你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Kubernetes 服务备份支持矩阵

可以使用 Azure 备份来保护 Azure Kubernetes 服务 (AKS)。 本文总结了区域可用性、支持的方案以及限制。

支持的区域

  • 以下所有 Azure 公有云区域中都支持 AKS 备份的操作层支持:美国东部、北欧、西欧、东南亚、美国西部 2、美国东部 2、美国西部、美国中北部、美国中部、法国中部、韩国中部、澳大利亚东部、英国南部、东亚、美国中西部、日本东部、美国中南部、 美国西部 3、加拿大中部、加拿大东部、澳大利亚东南部、印度中部、挪威东部、德国中西部、瑞士北部、瑞典中部、日本西部、英国西部、韩国南部、南非北部、南部印度、法国南部、巴西南部、阿联酋北部、中国东部 2、中国东部 3、中国北部 2、中国北部 3、USGov 弗吉尼亚州、USGov 亚利桑那州和美国戈夫得克萨斯州。

  • 保管库层和跨区域还原支持 AKS 备份适用于以下区域:美国东部、美国西部、美国西部 3、北欧、西欧、美国中北部、美国中南部、美国中西部、美国东部 2、美国中部、英国南部、英国西部、东亚、东南亚、日本东南部、印度中部、加拿大中部和挪威东部。

    注意

    为备份保管库启用跨区域还原功能,以便在 Azure 配对区域中提供备份。 请参阅 Azure 配对区域列表

限制

  • AKS 备份支持 Kubernetes 版本为 1.22 及以上的 AKS 群集。 此版本安装了容器存储接口 (CSI) 驱动程序。

  • 在 AKS 群集中安装备份扩展之前,请确保为群集启用 CSI 驱动程序和快照。 如果已禁用,请启用这些设置

  • 首次在 AKS 群集中安装备份扩展时,提供一个新的空 blob 容器作为输入。 不要将同一个 Blob 容器用于多个 AKS 群集。

  • AKS 备份不支持树内卷。 只能备份基于 CSI 驱动程序的卷。 可以从树卷迁移到基于 CSI 驱动程序的永久性卷

  • 目前,AKS 备份仅支持备份(由 CSI 驱动程序启用的)基于 Azure 磁盘的永久性卷。 支持的 Azure 磁盘 SKU 包括标准 HDD、标准 SSD 和高级 SSD。 不支持属于高级 SSD v2 和超高性能磁盘 SKU 的磁盘。 支持静态预配卷和动态预配卷。 对于静态磁盘的备份,永久性卷规范应具有 YAML 文件中定义的存储类,否则会从备份操作中跳过此类永久性卷。

  • 由于缺少基于 CSI 驱动程序的快照功能,AKS 备份不支持 Azure 文件存储共享和 Azure Blob 存储永久性卷。 如果你在 AKS 群集中使用上述永久性卷,则可以通过 Azure 备份解决方案为其配置备份。 有关详细信息,请参阅 Azure 文件共享备份Azure Blob 存储备份

  • 为 AKS 群集创建备份时,将跳过任何不受支持的永久性卷类型。

  • 目前不支持使用服务主体的 AKS 群集。 如果 AKS 群集使用服务主体进行授权,则可以将群集更新为使用系统分配的托管标识用户分配的托管标识

  • 只能在使用 Ubuntu 和 Azure Linux 作为操作系统的代理节点上安装备份扩展。 具有基于 Windows 的代理节点的 AKS 群集不允许安装备份扩展。

  • 在使用基于 Arm64 的代理节点的 AKS 群集中,无论这些节点上运行的是何种操作系统 (Ubuntu/Azure Linux/Windows),都无法安装备份扩展。

  • 请勿随 Velero 或其他基于 Velero 的备份服务一起安装 AKS 备份扩展。 这可能会导致备份服务在将来由你或 AKS 备份驱动的任何 Velero 升级期间中断

  • 必须在 AKS 群集中安装备份扩展。 如果使用 Azure CLI 安装备份扩展,请确保版本为 2.41 或更高版本。 使用 az upgrade 命令升级 Azure CLI。

  • 在备份扩展安装过程中作为输入提供的 blob 容器应与 AKS 群集的 blob 容器位于同一区域和订阅中。 仅支持常规用途 V2 存储帐户中的 blob 容器,不支持高级存储帐户。

  • 备份保管库和 AKS 群集应位于同一区域和订阅中。

  • 适用于 AKS 的 Azure 备份同时提供操作层(快照)和保管库层备份。 每天可在操作层中存储多个备份,而根据定义的保留策略,每天只能在保管库中存储一个备份。

  • 目前,不支持修改备份策略和修改(在配置 AKS 群集备份期间分配给备份实例的)快照资源组。

  • AKS 群集和备份扩展 Pod 应处于运行状态才能执行任何备份和还原操作。 该状态包括删除过期的恢复点。

  • 为了成功进行备份和还原操作,备份保管库的托管标识需要角色分配。 如果没有所需的权限,则分配角色后,可能会很快在备份配置或还原操作期间发生权限问题,因为角色分配需要几分钟才能生效。 了解角色定义

  • 备份保管库不支持 Azure Lighthouse。 因此,Lighthouse 无法为 AKS 的 Azure 备份启用跨租户管理,并且无法跨租户备份/还原 AKS 群集。

  • 备份配置会跳过以下命名空间,并且不会为备份共同配置命名空间:kube-systemkube-node-leasekube-public

  • 以下是 AKS 备份限制:

    设置 限制
    每个备份保管库的备份策略数 5,000
    每个备份保管库的备份实例数 5,000
    每个备份实例每天允许的按需备份数 10
    每个备份实例的命名空间数量 800
    一天内每个备份实例允许的还原次数 10
  • 支持配置具有专用终结点的存储帐户。

  • 若要通过 Terraform 为 AKS 启用Azure 备份,其版本应为 >3.99。

保管库备份和跨区域还原的其他限制

  • 只有永久性卷 <为 1 TB 的 Azure 磁盘才有资格移动到保管库层;备份数据中将跳过大小较大的磁盘移动到保管库层。

  • 灾难恢复功能仅在 Azure 配对区域之间可用(如果在异地冗余备份保管库中配置了备份)。 备份数据仅在 Azure 配对区域中可用。 例如,如果美国东部有一个在异地冗余备份保管库中备份的 AKS 群集,那么该备份数据也可在美国西部进行还原。

  • 在主要区域中提供 24 小时的 RPO 的保管库层中,每天只能有一个计划的恢复点。 对于次要区域,恢复点最多可能需要 12 小时,从而提供 36 小时的 RPO。

  • 从保管库层还原期间,暂存位置(包括存储帐户和资源组)中的冻结资源在还原后不会清理。 必须手动删除它们。

  • 如果目标群集位于虚拟网络中,请启用群集与过渡存储帐户之间的专用终结点。

  • 如果目标 AKS 群集版本与备份期间使用的版本不同,还原操作可能会失败,或者完成但同时针对各种场景(例如较新的群集版本中有已弃用的资源)发出警告。 若要从保管库层还原,可以使用暂存位置中的冻结资源将应用程序资源还原到目标群集。

  • Terraform 部署目前不支持基于保管库层的备份。

后续步骤