unterstützt.