O que é o Azure Kubernetes Service?
O backup do Serviço Kubernetes do Azure (AKS) é um processo simples e nativo da nuvem que você pode usar para fazer backup e restaurar aplicativos e dados em contêineres executados em seu cluster AKS. Pode configurar backups agendados para o estado do cluster e dados de aplicações armazenados em volumes persistentes no Armazenamento em Disco do Azure baseado em driver CSI. A solução oferece controle granular para escolher um namespace específico ou um cluster inteiro para fazer backup ou restaurar armazenando backups localmente num contentor de blob e como instantâneos de disco. Pode utiliar o backup AKS para cenários de ponta a ponta, incluindo recuperação operacional, clonagem de ambientes de desenvolvedor/teste e cenários de atualização de cluster.
O backup do AKS integra-se ao Centro de backup no Azure, fornecendo uma exibição única que pode ajudá-lo a governar, monitorizar, operar e analisar backups em escala. Seus backups também estão disponíveis no portal do Azure em Configurações no menu de serviço para uma instância do AKS.
Como funciona o backup do AKS?
Use o backup do AKS para fazer backup de suas cargas de trabalho do AKS e volumes persistentes implantados em clusters AKS. A solução requer que a extensão de backup seja instalada dentro do cluster AKS. O cofre de backup se comunica com a extensão para concluir operações relacionadas ao backup e à restauração. O uso da extensão Backup é obrigatório e a extensão deve ser instalada dentro do cluster AKS para habilitar o backup e a restauração para o cluster. Ao configurar o backup do AKS, você adiciona valores para uma conta de armazenamento e um contêiner de blob onde os backups são armazenados.
Junto com a extensão de backup, uma identidade de usuário (chamada de identidade de extensão) é criada no grupo de recursos gerenciados do cluster AKS. A identidade da extensão é atribuída à função de Colaborador da Conta de Armazenamento na conta de armazenamento onde os backups são armazenados em um contêiner de blob.
Para suportar clusters públicos, privados e autorizados baseados em IP, o backup do AKS requer que o Acesso Confiável seja habilitado entre o cluster AKS e o cofre de backup. O Acesso Confiável permite que o cofre de Backup acesse o cluster AKS devido a permissões específicas atribuídas a ele para operações de backup. Para obter mais informações sobre o AKS Trusted Access, consulte Habilitar recursos do Azure para acessar clusters AKS usando o Acesso Confiável.
Nota
O backup do AKS permite armazenar backups na camada operacional e na camada do vault. A camada operacional é um armazenamento de dados local (os backups são armazenados em seu locatário como instantâneos). Agora você pode mover um ponto de recuperação por dia e armazená-lo na camada do Vault como blobs (fora do seu locatário) usando o backup AKS. Os backups armazenados no Vault também podem ser usados para restaurar dados em uma região secundária (região emparelhada do Azure).
Depois que a extensão de backup for instalada e o Acesso Confiável estiver habilitado, você poderá configurar backups agendados para os clusters de acordo com sua política de backup. Você também pode restaurar os backups para o cluster original ou para um cluster alternativo que esteja na mesma assinatura e região. Você pode escolher um namespace específico ou um cluster inteiro como uma configuração de backup e restauração à medida que configura a operação específica.
A solução de backup permite as operações de backup para suas fontes de dados AKS que são implantadas no cluster e para os dados armazenados no volume persistente para o cluster e, em seguida, armazenam os backups em um contêiner de blob. O backup dos volumes persistentes baseados em disco é feito como instantâneos de disco em um grupo de recursos de instantâneo. Os instantâneos e o estado do cluster em um blob se combinam para formar um ponto de recuperação armazenado em seu locatário chamado Camada Operacional. Você também pode converter backups (primeiro backup bem-sucedido em um dia, semana, mês ou ano) na camada operacional em blobs e, em seguida, movê-los para um cofre (fora do locatário) uma vez por dia.
Nota
Atualmente, o Backup do Azure dá suporte apenas a volumes persistentes no Armazenamento em Disco do Azure baseado em driver CSI. Durante os backups, a solução ignora outros tipos de volume persistentes, como o Compartilhamento de Arquivos do Azure e blobs. Além disso, se você tiver definido regras de retenção para a camada do Vault, os backups só serão qualificados para serem movidos para o vault se os volumes persistentes forem de tamanho menor ou igual a 1 TB.
Configurar a cópia de segurança
Para configurar backups para clusters AKS, primeiro crie um cofre de backup. O cofre oferece uma visão consolidada dos backups configurados em diferentes fontes de dados. O backup do AKS suporta backups de nível operacional e de nível de cofre.
Nota
- O cofre de backup e o cluster AKS do qual você deseja fazer backup ou restaurar devem estar na mesma região e assinatura.
- A configuração de redundância de armazenamento do cofre de backup (LRS/GRS) só se aplica a backups armazenados na camada do cofre. Se você quiser usar backups para recuperação de desastres, defina a redundância de armazenamento como GRS com a restauração entre regiões habilitada.
O backup do AKS aciona automaticamente uma tarefa de backup agendada. O trabalho copia os recursos do cluster para um contêiner de blob e cria um instantâneo incremental dos volumes persistentes baseados em disco de acordo com a frequência de backup. Os backups são mantidos na camada operacional e na camada do vault de acordo com a duração de retenção definida na política de backup e são excluídos assim que a duração terminar.
Nota
Você pode usar o backup AKS para criar várias instâncias de backup para um único cluster AKS usando diferentes configurações de backup por instância de backup. No entanto, cada instância de backup de um cluster AKS deve ser criada em um cofre de backup diferente ou usando uma política de backup separada no mesmo cofre de backup.
Gerir a cópia de segurança
Quando a configuração de backup para um cluster AKS é concluída, uma instância de backup é criada no cofre de backup. Você pode exibir a instância de backup para o cluster na seção Backup de uma instância AKS no portal do Azure. Você pode executar quaisquer operações relacionadas ao backup para a instância, como iniciar restaurações, monitorar, interromper a proteção e assim por diante, por meio de sua instância de backup correspondente.
O backup do AKS também se integra diretamente ao Centro de backup para ajudá-lo a gerenciar a proteção de todos os seus clusters AKS e outras cargas de trabalho suportadas por backup centralmente. O centro de backup é uma visualização única para todos os seus requisitos de backup, como tarefas de monitoramento e o estado de backups e restaurações. O centro de backup ajuda você a garantir conformidade e governança, analisar o uso de backup e executar operações críticas para fazer backup e restaurar dados.
O backup do AKS usa identidade gerenciada para acessar outros recursos do Azure. Para configurar o backup de um cluster AKS e restaurar a partir de um backup anterior, a identidade gerenciada do cofre de backup requer um conjunto de permissões no cluster AKS e no grupo de recursos de instantâneo onde os instantâneos são criados e gerenciados. Atualmente, o cluster AKS requer um conjunto de permissões no grupo de recursos de instantâneo. Além disso, a extensão Backup cria uma identidade de usuário e atribui um conjunto de permissões para acessar a conta de armazenamento onde os backups são armazenados em um blob. Você pode conceder permissões para a identidade gerenciada usando o controle de acesso baseado em função do Azure (Azure RBAC). Uma identidade gerenciada é um tipo especial de princípio de serviço que pode ser usado somente com recursos do Azure. Saiba mais sobre identidades gerenciadas.
Restaurar a partir de uma cópia de segurança
É possível restaurar dados a partir de qualquer ponto no tempo para o qual exista um ponto de recuperação. Um ponto de recuperação é criado quando uma instância de backup está num estado protegido e pode ser utilizado para restaurar dados até que estes sejam retidos pela política de backup.
O Backup do Azure oferece a opção de restaurar todos os itens cujo backup é feito ou usar controles granulares para selecionar itens específicos dos backups, escolhendo namespaces e outras opções de filtro. Além disso, você pode fazer a restauração no cluster AKS original (o cluster do qual foi feito backup) ou em um cluster AKS alternativo. Você pode restaurar backups armazenados na camada Operacional e do Vault em um cluster na mesma assinatura e diferente. Somente os backups armazenados na Camada do Vault podem ser usados para fazer uma restauração em um cluster em uma região diferente (Região Emparelhada do Azure).
Para restaurar o backup armazenado na camada do Vault, você deve fornecer um local de preparo onde os dados de backup estejam hidratados. Esse local de preparo inclui um grupo de recursos e uma conta de armazenamento dentro da mesma região e uma assinatura como o cluster de destino para restauração. Durante a restauração, recursos específicos (contêiner de blob, disco e instantâneos de disco) são criados como parte da hidratação, que é então limpa após a conclusão da operação de restauração.
Atualmente, o Backup do Azure para AKS dá suporte às duas opções a seguir ao fazer uma operação de restauração quando ocorre um conflito de recursos (o recurso de backup tem o mesmo nome que o recurso no cluster AKS de destino). Você pode escolher uma dessas opções ao definir a configuração de restauração.
Ignorar: esta opção é selecionada por padrão. Por exemplo, se você tiver feito backup de um PVC chamado pvc-azuredisk e estiver restaurando-o em um cluster de destino que tenha o PVC com o mesmo nome, a extensão de backup ignorará a restauração da declaração de volume persistente (PVC) de backup. Nesses cenários, recomendamos que você exclua o recurso do cluster e, em seguida, faça a operação de restauração para que os itens de backup estejam disponíveis apenas no cluster e não sejam ignorados.
Patch: Esta opção permite a aplicação de patches de variáveis mutáveis no recurso de backup no recurso no cluster de destino. Se quiser atualizar o número de réplicas no cluster de destino, você pode optar pela aplicação de patches como uma operação.
Nota
Atualmente, o backup do AKS não exclui e recria recursos no cluster de destino se eles já existirem. Se você tentar restaurar Volumes Persistentes no local original, exclua os Volumes Persistentes existentes e execute a operação de restauração.
Usar ganchos personalizados para backup e restauração
Você pode usar ganchos personalizados para tirar instantâneos consistentes com o aplicativo de volumes que são usados para bancos de dados implantados como cargas de trabalho em contêineres.
O que são ganchos personalizados?
Você pode usar o backup do AKS para executar ganchos personalizados como parte de uma operação de backup e restauração. Ganchos são comandos configurados para executar um ou mais comandos a serem executados em um pod sob um contêiner durante uma operação de backup ou após a restauração. Você define esses ganchos como um recurso personalizado e os implanta no cluster AKS do qual deseja fazer backup ou restaurar. Quando o recurso personalizado é implantado no cluster AKS no namespace necessário, você fornece os detalhes como entrada para o fluxo configurar o backup e a restauração. A extensão de backup executa os ganchos conforme definido em um arquivo YAML.
Nota
Ganchos não são executados em um shell nos contêineres.
O backup no AKS tem dois tipos de ganchos:
- Ganchos de backup
- Restaurar ganchos
Ganchos de backup
Em um gancho de backup, você pode configurar os comandos para executar o gancho antes de qualquer processamento de ação personalizada (pré-ganchos) ou depois que todas as ações personalizadas forem concluídas e todos os itens adicionais especificados por ações personalizadas forem copiados (pós-ganchos).
Por exemplo, aqui está o modelo YAML para um recurso personalizado a ser implantado usando ganchos de backup:
apiVersion: clusterbackup.dataprotection.microsoft.com/v1alpha1
kind: BackupHook
metadata:
# BackupHook CR Name and Namespace
name: bkphookname0
namespace: default
spec:
# BackupHook is a list of hooks to execute before and after backing up a resource.
backupHook:
# BackupHook Name. This is the name of the hook that will be executed during backup.
# compulsory
- name: hook1
# Namespaces where this hook will be executed.
includedNamespaces:
- hrweb
excludedNamespaces:
labelSelector:
# PreHooks is a list of BackupResourceHooks to execute prior to backing up an item.
preHooks:
- exec:
# Container is the container in the pod where the command should be executed.
container: webcontainer
# Command is the command and arguments to execute.
command:
- /bin/uname
- -a
# OnError specifies how Velero should behave if it encounters an error executing this hook
onError: Continue
# Timeout is the amount of time to wait for the hook to complete before considering it failed.
timeout: 10s
- exec:
command:
- /bin/bash
- -c
- echo hello > hello.txt && echo goodbye > goodbye.txt
container: webcontainer
onError: Continue
# PostHooks is a list of BackupResourceHooks to execute after backing up an item.
postHooks:
- exec:
container: webcontainer
command:
- /bin/uname
- -a
onError: Continue
timeout: 10s
Restaurar ganchos
No script de gancho de restauração, comandos personalizados ou scripts são escritos para serem executados nos contêineres de um pod AKS restaurado.
Aqui está o modelo YAML para um recurso personalizado a ser implantado usando ganchos de restauração:
apiVersion: clusterbackup.dataprotection.microsoft.com/v1alpha1
kind: RestoreHook
metadata:
name: restorehookname0
namespace: default
spec:
# RestoreHook is a list of hooks to execute after restoring a resource.
restoreHook:
# Name is the name of this hook.
- name: myhook-1
# Restored Namespaces where this hook will be executed.
includedNamespaces:
excludedNamespaces:
labelSelector:
# PostHooks is a list of RestoreResourceHooks to execute during and after restoring a resource.
postHooks:
- exec:
# Container is the container in the pod where the command should be executed.
container: webcontainer
# Command is the command and arguments to execute from within a container after a pod has been restored.
command:
- /bin/bash
- -c
- echo hello > hello.txt && echo goodbye > goodbye.txt
# OnError specifies how Velero should behave if it encounters an error executing this hook
# default value is Continue
onError: Continue
# Timeout is the amount of time to wait for the hook to complete before considering it failed.
execTimeout: 30s
# WaitTimeout defines the maximum amount of time Velero should wait for the container to be ready before attempting to run the command.
waitTimeout: 5m
Saiba como usar ganchos durante o backup do AKS.
Nota
- Durante a restauração, a extensão de backup aguarda o contêiner aparecer e, em seguida, executa comandos exec neles, definidos nos ganchos de restauração.
- Caso você esteja executando a restauração para o mesmo namespace do qual foi feito backup, os ganchos de restauração não serão executados, pois ele só procura um novo contêiner que seja gerado. Isto independentemente de se optar pela política de saltar ou corrigir.
Modificar recursos ao restaurar backups para o cluster AKS
Você pode usar o recurso Modificação de recursos para modificar os recursos do Kubernetes de backup durante a restauração especificando patches JSON conforme configmap
implantados no cluster AKS.
Criar e aplicar um modificador de recursos configmap durante a restauração
Para criar e aplicar a modificação de recursos, siga estas etapas:
Crie modificadores de recursos configmap.
Você precisa criar um configmap em seu namespace preferido a partir de um arquivo YAML que definiu modificadores de recursos.
Exemplo para criar comando:
version: v1 resourceModifierRules: - conditions: groupResource: persistentvolumeclaims resourceNameRegex: "^mysql.*$" namespaces: - bar - foo labelSelector: matchLabels: foo: bar patches: - operation: replace path: "/spec/storageClassName" value: "premium" - operation: remove path: "/metadata/labels/test"
- O configmap acima aplica o patch JSON a todas as Cópias de Volume Persistentes na barra de namespaces e foo com nome que começa com
mysql
ematch label foo: bar
. O patch JSON substitui ostorageClassName
compremium
e remove o rótulotest
das Cópias de Volume Persistente. - Aqui, o Namespace é o namespace original do recurso de backup, e não o novo namespace onde o recurso será restaurado.
- Você pode especificar vários patches JSON para um recurso específico. Os patches são aplicados de acordo com a ordem especificada no configmap. Um patch subsequente é aplicado em ordem. Se vários patches forem especificados para o mesmo caminho, o último patch substituirá os patches anteriores.
- Você pode especificar vários
resourceModifierRules
no configmap. As regras são aplicadas de acordo com a ordem especificada no configmap.
- O configmap acima aplica o patch JSON a todas as Cópias de Volume Persistentes na barra de namespaces e foo com nome que começa com
Criando uma referência de modificador de recursos na configuração de restauração
Ao executar uma operação de restauração, forneça o nome do ConfigMap e o Namespace onde ele é implantado como parte da configuração de restauração. Esses detalhes precisam ser fornecidos em Regras do modificador de recursos.
Operações suportadas pelo Resource Modifier
Adicionar
Você pode usar a operação Add para adicionar um novo bloco ao recurso json. No exemplo abaixo, a operação adiciona um novo detalhe de contêiner à especificação com uma implantação.
version: v1 resourceModifierRules: - conditions: groupResource: deployments.apps resourceNameRegex: "^test-.*$" namespaces: - bar - foo patches: # Dealing with complex values by escaping the yaml - operation: add path: "/spec/template/spec/containers/0" value: "{\"name\": \"nginx\", \"image\": \"nginx:1.14.2\", \"ports\": [{\"containerPort\": 80}]}"
Remover
Você pode usar a operação Remove para remover uma chave do recurso json. No exemplo abaixo, a operação remove o rótulo com teste como chave.
version: v1 resourceModifierRules: - conditions: groupResource: persistentvolumeclaims resourceNameRegex: "^mysql.*$" namespaces: - bar - foo labelSelector: matchLabels: foo: bar patches: - operation: remove path: "/metadata/labels/test"
Replace
Você pode usar a operação Substituir para substituir um valor para o caminho mencionado para um alternativo. No exemplo abaixo, a operação substitui o storageClassName na declaração de volume persistente por premium.
version: v1 resourceModifierRules: - conditions: groupResource: persistentvolumeclaims resourceNameRegex: "^mysql.*$" namespaces: - bar - foo labelSelector: matchLabels: foo: bar patches: - operation: replace path: "/spec/storageClassName" value: "premium"
Copiar
Você pode usar a operação Copy para copiar um valor de um caminho dos recursos definidos para outro caminho.
version: v1 resourceModifierRules: - conditions: groupResource: deployments.apps resourceNameRegex: "^test-.*$" namespaces: - bar - foo patches: - operation: copy from: "/spec/template/spec/containers/0" path: "/spec/template/spec/containers/1"
Teste
Você pode usar a operação Test para verificar se um determinado valor está presente no recurso. Se o valor estiver presente, o patch é aplicado. Se o valor não estiver presente, o patch não será aplicado. No exemplo abaixo, a operação verifica se as declarações de volume persistente têm premium como StorageClassName e substitui se por standard, se true.
version: v1 resourceModifierRules: - conditions: groupResource: persistentvolumeclaims resourceNameRegex: ".*" namespaces: - bar - foo patches: - operation: test path: "/spec/storageClassName" value: "premium" - operation: replace path: "/spec/storageClassName" value: "standard"
JSON Patch
Este configmap aplica o patch JSON a todas as implantações nos namespaces por padrão e ''nginx
with the name that starts with
nginxdep'. O patch JSON atualiza a contagem de réplicas para 12 para todas essas implantações.version: v1 resourceModifierRules: - conditions: groupResource: deployments.apps resourceNameRegex: "^nginxdep.*$" namespaces: - default - nginx patches: - operation: replace path: "/spec/replicas" value: "12"
Patch de mesclagem JSON
Este mapa de configuração aplicará o JSON Merge Patch a todas as implantações nos namespaces default e nginx com o nome começando com nginxdep. O JSON Merge Patch irá adicionar/atualizar o rótulo "app" com o valor "nginx1".
version: v1 resourceModifierRules: - conditions: groupResource: deployments.apps resourceNameRegex: "^nginxdep.*$" namespaces: - default - nginx mergePatches: - patchData: | { "metadata" : { "labels" : { "app" : "nginx1" } } }
Patch de fusão estratégica
Este mapa de configuração aplicará o patch de mesclagem estratégica a todos os pods no namespace padrão com o nome começando com nginx. O patch de mesclagem estratégica atualizará a imagem do contêiner nginx para mcr.microsoft.com/cbl-mariner/base/nginx:1.22
version: v1 resourceModifierRules: - conditions: groupResource: pods resourceNameRegex: "^nginx.*$" namespaces: - default strategicPatches: - patchData: | { "spec": { "containers": [ { "name": "nginx", "image": "mcr.microsoft.com/cbl-mariner/base/nginx:1.22" } ] } }
Qual nível de armazenamento de backup o AKS suporta?
O Backup do Azure para AKS dá suporte a duas camadas de armazenamento como armazenamentos de dados de backup:
Nível operacional: A extensão de backup instalada no cluster AKS primeiro faz o backup tirando instantâneos de volume por meio do driver CSI e armazena o estado do cluster em um contêiner de blob em seu próprio locatário. Esta camada suporta RPO mais baixo com a duração mínima entre dois backups de quatro horas. Além disso, para volumes baseados em Disco do Azure, a Camada Operacional oferece suporte a restaurações mais rápidas.
Nível do Vault: Para armazenar dados de backup por mais tempo a um custo menor do que os snapshots, o backup do AKS suporta armazenamento de dados padrão do Vault. De acordo com as regras de retenção definidas na política de backup, o primeiro backup bem-sucedido (de um dia, semana, mês ou ano) é movido para um contêiner de blob fora do seu locatário. Este armazenamento de dados não só permite uma retenção mais longa, mas também fornece proteção contra ransomware. Você também pode mover backups armazenados no cofre para outra região (Região Emparelhada do Azure) para recuperação habilitando a redundância geográfica e a restauração entre regiões no cofre de backup.
Nota
Você pode armazenar os dados de backup em um armazenamento de dados padrão do cofre por meio da Política de Backup definindo regras de retenção. Apenas um ponto de recuperação agendado por dia é movido para o nível do Cofre. No entanto, você pode mover qualquer número de backups sob demanda para o Vault de acordo com a regra selecionada.
Compreender os preços
Incorre em encargos por:
Taxa de instância protegida: o Backup do Azure para AKS cobra uma taxa de instância protegida por namespace por mês. Quando você configura o backup para um cluster AKS, uma instância protegida é criada. Cada instância tem um número específico de namespaces cujo backup é feito conforme definido na configuração de backup. Para obter mais informações sobre os preços de backup do AKS, consulte Preços do Backup na Nuvem e selecione o Serviço Kubernetes do Azure como carga de trabalho
Taxa de instantâneo: o Backup do Azure para AKS protege um volume persistente baseado em disco tirando instantâneos armazenados no grupo de recursos em sua assinatura do Azure. Esses snapshots incorrem em encargos de armazenamento de snapshot. Como os snapshots não são copiados para o cofre de backup, o custo de armazenamento de backup não se aplica. Para obter mais informações sobre os preços de snapshot, consulte Preços de disco gerenciado.
Taxa de armazenamento de backup: o Backup do Azure para AKS também oferece suporte ao armazenamento de backups na camada do Vault. Isso pode ser alcançado definindo regras de retenção para o padrão do cofre na política de backup, com um ponto de restauração por dia qualificado para ser movido para o cofre. Os pontos de restauração armazenados no nível do Vault são cobrados uma taxa separada chamada taxa de armazenamento de backup de acordo com o total de dados armazenados (em GBs) e o tipo de redundância habilitado no cofre de backup.