Administración de las copias de seguridad de Azure Kubernetes Service mediante Azure Backup
En este artículo se describe cómo registrar proveedores de recursos en las suscripciones para usar la extensión de copia de seguridad y el acceso de confianza. Además, se proporcionan los comandos de la CLI de Azure para administrarlos.
Azure Backup ahora permite realizar copias de seguridad de clústeres de AKS (recursos de clúster y volúmenes persistentes asociados al clúster) mediante una extensión de copia de seguridad, que debe instalarse en el clúster. El clúster de AKS requiere que se habilite el acceso de confianza con el almacén de copia de seguridad, de modo que el almacén pueda comunicarse con la extensión de copia de seguridad para realizar operaciones de copia de seguridad y restauración.
Registros del proveedor de recursos
- Debe registrar estos proveedores de recursos en la suscripción antes de iniciar cualquier operación de copia de seguridad y restauración.
- Una vez completado el registro, puede realizar operaciones de copia de seguridad y restauración en todos los clústeres de la suscripción.
Registrar la extensión de copia de seguridad
Para instalar la extensión de copia de seguridad, debe registrar el proveedor de recursos de Microsoft.KubernetesConfiguration en la suscripción. Para realizar el registro, ejecute el siguiente comando:
az provider register --namespace Microsoft.KubernetesConfiguration
El registro puede tardar hasta 10 minutos. Para supervisar el proceso de registro, ejecute el comando siguiente:
az provider show --name Microsoft.KubernetesConfiguration --output table
Registro del acceso de confianza
Para habilitar el acceso de confianza entre el almacén de copia de seguridad y el clúster de AKS, debe registrar la marca de característica TrustedAccessPreview en Microsoft.ContainerService en la suscripción. Para realizar el registro, ejecute los siguientes comandos:
Habilitar la marca de características
Para habilitar la marca de características, siga estos pasos:
Instalar la extensión aks-preview:
az extension add --name aks-previewActualizar a la versión más reciente de la extensión publicada:
az extension update --name aks-previewRegistrar la marca de características TrustedAccessPreview:
az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview"Tarda unos minutos en que el estado muestre Registrado.
Verificar el estado del registro:
az feature show --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview"Cuando el estado se muestre como Registrado, actualice el registro del proveedor de recursos
Microsoft.ContainerService:az provider register --namespace Microsoft.ContainerService
Operaciones relacionadas con la extensión de copia de seguridad
En esta sección se proporciona el conjunto de comandos de la CLI de Azure para crear, actualizar o eliminar operaciones en la extensión de copia de seguridad. Puede usar el comando update para cambiar los límites de proceso para los pods subyacentes de la extensión de copia de seguridad.
Instalación de la extensión de copia de seguridad
Para instalar la extensión de copia de seguridad, ejecute el siguiente comando:
az k8s-extension create --name azure-aks-backup --extension-type microsoft.dataprotection.kubernetes --scope cluster --cluster-type managedClusters --cluster-name <aksclustername> --resource-group <aksclusterrg> --release-train stable --configuration-settings blobContainer=<containername> storageAccount=<storageaccountname> storageAccountResourceGroup=<storageaccountrg> storageAccountSubscriptionId=<subscriptionid>
Visualización del estado de instalación de la extensión de copia de seguridad
Para ver el progreso de la instalación de la extensión de copia de seguridad, use el siguiente comando:
az k8s-extension show --name azure-aks-backup --cluster-type managedClusters --cluster-name <aksclustername> --resource-group <aksclusterrg>
Actualización de recursos en la extensión de copia de seguridad
Para actualizar el contenedor de blobs, la CPU y la memoria en la extensión de copia de seguridad, use el siguiente comando:
az k8s-extension update --name azure-aks-backup --cluster-type managedClusters --cluster-name <aksclustername> --resource-group <aksclusterrg> --release-train stable --configuration-settings [blobContainer=<containername> storageAccount=<storageaccountname> storageAccountResourceGroup=<storageaccountrg> storageAccountSubscriptionId=<subscriptionid>] [cpuLimit=1] [memoryLimit=1Gi]
[]: denotes the 3 different sub-groups of updates possible (discard the brackets while using the command)
Eliminación de la instalación de la extensión de copia de seguridad
Para detener la instalación de la extensión de copia de seguridad, use el siguiente comando:
az k8s-extension delete --name azure-aks-backup --cluster-type managedClusters --cluster-name <aksclustername> --resource-group <aksclusterrg>
Concesión de permiso en la cuenta de almacenamiento
Para proporcionar permiso de colaborador de la cuenta de almacenamiento a la identidad de extensión en la cuenta de almacenamiento, ejecute el siguiente comando:
az role assignment create --assignee-object-id $(az k8s-extension show --name azure-aks-backup --cluster-name <aksclustername> --resource-group <aksclusterrg> --cluster-type managedClusters --query aksAssignedIdentity.principalId --output tsv) --role 'Storage Blob Data Contributor' --scope /subscriptions/<subscriptionid>/resourceGroups/<storageaccountrg>/providers/Microsoft.Storage/storageAccounts/<storageaccountname>
Operaciones relacionadas con el acceso de confianza
Para habilitar el acceso de confianza entre el almacén de Backup y el clúster de AKS, use el siguiente comando de la CLI de Azure:
az aks trustedaccess rolebinding create \
--resource-group <aksclusterrg> \
--cluster-name <aksclustername> \
--name <randomRoleBindingName> \
--source-resource-id $(az dataprotection backup-vault show --resource-group <vaultrg> --vault <VaultName> --query id -o tsv) \
--roles Microsoft.DataProtection/backupVaults/backup-operator
Obtenga más información sobre otros comandos relacionados con el acceso de confianza.
Supervisión de trabajos de copia de seguridad de AKS completados con advertencias
Cuando se realiza una operación de copia de seguridad o restauración programada o a petición, se crea un trabajo correspondiente a la operación para realizar un seguimiento de su progreso. En caso de error, estos trabajos permiten identificar códigos de error y corregir problemas para ejecutar un trabajo correcto más adelante.
En el caso de las copias de seguridad de AKS, los trabajos de copia de seguridad y restauración pueden mostrar el estado Completado con advertencias. Este estado aparece cuando la operación de copia de seguridad y restauración no se realiza correctamente debido a problemas en configuraciones definidas por el usuario o estado interno de la carga de trabajo.
Por ejemplo, si un trabajo de copia de seguridad de un clúster de AKS se completa con el estado Completado con advertencias, se creará un punto de restauración, pero es posible que no haya podido realizar una copia de seguridad de todos los recursos del clúster según la configuración de copia de seguridad. El trabajo mostrará detalles de advertencia, proporcionando los problemas y recursos que se vieron afectados durante la operación.
Para ver estas advertencias, seleccione Ver detalles junto a Detalles de advertencia.
Obtenga información sobre cómo identificar y resolver el error.