#kubernetes #velero #backup
如何採用雲原生作法 Velero備份還原你的 Kubernetes 叢集?Phil Huang 黃秉鈞 台灣雲原生使用者社群 (Cloud Native Taiwan User Group)
View Slide
黃秉鈞 Phil Huang• 在地社群活躍推廣者• 台灣雲原生使用者社群 Cloud Native Taiwan User Group• 開源人年會 COSCUP• 現任職於 VMware Systems Engineer• 負責現代化應用平台 Tanzu (aka 猛男撿樹枝)• 專長領域• 私有雲平台維運技術研究與實踐• IT 自動化規劃及實踐• 網路虛擬化及軟體定義網路• 個人技術部落格:blog.pichuang.com.tw
Cloud Native TaiwanUser Group我們在這邊!技術迭代,持續學習,行有餘力,努力分享
Q: Kubernetes 災備還原計畫?
災難還原計畫 Disaster Recovery PlanRTO / RPO 目標為 星期/天/小時 為單位 RTO / RPO 目標為 秒 / 即時 為單位RTO: Recovery Time Objective 目標還原時間RPO: Recovery Point Objective 目標點時間Multi Site/Region多區域部署Backup / Restore備份還原
Kubernetes DRP 架構• 平台建立:基於 Kubernetes as aService 觀念,建立多叢集Kubernetes 部署,如 AzureKubernetes Service• 程式部署:利用 Kubernetes 聲明式宣告特性,透過 CI/CD Pipeline或 kubectl apply 直接推送服務於平台之上• 網路服務:對外服務透過 GSLB /SLB / Ingress Controller 以 L7 層服務為主,搭配協助控制網路流• 儲存同步:以個別 Storage 供應商能力為主StorageReplicationIngress AApp 3App 2PVApp 1Shared StorageKubernetesProdIngress BApp 3App 2 App 1PVShared StorageKubernetesDRGSLBSLB A SLB BCI / CD PipelineExternal ContainerRegistryVersion ControlSystem…DevOps Platform
服務為主,平台為輔Ref: 因應 Azure Kubernetes Service (AKS) 中商務持續性和災害復原的最佳做法Kubernetes Ingress Service by VMware NSX Advanced Load Balancer• 在雲原生架構下,主要是以應用程式 (Applications) 作為災難復原主體,而非早期保護單體式服務BM / VM 為主• 基於基礎架構即代碼、Kubernetes 聲明式宣告及容器映像檔不可變動之三大當代雲原生平台特性,於跨雲部署相同服務變得異常簡單• 對於服務來說,最重要的是對外網路架構、多地儲存同步和微服務是否遵照雲原生應用 12 要素撰寫
Q: 每個微服務都能雙活?
理解微服務 3 大類型• 專注於 Application 本身,而非Kubernetes 平台• 主要分為 3 種類型• App 1:Stateless App• App 2:Stateful App• App 3:Distributed App• 關於 Persistent Volume 的存取差異• ReadWriteOnce (RWO)• ReadOnlyMany (ROM)• ReadWriteMany (RWX)• 並非每一個 App 都能適用於支援Active / Active 架構,尤其是Stateful App 形態GSLBSLB A SLB BIngress A Ingress BApp 3 App 3App 2 App 2PVApp 1 App 1PVShared StorageShared StorageStorageReplicationKubernetesProdKubernetesDRRDBMS RDBMSNoSQL NoSQLDatabaseReplicationActive-ActiveDatabase
災難還原計畫 Disaster Recovery PlanRTO / RPO 目標為 星期/天/小時 為單位 RTO / RPO 目標為 秒 / 即時 為單位RTO: Recovery Time Objective 目標還原時間RPO: Recovery Point Objective 目標點時間Multi Site/Region多區域部署Backup / Restore備份還原Active / Active微服務雙活Active / Passive微服務單活
Q: Kubernetes 如何做備份還原?
Ref: https://velero.io/• 主要提供基於 Kubernetes 平台 3 大功能• 基礎災難備援:備份還原 Kubernetes Objects• 跨雲搬遷服務:跨不同 Kubernetes 平台遷移資源• 資料保護能力:於指定 Kubernetes 平台內,定期執行備份還原動作• 由 VMware 作為專案最大貢獻者良心推薦,這工具相當萬用,只要符合標準 API,無論你是哪一家的 Kubernetes 皆可使用
Velero: 基礎災難備援• 需要搭配相容於 S3 協議之 ObjectStorage 使用,例如 Azure Blob、MinIO、Ceph 等• 備份單位可選全叢集 (不含 etcddatabase)、特定 Namespace 或指定Label 備份• 可以使用內建指令 velero schedule進行排程定期備份• 依然可以遵循業界常見 備份 3 2 1 原則• 至少複製 3 份備份• 將備份分別存在 2 種不同儲存媒體• 至少 1 份放在異地GSLBSLB AIngress AKubernetesv1.20Namespace: CNTUGFrontendBackendSharedStorageBackup namespace/labelRestore namespace/labelObjectStorage
CSI: Container Storage InterfaceRef: https://docs.pivotal.io/tkgi/1-11/velero-scenarios.htmlApp Type Backup criteria Kubernetes Service Type Storage Provider ToolsStatelessNamespace Load balancer with dynamic IPNone VeleroLabel Load balancer with dynamic IPNamespace Ingress with static IPStateful Namespace Load balancer with dynamic IP CSI Velero, ResticStateful Namespace Load balancer with static IP CSI Velero, ResticStatefulSet Namespace Headless cluster IP CSI Velero, ResticVelero: 基礎災難備援常見類型• 結論,學 Velero 就能做能做到備份還原 Kubernetes 相關資源• velero install --use-restic …
Velero: 跨雲搬遷• 如同備份還原,但涉及到不同 CloudProvider 之 Kubernetes 平台,有高機會會遇到以下事情• 兩邊 Kubernetes API 不一樣,導致有可能過期的 API 不能用• 各自 Kubernetes 平台的特殊性,如PSP/SCC、Kubernetes 資源不一樣• 若是混合雲架構,則有高機率會遇到雙邊網路受限,導致儲存或映像檔一邊連得到另一邊連不到• 通用建議• 兵家必爭之地:等待各平台出基於Velero 之搬遷工具• 自行手動修復GSLBSLB A SLB BIngress A Ingress BKubernetesv1.20Kubernetesv1.19Namespace: CNTUGFrontendBackendNamespace: CNTUGBackendFrontendSharedStorageBackup namespace/labelRestore namespace/labelObjectStorage
結論:學 Velero 準沒錯• Velero 已成為現代 Kubernetes 資源備份還原最佳的選擇• 很多專業備份軟體廠商也是基於 Velero + Restic 為基礎提供企業級備份能力• 可評估各家 Cloud Provider 提供的 Kubernetes 跟別家的 Kubernetes API 相容性是否一致• 開放性思考• 基於基礎架構即代碼、Kubernetes 聲明式宣告及容器映像檔不可變動之三大當代雲原生平台特性之下,加上現代微服務迭代更新速度較過往快速,為何還需要備份這堆資源? 重新部署不就得了?
Thank You