Unterstützungsmatrix für die Azure Kubernetes Service-Sicherung
Sie können Azure Backup zur Unterstützung beim Schutz von Azure Kubernetes Service (AKS) verwenden. In diesem Artikel werden regionale Verfügbarkeit, unterstützte Szenarien und Einschränkungen zusammengefasst.
Unterstützte Regionen
Die Unterstützung der Operativen Ebene für die AKS-Sicherung wird in allen folgenden öffentlichen Azure-Cloudregionen unterstützt: Ost-USA, Nordeuropa, Westeuropa, Südostasien, West-USA 2, Ost-USA 2, West-USA, Nord-Zentral-USA, Zentral-USA, Frankreich Zentral, Korea Central, Australien Ost, Vereinigtes Königreich Süd-, Ostasien, West-Zentral-USA, Japan Ost, Süd-Zentral-USA, West-USA 3, Kanada Central, Kanada Ost, Australien Südost, Zentralindien, Norwegen Ost, Deutschland West Central, Schweiz Nord, Schweden Zentral, Japan West, UK West, Korea Süd, Südafrika Nord, Südindien, Frankreich Süd, Brasilien Süd, VAE Nord, China Ost 2, China Ost 3, China Nord 2, China Nord 3, USGov Virginia, USGov Arizona und USGov Texas.
Vault Tier and Cross Region Restore Support (Vorschau) für AKS Backup sind in den folgenden Regionen verfügbar: Ost-USA, West-USA, West-USA 3, Nordeuropa, Westeuropa, Nord-Zentral-USA, Süd-Zentral-USA, West central US, Ost-USA, Ost-USA, Vereinigtes Königreich, Ostasien, Südostasien, Japan Ost-Indien, Zentralindien, Kanada Zentral und Norwegen Ost.
Hinweis
Tresorsicherung und regionsübergreifende Wiederherstellung für AKS mit Azure Backup befinden sich derzeit in der Vorschau.
Aktivieren Sie die Cross Region Restore-Funktion für Ihren Sicherungstresor, um auf Sicherungen zuzugreifen, die in der Tresorebene in der azure-gekoppelten Region gespeichert sind. Weitere Informationen finden Sie in der Liste der Azure-Regionspaare.
Begrenzungen
Die AKS-Sicherung unterstützt AKS-Cluster mit Kubernetes ab Version 1.22. In dieser Version sind Container Storage Interface (CSI)-Treiber installiert.
Stellen Sie vor der Installation der Sicherungserweiterung in einem AKS-Cluster sicher, dass die CSI-Treiber und die Momentaufnahme für Ihren Cluster aktiviert sind. Wenn sie deaktiviert sind, aktivieren Sie diese Einstellungen.
Stellen Sie einen neuen und leeren Blobcontainer als Eingabe bereit, während Sie die Sicherungserweiterung zum ersten Mal in einem AKS-Cluster installieren. Verwenden Sie nicht denselben BLOB-Container für mehrere AKS-Cluster.
AKS-Sicherungen unterstützen keine Volumes innerhalb der Struktur. Sie können nur treiberbasierte CSI-Volumes sichern. Sie können von Strukturvolumes zu treiberbasierten persistenten CSI-Volumes migrieren.
Derzeit unterstützt die AKS-Sicherung nur die Sicherung von auf datenträgerbasierten persistenten Azure-Volumes (durch den CSI-Treiber aktiviert). Die unterstützten Azure Disk-SKUs sind HDD Standard, SSD Standard und SSD Premium. Die Festplatten, die zu Premium SSD v2 und Ultra Disk SKU gehören, werden nicht unterstützt. Es werden sowohl statische als auch dynamisch bereitgestellte Volumes unterstützt. Für die Sicherung statischer Datenträger sollte die Spezifikation für persistente Volumes die in der YAML-Datei definierte Speicherklasse aufweisen, andernfalls werden solche persistenten Volumes vom Sicherungsvorgang übersprungen.
Azure Files-Freigaben und persistente Azure Blob Storage-Volumes werden aufgrund fehlender CSI-treiberbasierter Snapshotting-Funktion nicht von AKS-Sicherung unterstützt. Wenn Sie solche persistenten Volumes in Ihren AKS-Clustern verwenden, können Sie die Sicherung dafür über die Azure Backup-Lösungen konfigurieren. Weitere Informationen finden Sie unter Sicherung von Azure-Dateifreigaben und Azure Blob Storage-Sicherung.
Nicht unterstützte persistente Volumetypen werden bei der Erstellung einer Sicherung für den AKS-Cluster übersprungen.
Derzeit werden AKS-Cluster, die einen Dienstprinzipal verwenden, nicht unterstützt. Wenn Ihr AKS-Cluster einen Dienstprinzipal für die Autorisierung verwendet, können Sie den Cluster so aktualisieren, dass eine systemseitig zugewiesene verwaltete Identität oder eine benutzerseitig zugewiesene verwaltete Identität verwendet wird.
Sie können die Sicherungserweiterung nur auf Agentknoten mit Ubuntu und Azure Linux als Betriebssystem installieren. AKS-Cluster mit Windows-basierten Agentknoten lassen keine Installation der Sicherungserweiterung zu.
Sie können die Sicherungserweiterung nicht im AKS-Cluster mit Arm64-basierten Agentknoten installieren, unabhängig vom Betriebssystem (Ubuntu/Azure Linux/Windows), das auf diesen Knoten ausgeführt wird.
Sie müssen die Sicherungserweiterung im AKS-Cluster installieren. Wenn Sie die Sicherungserweiterung mithilfe der Azure CLI installieren, stellen Sie sicher, dass die CLI-Version 2.41 oder höher ist. Verwenden Sie den
az upgrade-Befehl, um ein Upgrade der Azure CLI durchzuführen.Der Blobcontainer, der während der Installation der Sicherungserweiterung als Eingabe bereitgestellt wird, sollte sich in derselben Region und in demselben Abonnement wie der AKS-Cluster befinden. Nur BLOB-Container in einem allgemeinen V2-Speicherkonto werden unterstützt, und Storage Premium Konto werden nicht unterstützt.
Der Sicherungstresor und der AKS-Cluster sollten sich in derselben Region und in demselben Abonnement befinden.
Azure Backup für AKS bietet sowohl Operational Tier (Snapshot) als auch Vault Tier Backup. Mehrere Sicherungen pro Tag können auf betriebsbereiter Ebene gespeichert werden, wobei nur eine Sicherung pro Tag im Tresor gemäß der definierten Aufbewahrungsrichtlinie gespeichert werden kann.
Derzeit werden die Änderung einer Sicherungsrichtlinie und die Änderung einer Momentaufnahme-Ressourcengruppe (die während der Konfiguration der AKS-Clustersicherung einer Sicherungsinstanz zugewiesen wurde) nicht unterstützt.
AKS-Cluster- und Sicherungserweiterungspods sollten sich im Zustand „Wird ausgeführt“ befinden, bevor Sie Sicherungs- und Wiederherstellungsvorgänge ausführen. Dieser Status schließt das Löschen abgelaufener Wiederherstellungspunkte ein.
Für erfolgreiche Sicherungs- und Wiederherstellungsvorgänge sind Rollenzuweisungen für die verwaltete Identität des Sicherungstresors erforderlich. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, können bei der Sicherungskonfiguration oder während Wiederherstellungsvorgängen, kurz nachdem Sie Rollen zugewiesen haben, Berechtigungsprobleme auftreten, da die Rollenzuweisungen einige Minuten dauern, bis sie wirksam werden. Erfahren Sie mehr über Rollendefinitionen.
Der Sicherungstresor unterstützt Azure Lighthouse nicht. Daher kann die mandantenübergreifende Verwaltung nicht von Lighthouse für Azure Backup für AKS aktiviert werden, und Sie können AKS-Cluster nicht über mandantenübergreifend sichern/wiederherstellen.
Die folgenden Namespaces werden von der Sicherungskonfiguration übersprungen und nicht für Sicherungen kofiguriert:
kube-system, ,kube-node-lease.kube-publicHier sind die AKS-Sicherungsgrenzwerte:
Einstellung Begrenzung Anzahl von Sicherungsrichtlinien pro Backup-Tresor 5\.000 Anzahl von Sicherungsinstanzen pro Backup-Tresor 5\.000 Zulässige Anzahl von On-Demand-Sicherungen in einer Backup-Instanz pro Tag 10 Anzahl der Namespaces pro Sicherungsinstanz 800 Anzahl der zulässigen Wiederherstellungen pro Sicherungsinstanz an einem Tag 10 Die Konfiguration eines Speicherkontos mit privatem Endpunkt wird unterstützt.
Zusätzliche Einschränkungen für Tresorsicherung und regionsübergreifende Wiederherstellung (Vorschau)
Nur Azure Disk mit persistenten Volumes einer Größe <= 1 TB können in die Tresorebene verschoben werden; andernfalls werden sie bei den Sicherungsdaten übersprungen.
Die Notfallwiederherstellungsfunktion ist nur zwischen Azure-Regionspaaren verfügbar (wenn die Sicherung in einem georedundanten Sicherungstresor konfiguriert ist). Die Sicherungsdaten sind nur in gekoppelten Azure-Regionspaaren verfügbar. Wenn Sie z.B. einen AKS-Cluster in der Region USA, Osten haben, der in einem georedundanten Sicherungstresor gesichert wird, sind die Sicherungsdaten auch in der Region USA, Westen für die Wiederherstellung verfügbar.
Auf Tresorebene ist nur ein geplanter Wiederherstellungspunkt pro Tag verfügbar, der ein RPO von 24 Stunden bietet. Für die sekundäre Region kann der Wiederherstellungspunkt bis zu 12 Stunden dauern, was einen RPO von 36 Stunden ergibt.
Bei der Wiederherstellung aus der Tresorebene sollte der angegebene Speicherort keine Lese-/Löschsperre haben, da sonst die hydrierten Ressourcen nach der Wiederherstellung nicht bereinigt werden.
Installieren Sie keine AKS-Sicherungserweiterung zusammen mit Velero oder anderen Velero-basierten Sicherungsdiensten. Dies kann zu Unterbrechungen des Sicherungsdiensts während zukünftiger Velero-Upgrades führen, die von Ihnen oder der AKS-Sicherung gesteuert werden.