共用方式為


使用 Azure 備份進行 Azure Kubernetes Service 備份的必要條件

本文描述 Azure Kubernetes Service (AKS) 備份的必要條件。

Azure 備份現在可讓您使用必須安裝在叢集中的備份延伸模組來備份 AKS 叢集 (叢集資源和連結至叢集的永續性磁碟區)。 備份保存庫會透過此備份延伸模組與叢集通訊,以執行備份和還原作業。 根據最低特殊權限的安全性模型,備份保存庫必須已啟用「信任存取」,才能與 AKS 叢集通訊。

備份延伸模組

  • 延伸模組可針對容器化工作負載和永續性磁碟區 (由 AKS 叢集中執行的工作負載所使用) 啟用備份和還原功能。

  • 備份延伸模組預設會安裝在自己的命名空間 dataprotection-microsoft 中。 其是在全叢集範圍內安裝的,允許延伸模組存取所有叢集資源。 在延伸模組安裝期間,其也會在節點集區資源群組中建立使用者指派的受控識別 (延伸模組身分識別)。

  • 備份延伸模組會使用 Blob 容器 (在安裝期間於輸入中提供) 作為備份儲存體的預設位置。 若要存取此 Blob 容器,延伸模組身分識別對具有容器的儲存體帳戶上需有「儲存體 Blob 資料參與者」角色。

  • 您必須在要備份的來源叢集上,以及將進行還原的目標叢集上安裝備份延伸模組。

  • 在 [設定] 下的 [備份] 索引標籤上,可從 [AKS 入口網站] 刀鋒視窗將備份延伸模組安裝在叢集中。 您也可以使用 Azure CLI 命令,來管理備份延伸模組上的安裝和其他作業

  • 在 AKS 叢集中安裝延伸模組之前,您必須在訂用帳戶層級註冊 Microsoft.KubernetesConfiguration 資源提供者。 了解如何註冊資源提供者

  • 延伸模組代理程式和延伸模組運算子是 AKS 中的核心平台元件,其會在 AKS 叢集中第一次安裝任何類型的延伸模組時安裝。 您可以透過這些元件部署第一方和第三方延伸模組。 備份延伸模組也依賴這些元件進行安裝和升級。

    注意

    部署這兩個核心元件時,對 CPU 和記憶體具有主動式硬性限制,CPU 小於核心的 0.5%,而記憶體限制範圍為 50-200 MB。 因此,這些元件的「COGS 影響」非常低。 因為其是核心平台元件,因此一旦安裝在叢集中,就沒有任何因應措施可用來將其移除。

  • 如果提供作為延伸模組安裝之輸入的儲存體帳戶位於 [虛擬網路/防火牆] 底下,則必須在儲存體帳戶網路設定中將 BackupVault 新增為受信任的存取。 了解如何授予存取受信任 Azure 服務的權利,有助於將備份儲存在保存庫資料存放區中

了解如何使用 Azure CLI 來管理安裝備份延伸模組的作業

信任存取

許多 Azure 服務相依於 clusterAdmin kubeconfig 和「可公開存取的 kube-apiserver 端點」來存取 AKS 叢集。 AKS 信任存取功能可讓您略過私人端點限制。 若不使用 Microsoft Entra 應用程式,這項功能可讓您明確同意系統為允許的資源指派的身分識別,以使用 Azure 資源 RoleBinding 存取 AKS 叢集。 此功能可讓您存取具有不同設定的 AKS 叢集,這些叢集不限於私人叢集、已停用本機帳戶的叢集、Microsoft Entra ID 叢集和經過授權的 IP 範圍叢集。

您的 Azure 資源會使用系統指派的受控識別驗證,透過 AKS 區域閘道來存取 AKS 叢集。 受控識別必須透過 Azure 資源角色獲指派適當的 Kubernetes 權限。

針對 AKS 備份,備份保存庫會透過信任存取來存取您的 AKS 叢集,以設定備份和還原。 備份保存庫會在 AKS 叢集中獲指派預先定義的角色 Microsoft.DataProtection/backupVaults/backup-operator,允許其只執行特定的備份作業。

若要啟用備份保存庫與 AKS 叢集之間的受信任存取。 瞭解如何 啟用信任存取

注意

  • 您可以在 AKS 入口網站的 [備份] 區段下,直接從 Azure 入口網站將備份延伸模組安裝在 AKS 叢集上。
  • 在 Azure 入口網站的備份或還原作業期間,您也可以在備份保存庫與 AKS 叢集之間啟用信任存取。

AKS 叢集

若要啟用 AKS 叢集的備份,請參閱下列必要條件:。

  • AKS 備份會使用容器儲存體介面 (CSI) 驅動程式快照集功能,來執行永續性磁碟區的備份。 CSI 驅動程式支援適用於具有 Kubernetes 1.21.1 版或更新版本的 AKS 叢集。

    注意

    • 目前,AKS 備份僅支援 Azure 磁碟型永續性磁碟區 (由 CSI 驅動程式啟用) 的備份。 如果您是在 AKS 叢集中使用 Azure 檔案共用和 Azure Blob 類型永續性磁碟區,您可以透過適用於 Azure 檔案共用Azure Blob 的 Azure 備份解決方案,為其設定備份。
    • 在樹狀結構中,AKS 備份不支援磁碟區;只能備份 CSI 驅動程式型磁碟區。 您可以從樹狀磁碟區移轉至 CSI 驅動程式型永續性磁碟區
  • 在 AKS 叢集中安裝備份延伸模組之前,請確定已為您的叢集啟用 CSI 驅動程式和快照集。 如果停用,請參閱使用這些步驟將其啟用

  • 適用於 AKS 的 Azure 備份支援使用系統指派的受控識別或使用者指派的受控識別進行備份作業的 AKS 叢集。 雖然不支援使用服務主體的叢集,但您可以更新現有的 AKS 叢集,以使用系統指派的受控識別使用者指派的受控識別

  • 安裝期間的備份延伸模組會擷取儲存在 Microsoft Container Registry (MCR) 中的容器映像。 如果您在 AKS 叢集上啟用防火牆,延伸模組安裝程序可能會由於登錄上的存取問題而失敗。 了解如何允許 MCR 從防火牆存取

  • 如果您有私人虛擬網路和防火牆中的叢集,請套用下列 FQDN/應用程式規則:*.microsoft.com*.azure.com*.core.windows.net*.azmk8s.io*.digicert.com*.digicert.cn*.geotrust.com*.msocsp.com。 了解如何申請 FQDN 規則

  • 如果您先前已在 AKS 叢集中安裝 Velero,則必須在安裝備份延伸模組之前將其刪除。

所需的角色和權限

若要以使用者身分執行 AKS 備份和還原作業,您必須對 AKS 叢集、備份保存庫、儲存體帳戶和快照集資源群組具有特定角色。

範圍 偏好的角色 描述
AKS 叢集 負責人 可讓您安裝備份延伸模組、啟用「信任存取」,並授與對叢集上備份保存庫的權限。
備份保存庫資源群組 備份參與者 可讓您在資源群組中建立備份保存庫、建立備份原則、設定備份,以及還原和指派備份作業所需的遺漏角色。
儲存體帳戶 負責人 可讓您在儲存體帳戶上執行讀取和寫入作業,並將必要的角色指派給其他 Azure 資源,作為備份作業的一部分。
快照資源群組 負責人 可讓您在快照集資源群組上執行讀取和寫入作業,並將必要的角色指派給其他 Azure 資源,作為備份作業的一部分。

注意

Azure 資源上的擁有者角色可讓您執行該資源的 Azure RBAC 作業。 如果無法使用,「資源擁有者」必須先提供備份保存庫和 AKS 叢集的必要角色,然後才能起始備份或還原作業。

此外,作為備份和還原作業的一部分,下列角色也會指派給 AKS 叢集、備份延伸模組身分識別和備份保存庫。

角色 指派至 指派於 描述
讀取者 備份保存庫 AKS cluster 允許備份保存庫在 AKS 叢集上執行「列出」和「讀取」作業。
讀取者 備份保存庫 快照資源群組 允許備份保存庫在快照集資源群組上執行「列出」和「讀取」作業。
參與者 AKS cluster 快照資源群組 允許 AKS 叢集將持續性磁碟區快照儲存在資源群組中。
儲存體 Blob 資料參與者 延伸項目身分識別 儲存體帳戶 允許備份延伸項目將叢集資源備份儲存在 Blob 容器中。
受控磁碟的資料操作員 備份保存庫 快照資源群組 允許備份保存庫服務將增量快照集資料移至保存庫。
磁碟快照參與者 備份保存庫 快照資源群組 允許備份保存庫存取磁碟快照集並執行保存庫作業。
儲存體 Blob 資料讀者 備份保存庫 儲存體帳戶 允許備份保存庫存取 Blob 容器,將儲存的備份資料移至保存庫。
參與者 備份保存庫 預備資源群組 允許備份保存庫序列化備份,作為保存庫層中儲存的磁碟。
儲存體帳戶參與者 備份保存庫 暫存儲存體帳戶 允許備份保存庫序列化保存庫層中儲存的備份。
儲存體 Blob 資料擁有者 備份保存庫 暫存儲存體帳戶 允許備份保存庫在保存庫層中儲存的 Blob 容器中複製叢集狀態。

注意

AKS 備份可讓您在備份和還原過程中,透過 Azure 入口網站只需按一下即可指派這些角色。

下一步