Förutsättningar för säkerhetskopiering av Azure Kubernetes Service med Azure Backup
Den här artikeln beskriver förutsättningarna för säkerhetskopiering av Azure Kubernetes Service (AKS).
Med Azure Backup kan du nu säkerhetskopiera AKS-kluster (klusterresurser och beständiga volymer som är anslutna till klustret) med hjälp av ett säkerhetskopieringstillägg som måste installeras i klustret. Säkerhetskopieringsvalvet kommunicerar med klustret via det här säkerhetskopieringstillägget för att utföra säkerhetskopierings- och återställningsåtgärder. Baserat på den minst privilegierade säkerhetsmodellen måste ett säkerhetskopieringsvalv ha betrodd åtkomst aktiverat för att kommunicera med AKS-klustret.
Säkerhetskopieringstillägg
Tillägget möjliggör säkerhetskopierings- och återställningsfunktioner för de containerbaserade arbetsbelastningar och beständiga volymer som används av arbetsbelastningarna som körs i AKS-kluster.
Säkerhetskopieringstillägget installeras som standard i sitt eget namnområdesdataprotection-microsoft. Det installeras med ett klusteromfattande omfång som gör att tillägget kan komma åt alla klusterresurser. Under tilläggsinstallationen skapas även en användartilldelad hanterad identitet (tilläggsidentitet) i resursgruppen Nodpool.
Säkerhetskopieringstillägget använder en blobcontainer (som anges i indata under installationen) som standardplats för lagring av säkerhetskopior. För att få åtkomst till den här blobcontainern kräver tilläggsidentiteten rollen Storage Blob Data Contributor för lagringskontot som har containern.
Du måste installera säkerhetskopieringstillägget på både källklustret som ska säkerhetskopieras och målklustret där säkerhetskopieringen ska återställas.
Säkerhetskopieringstillägget kan installeras i klustret från AKS-portalbladet på fliken Säkerhetskopiering under Inställningar. Du kan också använda Azure CLI-kommandon för att hantera installationen och andra åtgärder i säkerhetskopieringstillägget.
Innan du installerar ett tillägg i ett AKS-kluster måste du registrera
Microsoft.KubernetesConfigurationresursprovidern på prenumerationsnivå. Lär dig hur du registrerar resursprovidern.Tilläggsagenten och tilläggsoperatorn är kärnplattformskomponenterna i AKS, som installeras när ett tillägg av någon typ installeras för första gången i ett AKS-kluster. Dessa ger funktioner för att distribuera tillägg från första part och tredje part. Säkerhetskopieringstillägget förlitar sig också på dem för installation och uppgraderingar.
Kommentar
Båda dessa kärnkomponenter distribueras med aggressiva hårda gränser för processor och minne, med processorer som är mindre än 0,5 % av en kärn- och minnesgräns på mellan 50 och 200 MB. Cogs-effekten av dessa komponenter är därför mycket låg. Eftersom de är grundläggande plattformskomponenter finns det ingen lösning tillgänglig för att ta bort dem när de har installerats i klustret.
Om lagringskontot, som ska anges som indata för tilläggsinstallation, finns under Virtuellt nätverk/brandvägg måste BackupVault läggas till som betrodd åtkomst i Nätverksinställningar för lagringskonto. Lär dig hur du beviljar åtkomst till betrodd Azure-tjänst, vilket hjälper dig att lagra säkerhetskopior i Vault-datalagret
Blobcontainern som anges i indata under tilläggsinstallationen bör inte innehålla några filer som inte är relaterade till säkerhetskopiering.
Lär dig hur du hanterar åtgärden för att installera säkerhetskopieringstillägget med Hjälp av Azure CLI.
Betrodd åtkomst
Många Azure-tjänster är beroende av klusterAdmin kubeconfig och den offentligt tillgängliga kube-apiserverslutpunkten för åtkomst till AKS-kluster. Med funktionen betrodd åtkomst i AKS kan du kringgå begränsningen av den privata slutpunkten. Utan att använda Microsoft Entra-programmet kan du med den här funktionen ge uttryckligt medgivande till din systemtilldelade identitet för tillåtna resurser för att få åtkomst till dina AKS-kluster med hjälp av en Rollbinding för Azure-resurser. Med funktionen kan du komma åt AKS-kluster med olika konfigurationer, som inte är begränsade till privata kluster, kluster med lokala konton inaktiverade, Microsoft Entra ID-kluster och auktoriserade IP-intervallkluster.
Dina Azure-resurser får åtkomst till AKS-kluster via den regionala AKS-gatewayen med hjälp av systemtilldelad hanterad identitetsautentisering. Den hanterade identiteten måste ha rätt Kubernetes-behörigheter tilldelade via en Azure-resursroll.
För AKS-säkerhetskopiering får backup-valvet åtkomst till dina AKS-kluster via betrodd åtkomst för att konfigurera säkerhetskopior och återställningar. Säkerhetskopieringsvalvet tilldelas en fördefinierad roll Microsoft.DataProtection/backupVaults/backup-operator i AKS-klustret, så att den endast kan utföra specifika säkerhetskopieringsåtgärder.
Så här aktiverar du betrodd åtkomst mellan ett säkerhetskopieringsvalv och ett AKS-kluster. Lär dig hur du aktiverar betrodd åtkomst
Kommentar
- Du kan installera säkerhetskopieringstillägget i AKS-klustret direkt från Azure Portal under avsnittet Säkerhetskopiering i AKS-portalen.
- Du kan också aktivera betrodd åtkomst mellan Säkerhetskopieringsvalv och AKS-kluster under säkerhetskopierings- eller återställningsåtgärderna i Azure Portal.
AKS-kluster
Information om hur du aktiverar säkerhetskopiering för ett AKS-kluster finns i följande förutsättningar: .
AKS-säkerhetskopiering använder funktioner för ögonblicksbild av CSI-drivrutiner (Container Storage Interface) för att utföra säkerhetskopieringar av beständiga volymer. Stöd för CSI-drivrutin är tillgängligt för AKS-kluster med Kubernetes version 1.21.1 eller senare.
Kommentar
- För närvarande stöder AKS-säkerhetskopiering endast säkerhetskopiering av Azure Disk-baserade beständiga volymer (aktiverad av CSI-drivrutin). Om du använder beständiga volymer av Azure-filresurs och Azure Blob-typ i dina AKS-kluster kan du konfigurera säkerhetskopior för dem via Azure Backup-lösningarna som är tillgängliga för Azure File Share och Azure Blob.
- I Träd stöds volymer inte av AKS-säkerhetskopiering. Endast CSI-drivrutinsbaserade volymer kan säkerhetskopieras. Du kan migrera från trädvolymer till CSI-drivrutinsbaserade beständiga volymer.
Innan du installerar säkerhetskopieringstillägget i AKS-klustret kontrollerar du att CSI-drivrutinerna och ögonblicksbilderna är aktiverade för klustret. Om du är inaktiverad kan du läsa de här stegen för att aktivera dem.
Azure Backup för AKS stöder AKS-kluster med antingen en systemtilldelad hanterad identitet eller en användartilldelad hanterad identitet för säkerhetskopieringsåtgärder. Även om kluster som använder tjänstens huvudnamn inte stöds kan du uppdatera ett befintligt AKS-kluster för att använda en systemtilldelad hanterad identitet eller en användartilldelad hanterad identitet.
Säkerhetskopieringstillägget under installationen hämtar containeravbildningar som lagras i Microsoft Container Registry (MCR). Om du aktiverar en brandvägg i AKS-klustret kan tilläggsinstallationsprocessen misslyckas på grund av åtkomstproblem i registret. Lär dig hur du tillåter MCR-åtkomst från brandväggen.
Om du har klustret i ett privat virtuellt nätverk och en brandvägg tillämpar du följande FQDN/programregler:
*.microsoft.com,mcr.microsoft.com,data.mcr.microsoft.comcrl.microsoft.com, ,mscrl.microsoft.com,oneocsp.microsoft.commanagement.azure.comocsp.digicert.comgcs.prod.monitoring.core.windows.net*.azure.com*.azmk8s.io*.blob.core.windows.net*.prod.warm.ingest.monitor.core.windows.net, ,crl3.digicert.comcrl4.digicert.comcacerts.digicert.comocsp.digicert.cn,cacerts.digicert.cn,cacerts.geotrust.com,cdp.geotrust.com, ,status.geotrust.com,ocsp.msocsp.com,*.azurecr.io,docker.io, .*.dp.kubernetesconfiguration.azure.comLär dig hur du tillämpar FQDN-regler.Om du har någon tidigare installation av Velero i AKS-klustret måste du ta bort det innan du installerar säkerhetskopieringstillägget.
Om du använder Azure-principer i ditt AKS-kluster kontrollerar du att tilläggets namnområdesdataprotection-microsoft undantas från dessa principer så att säkerhetskopierings- och återställningsåtgärder kan köras.
Om du använder Azure-nätverkssäkerhetsgruppen för att filtrera nätverkstrafik mellan Azure-resurser i ett virtuellt Azure-nätverk anger du en regel för inkommande trafik för att tillåta tjänsttaggar azurebackup och azurecloud.
Roller och behörigheter som krävs
För att kunna utföra åtgärder för säkerhetskopiering och återställning av AKS som användare måste du ha specifika roller i resursgruppen AKS-kluster, Säkerhetskopieringsvalv, Lagringskonto och Ögonblicksbild.
| Omfattning | Önskad roll | beskrivning |
|---|---|---|
| AKS-kluster | Ägare | Gör att du kan installera säkerhetskopieringstillägget, aktivera betrodd åtkomst och bevilja behörigheter till Säkerhetskopieringsvalvet över klustret. |
| Resursgrupp för säkerhetskopieringsvalv | Säkerhetskopieringsdeltagare | Gör att du kan skapa säkerhetskopieringsvalv i en resursgrupp, skapa en säkerhetskopieringsprincip, konfigurera säkerhetskopiering och återställa och tilldela saknade roller som krävs för säkerhetskopieringsåtgärder. |
| Lagringskonto | Ägare | Gör att du kan utföra läs- och skrivåtgärder på lagringskontot och tilldela nödvändiga roller till andra Azure-resurser som en del av säkerhetskopieringsåtgärderna. |
| Resursgrupp för ögonblicksbilder | Ägare | Gör att du kan utföra läs- och skrivåtgärder i resursgruppen Ögonblicksbild och tilldela nödvändiga roller till andra Azure-resurser som en del av säkerhetskopieringsåtgärderna. |
Kommentar
Med ägarrollen för en Azure-resurs kan du utföra Azure RBAC-åtgärder för den resursen. Om den inte är tillgänglig måste resursägaren ange de roller som krävs för säkerhetskopieringsvalvet och AKS-klustret innan säkerhetskopierings- eller återställningsåtgärderna initieras.
Som en del av säkerhetskopierings- och återställningsåtgärderna tilldelas följande roller till AKS-klustret, identiteten för säkerhetskopieringstillägget och säkerhetskopieringsvalvet.
| Roll | Tilldelat till | Tilldelad den | Beskrivning |
|---|---|---|---|
| Läsare | Backup-valv | AKS-kluster | Tillåter säkerhetskopieringsvalvet att utföra list- och läsåtgärder i AKS-klustret. |
| Läsare | Backup-valv | Resursgrupp för ögonblicksbilder | Tillåter säkerhetskopieringsvalvet att utföra list- och läsåtgärder på resursgruppen för ögonblicksbilder. |
| Deltagare | AKS-kluster | Resursgrupp för ögonblicksbilder | Gör att AKS-klustret kan lagra beständiga ögonblicksbilder av volymer i resursgruppen. |
| Storage blobb data-deltagare | Tilläggsidentitet | Lagringskonto | Tillåter att säkerhetskopieringstillägget lagrar säkerhetskopieringar av klusterresurser i blobcontainern. |
| Dataoperator för hanterade diskar | Backup-valv | Resursgrupp för ögonblicksbilder | Tillåter att Backup Vault-tjänsten flyttar inkrementella ögonblicksbildsdata till valvet. |
| Deltagare i ögonblicksbild av disk | Backup-valv | Resursgrupp för ögonblicksbilder | Gör att Backup Vault kan komma åt ögonblicksbilder av diskar och utföra valvåtgärder. |
| Läsare av lagringsblobdata | Backup-valv | Lagringskonto | Tillåt att Backup Vault får åtkomst till blobcontainern med säkerhetskopierade data lagrade för att flytta till Valvet. |
| Deltagare | Backup-valv | Mellanlagringsresursgrupp | Gör att Backup Vault kan hydrera säkerhetskopior som diskar som lagras på valvnivå. |
| Lagringskontodeltagare | Backup-valv | Lagringskonto för mellanlagring | Gör att Backup Vault kan hydrera säkerhetskopior som lagras på valvnivå. |
| Ägare av lagringsblobdata | Backup-valv | Lagringskonto för mellanlagring | Gör att Backup Vault kan kopiera klustertillstånd i en blobcontainer som lagras på valvnivå. |
Kommentar
Med AKS-säkerhetskopiering kan du tilldela dessa roller under säkerhetskopierings- och återställningsprocesser via Azure Portal med ett enda klick.
Nästa steg
- Om säkerhetskopiering av Azure Kubernetes Service
- Scenarier som stöds för säkerhetskopiering av Azure Kubernetes Service-kluster
- Säkerhetskopiera Azure Kubernetes Service-kluster med hjälp av Azure Portal, Azure PowerShell
- Återställa Azure Kubernetes Service-kluster med hjälp av Azure Portal, Azure CLI, Azure PowerShell
- Hantera säkerhetskopieringar av Azure Kubernetes Service-kluster