本文介绍了 Azure 备份如何使用内置的 Azure Policy 定义来自动审核和强制执行 Azure Kubernetes 服务 (AKS) 群集的备份配置,确保符合组织数据保护标准。
作为备份和符合性管理员,请选择最适合团队结构和资源组织的策略,以有效管理 AKS 群集备份。
AKS 群集备份的 Azure Policy 类型
下表列出了允许自动管理 AKS 群集实例备份的各种策略类型:
| 策略类型 | Description |
|---|---|
| 策略 1 | 标识不符合备份要求的 AKS 群集,而无需对群集进行任何更改。 |
| 策略 2 | 标识未启用备份的 AKS 群集,而无需对群集进行任何更改。 |
| 策略 3 | 在满足特定标记条件的 AKS 群集上自动安装 Azure 备份扩展,确保为备份作做好准备。 |
| 策略 4 | 在不符合特定标记条件的 AKS 群集上自动安装 Azure 备份扩展,确保为备份作做好准备。 |
策略 1 - 应当在 AKS 群集中安装 Azure 备份扩展
使用此仅审核策略来识别未安装备份扩展的 AKS 群集。 但是,此策略不会自动将备份扩展安装到这些 AKS 群集。 它仅用于评估 AKS 群集的备份合规性整体准备情况,不会立即采取行动。
策略 2 - 应当为 AKS 群集启用 Azure 备份
使用此仅审核策略来识别未启用备份的群集。 但是,此策略不会自动为这些群集配置备份。 它仅用于评估群集的总体合规性,不会立即采取行动。
策略 3 - 在具有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。
组织中的中央备份团队可以使用此策略将备份扩展安装到区域中的任何 AKS 群集。 你可以选择在此策略的作用域中包括包含特定标记的群集。
策略 4 - 在没有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。
组织中的中央备份团队可以使用此策略将备份扩展安装到区域中的任何 AKS 群集。 你可以选择从此策略的作用域中排除包含特定标记的群集。
使用 Azure Policy 备份 AKS 群集的受支持和不支持的方案
在审核并强制实施 AKS 群集的备份之前,请查看以下受支持和不支持的方案:
| 策略类型 | 已支持 | 不支持 |
|---|---|---|
| 策略 1、2、3 和 4 | 仅支持 Azure Kubernetes 服务群集。 | 目前不支持管理组范围。 |
| 策略 3 和 4 | 一次只能分配给一个区域和一个订阅。 在分配策略 3 和 4 之前,请确保启用必要的 先决条件 。 |
将内置的 Azure Policy 分配给 AKS 群集备份
本部分介绍了分配策略 3 的端到端过程:在具有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。 类似的说明也适用于其他策略。 分配后,在此作用域下创建的任何新 AKS 群集都会自动安装备份扩展。
若要分配策略 3,请执行以下步骤:
登录到 Azure 门户并转到 “策略 仪表板”。
在左边的菜单中选择“定义”以获取跨 Azure 资源的所有内置策略的列表。
筛选类别=备份的列表,并选择名为“在具有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展”的策略。
- 选择该策略的名称。 然后,你将被重定向到此策略的详细定义。
选择窗格顶部的“分配”按钮。 随后会重定向到“分配策略”窗格。
在“基础”下,选择“范围”字段旁边的三个点 。 它会在右侧打开一个上下文窗格,可以在其中选择要应用策略的订阅。 还可以选择资源组,使该策略仅应用于特定资源组中的 AKS 群集。
- 在“参数”选项卡中,从下拉列表中选择一个位置,然后选择此作用域中的 AKS 群集中安装的备份扩展必须关联的存储帐户。 还可选择指定标记名称和标记值数组。 策略分配的作用域中将排除包含给定标记的任何指定值的 AKS 群集。
确保将“效果”设置为 deployIfNotExists。
导航到“查看+创建”,然后选择“创建” 。
注意
- 使用修正在现有 AKS 群集上启用这些策略。