使用 Azure Policy 审核 Azure Kubernetes 服务群集并强制为其执行备份操作
在一个组织中,备份或法规符合性管理员的主要职责之一是确保所有业务关键型计算机都以适当的保留期进行备份。
Azure 备份提供了各种内置策略(使用 Azure Policy)来帮助你自动确保 Azure Kubernetes 服务群集的备份配置准备就绪。 根据备份团队和资源的组织方式,可以使用以下任一策略:
策略 1 - 应当在 AKS 群集中安装 Azure 备份扩展
使用此仅审核策略来识别未安装备份扩展的 AKS 群集。 但是,此策略不会自动将备份扩展安装到这些 AKS 群集。 它仅用于评估 AKS 群集的备份合规性整体准备情况,不会立即采取行动。
策略 2 - 应当为 AKS 群集启用 Azure 备份
使用此仅审核策略来识别未启用备份的群集。 但是,此策略不会自动为这些群集配置备份。 它仅用于评估群集的总体合规性,不会立即采取行动。
策略 3 - 在具有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。
组织中的中央备份团队可以使用此策略将备份扩展安装到区域中的任何 AKS 群集。 你可以选择在此策略的作用域中包括包含特定标记的群集。
策略 4 - 在没有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。
组织中的中央备份团队可以使用此策略将备份扩展安装到区域中的任何 AKS 群集。 你可以选择从此策略的作用域中排除包含特定标记的群集。
支持的场景
在审核 AKS 群集并强制为其执行备份之前,请查看支持的以下方案:
内置策略当前仅支持 Azure Kubernetes 服务群集。
用户必须小心,以确保在分配策略 3 和 4 之前启用必要的先决条件。
策略 3 和 4 一次可以分配给一个区域和订阅。
对于策略 1、2、3 和 4,当前不支持管理组作用域。
使用内置策略
本部分介绍了分配策略 3 的端到端过程:在具有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。 类似的说明也适用于其他策略。 分配后,在此作用域下创建的任何新 AKS 群集都会自动安装备份扩展。
若要分配策略 3,请执行以下步骤:
登录到 Azure 门户并导航到“策略”仪表板。
在左边的菜单中选择“定义”以获取跨 Azure 资源的所有内置策略的列表。
筛选类别=备份的列表,并选择名为“在具有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展”的策略。
- 选择该策略的名称。 然后,你将被重定向到此策略的详细定义。
选择窗格顶部的“分配”按钮。 随后会重定向到“分配策略”窗格。
在“基础”下,选择“范围”字段旁边的三个点 。 它会在右侧打开一个上下文窗格,可以在其中选择要应用策略的订阅。 还可以选择资源组,使该策略仅应用于特定资源组中的 AKS 群集。
- 在“参数”选项卡中,从下拉列表中选择一个位置,然后选择此作用域中的 AKS 群集中安装的备份扩展必须关联的存储帐户。 还可选择指定标记名称和标记值数组。 策略分配的作用域中将排除包含给定标记的任何指定值的 AKS 群集。
确保将“效果”设置为 deployIfNotExists。
导航到“查看+创建”,然后选择“创建” 。
注意
- 使用修正在现有 AKS 群集上启用这些策略。