다음을 통해 공유


Azure Backup을 사용한 Azure Kubernetes Service 백업의 필수 구성 요소

이 문서에서는 AKS(Azure Kubernetes Service) 백업의 필수 구성 요소를 설명합니다.

이제 Azure Backup은 클러스터에 설치해야 하는 백업 확장을 사용하여 AKS 클러스터(클러스터 리소스 및 클러스터에 연결된 영구 볼륨)를 백업할 수 있습니다. Backup 자격 증명 모음은 이 백업 확장을 통해 클러스터와 통신하여 백업 및 복원 작업을 수행합니다. 최소 권한의 보안 모델을 기반으로, AKS 클러스터와 통신하려면 Backup 자격 증명 모음에 신뢰할 수 있는 액세스를 사용하도록 설정되어 있어야 합니다.

내선 번호 백업

  • 확장을 사용하면 AKS 클러스터에서 실행되는 워크로드에서 사용되는 컨테이너화된 워크로드 및 영구 볼륨에 대한 백업 및 복원 기능을 사용할 수 있습니다.

  • 백업 확장은 기본적으로 자체 네임스페이스 dataprotection-microsoft에 설치됩니다. 이는 확장이 모든 클러스터 리소스에 액세스할 수 있는 클러스터 전체 범위로 설치됩니다. 확장 설치 중, 노드 풀 리소스 그룹에 사용자가 할당한 관리 ID(확장 ID)도 만듭니다.

  • Backup 확장은 Blob 컨테이너(설치 중 입력에 제공됨)를 백업 스토리지의 기본 위치로 사용합니다. 이 Blob 컨테이너에 액세스하려면 확장 ID에 컨테이너가 있는 스토리지 계정에 대한 Storage Blob 데이터 기여자 역할이 필요합니다.

  • 백업할 원본 클러스터와 백업을 복원할 대상 클러스터 모두에 백업 확장을 설치해야 합니다.

  • 백업 확장은 설정 아래의 백업 탭에 있는 AKS 포털 블레이드에서 클러스터에 설치할 수 있습니다. Azure CLI 명령을 사용하여 백업 확장에서 설치 및 기타 작업을 관리할 수도 있습니다.

  • AKS 클러스터에 확장을 설치하기 전에 먼저 구독 수준에서 Microsoft.KubernetesConfiguration 리소스 공급자를 등록해야 합니다. 리소스 공급자를 등록하는 방법을 알아봅니다.

  • 확장 에이전트 및 확장 연산자는 AKS 클러스터에서 모든 유형의 확장이 처음으로 설치될 때 설치되는 AKS의 핵심 플랫폼 구성 요소입니다. 이는 자사 및 타사 확장을 배포하는 기능을 제공합니다. 백업 확장은 설치 및 업그레이드에도 이를 사용합니다.

    참고 항목

    이러한 두 핵심 구성 요소는 CPU 및 메모리에 대한 적극적인 하드 제한으로 배포되며, CPU는 코어의 0.5% 미만, 메모리 제한은 50~200MB입니다. 따라서 이러한 구성 요소의 COGS 영향은 매우 낮습니다. 핵심 플랫폼 구성 요소이므로 클러스터에 설치되면 제거할 수 있는 해결 방법이 없습니다.

  • 확장 설치를 위한 입력으로 제공될 스토리지 계정이 Virtual Network/방화벽 아래에 있는 경우 스토리지 계정 네트워크 설정에서 BackupVault를 신뢰할 수 있는 액세스로 추가해야 합니다. 자격 증명 모음 데이터 저장소에 백업을 저장하는 데 도움이 되는 신뢰할 수 있는 Azure 서비스에 대한 액세스 권한을 부여하는 방법 알아보기

Azure CLI를 사용하여 백업 확장을 설치하는 작업을 관리하는 방법을 알아봅니다.

신뢰할 수 있는 액세스

많은 Azure 서비스는 clusterAdmin kubeconfig공개적으로 액세스할 수 있는 kube-apiserver 엔드포인트를 사용하여 AKS 클러스터에 액세스합니다. AKS 신뢰할 수 있는 액세스 기능을 사용하면 프라이빗 엔드포인트 제한을 무시할 수 있습니다. Microsoft Entra 애플리케이션을 사용하지 않고도 이 기능을 사용하면 Azure 리소스 RoleBinding을 통해 AKS 클러스터에 액세스할 수 있도록 허용된 리소스의 시스템이 할당한 ID에 명시적으로 동의할 수 있습니다. 이 기능을 사용하면 프라이빗 클러스터, 로컬 계정을 사용하지 않도록 설정된 클러스터, Microsoft Entra ID 클러스터 및 권한 있는 IP 범위 클러스터로 제한되지 않는 다양한 구성으로 AKS 클러스터에 액세스할 수 있습니다.

Azure 리소스는 시스템이 할당한 관리 ID 인증을 사용하여 AKS 지역 게이트웨이를 통해 AKS 클러스터에 액세스합니다. 관리 ID에는 Azure 리소스 역할을 통해 할당된 적절한 Kubernetes 권한이 있어야 합니다.

AKS 백업의 경우 Backup 자격 증명 모음은 신뢰할 수 있는 액세스를 통해 AKS 클러스터에 액세스하여 백업 및 복원을 구성합니다. Backup 자격 증명 모음에는 AKS 클러스터에 미리 정의된 Microsoft.DataProtection/backupVaults/backup-operator 역할이 할당되어 특정 백업 작업만 수행할 수 있습니다.

Backup 자격 증명 모음과 AKS 클러스터 간에 신뢰할 수 있는 액세스를 사용하도록 설정하려면 신뢰할 수 있는 액세스를 사용하도록 설정하는 방법 알아보기

참고 항목

  • AKS 포털의 백업 섹션에 있는 Azure Portal에서 AKS 클러스터에 백업 확장을 직접 설치할 수 있습니다.
  • Azure Portal에서 백업 또는 복원 작업 중에 Backup 자격 증명 모음 및 AKS 클러스터 간에 신뢰할 수 있는 액세스를 사용하도록 설정할 수도 있습니다.

AKS 클러스터

AKS 클러스터에 대한 백업을 사용하도록 설정하려면 다음 필수 구성 요소를 참조하세요.

  • AKS 백업은 CSI(Container Storage Interface) 드라이버 스냅샷 기능을 사용하여 영구 볼륨의 백업을 수행합니다. CSI 드라이버 지원은 Kubernetes 버전 1.21.1 이상이 있는 AKS 클러스터에 사용할 수 있습니다.

    참고 항목

    • 현재 AKS 백업은 Azure 디스크 기반 영구 볼륨(CSI 드라이버에서 사용하도록 설정)의 백업만 지원합니다. AKS 클러스터에서 Azure 파일 공유 및 Azure Blob 형식 영구 볼륨을 사용하는 경우 Azure 파일 공유Azure Blob에 사용할 수 있는 Azure Backup 솔루션을 통해 백업을 구성할 수 있습니다.
    • 트리에서 볼륨은 AKS 백업에서 지원되지 않으며, CSI 드라이버 기반 볼륨만 백업할 수 있습니다. 트리 볼륨에서 CSI 드라이버 기반 영구 볼륨으로 마이그레이션할 수 있습니다.
  • AKS 클러스터에 Backup 확장을 설치하기 전에 먼저 클러스터에 대해 CSI 드라이버 및 스냅샷을 사용하도록 설정해야 합니다. 사용하지 않도록 설정된 경우 다음 단계를 참조하여 사용하도록 설정을 참조하세요.

  • AKS용 Azure Backup은 백업 작업을 위해 시스템 할당 관리 ID 또는 사용자 할당 관리 ID를 사용하여 AKS 클러스터를 지원합니다. 서비스 주체를 사용하는 클러스터는 지원되지 않지만 시스템 할당 관리 ID 또는 사용자 할당 관리 ID를 사용하도록 기존 AKS 클러스터를 업데이트할 수 있습니다.

  • 설치하는 동안 백업 확장은 MCR(Microsoft Container Registry)에 저장된 컨테이너 이미지를 가져옵니다. AKS 클러스터에서 방화벽을 사용하도록 설정하면 레지스트리의 액세스 문제로 인해 확장 설치 프로세스가 실패할 수 있습니다. 방화벽에서 MCR 액세스를 허용하는 방법을 알아봅니다.

  • 프라이빗 Virtual Network 및 방화벽에 클러스터가 있는 경우 *.microsoft.com, *.azure.com, *.core.windows.net, *.azmk8s.io, *.digicert.com, *.digicert.cn, *.geotrust.com, *.msocsp.com FQDN/애플리케이션 규칙을 적용합니다. FQDN 규칙을 적용하는 방법에 대해 알아봅니다.

  • 이전에 AKS 클러스터에 Velero를 설치한 경우 백업 확장을 설치하기 전에 삭제해야 합니다.

필요한 역할 및 권한

AKS 백업 및 복원 작업을 사용자로 수행하려면 AKS 클러스터, Backup 자격 증명 모음, 스토리지 계정 및 스냅샷 리소스 그룹에 특정 역할이 있어야 합니다.

범위 기본 역할 설명
AKS 클러스터 담당자 백업 확장을 설치하고, 신뢰할 수 있는 액세스를 사용하도록 설정하고, 클러스터를 통해 Backup 자격 증명 모음에 권한을 부여할 수 있습니다.
백업 자격 증명 모음 리소스 그룹 Backup 참가자 리소스 그룹에서 Backup 자격 증명 모음을 만들고, 백업 정책을 만들고, 백업을 구성하고, 백업 작업에 필요한 누락된 역할을 복원하고 할당할 수 있습니다.
스토리지 계정 담당자 스토리지 계정에서 읽기 및 쓰기 작업을 수행하고 백업 작업의 일부로 필요한 역할을 다른 Azure 리소스에 할당할 수 있습니다.
스냅샷 리소스 그룹 담당자 스냅샷 리소스 그룹에서 읽기 및 쓰기 작업을 수행하고 백업 작업의 일부로 필요한 역할을 다른 Azure 리소스에 할당할 수 있습니다.

참고 항목

Azure 리소스의 소유자 역할을 사용하면 해당 리소스의 Azure RBAC 작업을 수행할 수 있습니다. 사용할 수 없는 경우 리소스 소유자는 백업 또는 복원 작업을 시작하기 전에 먼저 Backup 자격 증명 모음 및 AKS 클러스터에 필요한 역할을 제공해야 합니다.

또한 백업 및 복원 작업의 일부로 AKS 클러스터, 백업 확장 ID 및 Backup 자격 증명 모음에 다음 역할이 할당됩니다.

역할 담당자 할당 날짜 설명
판독기 백업 중요 보관소 AKS 클러스터 Backup 자격 증명 모음이 AKS 클러스터에서 목록읽기 작업을 수행할 수 있도록 허용합니다.
판독기 백업 중요 보관소 스냅샷 리소스 그룹 Backup 자격 증명 모음이 스냅샷 리소스 그룹에서 목록읽기 작업을 수행할 수 있도록 허용합니다.
참가자 AKS 클러스터 스냅샷 리소스 그룹 AKS 클러스터가 리소스 그룹에 영구 볼륨 스냅샷을 저장할 수 있습니다.
Storage Blob 데이터 Contributor 확장 ID 스토리지 계정 Backup 확장이 Blob 컨테이너에 클러스터 리소스 백업을 저장할 수 있도록 허용합니다.
Managed Disks의 데이터 운영자 Backup 자격 증명 모음 스냅샷 리소스 그룹 Backup 자격 증명 모음 서비스에서 증분 스냅샷 데이터를 자격 증명 모음으로 이동할 수 있습니다.
디스크 스냅샷 기여자 백업 중요 보관소 스냅샷 리소스 그룹 Backup 자격 증명 모음에서 디스크 스냅샷에 액세스하고 자격 증명 모음 작업을 수행할 수 있습니다.
Storage Blob 데이터 읽기 권한자 백업 중요 보관소 스토리지 계정 Backup 자격 증명 모음이 백업 데이터가 저장된 Blob 컨테이너에 액세스하여 자격 증명 모음으로 이동할 수 있습니다.
참가자 백업 중요 보관소 스테이징 리소스 그룹 Backup 자격 증명 모음이 자격 증명 모음 계층에 저장된 디스크로 하이드레이션할 수 있습니다.
Storage 계정 참가자 백업 중요 보관소 스테이징 스토리지 계정 Backup 자격 증명 모음이 자격 증명 모음 계층에 저장된 백업을 하이드레이션할 수 있습니다.
Storage Blob 데이터 소유자 백업 중요 보관소 스테이징 스토리지 계정 Backup 자격 증명 모음이 자격 증명 모음 계층에 저장된 Blob 컨테이너의 클러스터 상태를 복사할 수 있습니다.

참고 항목

AKS 백업을 사용하면 한 번의 클릭으로 Azure Portal을 통해 백업 및 복원 프로세스 중에 이러한 역할을 할당할 수 있습니다.

다음 단계