Matriz de suporte de backup do Serviço de Kubernetes do Azure
Você pode usar o Backup do Azure para ajudar a proteger o Serviço de Kubernetes do Azure (AKS). Este artigo resume a disponibilidade da região, os cenários com suporte e as limitações.
Regiões com suporte
O suporte da Camada Operacional para backup do AKS tem suporte em todas as seguintes regiões de nuvem pública do Azure: Leste dos EUA, Norte da Europa, Europa Ocidental, Sudeste Asiático, Oeste dos EUA 2, Leste dos EUA 2, Oeste dos EUA, Centro-Norte dos EUA, EUA Central, França Central, Coreia Central, Leste da Austrália, Sul do Reino Unido, Leste da Ásia, Centro-Oeste dos EUA, Leste do Japão, Centro-Sul dos EUA, Oeste dos EUA 3, Canadá Central, Leste do Canadá, Sudeste da Austrália, Índia Central, Leste da Noruega, Centro-Oeste da Alemanha, Norte da Suíça, Suécia Central, Oeste do Japão, Oeste do Reino Unido, Sul da Coreia, Norte da África do Sul, Sul da Índia, Sul da França, Sul do Brasil, Norte dos Emirados Árabes Unidos, Leste da China 2, Leste da China 3, Norte da China 2, Norte da China 3, USGov Virgínia, USGov Arizona e USGov Texas.
O suporte à Restauração entre Regiões e Camadas do Vault para backup do AKS está disponível nas seguintes regiões: Leste dos EUA, Oeste dos EUA, Oeste dos EUA 3, Norte da Europa, Europa Ocidental, Centro-Norte dos EUA, Centro-Sul dos EUA, Centro-Oeste dos EUA, Leste dos EUA 2, Centro dos EUA, Sul do Reino Unido, Oeste do Reino Unido, Leste da Ásia, Sudeste Asiático, Leste do Japão do Sul da Índia, Índia Central, Canadá Central e Leste da Noruega.
Observação
Habilite o recurso de Restauração entre Regiões para que seu Cofre de Backup tenha seus backups disponíveis em uma região emparelhada do Azure. Consulte a lista de Regiões Emparelhadas do Azure.
Limitações
O backup do AKS dá suporte a clusters do AKS com o Kubernetes versão 1.22 ou posterior. Essa versão tem drivers da Interface de Armazenamento de Contêiner (CSI) instalados.
Antes de instalar a extensão de backup no cluster do AKS, verifique se os drivers da CSI e os instantâneos estão habilitados para o seu cluster. Se eles estiverem desabilitados, habilite essas configurações.
Forneça um contêiner de blob novo e vazio como entrada ao instalar a extensão de backup em um cluster do AKS pela primeira vez. Não use o mesmo contêiner de blob para mais de um cluster do AKS.
Os backups do AKS não oferecem suporte a volumes na árvore. Você pode fazer backup apenas de volumes baseados em driver da CSI. Você pode migrar de volumes em árvore para volumes persistentes baseados em driver da CSI.
Atualmente, o backup do AKS dá suporte apenas ao backup de volumes persistentes baseados em disco do Azure (habilitados pelo driver da CSI). Os SKUs de Disco do Azure com suporte são HDD Standard, SSD Standard e SSD Premium. Não há suporte para os discos pertencentes ao SSD Premium v2 e ao SKU de Disco Ultra. Há suporte para volumes provisionados estática e dinamicamente. Para backup de discos estáticos, a especificação de volumes persistentes deve ter a classe de armazenamento definida no arquivo YAML , caso contrário, esses volumes persistentes serão ignorados da operação de backup.
Os compartilhamentos de Arquivos do Azure e os volumes persistentes do Armazenamento de Blobs do Azure não são compatíveis com o backup do AKS devido à falta de recurso de instantâneo baseado em driver CSI. Se você estiver usando esses volumes persistentes em seus clusters do AKS, poderá configurar backups para eles por meio das soluções de backup do Azure. Para obter mais informações, confira Backup de compartilhamento de arquivos do Azure e Backup do Armazenamento de Blobs do Azure.
Qualquer tipo de volume persistente sem suporte é ignorado enquanto um backup está sendo criado para o cluster do AKS.
Atualmente, não há suporte para clusters do AKS que usam uma entidade de serviço. Se o cluster do AKS usar uma entidade de serviço para autorização, você poderá atualizar o cluster para usar uma identidade gerenciada atribuída pelo sistema ou uma identidade gerenciada atribuída pelo usuário.
É possível apenas instalar a Extensão de Backup em nós de agente com o Ubuntu e o Linux do Azure como Sistema Operacional. Os clusters do AKS com nós de agente baseados no Windows não permitem a instalação da Extensão de Backup.
Você não pode instalar a Extensão de Backup no Cluster do AKS com nós de agente baseados em Arm64, independentemente do sistema operacional (Ubuntu/Azure Linux/Windows) em execução nesses nós.
Não instale a Extensão de Backup do AKS junto com o Velero ou outros serviços de backup baseados em Velero. Isso pode levar à interrupção do serviço de backup durante quaisquer atualizações futuras do Velero controladas por você ou pelo backup do AKS
Você precisa instalar a extensão de backup no cluster do AKS. Se você estiver usando a CLI do Azure para instalar a extensão de backup, verifique se a versão é a 2.41 ou posterior. Use o comando
az upgrade
para atualizar a CLI do Azure.O contêiner de blob fornecido como entrada durante a instalação da extensão de backup deve estar nas mesmas região e assinatura do cluster do AKS. Há suporte apenas para contêineres de blob em uma Conta de Armazenamento de Uso Geral V2 e não há suporte para a Conta de Armazenamento Premium.
O cofre de backup e o cluster do AKS devem estar nas mesmas região e assinatura.
O Backup do Azure para AKS fornece backup da Camada Operacional (Instantâneo) e da Camada de Cofre. Vários backups por dia podem ser armazenados na camada operacional, com apenas um backup por dia a ser armazenado no cofre de acordo com a política de retenção definida.
Atualmente, não há suporte para a modificação de uma política de backup e a modificação de um grupo de recursos de instantâneo (atribuído a uma instância de backup durante a configuração do backup de cluster do AKS).
Os pods de clusters do AKS e de extensão de backup devem estar em um estado de execução antes de você realizar qualquer operação de restauração e de backup. Esse estado inclui a exclusão de pontos de recuperação vencidos.
Para operações bem-sucedidas de backup e de restauração, as atribuições de função são exigidas pela identidade gerenciada do cofre de backup. Se você não tiver as permissões necessárias, poderá observar problemas de permissão durante as operações de configuração ou restauração de backup logo após a atribuição de funções, pois as atribuições de função demoram um pouco para entrar em vigor. Saiba mais sobre as definições de função.
O cofre de backup não dá suporte ao Azure Lighthouse. Portanto, o gerenciamento entre locatários não pode ser habilitado pelo Lighthouse para Backup do Azure para AKS e você não pode fazer backup/restaurar clusters do AKS entre locatários.
Os seguintes namespaces são ignorados da Configuração de Backup e não configurados para backups:
kube-system
,kube-node-lease
,kube-public
.Aqui estão os limites de backup do AKS:
Configuração Limite Número de políticas de backup por cofre de backup 5\.000 Número de instâncias de backup por cofre de backup 5\.000 Número de backups sob demanda permitidos em um dia por instância de backup 10 Número de namespaces por instância de backup 800 Número de restaurações permitidas por instância de backup em um dia 10 Há suporte para a configuração de uma conta de armazenamento com ponto final privado.
Para habilitar o Backup do Azure para AKS por meio do Terraform, sua versão deve ser >= 3.99.
Limitações adicionais para backup em cofre e restauração entre regiões
Somente o Disco do Azure com Volumes Persistentes de tamanho <= 1 TB está qualificado para ser movido para a Camada de Cofre; os discos com o tamanho mais alto são ignorados nos dados de backup movidos para a Camada de Cofre.
O recurso recuperação de desastre só está disponível entre regiões emparelhadas do Azure (se o backup estiver configurado em um cofre de Backup com Redundância Geográfica). Os dados de backup só estão disponíveis em uma região emparelhada do Azure. Por exemplo, se você tiver um cluster do AKS no Leste dos EUA com backup em um cofre de Backup com Redundância Geográfica, os dados de backup também ficarão disponíveis no Oeste dos EUA para restauração.
Apenas um ponto de recuperação agendado está disponível no nível de cofre por dia que fornece um RPO de 24 horas na região primária. Na região secundária, o ponto de recuperação pode levar até 12 horas, fornecendo um RPO de 36 horas.
Durante a restauração da camada do cofre, os recursos hidratados no local de preparo, que inclui uma conta de armazenamento e um grupo de recursos, não são limpos após a restauração. Eles terão que ser excluídos manualmente.
Caso o cluster de destino esteja em uma rede virtual, habilite um ponto de extremidade privado entre o cluster e a conta de armazenamento de preparo.
Se a versão do cluster AKS de destino for diferente da versão usada durante o backup, a operação de restauração poderá falhar ou ser concluída com avisos para vários cenários, como recursos preteridos na versão mais recente do cluster. No caso de restauração do nível do Vault, você pode usar os recursos hidratados no local de preparo para restaurar os recursos do aplicativo para o cluster de destino.
Atualmente, o backup baseado no nível do Vault não é compatível com a implantação do Terraform.