Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver förutsättningarna för säkerhetskopiering av Azure Kubernetes Service (AKS).
Med Azure Backup kan du nu säkerhetskopiera AKS-kluster (klusterresurser och beständiga volymer som är anslutna till klustret) med hjälp av ett säkerhetskopieringstillägg som måste installeras i klustret. Säkerhetskopieringsvalvet kommunicerar med klustret via det här säkerhetskopieringstillägget för att utföra säkerhetskopierings- och återställningsåtgärder. Baserat på den minst privilegierade säkerhetsmodellen måste ett säkerhetskopieringsvalv ha betrodd åtkomst aktiverat för att kommunicera med AKS-klustret.
Säkerhetskopieringstillägg
Tillägget möjliggör säkerhetskopierings- och återställningsfunktioner för de containerbaserade arbetsbelastningar och beständiga volymer som används av arbetsbelastningarna som körs i AKS-kluster.
Säkerhetskopieringstillägget installeras i sitt eget namnområde dataprotection-microsoft som standard. Det installeras med ett klusteromfattande omfång som gör att tillägget kan komma åt alla klusterresurser. Under tilläggsinstallationen skapas även en användartilldelad hanterad identitet (tilläggsidentitet) i resursgruppen Nodpool.
Säkerhetskopieringstillägget använder en blobcontainer (som anges i indata under installationen) som standardplats för lagring av säkerhetskopior. För att få åtkomst till den här blobcontainern kräver tilläggsidentiteten rollen Storage Blob Data Contributor för lagringskontot som har containern.
Du måste installera säkerhetskopieringstillägget på både källklustret som ska säkerhetskopieras och målklustret där säkerhetskopieringen ska återställas.
Säkerhetskopieringstillägget kan installeras i klustret från AKS-portalbladet på fliken Säkerhetskopiering under Inställningar. Du kan också använda Azure CLI-kommandon för att hantera installationen och andra åtgärder i säkerhetskopieringstillägget.
Innan du installerar ett tillägg i ett AKS-kluster måste du registrera
Microsoft.KubernetesConfigurationresursprovidern på prenumerationsnivå. Lär dig hur du registrerar resursprovidern.Tilläggsagenten och tilläggsoperatorn är kärnplattformskomponenterna i AKS, som installeras när ett tillägg av någon typ installeras för första gången i ett AKS-kluster. Dessa ger funktioner för att distribuera tillägg från första part och tredje part. Säkerhetskopieringstillägget förlitar sig också på dem för installation och uppgraderingar.
Anmärkning
Båda dessa kärnkomponenter distribueras med aggressiva hårda gränser för processor och minne, med processorer som är mindre än 0,5 % av en kärn- och minnesgräns på mellan 50 och 200 MB. Cogs-effekten av dessa komponenter är därför mycket låg. Eftersom de är grundläggande plattformskomponenter finns det ingen lösning tillgänglig för att ta bort dem när de har installerats i klustret.
Om lagringskontot som du anger som indata för tilläggsinstallationen använder några nätverksbegränsningar (privata slutpunkter eller Azure Storage-brandväggen) ger du säkerhetskopieringsvalvet specifik åtkomst till lagringskontot genom att följa dessa steg:
Bevilja åtkomst till en resursinstans. Använd följande inställningar:
-
Resurstyp:
Microsoft.DataProtection/BackupVaults - Instansnamn: Instansnamn för hanterad identitet.
-
Resurstyp:
Aktivera Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot.
Mer information om nätverkssäkerhet i Azure Storage finns i Brandväggsregler för Azure Storage.
Blobcontainern som anges i indata under tilläggsinstallationen bör inte innehålla några filer som inte är relaterade till säkerhetskopiering.
Lär dig hur du använder Azure CLI för att hantera installationen av Säkerhetskopieringstillägget.
Betrodd åtkomst
Många Azure-tjänster är beroende av klusterAdmin kubeconfig och den offentligt tillgängliga kube-apiserverslutpunkten för åtkomst till AKS-kluster. Med funktionen betrodd åtkomst i AKS kan du kringgå begränsningen av den privata slutpunkten. Utan att använda Microsoft Entra-programmet kan du med den här funktionen ge uttryckligt medgivande till din systemtilldelade identitet för tillåtna resurser för att få åtkomst till dina AKS-kluster med hjälp av en Rollbinding för Azure-resurser. Med funktionen kan du komma åt AKS-kluster med olika konfigurationer, som inte är begränsade till privata kluster, kluster med lokala konton inaktiverade, Microsoft Entra ID-kluster och auktoriserade IP-intervallkluster.
Dina Azure-resurser får åtkomst till AKS-kluster via den regionala AKS-gatewayen med hjälp av systemtilldelad hanterad identitetsautentisering. Den hanterade identiteten måste ha rätt Kubernetes-behörigheter tilldelade via en Azure-resursroll.
För AKS-säkerhetskopiering får backup-valvet åtkomst till dina AKS-kluster via betrodd åtkomst för att konfigurera säkerhetskopior och återställningar. Säkerhetskopieringsvalvet tilldelas en fördefinierad roll Microsoft.DataProtection/backupVaults/backup-operator i AKS-klustret, så att den endast kan utföra specifika säkerhetskopieringsåtgärder.
Så här aktiverar du betrodd åtkomst mellan ett säkerhetskopieringsvalv och ett AKS-kluster. Lär dig hur du aktiverar betrodd åtkomst
Anmärkning
- Du kan installera säkerhetskopieringstillägget i AKS-klustret direkt från Azure Portal under avsnittet Säkerhetskopiering i AKS-portalen.
- Du kan också aktivera betrodd åtkomst mellan Säkerhetskopieringsvalv och AKS-kluster under säkerhetskopierings- eller återställningsåtgärderna i Azure Portal.
AKS-kluster
Information om hur du aktiverar säkerhetskopiering för ett AKS-kluster finns i följande förutsättningar: .
AKS-säkerhetskopiering använder funktioner för ögonblicksbild av CSI-drivrutiner (Container Storage Interface) för att utföra säkerhetskopieringar av beständiga volymer. Stöd för CSI-drivrutin är tillgängligt för AKS-kluster med Kubernetes version 1.21.1 eller senare.
Anmärkning
- För närvarande stöder AKS-säkerhetskopiering endast säkerhetskopiering av Azure Disk-baserade beständiga volymer (aktiverad av CSI-drivrutin). Om du använder beständiga volymer av Azure-filresurs och Azure Blob-typ i dina AKS-kluster kan du konfigurera säkerhetskopior för dem via Azure Backup-lösningarna som är tillgängliga för Azure File Share och Azure Blob.
- I Träd stöds volymer inte av AKS-säkerhetskopiering. Endast CSI-drivrutinsbaserade volymer kan säkerhetskopieras. Du kan migrera från trädvolymer till CSI-drivrutinsbaserade beständiga volymer.
Innan du installerar säkerhetskopieringstillägget i AKS-klustret kontrollerar du att CSI-drivrutinerna och ögonblicksbilderna är aktiverade för klustret. Om de är inaktiverade kan du läsa de här stegen för att aktivera dem.
Azure Backup för AKS stöder AKS-kluster med antingen en systemtilldelad hanterad identitet eller en användartilldelad hanterad identitet för säkerhetskopieringsåtgärder. Även om kluster som använder tjänstens huvudnamn inte stöds kan du uppdatera ett befintligt AKS-kluster för att använda en systemtilldelad hanterad identitet eller en användartilldelad hanterad identitet.
Säkerhetskopieringstillägget under installationen hämtar containeravbildningar som lagras i Microsoft Container Registry (MCR). Om du aktiverar en brandvägg i AKS-klustret kan tilläggsinstallationsprocessen misslyckas på grund av åtkomstproblem i registret. Lär dig hur du tillåter MCR-åtkomst från brandväggen.
Under installationen av säkerhetskopieringstillägget i Azure Kubernetes Service (AKS) krävs kommunikation med flera fullständigt kvalificerade domännamn (FQDN) för att stödja viktiga åtgärder. Förutom Azure Backup- och Lagringskonton måste AKS också komma åt externa slutpunkter för att ladda ned containeravbildningar för att köra säkerhetskopieringspoddar och för att kunna skicka tjänstloggar till Microsoft Defender för Endpoint via MDM. Därför, om ditt kluster distribueras i ett privat virtuellt nätverk med brandväggsbegränsningar, se till att följande FQDN eller programreglerna tillåts:
*.microsoft.com,mcr.microsoft.com,data.mcr.microsoft.com,crl.microsoft.com,mscrl.microsoft.com,oneocsp.microsoft.com,*.azure.com,management.azure.com,gcs.prod.monitoring.core.windows.net,*.prod.warm.ingest.monitor.core.windows.net,*.blob.core.windows.net,*.azmk8s.io,ocsp.digicert.com,cacerts.digicert.com,crl3.digicert.com,crl4.digicert.com,ocsp.digicert.cn,cacerts.digicert.cn,cacerts.geotrust.com,cdp.geotrust.com,status.geotrust.com,ocsp.msocsp.com,*.azurecr.io,docker.io,*.dp.kubernetesconfiguration.azure.com. Lär dig hur du tillämpar FQDN-regler.Om du har någon tidigare installation av Velero i AKS-klustret måste du ta bort det innan du installerar säkerhetskopieringstillägget.
Anmärkning
Velero CRD:erna som är installerade i klustret delas mellan AKS Backup och kundens egen Velero-installation. De versioner som används av varje installation kan dock skilja sig åt, vilket kan leda till fel på grund av kontraktsmissmatchningar.
Dessutom kan anpassade Velero-konfigurationer som skapats av kunden – till exempel en VolumeSnapshotClass för Velero CSI-baserad ögonblicksbild – störa konfigurationen av AKS Backup-ögonblicksbilder.
Velero-anteckningar som innehåller velero.io tillämpade på olika resurser i klustret kan också påverka beteendet för AKS Backup på sätt som inte stöds.
Om du använder Azure-principer i ditt AKS-kluster ska du se till att det tilläggsprefix som heter dataprotection-microsoft undantas från dessa principer så att säkerhetskopierings- och återställningsåtgärder kan köras framgångsrikt.
Om du använder Azure-nätverkssäkerhetsgruppen för att filtrera nätverkstrafik mellan Azure-resurser i ett virtuellt Azure-nätverk anger du en regel för inkommande trafik för att tillåta tjänsttaggar azurebackup och azurecloud.
Roller och behörigheter som krävs
För att kunna utföra åtgärder för säkerhetskopiering och återställning av AKS som användare måste du ha specifika roller i resursgruppen AKS-kluster, Säkerhetskopieringsvalv, Lagringskonto och Ögonblicksbild.
| Omfattning | Föredragen roll | beskrivning |
|---|---|---|
| AKS-kluster | Ägare | Gör att du kan installera säkerhetskopieringstillägget, aktivera betrodd åtkomst och bevilja behörigheter till Säkerhetskopieringsvalvet över klustret. |
| Resursgrupp för säkerhetskopieringsvalv | Backupbidragsgivare | Gör att du kan skapa säkerhetskopieringsvalv i en resursgrupp, skapa en säkerhetskopieringsprincip, konfigurera säkerhetskopiering och återställa och tilldela saknade roller som krävs för säkerhetskopieringsåtgärder. |
| Lagringskonto | Ägare | Gör att du kan utföra läs- och skrivåtgärder på lagringskontot och tilldela nödvändiga roller till andra Azure-resurser som en del av säkerhetskopieringsåtgärderna. |
| Resursgrupp för ögonblicksbilder | Ägare | Gör att du kan utföra läs- och skrivåtgärder i resursgruppen Ögonblicksbild och tilldela nödvändiga roller till andra Azure-resurser som en del av säkerhetskopieringsåtgärderna. |
Anmärkning
Med ägarrollen för en Azure-resurs kan du utföra Azure RBAC-åtgärder för den resursen. Om den inte är tillgänglig måste resursägaren ange de roller som krävs för säkerhetskopieringsvalvet och AKS-klustret innan säkerhetskopierings- eller återställningsåtgärderna initieras.
Som en del av säkerhetskopierings- och återställningsåtgärderna tilldelas följande roller till AKS-klustret, identiteten för säkerhetskopieringstillägget och säkerhetskopieringsvalvet.
| Befattning | Tilldelat till | Tilldelad den | beskrivning |
|---|---|---|---|
| Läsare | Säkerhetskopieringsvalv | AKS-kluster | Tillåter säkerhetskopieringsvalvet att utföra lista och läsa operationer i AKS-klustret. |
| Läsare | Säkerhetskopieringsvalv | Resursgrupp för ögonblicksbilder | Tillåter säkerhetskopieringsvalv att utföra list- och läsåtgärder på resursgruppen för snapshots. |
| Deltagare | AKS-kluster | Resursgrupp för ögonblicksbilder | Gör att AKS-klustret kan lagra beständiga ögonblicksbilder av volymer i resursgruppen. |
| Storage Blob Data Bidragsgivare | Tilläggsidentitet | Lagringskonto | Tillåter att säkerhetskopieringstillägget lagrar säkerhetskopieringar av klusterresurser i blobcontainern. |
| Dataoperator för hanterade diskar | Säkerhetskopieringsvalv | Resursgrupp för ögonblicksbilder | Tillåter att Backup Vault-tjänsten flyttar inkrementella ögonblicksbildsdata till valvet. |
| Bidragsgivare för diskögonblicksbild | Säkerhetskopieringsvalv | Resursgrupp för ögonblicksbilder | Gör att Backup Vault kan komma åt ögonblicksbilder av diskar och utföra valvåtgärder. |
| Läsare av lagringsblobdata | Säkerhetskopieringsvalv | Lagringskonto | Tillåt att Backup Vault får åtkomst till blobcontainern där säkerhetskopierade data lagras för att flyttas till Valvet. |
| Deltagare | Säkerhetskopieringsvalv | Förberedelseresursgrupp | Gör att Backup Vault kan hydrera säkerhetskopior som diskar som lagras på valvnivå. |
| Bidragsgivare för lagringskonto | Säkerhetskopieringsvalv | Lagringskonto för mellanlagring | Gör att Backup Vault kan hydrera säkerhetskopior som lagras på valvnivå. |
| Ägare av data i lagringsblob | Säkerhetskopieringsvalv | Lagringskonto för mellanlagring | Möjliggör för Backup Vault att kopiera klustertillstånd i en blobcontainer som lagras i Vault Tier. |
Anmärkning
Med AKS-säkerhetskopiering kan du tilldela dessa roller under säkerhetskopierings- och återställningsprocesser via Azure Portal med ett enda klick.
Nästa steg
- Om säkerhetskopiering av Azure Kubernetes Service
- Scenarier som stöds för säkerhetskopiering av Azure Kubernetes Service-kluster
- Säkerhetskopiera Azure Kubernetes Service-kluster med hjälp av Azure Portal, Azure PowerShell
- Återställa Azure Kubernetes Service-kluster med hjälp av Azure Portal, Azure CLI, Azure PowerShell
- Hantera säkerhetskopieringar av Azure Kubernetes Service-kluster