通过

使用 Azure CLI 还原 Azure Kubernetes 服务

本文介绍如何使用 Azure CLI 从 Azure 备份创建的还原点还原 Azure Kubernetes 群集。 还可以使用 Azure PowerShell 还原 AKS 群集。

Azure 备份现在允许使用备份扩展备份 AKS 群集(群集资源和附加到群集的永久性卷);必须在群集中安装该备份扩展。 备份保管库通过此备份扩展与群集通信,以执行备份和还原操作。

可以执行原始位置恢复 (OLR)(在备份的 AKS 群集中还原)和备用位置恢复 (ALR)(在其他 AKS 群集中还原)。 还可以选择要从项目级 (ILR) 的备份中还原的项。

注意

在启动还原操作之前,目标群集应安装备份扩展并为备份保管库启用受信任访问。 了解详细信息

开始之前

开始还原 AKS 群集之前,请查看以下详细信息:

  • 使用 AKS 备份,可以还原到已备份的原始 AKS 群集和备用 AKS 群集。 AKS 备份允许执行完整还原和项级还原。 可以利用还原配置基于要还原的群集资源定义参数。

  • 必须在目标 AKS 群集中安装备份扩展。 此外,必须在备份保管库和 AKS 群集之间启用受信任的访问

  • 如果目标 AKS 群集版本与备份期间使用的版本不同,还原操作可能会失败,或者完成但同时针对各种场景(例如较新的群集版本中有已弃用的资源)发出警告。 如果从保管库层还原,则可以使用暂存位置中的冻结资源将应用程序资源还原到目标群集。

若要详细了解限制和支持的方案,请参阅支持矩阵

验证和准备目标 AKS 群集

在启动还原过程之前,必须验证 AKS 群集是否已准备好进行还原。 这包括要安装的备份扩展,该扩展具有存储/冻结备份的存储帐户的权限,以及在目标 AKS 群集和备份保管库之间启用的受信任访问。

若要验证并准备用于还原的 AKS 群集,请运行以下命令:

  1. 检查是否已在群集中安装备份扩展。

    az k8s-extension show --name azure-aks-backup --cluster-type managedClusters --cluster-name $targetakscluster --resource-group $aksclusterresourcegroup

  2. 如果安装了相应扩展,则检查它是否对存储备份的存储帐户具有适当的权限。

    az role assignment list --all --assignee  $(az k8s-extension show --name azure-aks-backup --cluster-name $targetakscluster --resource-group $aksclusterresourcegroup --cluster-type managedClusters --query aksAssignedIdentity.principalId --output tsv)

  3. 如果未分配角色,请分配该角色。

    az role assignment create --assignee-object-id $(az k8s-extension show --name azure-aks-backup --cluster-name $targetakscluster --resource-group $aksclusterresourcegroup --cluster-type managedClusters --query aksAssignedIdentity.principalId --output tsv) --role 'Storage Account Contributor'  --scope /subscriptions/$subscriptionId/resourceGroups/$storageaccountresourcegroup/providers/Microsoft.Storage/storageAccounts/$storageaccount

  4. 如果未安装备份扩展,则运行以下扩展安装命令,并将存储备份的存储帐户和 Blob 容器作为输入。

    az k8s-extension create --name azure-aks-backup --extension-type microsoft.dataprotection.kubernetes --scope cluster --cluster-type managedClusters --cluster-name $targetakscluster --resource-group $aksclusterresourcegroup --release-train stable --configuration-settings blobContainer=$blobcontainer storageAccount=$storageaccount storageAccountResourceGroup=$storageaccountresourcegroup storageAccountSubscriptionId=$subscriptionId

  5. 将所需的角色分配给存储帐户上的扩展。

    az role assignment create --assignee-object-id $(az k8s-extension show --name azure-aks-backup --cluster-name $targetakscluster --resource-group $aksclusterresourcegroup --cluster-type managedClusters --query aksAssignedIdentity.principalId --output tsv) --role 'Storage Blob Data Contributor'  --scope /subscriptions/$subscriptionId/resourceGroups/$storageaccountresourcegroup/providers/Microsoft.Storage/storageAccounts/$storageaccount

检查受信任访问

若要检查是否在备份保管库和目标 AKS 群集之间启用了受信任访问,请运行以下命令:

az aks trustedaccess rolebinding list --resource-group $aksclusterresourcegroup --cluster-name $targetakscluster

如果未执行此操作,则可以使用以下命令启用受信任访问:

az aks trustedaccess rolebinding create --cluster-name $targetakscluster --name backuprolebinding --resource-group $aksclusterresourcegroup --roles Microsoft.DataProtection/backupVaults/backup-operator --source-resource-id /subscriptions/$subscriptionId/resourceGroups/$backupvaultresourcegroup/providers/Microsoft.DataProtection/BackupVaults/$backupvault

还原到 AKS 群集

若要还原到 AKS 群集,请参阅以下部分。

提取相关恢复点

若要提取相关的恢复点,请运行以下命令:

  1. 提取与 AKS 群集关联的所有实例,并标识相关实例。

    az dataprotection backup-instance list-from-resourcegraph --datasource-type AzureKubernetesService --datasource-id /subscriptions/$subscriptionId/resourceGroups/$aksclusterresourcegroup/providers/Microsoft.ContainerService/managedClusters/$akscluster

  2. 标识实例后,提取相关恢复点。

    az dataprotection recovery-point list --backup-instance-name $backupinstancename --resource-group $backupvaultresourcegroup --vault-name $backupvault

  3. 如果要将备份还原到次要区域,请使用标志 --use-secondary-region 标识该区域中可用的恢复点。

    az dataprotection recovery-point list --backup-instance-name $backupinstancename --resource-group $backupvaultresourcegroup --vault-name $backupvault --use-secondary-region true

准备还原请求

使用 az dataprotection backup-instance initialize-restoreconfig 命令准备还原配置,定义要还原到目标 AKS 群集的项。

az dataprotection backup-instance initialize-restoreconfig --datasource-type AzureKubernetesService >restoreconfig.json



{
  "conflict_policy": "Skip",
  "excluded_namespaces": null,
  "excluded_resource_types": null,
  "include_cluster_scope_resources": true,
  "included_namespaces": null,
  "included_resource_types": null,
  "label_selectors": null,
  "namespace_mappings": null,
  "object_type": "KubernetesClusterRestoreCriteria",
  "persistent_volume_restore_mode": "RestoreWithVolumeData",
  "resource_modifier_reference": null,
  "restore_hook_references": null,
  "staging_resource_group_id": null,
  "staging_storage_account_id": null
}

还原配置由以下项组成:

  • conflict_policy:还原期间,如果群集中存在与备份中同名的资源,则可以选择如何处理冲突。 有两个选项:“跳过”(此选项不会还原备份项)或“更新”(此选项使用存储在备份中的资源修改群集中资源的可变字段)。

  • excluded_namespace:可以列出不还原到群集中的命名空间。 不会还原这些命名空间下的资源。

  • excluded_resource_types:可以列出不还原到群集中的资源类型。 输入中的值应以 API 组类型作为键值对提供。

  • include_cluster_scope_resources:可以通过将值设置为 true 或 false 来决定是否要还原群集范围的资源。

  • included_namespaces:可以列出仅作为还原到群集的一部分包含的命名空间。 将还原这些命名空间下的资源。

  • excluded_resource_types:可以列出仅用于还原到群集的资源类型。 输入中的值应以 API 组类型作为键值对提供。

  • label_selectors:可以选择还原带特定标签的资源。 输入值应作为键值对提供。

  • namespace_mappings:可以将命名空间(和基础资源)映射到目标群集中的其他命名空间。 如果群集中不存在目标命名空间,则扩展会创建一个新的命名空间。 输入值应作为键值对提供。

  • object_type:此变量指定恢复配置是用于存储在操作层还是保管层中的恢复点。 如果恢复点位于操作层中,请将该值设置为 KubernetesClusterRestoreCriteria。 如果恢复点位于保管库层或还原到次要区域,请将该值设置为 KubernetesClusterVaultTierRestoreCriteria。

  • persistent_volume_restore_mode:可以使用此变量来确定是否要还原备份的永久性卷。 接受的值是 RestoreWithVolumeData、RestoreWithoutVolumeData

  • resource_modifier_reference:可以使用此变量引用群集中部署的资源修饰符资源。 输入值是部署资源的命名空间的键值对和 yaml 文件的名称。

  • restore_hook_references:可以使用此变量引用群集中部署的还原挂钩资源。 输入值是部署资源的命名空间的键值对和 yaml 文件的名称。

  • staging_resource_group_id:如果要还原存储在保管库层中的备份,则需要提供资源组的 ID 作为暂存位置。 在此资源组中,备份的永久性卷在还原到目标群集之前会冻结。

  • staging_storage_account_id:如果要还原存储在保管库层中的备份,则需要提供存储帐户的 ID 作为暂存位置。 在此资源组中,备份的 kubernetes 资源在还原到目标群集之前会冻结。

现在,使用所有相关详细信息来还原请求。 如果要将备份还原到原始群集,请运行以下命令:

az dataprotection backup-instance restore initialize-for-item-recovery --datasource-type AzureKubernetesService --restore-___location $region --source-datastore OperationalStore --recovery-point-id $recoverypointid --restore-configuration restoreconfig.json --backup-instance-id /subscriptions/$subscriptionId/resourceGroups/$aksclusterresourcegroup/providers/Microsoft.DataProtection/backupVaults/$backupvault/backupInstances/$backupinstanceid >restorerequestobject.json

如果用于还原的目标 AKS 群集不同于原始群集,请运行以下命令:

az dataprotection backup-instance restore initialize-for-data-recovery --datasource-type AzureKubernetesService --restore-___location $region --source-datastore OperationalStore --recovery-point-id $recoverypointid --restore-configuration restoreconfig.json --target-resource-id /subscriptions/$subscriptionId/resourceGroups/$aksclusterresourcegroup/providers/Microsoft.ContainerService/managedClusters/$targetakscluster >restorerequestobject.json

如果目标群集位于次要区域,请使用标志 --use-secondary-region

az dataprotection backup-instance restore initialize-for-data-recovery --datasource-type AzureKubernetesService --restore-___location $region --source-datastore OperationalStore --recovery-point-id $recoverypointid --restore-configuration restoreconfig.json --target-resource-id /subscriptions/$subscriptionId/resourceGroups/$aksclusterresourcegroup/providers/Microsoft.ContainerService/managedClusters/$targetakscluster --use-secondary-region true >restorerequestobject.json

注意

如果已从“保管库层”中选择恢复点,--source-datastore 为 VaultStore,则在还原配置中提供存储帐户和快照资源组。

如果尝试还原到次要区域中的群集,请将标志 --restore-___location 设置为次要区域的名称,并将 --source-datastore 设置为 VaultStore。

现在,可以根据要求更新 JSON 对象,然后运行以下命令来验证该对象:

az dataprotection backup-instance validate-for-restore --backup-instance-name $backupinstancename --resource-group $backupvaultresourcegroup --restore-request-object restorerequestobject.json --vault-name $backupvault

如果目标群集位于次要区域,请使用标志 --use-secondary-region

az dataprotection backup-instance validate-for-restore --backup-instance-name $backupinstancename --resource-group $backupvaultresourcegroup --restore-request-object restorerequestobject.json --vault-name $backupvault --use-secondary-region true

此命令检查 AKS 群集和备份保管库是否在执行还原所需的不同资源上拥有所需的角色。 如果验证因缺少角色而失败,可以通过运行以下命令进行分配:

az dataprotection backup-instance update-msi-permissions --datasource-type AzureKubernetesService --operation Restore --permissions-scope Resource --resource-group  $backupvaultresourcegroup --vault-name $backupvault --restore-request-object restorerequestobject.json --snapshot-resource-group-id /subscriptions/$subscriptionId/resourceGroups/$snapshotresourcegroup

注意

在还原操作期间,备份保管库和 AKS 群集需要拥有分配的特定角色才能执行还原:

  • “目标 AKS”群集应在快照资源组上具有参与者角色。
  • 备份扩展随附的用户标识应在存储备份的存储帐户上(操作层)和暂存存储帐户上(保管库层)具有存储 Blob 数据参与者角色。
  • 在从操作层还原的情况下,备份保管库应在目标 AKS 群集和快照资源组上具有读取者角色。
  • 在从保管库层还原备份的情况下,备份保管库应在暂存资源组上具有参与者角色。
  • 从保管库层还原备份时,备份保管库在暂存存储帐户上应具有“存储帐户参与者”和“存储 Blob 数据所有者”角色。

触发还原

角色分配完成后,应再次验证还原对象。 之后,可以通过运行以下命令来触发还原操作:

az dataprotection backup-instance restore trigger --backup-instance-name $backupinstancename --restore-request-object restorerequestobject.json

如果目标群集位于次要区域,请使用标志 --use-secondary-region

az dataprotection backup-instance restore trigger --backup-instance-name $backupinstancename --restore-request-object restorerequestobject.json --use-secondary-region true

注意

完成还原作业后,暂存资源组和存储帐户中的冻结资源不会自动清理,需要手动删除。

跟踪作业

可以使用 az dataprotection job 命令跟踪还原作业。 可列出所有作业并提取特定作业的详细信息。

还可以使用 Resource Graph 跟踪所有订阅、资源组和备份保管库中的所有作业。 使用 az dataprotection job list-from-resourcegraph 命令获取相关作业。

az dataprotection job list-from-resourcegraph --datasource-type AzureKubernetesService --datasource-id /subscriptions/$subscriptionId/resourceGroups/$aksclusterresourcegroup/providers/Microsoft.ContainerService/managedClusters/$akscluster --operation Restore

后续步骤