Matriz de suporte de backup do Serviço Kubernetes do Azure
Você pode usar o Backup do Azure para ajudar a proteger o Serviço Kubernetes do Azure (AKS). Este artigo resume a disponibilidade da região, os cenários suportados e as limitações.
Regiões suportadas
O suporte da camada operacional para backup AKS é suportado em todas as seguintes regiões de nuvem pública do Azure: Leste dos EUA, Norte da Europa, Europa Ocidental, Sudeste Asiático, Oeste dos EUA 2, Leste dos EUA 2, Oeste dos EUA, Centro-Norte dos EUA, Centro Central dos EUA, França Central, Coreia Central, Leste da Austrália, Sul do Reino Unido, Centro-Oeste dos EUA, Leste do Japão, Centro-Sul dos EUA, Oeste dos EUA 3, Canadá Central, Leste do Canadá, Austrália Sudeste, Índia Central, Leste da Noruega, Alemanha Centro-Oeste, Suíça Norte, Suécia Central, Oeste do Japão, Oeste do Reino Unido, Coreia do Sul, África do Sul Norte, Sul da Índia, Sul da França, Sul do Brasil, Norte dos Emirados Árabes Unidos, Leste da China 2, Leste da China 3, China Norte 2, China Norte 3, USGov Virgínia, USGov Arizona e USGov Texas.
O suporte ao Vault Tier e Cross Region Restore para backup AKS está disponível nas seguintes regiões: Leste dos EUA, Oeste dos EUA, Oeste dos EUA 3, Europa do Norte, Europa Ocidental, Centro-Norte dos EUA, Centro-Sul dos EUA, Centro-Oeste dos EUA, Leste dos EUA 2, Centro dos EUA, Sul do Reino Unido, Oeste do Reino Unido, Leste Asiático, Sudeste Asiático, Japão Leste da Índia, Índia Central, Canadá Central e Leste da Noruega.
Nota
Habilite o recurso de restauração entre regiões para que seu Cofre de Backup tenha seus backups disponíveis em uma região emparelhada do Azure. Consulte a lista de Região Emparelhada do Azure.
Limitações
O backup do AKS suporta clusters AKS com o Kubernetes versão 1.22 ou posterior. Esta versão tem controladores da Interface de Armazenamento de Contentores (CSI) instalados.
Antes de instalar a extensão de backup num cluster AKS, verifique se os drivers CSI e o snapshot estão habilitados para o cluster. Se estiverem desativadas, ative estas definições.
Forneça um contêiner de blob novo e vazio como entrada ao instalar a extensão de backup em um cluster AKS pela primeira vez. Não use o mesmo contêiner de blob para mais de um cluster AKS.
Os backups do AKS não suportam volumes na árvore. Pode fazer backup apenas de volumes baseados em driver CSI. Você pode migrar de volumes de árvore para volumes persistentes baseados em driver CSI.
Atualmente, um backup AKS suporta apenas o backup de volumes persistentes baseados em disco do Azure (habilitado pelo driver CSI). Os SKUs de disco do Azure suportados são HDD padrão, SSD padrão e SSD premium. Os discos pertencentes ao SSD Premium v2 e Ultra Disk SKU não são suportados. Há suporte para volumes estáticos e provisionados dinamicamente. Para backup de discos estáticos, a especificação de volumes persistentes deve ter a classe de armazenamento definida no arquivo YAML , caso contrário, esses volumes persistentes serão ignorados da operação de backup.
Os compartilhamentos de Arquivos do Azure e os volumes persistentes do Armazenamento de Blobs do Azure não são suportados pelo backup do AKS devido à falta de capacidade de instantâneo baseada no Driver CSI. Se estiver a usar esses volumes persistentes nos seus clusters AKS, poderá configurar backups para eles através das soluções de Backup do Azure. Para obter mais informações, consulte Backup de compartilhamento de arquivos do Azure e Backup do Armazenamento de Blob do Azure.
Qualquer tipo de volume persistente não suportado é ignorado enquanto um backup está a ser criado para o cluster AKS.
Atualmente, os clusters AKS que usam uma entidade de serviço não são suportados. Se o cluster AKS usar uma entidade de serviço para autorização, você poderá atualizá-lo para usar uma identidade gerenciada atribuída pelo sistema ou uma identidade gerenciada atribuída pelo usuário.
Você só pode instalar a Extensão de Backup em nós de agente com o Ubuntu e o Azure Linux como Sistema Operacional. Os Clusters AKS com nós de agente baseados no Windows não permitem a instalação da Extensão de Backup.
Não é possível instalar a Extensão de Backup no AKS Cluster com nós de agente baseados em Arm64, independentemente do Sistema Operacional (Ubuntu/Azure Linux/Windows) em execução nesses nós.
Não instale o AKS Backup Extension junto com o Velero ou outros serviços de backup baseados em Velero. Isso pode levar à interrupção do serviço de backup durante quaisquer atualizações futuras do Velero impulsionadas por você ou pelo backup do AKS
Deve instalar a extensão de backup no cluster AKS. Se estiver a utilizar a CLI do Azure para instalar a extensão de backup, verifique se a versão é 2.41 ou posterior. Use
az upgrade
o comando para atualizar a CLI do Azure.O contentor de blob fornecido como entrada durante a instalação da extensão de backup deve estar na mesma região e subscrição que a do cluster AKS. Somente contêineres de blob em uma Conta de Armazenamento V2 de uso geral são suportados e Conta de Armazenamento Premium não é suportada.
O vault de backup e o cluster AKS devem estar na mesma região e assinatura.
O Backup do Azure para AKS fornece backup de Camada Operacional (Instantâneo) e de Camada de Vault. Vários backups por dia podem ser armazenados na camada operacional, com apenas um backup por dia a ser armazenado no cofre de acordo com a política de retenção definida.
Atualmente, não há suporte para a modificação de uma política de backup e a modificação de um grupo de recursos de snapshot (atribuído a uma instância de backup durante a configuração do backup de cluster AKS).
Os clusters AKS e os pods de extensão de backup devem estar num estado de execução antes de executar qualquer operação de backup e restauração. Esse estado inclui a exclusão de pontos de recuperação expirados.
Para operações de backup e restauração bem-sucedidas, a identidade gerida do cofre de backup requer atribuições de função. Se não tiver as permissões necessárias, poderão ocorrer problemas de permissão durante a configuração de cópias de segurança ou operações de restauro logo após a atribuição de funções, uma vez que as atribuições de funções demoram alguns minutos a entrar em vigor. Saiba mais sobre definições de função.
O cofre de backup não oferece suporte ao Azure Lighthouse. Assim, o gerenciamento entre locatários não pode ser habilitado pelo Lighthouse for Azure Backup for AKS e você não pode fazer backup/restaurar clusters AKS entre locatários.
Os namespaces a seguir são ignorados da Configuração de Backup e não cofigurados para backups:
kube-system
,kube-node-lease
,kube-public
.Aqui estão os limites de backup do AKS:
Definição Limite Número de políticas de backup por Backup vault 5.000 Número de instâncias de backup por Backup vault 5.000 Número de backups sob demanda permitidos num dia por instância de backup 10 Número de namespaces por instância de backup 800 Número de restaurações permitidas por instância de backup num dia 10 A configuração de uma conta de armazenamento com ponto de extremidade privado é suportada.
Para habilitar o Backup do Azure para AKS via Terraform, sua versão deve ser >= 3.99.
Limitações adicionais para backup em cofre e restauração entre regiões
Apenas o Disco do Azure com Volumes Persistentes de tamanho <= 1 TB é elegível para ser movido para a Camada do Vault, os discos com o tamanho mais alto são ignorados nos dados de backup movidos para a Camada do Vault.
O recurso de Recuperação de Desastres só está disponível entre Regiões Emparelhadas do Azure (se o backup estiver configurado em um cofre de Backup com Redundância Geográfica). Os dados de backup só estão disponíveis numa região emparelhada do Azure. Por exemplo, se tiver um cluster AKS no Leste dos EUA, cujo backup é feito num cofre de Backup Geo Redundante, os dados de backup também estão disponíveis no Oeste dos EUA para restauração.
Apenas um ponto de recuperação agendado está disponível na camada do Vault por dia que fornece um RPO de 24 horas na região principal. Para a região secundária, o ponto de recuperação pode levar até 12 horas, proporcionando assim um RPO de 36 horas.
Durante a restauração a partir do nível do Vault, os recursos hidratados no local de preparação, que inclui uma conta de armazenamento e um grupo de recursos, não são limpos após a restauração. Terão de ser eliminados manualmente.
Caso o cluster de destino esteja dentro de uma rede virtual, habilite um ponto de extremidade privado entre o cluster e a conta de armazenamento de preparo.
Se a versão do cluster AKS de destino for diferente da versão usada durante o backup, a operação de restauração poderá falhar ou ser concluída com avisos para vários cenários, como recursos preteridos na versão mais recente do cluster. No caso de restauração a partir da camada do Vault, você pode usar os recursos hidratados no local de preparo para restaurar os recursos do aplicativo para o cluster de destino.
Atualmente, o backup baseado na camada do Vault não é suportado com a implantação do Terraform.