Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
In dit artikel worden de vereisten voor AKS-back-ups (Azure Kubernetes Service) beschreven.
Met Azure Backup kunt u nu een back-up maken van AKS-clusters (clusterbronnen en permanente volumes die aan het cluster zijn gekoppeld) met behulp van een back-upextensie die in het cluster moet worden geïnstalleerd. De back-upkluis communiceert met het cluster via deze back-up-extensie om back-up- en herstelbewerkingen uit te voeren. Op basis van het beveiligingsmodel met minimale bevoegdheden moet een Backup-kluis vertrouwde toegang hebben ingeschakeld om te communiceren met het AKS-cluster.
Backup-extensie
De extensie maakt back-up- en herstelmogelijkheden mogelijk voor de workloads in containers en permanente volumes die worden gebruikt door de workloads die worden uitgevoerd in AKS-clusters.
De back-upextensie wordt standaard geïnstalleerd in een eigen naamruimte dataprotection-microsoft . Het is geïnstalleerd met een breed clusterbereik waarmee de extensie toegang heeft tot alle clusterbronnen. Tijdens de installatie van de extensie wordt ook een door de gebruiker toegewezen beheerde identiteit (extensie-identiteit) gemaakt in de resourcegroep van de knooppuntgroep.
De back-upextensie maakt gebruik van een blobcontainer (opgegeven in invoer tijdens de installatie) als standaardlocatie voor back-upopslag. Om toegang te krijgen tot deze blobcontainer, vereist de extensie-identiteit de rol Rol Inzender van opslagblobgegevens op het opslagaccount dat de container heeft.
U moet de back-upextensie installeren op het broncluster waarvan een back-up moet worden gemaakt en het doelcluster waar de back-up moet worden hersteld.
De Back-up extensie kan worden geïnstalleerd in het cluster vanaf de AKS-portal blade op het Back-up tabblad onder het tabblad Instellingen. U kunt ook de Azure CLI-opdrachten gebruiken om de installatie en andere bewerkingen op de back-upextensie te beheren.
Voordat u een extensie in een AKS-cluster installeert, moet u de
Microsoft.KubernetesConfigurationresourceprovider registreren op abonnementsniveau. Meer informatie over het registreren van de resourceprovider.Extensieagent en extensieoperator zijn de belangrijkste platformonderdelen in AKS, die worden geïnstalleerd wanneer een extensie van elk type voor het eerst in een AKS-cluster wordt geïnstalleerd. Deze bieden mogelijkheden voor het implementeren van zowel eerste- als de derdepartijextensies. De back-upextensie is ook afhankelijk van hen voor installatie en upgrades.
Notitie
Beide kernonderdelen worden geïmplementeerd met agressieve harde limieten voor CPU en geheugen, met minder dan 0,5% van een kern - en geheugenlimiet, variërend van 50-200 MB. De COGS-impact van deze onderdelen is dus zeer laag. Omdat het kernplatformonderdelen zijn, is er geen tijdelijke oplossing beschikbaar om ze te verwijderen nadat ze in het cluster zijn geïnstalleerd.
Als het opslagaccount dat u opgeeft als invoer voor de installatie van de extensie gebruikmaakt van netwerkbeperkingen (privé-eindpunten of de Azure Storage-firewall), verleent u de back-upkluis specifieke toegang tot het opslagaccount door de volgende stappen uit te voeren:
Toegang verlenen tot een resource-exemplaar. Gebruik deze instellingen:
-
Resourcetype:
Microsoft.DataProtection/BackupVaults - Exemplaarnaam: Exemplaarnaam van beheerde identiteit.
-
Resourcetype:
Schakel Azure-services in de lijst met vertrouwde services in om toegang te krijgen tot dit opslagaccount.
Zie Azure Storage-firewallregels voor meer informatie over Azure Storage-netwerkbeveiliging.
De blobcontainer die is opgegeven in invoer tijdens de installatie van de extensie mag geen bestanden bevatten die niet zijn gerelateerd aan back-up.
Meer informatie over het beheren van de bewerking voor het installeren van de back-upextensie met behulp van Azure CLI.
Vertrouwde toegang
Veel Azure-services zijn afhankelijk van clusterAdmin kubeconfig en het openbaar toegankelijke kube-apiserver-eindpunt voor toegang tot AKS-clusters. Met de functie Vertrouwde toegang van AKS kunt u de beperking van het privé-eindpunt omzeilen. Zonder microsoft Entra-toepassing te gebruiken, kunt u met deze functie expliciet toestemming geven voor uw door het systeem toegewezen identiteit van toegestane resources voor toegang tot uw AKS-clusters met behulp van een Azure-resource RoleBinding. Met deze functie hebt u toegang tot AKS-clusters met verschillende configuraties, die niet beperkt zijn tot privéclusters, clusters met lokale accounts uitgeschakeld, Microsoft Entra ID-clusters en geautoriseerde IP-bereikclusters.
Uw Azure-resources hebben toegang tot AKS-clusters via de regionale AKS-gateway met behulp van door het systeem toegewezen beheerde identiteitverificatie. De beheerde identiteit moet beschikken over de juiste Kubernetes-machtigingen die zijn toegewezen via een Azure-resourcerol.
Voor AKS-back-ups heeft de Backup-kluis toegang tot uw AKS-clusters via vertrouwde toegang om back-ups en herstelbewerkingen te configureren. De Backup-kluis krijgt een vooraf gedefinieerde rol microsoft.DataProtection/backupVaults/backup-operator in het AKS-cluster, zodat alleen specifieke back-upbewerkingen kunnen worden uitgevoerd.
Vertrouwde toegang inschakelen tussen een Backup-kluis en een AKS-cluster. Meer informatie over het inschakelen van vertrouwde toegang
Notitie
- U kunt de back-upextensie in uw AKS-cluster rechtstreeks vanuit Azure Portal installeren in de sectie Back-up in de AKS-portal .
- U kunt vertrouwde toegang ook inschakelen tussen de Back-upkluis en het AKS-cluster tijdens de back-up- of herstelbewerkingen in Azure Portal.
AKS-cluster
Als u back-ups voor een AKS-cluster wilt inschakelen, raadpleegt u de volgende vereisten: .
AKS-back-up maakt gebruik van momentopnamemogelijkheden van CSI-stuurprogramma's (Container Storage Interface) om back-ups van permanente volumes uit te voeren. Ondersteuning voor CSI-stuurprogramma's is beschikbaar voor AKS-clusters met Kubernetes versie 1.21.1 of hoger.
Notitie
- Op dit moment biedt AKS-back-up alleen ondersteuning voor back-ups van permanente volumes op basis van Azure Disk (ingeschakeld door CSI-stuurprogramma). Als u azure-bestandsshare en permanente volumes van Azure Blob-typen in uw AKS-clusters gebruikt, kunt u back-ups voor deze volumes configureren via de Azure Backup-oplossingen die beschikbaar zijn voor Azure-bestandsshare en Azure Blob.
- In Tree worden volumes niet ondersteund door AKS-back-up; alleen volumes op basis van CSI-stuurprogramma's kunnen worden geback-upt. U kunt migreren van structuurvolumes naar CSI-driver gebaseerde permanente volumes.
Voordat u de back-upextensie installeert in het AKS-cluster, moet u ervoor zorgen dat de CSI-stuurprogramma's en momentopnamen zijn ingeschakeld voor uw cluster. Als deze optie is uitgeschakeld, raadpleegt u deze stappen om ze in te schakelen.
Azure Backup voor AKS ondersteunt AKS-clusters met behulp van een door het systeem toegewezen beheerde identiteit of een door de gebruiker toegewezen beheerde identiteit voor back-upbewerkingen. Hoewel clusters met een service-principal niet worden ondersteund, kunt u een bestaand AKS-cluster bijwerken om een door het systeem toegewezen beheerde identiteit of een door de gebruiker toegewezen beheerde identiteit te gebruiken.
De back-uptoepassing haalt tijdens de installatie containerimages op die zijn opgeslagen in de Microsoft Container Registry (MCR). Als u een firewall op het AKS-cluster inschakelt, kan het installatieproces van de extensie mislukken vanwege toegangsproblemen in het register. Meer informatie over het toestaan van MCR-toegang vanuit de firewall.
Tijdens de installatie van de back-upextensie in Azure Kubernetes Service (AKS) is communicatie met verschillende FQDN's (Fully Qualified Domain Names) vereist om essentiële bewerkingen te ondersteunen. Naast Azure Backup- en Opslagaccounts moet AKS ook toegang krijgen tot externe eindpunten om containerinstallatiekopieën te downloaden voor het uitvoeren van back-uppods en om servicelogboeken via MDM naar Microsoft Defender voor Eindpunt te verzenden. Als uw cluster daarom is geïmplementeerd in een particulier virtueel netwerk met firewallbeperkingen, moet u ervoor zorgen dat de volgende FQDN's of toepassingsregels zijn toegestaan:
*.microsoft.com,mcr.microsoft.com,data.mcr.microsoft.com,crl.microsoft.com,mscrl.microsoft.com,oneocsp.microsoft.com,*.azure.com,management.azure.com,gcs.prod.monitoring.core.windows.net,*.prod.warm.ingest.monitor.core.windows.net,*.blob.core.windows.net,*.azmk8s.io,ocsp.digicert.com,cacerts.digicert.com,crl3.digicert.com,crl4.digicert.com,ocsp.digicert.cn,cacerts.digicert.cn,cacerts.geotrust.com,cdp.geotrust.com,status.geotrust.com,ocsp.msocsp.com,*.azurecr.io,docker.io,*.dp.kubernetesconfiguration.azure.com. Meer informatie over het toepassen van FQDN-regels.Als u een eerdere installatie van Velero in het AKS-cluster hebt, moet u het verwijderen voordat u de Back-upextensie installeert.
Notitie
De Velero CRD's die in het cluster zijn geïnstalleerd, worden gedeeld tussen AKS Backup en de eigen Velero-installatie van de klant. De versies die door elke installatie worden gebruikt, kunnen echter verschillen, wat kan leiden tot fouten vanwege contractmismatches.
Daarnaast kunnen aangepaste Velero-configuraties die zijn gemaakt door de klant, zoals een VolumeSnapshotClass voor op Velero CSI gebaseerde momentopnamen, de installatie van AKS Backup-momentopnamen verstoren.
Velero-aantekeningen met velero.io die zijn toegepast op verschillende resources in het cluster, kunnen ook van invloed zijn op het gedrag van AKS Backup op niet-ondersteunde manieren.
Als u Azure-beleid in uw AKS-cluster gebruikt, moet u ervoor zorgen dat de extensienaamruimte dataprotection-microsoft is uitgesloten van dit beleid, zodat back-up- en herstelbewerkingen kunnen worden uitgevoerd.
Als u een Azure-netwerkbeveiligingsgroep gebruikt om netwerkverkeer tussen Azure-resources in een virtueel Azure-netwerk te filteren, stelt u een regel voor binnenkomend verkeer in om servicetags azurebackup en azurecloud toe te staan.
Vereiste rollen en machtigingen
Als u AKS-back-up- en herstelbewerkingen als gebruiker wilt uitvoeren, moet u specifieke rollen hebben in het AKS-cluster, de Back-upkluis, het opslagaccount en de resourcegroep Momentopname.
| Bereik | Voorkeursrol | Beschrijving |
|---|---|---|
| AKS-cluster | Eigenaar | Hiermee kunt u de back-upextensie installeren, het inschakelen van vertrouwde toegang en machtigingen verlenen aan de Backup-vault via het cluster. |
| Back-upkluisresourcegroep | Inzender voor back-ups | Hiermee kunt u een Backup-kluis maken in een resourcegroep, back-upbeleid maken, back-up configureren en ontbrekende rollen herstellen en toewijzen die vereist zijn voor back-upbewerkingen. |
| Opslagaccount | Eigenaar | Hiermee kunt u lees- en schrijfbewerkingen uitvoeren op het opslagaccount en vereiste rollen toewijzen aan andere Azure-resources als onderdeel van back-upbewerkingen. |
| Momentopname van de resourcegroep | Eigenaar | Hiermee kunt u lees- en schrijfbewerkingen uitvoeren op de resourcegroep Momentopname en de vereiste rollen toewijzen aan andere Azure-resources als onderdeel van back-upbewerkingen. |
Notitie
Met de rol Eigenaar van een Azure-resource kunt u Azure RBAC-bewerkingen van die resource uitvoeren. Als deze niet beschikbaar is, moet de resource-eigenaar de vereiste rollen opgeven voor de Backup-kluis en het AKS-cluster voordat de back-up- of herstelbewerkingen worden gestart.
Als onderdeel van de back-up- en herstelbewerkingen worden ook de volgende rollen toegewezen aan het AKS-cluster, de identiteit van de back-upextensie en de Back-upkluis.
| Rol | Toegewezen aan | Toegewezen op | Beschrijving |
|---|---|---|---|
| Lezer | Back-upkluis | AKS-cluster | Hiermee kan de Backup-kluis lijst- en leesbewerkingen uitvoeren op een AKS-cluster. |
| Lezer | Back-upkluis | Momentopname van de resourcegroep | Hiermee kan de Backup-kluis lijst- en leesbewerkingen uitvoeren voor de resourcegroep van momentopnamen. |
| Inzender | AKS-cluster | Momentopname van de resourcegroep | Hiermee kan een AKS-cluster permanente momentopnamen van volumes opslaan in de resourcegroep. |
| Gegevensbijdrager voor opslagblobs | Extensie-identiteit | Opslagaccount | Met de back-upextensie kunnen back-ups van clusterresources worden opgeslagen in de blobcontainer. |
| Gegevensoperator voor beheerde schijven | Back-upkluis | Snapshot Resourcegroep | Hiermee kan de Backup Vault-service incrementele momentopnamegegevens naar de kluis verplaatsen. |
| Inzender voor momentopname van schijf | Back-upkluis | Snapshot Resourcegroep | Hiermee kan Backup Vault toegang krijgen tot snapshots van schijven en het uitvoeren van back-upoperaties. |
| Gegevenslezer voor opslagblobs | Back-upkluis | Opslagaccount | Sta de Backup Vault toe om toegang te verlenen tot de blobcontainer met opgeslagen back-upgegevens om deze naar de Vault te verplaatsen. |
| Inzender | Back-upkluis | Resourcegroep faseren | Met Backup Vault kunnen back-ups worden omgezet in schijven die zijn opgeslagen in de kluislaag. |
| Bijdrager voor opslagaccounts | Back-upkluis | Opslagaccount faseren | Hiermee kan Backup Vault back-ups die zijn opgeslagen in de kluislaag hydrateren. |
| Eigenaar van opslagblobgegevens | Back-upkluis | Opslagaccount faseren | Hiermee kan Backup Vault de clusterstatus kopiëren in een blobcontainer die is opgeslagen in de Kluislaag. |
Notitie
Met een AKS-back-up kunt u deze rollen met één klik toewijzen tijdens back-up- en herstelprocessen via Azure Portal.
Volgende stappen
- Over backup van Azure Kubernetes Service
- Ondersteunde scenario's voor back-up van Azure Kubernetes Service-clusters
- Een back-up maken van een Azure Kubernetes Service-cluster met behulp van Azure Portal, Azure PowerShell
- Azure Kubernetes Service-cluster herstellen met behulp van Azure Portal, Azure CLI, Azure PowerShell
- Back-ups van Azure Kubernetes Service-clusters beheren