Prerequisiti per il backup del servizio Azure Kubernetes con Backup di Azure
Questo articolo descrive i prerequisiti per il backup del servizio Azure Kubernetes.
Backup di Azure consente ora di eseguire il backup dei cluster del servizio Azure Kubernetes (risorse cluster e volumi permanenti collegati al cluster) usando un'estensione di backup, che deve essere installata nel cluster. L'insieme di credenziali di Backup comunica con il cluster tramite l'estensione Backup per eseguire operazioni di backup e ripristino. In base al modello di sicurezza con privilegi minimi, un insieme di credenziali di backup deve avere l'Accesso attendibile abilitato per comunicare con il cluster del servizio Azure Kubernetes.
Estensione di backup
L'estensione abilita le funzionalità di backup e ripristino per i carichi di lavoro in contenitori e i volumi persistenti usati dai carichi di lavoro in esecuzione nei cluster del servizio Azure Kubernetes.
L'estensione di backup viene installata nel proprio spazio dei nomi dataprotection-microsoft per impostazione predefinita. Viene installato con ambito a livello di cluster che consente all'estensione di accedere a tutte le risorse del cluster. Durante l'installazione dell'estensione, crea anche un'identità gestita assegnata dall'utente (identità di estensione) nel gruppo di risorse Pool di nodi.
L'estensione di backup usa un contenitore BLOB (fornito in input durante l'installazione) come percorso predefinito per l'archiviazione di backup. Per accedere a questo contenitore BLOB, l'identità dell'estensione richiede il ruolo Collaboratore ai dati dei BLOB di archiviazione nell'account di archiviazione con il contenitore.
È necessario installare l'estensione di backup sia nel cluster di origine di cui eseguire il backup che nel cluster di destinazione in cui deve essere ripristinato il backup.
È possibile installare l'estensione di backup nel cluster dal pannello del portale del servizio Azure Kubernetes nella scheda Backup in Impostazioni. È anche possibile usare i comandi dell'interfaccia della riga di comando di Azure per gestire l'installazione e altre operazioni nell'estensione di backup.
Prima di installare un'estensione in un cluster del servizio Azure Kubernetes, è necessario registrare il provider di risorse
Microsoft.KubernetesConfiguration
a livello di sottoscrizione. Informazioni su come registrare il provider di risorse.L'agente di estensione e l'operatore di estensione sono i componenti principali della piattaforma nel servizio Azure Kubernetes, che vengono installati quando un'estensione di qualsiasi tipo viene installata per la prima volta in un cluster del servizio Azure Kubernetes. Queste funzionalità permettono di distribuire estensioni di terze parti e di terze parti. L'estensione di backup si basa anche su di queste per l'installazione e gli aggiornamenti.
Nota
Entrambi questi componenti principali vengono distribuiti con limiti rigidi aggressivi sulla CPU e sulla memoria, con CPU inferiore allo 0,5% di un core e un limite di memoria compreso tra 50 e 200 MB. Pertanto, l'impatto COGS di questi componenti è molto basso. Poiché sono componenti principali della piattaforma, non è disponibile alcuna soluzione alternativa per rimuoverli dopo l'installazione nel cluster.
Se l'account di archiviazione deve essere fornito come input per l'installazione dell'estensione, si trova in Rete virtuale/Firewall, BackupVault deve essere aggiunto come accesso attendibile in Impostazioni di rete dell'account di archiviazione. Informazioni su come concedere l'accesso a un servizio di Azure attendibile, cosa che consente di archiviare i backup nell'archivio dati dell'insieme di credenziali
Informazioni su come gestire l'operazione per installare l'estensione di backup tramite l'interfaccia della riga di comando di Azure.
Accesso attendibile
Per accedere ai cluster del servizio Azure Kubernetes, molti servizi di Azure dipendono da clusterAdmin kubeconfig e dall'endpoint kube-apiserver accessibile pubblicamente. La funzionalità Accesso attendibile del servizio Azure Kubernetes consente di ignorare la restrizione dell'endpoint privato. Senza usare l'applicazione Microsoft Entra, questa funzionalità consente di fornire il consenso esplicito per l'identità assegnata dal sistema delle risorse consentite per accedere ai cluster del servizio Azure Kubernetes usando un RoleBinding della risorsa di Azure. La funzionalità consente di accedere a cluster del servizio Azure Kubernetes con configurazioni diverse, tra cui cluster privati, cluster con account locali disattivati, cluster Microsoft Entra ID e cluster di intervalli IP autorizzati.
Le risorse di Azure accedono ai cluster del servizio Azure Kubernetes tramite il gateway a livello di area del servizio Azure Kubernetes tramite l'autenticazione dell'identità gestita assegnata dal sistema. L'identità gestita deve disporre delle autorizzazioni Kubernetes appropriate assegnate tramite un ruolo risorsa di Azure.
Per il backup del servizio Azure Kubernetes, l'insieme di credenziali di backup accede ai cluster del servizio Azure Kubernetes tramite Accesso attendibile per configurare i backup e i ripristini. All'insieme di credenziali di backup viene assegnato un ruolo predefinito Microsoft.DataProtection/backupVaults/backup-operator nel cluster del servizio Azure Kubernetes, che consente di eseguire solo operazioni di backup specifiche.
Per abilitare l'accesso attendibile tra un insieme di credenziali di backup e un cluster del servizio Azure Kubernetes. Informazioni su come abilitare l'accesso attendibile
Nota
- È possibile installare l'estensione di backup nel cluster del servizio Azure Kubernetes direttamente dal portale di Azure nella sezione Backup nel portale del servizio Azure Kubernetes.
- È anche possibile abilitare l'Accesso attendibile tra l'insieme di credenziali di backup e il cluster del servizio Azure Kubernetes durante le operazioni di backup o ripristino nel portale di Azure.
Cluster del servizio Azure Kubernetes
Per abilitare il backup per un cluster del servizio Azure Kubernetes, vedere i prerequisiti seguenti: .
Il backup del servizio Azure Kubernetes usa funzionalità di snapshot CSI (Container Storage Interface) per eseguire backup di volumi persistenti. Il supporto del driver CSI è disponibile per i cluster del servizio Azure Kubernetes con la versione 1.21.1 o successive.
Nota
- Attualmente, il backup del servizio Azure Kubernetes supporta solo il backup di volumi persistenti basati su disco di Azure (abilitati dal driver CSI). Se si usano condivisioni file di Azure e volumi persistenti di tipo BLOB di Azure nei cluster del servizio Azure Kubernetes, è possibile configurarli tramite le soluzioni di Backup di Azure disponibili per Condivisione file di Azure e BLOB di Azure.
- In Albero, i volumi non sono supportati dal backup del servizio Azure Kubernetes. È possibile eseguire il backup solo dei volumi basati su driver CSI. È possibile eseguire la migrazione da volumi ad albero a volumi permanenti basati su driver CSI.
Prima di installare l'estensione Backup in un cluster del servizio Azure Kubernetes, accertarsi che i driver e gli snapshot CSI siano abilitati per il cluster. Se sono disabilitati, vedere questi passaggi per abilitarli.
Backup di Azure per il servizio Azure Kubernetes supporta i cluster del servizio Azure Kubernetes usando un'identità gestita assegnata dal sistema o un'identità gestita assegnata dall'utente per le operazioni di backup. Anche se i cluster che usano un'entità servizio non sono supportati, è possibile aggiornare un cluster del servizio Azure Kubernetes esistente per usare un'identità gestita assegnata dal sistema o un'identità gestita assegnata dall'utente.
L'estensione di backup durante l'installazione recupera le immagini del contenitore archiviate nel Registro Container di Microsoft. Se si abilita un firewall nel cluster del servizio Azure Kubernetes, il processo di installazione dell'estensione potrebbe non riuscire a causa di problemi di accesso nel Registro di sistema. Informazioni su come consentire l'accesso MCR dal firewall.
Nel caso in cui il cluster sia presente in una rete virtuale privata e in un firewall, applicare le regole del nome di dominio completo/applicazione seguenti:
*.microsoft.com
,*.azure.com
,*.core.windows.net
,*.azmk8s.io
,*.digicert.com
,*.digicert.cn
,*.geotrust.com
,*.msocsp.com
. Informazioni su come applicare le regole del nome di dominio completo.Se si dispone di un'installazione precedente di Velero nel cluster del servizio Azure Kubernetes, è necessario eliminarla prima di installare l'estensione di backup.
Ruoli di sicurezza e autorizzazioni richiesti
Per eseguire operazioni di backup e ripristino del servizio Azure Kubernetes come utente, è necessario avere ruoli specifici nel cluster del servizio Azure Kubernetes, nell'insieme di credenziali di backup, nell'account di archiviazione e nel gruppo di risorse snapshot.
Ambito | Ruolo preferito | Descrizione |
---|---|---|
Cluster del servizio Azure Kubernetes | Proprietario | Consente di installare l'estensione di backup, abilitare Accesso attendibile e concedere le autorizzazioni per l'insieme di credenziali di backup nel cluster. |
Gruppo di risorse dell'insieme di credenziali di backup | Collaboratore di backup | Consente di creare un insieme di credenziali di backup in un gruppo di risorse, creare criteri di backup, configurare il backup e ripristinare e assegnare i ruoli mancanti necessari per le operazioni di backup. |
Account di archiviazione | Proprietario | Consente di eseguire operazioni di lettura e scrittura nell'account di archiviazione e di assegnare i ruoli necessari ad altre risorse di Azure come parte delle operazioni di backup. |
Gruppo di risorse snapshot | Proprietario | Consente di eseguire operazioni di lettura e scrittura nel gruppo di risorse Snapshot e di assegnare i ruoli necessari ad altre risorse di Azure come parte delle operazioni di backup. |
Nota
Il ruolo proprietario in una risorsa di Azure consente di eseguire operazioni di controllo degli accessi in base al ruolo di Azure di tale risorsa. Se non è disponibile, il proprietario della risorsa deve fornire i ruoli necessari all'insieme di credenziali di backup e al cluster del servizio Azure Kubernetes prima di avviare le operazioni di backup o ripristino.
Inoltre, come parte delle operazioni di backup e ripristino, i ruoli seguenti vengono assegnati al cluster del servizio Azure Kubernetes, all'identità dell'estensione di backup e all'insieme di credenziali di backup.
Ruolo | Assegnato a | Assegnato il | Descrizione |
---|---|---|---|
Reader | Insieme di credenziali per il backup | Cluster del servizio Azure Kubernetes | Consente all'insieme di credenziali di backup di eseguire operazioni List e Read nel cluster del servizio Azure Kubernetes. |
Reader | Insieme di credenziali per il backup | Gruppo di risorse dello snapshot | Consente all'insieme di credenziali di backup di eseguire operazioni List e Read nel gruppo di risorse snapshot. |
Collaboratore | Cluster del servizio Azure Kubernetes | Gruppo di risorse dello snapshot | Consente al cluster del servizio Azure Kubernetes di archiviare snapshot del volume permanenti nel gruppo di risorse. |
Collaboratore ai dati del BLOB di archiviazione | Identità dell'estensione | Account di archiviazione | Consente all'estensione di backup di archiviare i backup delle risorse cluster nel contenitore BLOB. |
Ruolo operatore dati per il disco gestito | Insieme di credenziali per il backup | Gruppo di risorse dello snapshot | Consente al servizio Archivio di backup di spostare i dati incrementali degli snapshot nell'insieme di credenziali. |
Collaboratore snapshot del disco | Insieme di credenziali per il backup | Gruppo di risorse dello snapshot | Consente all'insieme di credenziali di backup di accedere agli snapshot dei dischi ed eseguire l'operazione di archiviazione. |
Lettore dei dati del BLOB di archiviazione | Insieme di credenziali per il backup | Account di archiviazione | Consentire all'Archivio di backup di accedere al contenitore BLOB con i dati di backup archiviati per passare all'insieme di credenziali. |
Collaboratore | Insieme di credenziali per il backup | Gruppo di risorse di per la gestione temporanea | Consente all'Archivio di backup di idratare i backup come dischi archiviati nel livello dell'insieme di credenziali. |
Collaboratore account di archiviazione | Insieme di credenziali per il backup | Account di archiviazione per la gestione temporanea | Consente all'Archivio di backup di idratare i backup archiviati nel livello dell'insieme di credenziali. |
Proprietario dei dati del BLOB di archiviazione | Insieme di credenziali per il backup | Account di archiviazione per la gestione temporanea | Consente all'Archivio di backup di copiare lo stato del cluster in un contenitore BLOB archiviato nel livello dell'insieme di credenziali. |
Nota
Il backup del servizio Azure Kubernetes consente di assegnare questi ruoli durante i processi di backup e ripristino tramite il portale di Azure con un solo clic.
Passaggi successivi
- Informazioni sul backup del servizio Azure Kubernetes
- Scenari supportati per il backup del cluster del servizio Azure Kubernetes
- Eseguire il backup del cluster del servizio Azure Kubernetes
- Ripristinare il cluster del servizio Azure Kubernetes
- Gestire i backup del cluster del servizio Azure Kubernetes