Azure Kubernetes 服务备份支持矩阵
可以使用 Azure 备份来保护 Azure Kubernetes 服务 (AKS)。 本文总结了区域可用性、支持的方案以及限制。
支持的区域
- 帐户以下区域支持 AKS 备份的操作层级支持:中国北部 2、中国北部 3、中国东部 2。
注意
为备份保管库启用跨区域还原功能,以便在 Azure 配对区域中提供备份。 请参阅 Azure 配对区域列表。
限制
AKS 备份支持 Kubernetes 版本为 1.22 及以上的 AKS 群集。 此版本安装了容器存储接口 (CSI) 驱动程序。
在 AKS 群集中安装备份扩展之前,请确保为群集启用 CSI 驱动程序和快照。 如果已禁用,请启用这些设置。
首次在 AKS 群集中安装备份扩展时,提供一个新的空 blob 容器作为输入。 不要将同一个 Blob 容器用于多个 AKS 群集。
AKS 备份不支持树内卷。 只能备份基于 CSI 驱动程序的卷。 可以从树卷迁移到基于 CSI 驱动程序的永久性卷。
目前,AKS 备份仅支持备份(由 CSI 驱动程序启用的)基于 Azure 磁盘的永久性卷。 支持的 Azure 磁盘 SKU 包括标准 HDD、标准 SSD 和高级 SSD。 不支持属于高级 SSD v2 和超高性能磁盘 SKU 的磁盘。 支持静态预配卷和动态预配卷。 对于静态磁盘的备份,永久性卷规范应具有 YAML 文件中定义的存储类,否则会从备份操作中跳过此类永久性卷。
由于缺少基于 CSI 驱动程序的快照功能,AKS 备份不支持 Azure 文件存储共享和 Azure Blob 存储永久性卷。 如果你在 AKS 群集中使用上述永久性卷,则可以通过 Azure 备份解决方案为其配置备份。 有关详细信息,请参阅 Azure 文件共享备份和 Azure Blob 存储备份。
为 AKS 群集创建备份时,将跳过任何不受支持的永久性卷类型。
目前不支持使用服务主体的 AKS 群集。 如果 AKS 群集使用服务主体进行授权,则可以将群集更新为使用系统分配的托管标识或用户分配的托管标识。
只能在使用 Ubuntu 和 Azure Linux 作为操作系统的代理节点上安装备份扩展。 具有基于 Windows 的代理节点的 AKS 群集不允许安装备份扩展。
在使用基于 Arm64 的代理节点的 AKS 群集中,无论这些节点上运行的是何种操作系统 (Ubuntu/Azure Linux/Windows),都无法安装备份扩展。
请勿随 Velero 或其他基于 Velero 的备份服务一起安装 AKS 备份扩展。 这可能会导致备份服务在将来由你或 AKS 备份驱动的任何 Velero 升级期间中断
必须在 AKS 群集中安装备份扩展。 如果使用 Azure CLI 安装备份扩展,请确保版本为 2.41 或更高版本。 使用
az upgrade
命令升级 Azure CLI。在备份扩展安装过程中作为输入提供的 blob 容器应与 AKS 群集的 blob 容器位于同一区域和订阅中。 仅支持常规用途 V2 存储帐户中的 blob 容器,不支持高级存储帐户。
备份保管库和 AKS 群集应位于同一区域和订阅中。
适用于 AKS 的 Azure 备份同时提供操作层(快照)和保管库层备份。 每天可在操作层中存储多个备份,而根据定义的保留策略,每天只能在保管库中存储一个备份。
目前,不支持修改备份策略和修改(在配置 AKS 群集备份期间分配给备份实例的)快照资源组。
AKS 群集和备份扩展 Pod 应处于运行状态才能执行任何备份和还原操作。 该状态包括删除过期的恢复点。
为了成功进行备份和还原操作,备份保管库的托管标识需要角色分配。 如果没有所需的权限,则分配角色后,可能会很快在备份配置或还原操作期间发生权限问题,因为角色分配需要几分钟才能生效。 了解角色定义。
备份保管库不支持 Azure Lighthouse。 因此,Lighthouse 无法为 AKS 的 Azure 备份启用跨租户管理,并且无法跨租户备份/还原 AKS 群集。
备份配置会跳过以下命名空间,并且不会为备份共同配置命名空间:
kube-system
、kube-node-lease
、kube-public
。以下是 AKS 备份限制:
设置 限制 每个备份保管库的备份策略数 5,000 每个备份保管库的备份实例数 5,000 每个备份实例每天允许的按需备份数 10 每个备份实例的命名空间数量 800 一天内每个备份实例允许的还原次数 10 支持配置具有专用终结点的存储帐户。
若要通过 Terraform 启用适用于 AKS 的 Azure 备份,其版本应为 >3.99。
保管库备份和跨区域还原的其他限制
只有永久性卷大小 <= 1 TB 的 Azure 磁盘才有资格被移动到保管库层;
灾难恢复功能仅在 Azure 配对区域之间可用(如果在异地冗余备份保管库中配置了备份)。 备份数据仅在 Azure 配对区域中可用。 例如,如果你在“中国北部”区域有一个 AKS 群集,并在异地冗余备份保管库中对其进行了备份,则备份数据也可在“中国北部”区域用于还原。
保管库层每天仅有一个预定恢复点,在主要区域提供 24 小时的 RPO。 对于次要区域,恢复点最多可能需要 12 小时,从而提供 36 小时的 RPO。
从保管库层还原期间,暂存位置(包括存储帐户和资源组)中的冻结资源在还原后不会被清理。 必须手动删除它们。
如果目标群集位于专用虚拟网络中,请按照以下步骤在存储帐户和 AKS 群集之间启用专用终结点。
如果目标 AKS 群集版本与备份期间使用的版本不同,还原操作可能会失败,或者完成但同时针对各种场景(例如较新的群集版本中有已弃用的资源)发出警告。 如果从保管库层还原,则可以使用暂存位置中的冻结资源将应用程序资源还原到目标群集。