Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt Azure Backup gebruiken om Azure Kubernetes Service (AKS) te beveiligen. In dit artikel vindt u een overzicht van de beschikbaarheid van regio's, ondersteunde scenario's en beperkingen.
Ondersteunde regio’s
- Azure Backup voor AKS biedt ondersteuning voor het opslaan van back-upgegevens in de lagen Vault en Operational (Snapshot) in de volgende Azure-regio's:
Australië - centraal, Australië - centraal 2, Australië - oost, Australië - zuidoost, Brazilië - zuid, Brazilië - zuidoost, Canada - centraal, Canada - oost, India - centraal, VS - centraal, AZIË - oost, VS - oost, VS - oost 2, Frankrijk - centraal, Frankrijk - zuid, Duitsland - noord, Duitsland - west, Italië - noord, Japan - oost, Japan - west, Jio India - west, Korea - centraal, Korea - zuid, VS - noord, Europa - noord, Noorwegen - oost, Noorwegen - west, Zuid-Afrika - noord, Zuid-Afrika - west, VS - zuid-centraal, India - zuidoost, Azië - zuidoost, Zweden - centraal, Zwitserland - noord, VK - noord, VK - west, VK - west, VS - west, Europa - west, VS - west 2, VS - west 3
- De volgende regio's ondersteunen alleen de operationele laag (momentopname):
China - oost 2, China - oost 3, China - noord 2, China - noord 3, US GOV Arizona, US GOV Texas, US GOV Virginia, Israël - centraal, Polen - centraal en Spanje - centraal
Notitie
Als u geografisch redundante back-ups nodig hebt met de mogelijkheid om op aanvraag te herstellen, slaat u uw back-ups op in de kluislaag en schakelt u Herstel tussen regio's in op uw Backup Vault. Dit zorgt ervoor dat uw back-ups ook beschikbaar zijn in de gekoppelde Azure-regio, zodat u herstelbewerkingen kunt uitvoeren, zelfs als de primaire regio niet beschikbaar is. Zie de lijst met gekoppelde Azure-regio's.
Ondersteunde scenario's
Azure Backup voor AKS ondersteunt alleen clusters waarop ondersteunde Kubernetes-versies worden uitgevoerd. Hier volgt de lijst met de ondersteunde Kubernetes-versies. Als uw cluster een niet-ondersteunde versie heeft, kunnen back-upbewerkingen nog steeds worden uitgevoerd, maar fouten tijdens back-up of herstel worden niet behandeld. Als u volledige ondersteuning en betrouwbaarheid wilt garanderen, voert u een upgrade uit naar een ondersteunde versie, valideert u uw back-ups en neemt u contact op met de ondersteuning als er problemen optreden.
Azure Backup voor AKS ondersteunt alleen permanente CSI-volumes (Azure Disks) op basis van stuurprogramma's. In-tree volume plugins worden niet ondersteund. Zorg ervoor dat het CSI-stuurprogramma en de momentopname zijn ingeschakeld voor uw cluster. Als ze zijn uitgeschakeld, schakelt u deze instellingen in. Als uw workloads gebruikmaken van in-treevolumes, migreert u ze ook naar volumes op basis van CSI om back-upondersteuning in te schakelen.
Azure Backup voor AKS ondersteunt momenteel alleen permanente azure-volumes die zijn ingericht met behulp van het CSI-stuurprogramma. Ondersteunde schijf-SKU's zijn Standard HDD, Standard SSD en Premium SSD.
Zowel dynamisch als statisch ingerichte volumes worden ondersteund; Voor statische volumes moet de opslagklasse echter expliciet worden gedefinieerd in de YAML-specificatie , anders wordt het volume overgeslagen tijdens de back-up.
Azure Backup voor AKS ondersteunt clusters die gebruikmaken van een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit. Clusters die zijn geconfigureerd met een service-principal, worden niet ondersteund. Als u back-ups wilt inschakelen, werkt u uw cluster bij om een door het systeem toegewezen beheerde identiteit of een door de gebruiker toegewezen beheerde identiteit te gebruiken.
Azure Backup voor AKS biedt back-ups van zowel operationele lagen als kluislagen. Back-ups van operationele lagen bestaan uit momentopnamen van ondersteunde permanente volumetypen, samen met metagegevens die zijn opgeslagen in de blobcontainer die tijdens de installatie van de back-upextensie is opgegeven. Back-ups van de kluislaag worden daarentegen veilig en buiten uw tenant opgeslagen. Met behulp van het back-upbeleid kunt u ervoor kiezen om zowel operationele als kluislaagback-ups in te schakelen, of alleen de operationele laag te gebruiken.
De momentopnamen van persistent volume die als onderdeel van de back-up van de operationele laag worden gemaakt, zijn standaard crashconsistent. Hoewel Azure Backup voor AKS momenteel geen ondersteuning biedt voor het maken van momentopnamen van alle tv's op exact dezelfde milliseconden om consistente momentopnamen tussen volumes te bereiken.
De minimaal ondersteunde back-upfrequentie in Azure Backup voor AKS is elke 4 uur, met extra opties voor intervallen van 6, 8, 12 en 24 uur. Back-ups worden naar verwachting binnen een periode van 2 uur vanaf de geplande begintijd voltooid. Deze frequenties zijn van toepassing op back-ups van operationele lagen, waardoor meerdere back-ups per dag mogelijk zijn. Alleen de eerste geslaagde back-up in een periode van 24 uur komt in aanmerking voor overdracht naar de kluislaag. Zodra een back-up is gemaakt in de operationele laag, kan het maximaal vier uur duren voordat deze naar de kluislaag is verplaatst.
Backup Vault en het AKS-cluster moeten zich in dezelfde regio bevinden. Ze kunnen zich echter in verschillende abonnementen bevinden zolang ze zich binnen dezelfde tenant bevinden.
Azure Backup voor AKS ondersteunt het herstellen van back-ups naar hetzelfde of een ander AKS-cluster met zowel operationele als kluislaagback-ups. Het doel-AKS-cluster kan zich in hetzelfde abonnement of een ander abonnement bevinden, ook wel herstel tussen abonnementen genoemd.
Wanneer u herstelt vanuit de operationele laag, moet het doel-AKS-cluster zich in dezelfde regio bevinden als de back-ups. Als de back-ups echter worden opgeslagen in de kluislaag met geografisch redundante opslaginstelling en herstellen tussen regio's ingeschakeld in de Backup Vault, kunt u herstellen naar een andere regio binnen een gekoppelde Azure-regio .
Als u Azure Backup voor AKS wilt inschakelen met behulp van Azure CLI, moet u ervoor zorgen dat u versie 2.41.0 of hoger gebruikt. U kunt de CLI upgraden door de opdracht az upgrade uit te voeren.
Als u Azure Backup voor AKS wilt inschakelen met behulp van Terraform, gebruikt u versie 3.99.0 of hoger.
Voor Azure Backup voor AKS moet een back-upextensie worden geïnstalleerd. Deze extensie vereist een opslagaccount en bij voorkeur een lege blobcontainer in het account als invoer tijdens de installatie. Gebruik geen blobcontainer met niet-back-upgerelateerde bestanden.
Het opslagaccount dat is opgegeven tijdens de installatie van de back-upextensie, moet zich in dezelfde regio bevinden als het AKS-cluster. Alleen v2-opslagaccounts voor algemeen gebruik worden ondersteund; Premium-opslagaccounts worden niet ondersteund.
Als het AKS-cluster wordt geïmplementeerd in een particulier virtueel netwerk, moet een privé-eindpunt worden geconfigureerd om back-upbewerkingen in te schakelen.
De back-upextensie kan alleen worden geïnstalleerd op knooppuntgroepen die gebruikmaken van x86-processors en Ubuntu of Azure Linux uitvoeren als besturingssysteem.
Zowel het AKS-cluster als de pods van de back-upextensie moeten actief en in orde zijn voordat u back-up- of herstelbewerkingen uitvoert, inclusief het verwijderen van verlopen herstelpunten.
Azure Backup voor AKS biedt waarschuwingen via Azure Monitor waarmee u een consistente ervaring hebt voor waarschuwingsbeheer in verschillende Azure-services, waaronder klassieke waarschuwingen, ingebouwde Azure Monitor-waarschuwingen en aangepaste logboekwaarschuwingen voor meldingen over back-upfouten. De ondersteunde back-upwaarschuwingen zijn hier beschikbaar
Azure Backup voor AKS ondersteunt verschillende back-uprapporten. Op dit moment kunnen back-upgegevens alleen worden weergegeven door 'Alles' te selecteren voor het workloadtype in de rapportfilters. De ondersteunde back-uprapporten zijn hier beschikbaar
Azure Backup voor AKS biedt ondersteuning voor enhanced voorlopig verwijderen voor back-ups die zijn opgeslagen in de kluislaag, waardoor beveiliging wordt geboden tegen onbedoelde of schadelijke verwijdering. Voor back-ups die zijn opgeslagen in de operationele laag, worden de onderliggende momentopnamen niet beveiligd door voorlopig verwijderen en kunnen ze permanent worden verwijderd.
Azure Backup voor AKS biedt ondersteuning voor MUA (Multi-User Authorization), zodat u een extra beveiligingslaag kunt toevoegen aan kritieke bewerkingen in uw Backup-kluizen waar back-ups worden geconfigureerd.
Azure Backup voor AKS ondersteunt de onveranderbare kluis, waarmee u uw back-upgegevens kunt beveiligen door bewerkingen te voorkomen die kunnen leiden tot verlies van herstelpunten. WORM-opslag (Write Once, Read Many) voor back-ups wordt momenteel echter niet ondersteund.
Azure Backup voor AKS ondersteunt Customer-Managed Key-versleuteling (CMK), maar is alleen van toepassing op back-ups die zijn opgeslagen in de kluislaag.
Voor geslaagde back-up- en herstelbewerkingen vereist de beheerde identiteit van de Backup-kluis roltoewijzingen. Als u niet over de vereiste machtigingen beschikt, kunnen er problemen met machtigingen optreden tijdens de back-upconfiguratie of herstelbewerkingen kort nadat u rollen hebt toegewezen, omdat het enkele minuten duurt voordat de roltoewijzingen van kracht worden. Meer informatie over roldefinities.
Niet-ondersteunde scenario's en beperkingen
Azure Backup voor AKS biedt geen ondersteuning voor de volgende Azure Disk-SKU's: Premium SSD v2 en Ultra Disks.
Azure-bestandsshares, Azure Blob Storage en op Azure Container Storage gebaseerde permanente volumes worden niet ondersteund door AKS Backup. Als u deze typen permanente volumes in uw AKS-clusters gebruikt, kunt u er afzonderlijk een back-up van maken met behulp van toegewezen Azure Backup-oplossingen. Zie Back-up van Azure-bestandsshares en Back-up van Azure Blob Storage voor meer informatie.
Niet-ondersteunde permanente volumetypen worden automatisch overgeslagen tijdens het back-upproces voor het AKS-cluster.
De back-upextensie kan niet worden geïnstalleerd in Windows-knooppuntgroepen of ARM64-knooppuntgroepen. AKS-clusters die dergelijke knooppunten gebruiken, moeten een afzonderlijke op Linux gebaseerde knooppuntgroep inrichten (bij voorkeur een systeemknooppuntgroep met x86-processors) ter ondersteuning van de installatie van de back-upextensie.
Azure Backup voor AKS wordt momenteel niet ondersteund voor AKS-clusters met netwerkisolatie.
Installeer de AKS Backup-extensie niet naast Velero of op Velero gebaseerde back-upoplossingen, omdat dit conflicten kan veroorzaken tijdens back-up- en herstelbewerkingen. Zorg er bovendien voor dat uw Kubernetes-resources geen labels of aantekeningen gebruiken die het voorvoegsel
velero.iobevatten, tenzij expliciet vereist is voor een ondersteund scenario. De aanwezigheid van dergelijke metagegevens kan leiden tot onverwacht gedrag.Het wijzigen van de back-upconfiguratie of de resourcegroep voor momentopnamen die is toegewezen aan een back-upexemplaren tijdens het instellen van een AKS-cluster wordt niet ondersteund.
De volgende naamruimten worden overgeslagen vanuit de back-upconfiguratie en kunnen niet worden geconfigureerd voor back-ups:
kube-system,kube-node-lease,kube-public.Azure Backup schaalt AKS-knooppunten niet automatisch uit, maar herstelt alleen gegevens en gekoppelde resources. Automatisch schalen wordt beheerd door AKS zelf, met behulp van functies zoals de automatische schaalaanpassing van clusters. Als automatisch schalen is ingeschakeld op het doelcluster, moet het automatisch schalen van resources afhandelen. Voordat u herstelt, moet u ervoor zorgen dat het doelcluster voldoende resources heeft om herstelfouten of prestatieproblemen te voorkomen.
Dit zijn de AKS-back-uplimieten:
Instelling Grenswaarde Aantal back-upbeleidsregels per Backup-kluis 5.000 Aantal back-upexemplaren per Backup-kluis 5.000 Aantal on-demand back-ups dat per back-upexemplaren per dag is toegestaan 10 Aantal naamruimten per back-upexemplaren Achthonderd Aantal toegestane herstelbewerkingen per back-upexemplaren per dag 10
Beperkingen die specifiek zijn voor gekluisde back-up en herstel tussen regio's
Momenteel komen Azure-schijven met permanente volumes van grootte <= 1 TB in aanmerking om te worden verplaatst naar de kluislaag. Schijven met de hogere grootte worden overgeslagen in de back-upgegevens die naar de kluislaag worden verplaatst.
Op dit moment worden back-upexemplaren met <= 100 schijven die zijn gekoppeld als permanent volume ondersteund. Back-up- en herstelbewerkingen kunnen mislukken als het aantal schijven hoger is dan de limiet.
Alleen Azure Disks waarvoor openbare toegang is ingeschakeld vanuit alle netwerken, komen in aanmerking voor verplaatsing naar de kluislaag; als er schijven met netwerktoegang zijn, afgezien van openbare toegang, mislukt de laagbewerking.
De functie Herstel na noodgevallen is alleen beschikbaar tussen gekoppelde Azure-regio's (als back-up is geconfigureerd in een geografisch redundante back-upkluis waarvoor Herstel tussen regio's is ingeschakeld). De back-upgegevens zijn alleen beschikbaar in een gekoppelde Azure-regio. Als u bijvoorbeeld een AKS-cluster in VS - oost hebt waarvan een back-up wordt gemaakt in een geografisch redundante back-upkluis waarvoor Herstel tussen regio's is ingeschakeld, zijn de back-upgegevens ook beschikbaar in VS - west voor herstel.
In de kluislaag wordt slechts één gepland herstelpunt per dag gemaakt, met een RPO (Recovery Point Objective) van 24 uur in de primaire regio. In de secundaire regio kan replicatie van dit herstelpunt maximaal 12 extra uren duren, wat resulteert in een effectieve RPO van maximaal 36 uur.
Wanneer een back-up wordt gemaakt in de operationele laag en in aanmerking komt voor de kluislaag, kan het tot vier uur duren voordat het proces voor lagen begint.
Wanneer u back-ups van de operationele laag naar de kluislaag verplaatst, behoudt de pruninglogica essentiële momentopnamen om ervoor te zorgen dat de lagen en de gegevensintegriteit zijn geslaagd. Tijdens de lagen van het meest recente herstelpunt (RP) in het bronarchief (operationele laag) zijn momentopnamen van beide vereist:
- De nieuwste RP in de operationele laag (bronarchief).
- De vorige beveiliging van RP in de kluislaag (doelarchief).
Als gevolg hiervan worden twee herstelpunten in de operationele laag opzettelijk bewaard en niet verwijderd:
- De meest recente RP in de operationele laag.
- De RP in de operationele laag die is gekoppeld aan de nieuwste RP van de kluislaag.
Dit gedrag voorkomt onbedoeld gegevensverlies en zorgt voor consistente back-ups. Daarom ziet u mogelijk dat sommige operationele back-ups langer blijven bestaan dan het geconfigureerde dagelijkse bewaarbeleid vanwege deze afhankelijkheden van lagen.
Wanneer u back-ups van de operationele laag naar de kluislaag verplaatst, moet het opslagaccount dat is opgegeven voor de back-upextensie, bij voorkeur openbare netwerktoegang hebben ingeschakeld. Als het opslagaccount zich achter een firewall bevindt of privétoegang heeft ingeschakeld, moet u ervoor zorgen dat de Backup Vault wordt toegevoegd als een vertrouwde service in de netwerkinstellingen van het opslagaccount om naadloze gegevensoverdracht mogelijk te maken.
Tijdens het herstellen vanuit de kluislaag worden de gehydrateerde resources op de faseringslocatie die een opslagaccount en een resourcegroep bevat, niet opgeschoond na herstel. Ze moeten handmatig worden verwijderd.
Tijdens het herstellen moet voor het faseringsopslagaccount openbare netwerktoegang zijn ingeschakeld om de back-upservice toegang te geven tot en gegevens over te dragen. Zonder openbare toegang kan de herstelbewerking mislukken vanwege connectiviteitsbeperkingen.
Als het doel-AKS-cluster tijdens het herstellen wordt geïmplementeerd in een virtueel privénetwerk, moet u een privé-eindpunt tussen het cluster en het faseringsopslagaccount inschakelen om ervoor te zorgen dat gegevens veilig en succesvol worden overgedragen.
Als de doelversie van het AKS-cluster verschilt van de versie die tijdens de back-up wordt gebruikt, kan de herstelbewerking mislukken of worden voltooid met waarschuwingen voor verschillende scenario's, zoals afgeschafte resources in de nieuwere clusterversie. Als u herstelt vanuit de kluislaag, kunt u de gehydrateerde resources in de faseringslocatie gebruiken om toepassingsbronnen te herstellen naar het doelcluster.
Op dit moment wordt back-up op basis van kluislagen niet ondersteund met Terraform-implementatie.
Volgende stappen
- Over azure Kubernetes Service-clusterback-up.
- Maak een back-up van het Azure Kubernetes Service-cluster met behulp van Azure Portal, Azure CLI, Azure PowerShell, Azure Resource Manager, Bicep, Terraform.
- Azure Kubernetes Service-cluster herstellen met behulp van Azure Portal, Azure CLI, Azure PowerShell.
- Azure Kubernetes Service-back-ups beheren met behulp van Azure Backup.