在 Kubernetes 中使用(或不使用)Sidecar 的原因

在 Kubernetes 中使用(或不使用)Sidecar 的原因

Sidecar 容器为需要在大规模容器应用集群中进行管理的开发人员提供了极大的便利。但这是否总是正确的方法呢?

Kubernetes 引入 Sidecar 容器来解决一个根本性的挑战:当您通过 Kubernetes 部署应用程序时,往往很难直接将应用程序与各种外部监控工具、日志系统和其他组件集成在一起,这些工具通常对于使用传统服务器的开发人员来说是随时可用的。

Sidecar 容器方法通过在自己的 Kubernetes Pod 实例中运行应用程序的核心进程,同时运行在其旁边的伴随 Pod,来解决这个问题,从而方便访问外部资源和与外部系统通信。换句话说,在 Kubernetes 中使用 Sidecar 可以让您同时实现两个目标。

然而,使这种方法行之有效的关键在于理解何时以及如何使用 Sidecar 容器。让我们检查一些 Sidecar 容器方法的主要优点和缺点,并回顾一些指南,以帮助您决定是否应采用这种方法。

Sidecar 容器的优点

在 Kubernetes 中,Sidecar 容器方法主要是一种用于突破干扰抽象的方法。在这种情况下,它们提供了几个重要优点:

  • 隔离。主要应用程序可以在一个容器中独立运行,而 Sidecar 则可以运行补充进程和工具。这也使得应用程序的主代码库对与之连接的外部服务隐藏起来,可以帮助隔离故障。
  • 快速部署。部署 Sidecar 容器相对较容易,比尝试添加额外层次到主应用程序容器中来集成 Sidecar 中托管的任何功能要容易得多。
  • 可扩展性。一旦您将 Sidecar 容器放置在适当的位置,就可以轻松扩展以支持所需的 Pod 数量。如果您想要,您可以部署一百个 Sidecar 容器,就像部署一个容器一样容易。

Sidecar 容器的缺点

当然,使用 Kubernetes 中的 Sidecar 并非免费的。以下是一些与 Sidecar 容器相关的明显缺点:

  • 资源消耗。更多的容器意味着更多的内存消耗和 CPU 利用率。从资源的角度来看,有时在单个容器中托管所有进程或在节点级别运行补充任务更有效。
  • 管理复杂性。Sidecar 增加了您需要监视和管理的容器总数,更不用说它们之间的关系。您需要一个全面的监控系统,能够跟踪例如 Sidecar 容器故障如何影响您的主应用程序。
  • 更新兼容性。确保更新主应用程序容器与支持它的 Sidecar 兼容可能需要更多的工作,以及这些更新是否可以跨所有相关组件无问题传递。

Sidecar 容器方法的替代方案

Sidecar 容器不是在 Kubernetes 抽象层中建立通道的唯一方法。当然,最明显的选择是直接将您需要的任何额外功能添加到应用程序容器本身中,前提是这不会损害性能。类似地,您可以配置您的全局软件网络,使应用程序可以通过网络本身与外部软件和工具交互。

在许多情况下,还可以向每个 Kubernetes 节点添加类似 DaemonSets 的管理组件,以执行无法在单个容器内部处理的任务。

决定是否值得使用 Sidecar

一般来说,管理 Kubernetes 集群的大型和复杂的团队最终会依赖于 Sidecar 容器。因此,在 Kubernetes Pod 与世界其他部分之间形成的抽象中,Sidecar 已成为一个应对方案。然而,他们并非没有缺点,因此开发团队在随意部署 Sidecar 之前需要仔细考虑。

为了确定 Sidecar 是否是正确的方法,问自己以下几个问题:

  • 您的性能需求是什么? Sidecar 不是运行补充工具的最有效方法,并且如果您只需要为相对简单的任务优化性能,则可能会成为问题。
  • 您的规模是多少? 由于它们易于大规模部署,因此 Sidecar 容器在大型集群中提供最大的利益。在较小的集群中,您可能可以不使用 Sidecar。
  • 功能修改有多困难? 如果您能够轻松将所需的功能添加到应用程序的主代码库或容器中,而不会引起太多问题,则 Sidecar 容器可能是一种过度方法。
  • 您能够管理多少集群复杂性? 尽管它可能简化主应用程序容器,但 Sidecar 通过增加您需要部署和监视的容器数量来增加您的 Pod 集群的复杂性。考虑将复杂性添加到单个实例而不是整个集群的权衡。

Veeam Backup for Salesforce SaaS 灾备解决方案

1.数据洞察与发现 - Salesforce 是企业数据生产力的核心

在客户关系管理 (CRM) 平台这个细分领域,Salesforce 是无可争议的市场领导者,来自市场和消费者数据提供商 IDC 的洞察表明,在 2022年 Salesforce 市场份额为 22.9%。并且该公司以巨大的利润率引领市场,紧随 Salesforce 之后的是 Microsoft 和 Oracle,SAP 和 Adobe。

20221108215946

在全球有超过 150,000 家公司信任 Salesforce ,并用它来管理企业中的数据生态系统——从收集和转换潜在客户到机会,到管理信息以了解和吸引客户,从数据中提取洞察力,到在整个组织内共享信息,一应俱全。显而易见,Salesforce 是企业价值链的核心,但您的组织中最重要的资产——您的数据有多安全?让我们来探讨一下这个问题。

Salesforce Ranked #1 in CRM Market Share for Ninth Consecutive Year
https://www.salesforce.com/news/stories/idc-crm-market-share-ranking-2022/

很明显,Salesforce 是企业价值链的核心,但您的组织中最重要的资产——您的数据有多安全?让我们来探讨一下这个问题。

2. Saleforce 的责任共担模式

总体而言,在数据安全方面,Salesforce 的主要职责是保持其全球基础设施的正常运行。在每个实例上都有如此多的客户,在 Salesforce API 内部和外部限制以及云基础设施的访问安全,这需要进行大量工作来保持平台运行。 Salesforce 专注于履行其对您的承诺,以便您的企业可以通过利用其工具和资源尽可能地取得成功。

与此同时,我们再了解一下企业对数据的责任。通过手动或自动流程创建和更改数据是企业用户的责任。因为企业在实时的创建定制化需求、工作流程、字段和验证规则等等。当由于人为错误、(用户或管理员)集成错误和数据损坏等情况导致数据和元数据丢失时,企业有责任确保这些数据和元数据能够及时恢复,以避免影响到组织正常的运营。

20221108232635

总之,数据安全与合规是企业的责任,每个组织的合规性和法律要求都不同,但 Salesforce 的角色只是数据处理者的角色。即使企业的数据驻留在 Salesforce 中,需要明确的是,企业仍然是数据所有者,为遵守公司和行业法规,数据保护是第一要务。那么原生 Salesforce 备份和恢复服务的效果如何?让我们继续进行深入的讨论。

Salesforce Shared Responsibility Model
https://www.veeam.com/blog/salesforce-shared-responsibility-model.html

3. 原生 Salesforce 备份和恢复服务的效果如何?

来自 Salesforce 自身的说法,Salesforce 保留了一份客户数据副本,用于灾难恢复,但对于客户来说,制定数据备份和恢复策略作为其整体数据管理和安全模型的一部分非常重要。Salesforce 数据恢复服务是一个昂贵且耗时的过程,仅应在没有其他数据副本可用时作为最后手段使用。

根据行业分析师的说法,使用自带的备份功能和恢复功能可能具有以下缺点: 

  • 数据备份恢复时间目标 (RTO) 需要 6 到 8 周 
  • Salesforce 数据恢复服务非常昂贵,每个组织每次恢复的成本为 10,000 美元 
  • 备份不包括重要的 Salesforce 元数据。您将错过自定义字段、页面布局、报告、仪表板和自定义代码备份。 
  • Salesforce 于 2020 年 7 月以质量问题为由终止了其数据恢复服务,在客户要求提供本机备份服务后,该服务于 2021 年 3 月恢复。 
  • Salesforce 建议使用第三方备份作为数据备份策略的一部分。

备份和恢复 Salesforce 数据的最佳实践
https://help.salesforce.com/s/articleView?id=000386692&type=1

4. Veeam Backup for Salesforce 解决方案介绍

Salesforce 数据的增长和业务关键性是毋庸置疑的,尽管 Salesforce 本身也在大声呼吁使用第三方备份作为数据备份策略的一部分,但企业的相关组织却很少备份它。

Veeam Backup for Salesforce 消除了丢失 Salesforce 数据和元数据的风险,从而可靠地保护企业的业务。做为第三方的备份厂商,Veeam Backup for Salesforce 让企业可以自由选择数据存储在哪里,避免存储锁定,并可以将备份基础架构部署到企业选择的任何位置,大大提高了灵活性。Veeam 专为 Salesforce 的 API 而构建,只需单击一下即可恢复记录、字段、文件和元数据,从而帮助您防止人为错误和集成问题。

全新 Veeam Backup for Salesforce 的主要功能包括:

  • Salesforce 原生:专为创建备份和恢复 Salesforce 数据和元数据而构建
  • 快捷恢复:恢复 Salesforce 记录、层次结构、字段、文件和元数据
  • 安全数据:随时随地运行与部署备份环境,本地或云(AWS,Microsoft Azure等)
  • 定制计划:在对象级别设置精细的备份计划和长期保留设置
  • 简化管理:从一个控制台管理多个 Salesforce 实例
  • 增量更改:通过增量同步和灵活性调度,您几乎可以连续备份 Salesforce 数据和元数据
  • 简单易用:通过向导式界面,管理员可在几分钟内运行备份策略和恢复作业
  • 查看比较:在恢复时,管理员可查看记录和元数据的版本,并快速将其与生产进行比较
  • 层次结构:将链接对象精细地还原到任何记录,包括父/子记录

20221108224310

5. Veeam Backup for Salesforce 现已登录 Salesforce AppExchange

Salesforce AppExchange 是领先的企业云市场,提供可立即安装的应用程序和解决方案,可让您将 Salesforce 的功能得到扩展。目前 Veeam Backup for Salesforce 已经登录 Salesforce AppExchange,马上就开展试用吧。

20221108223422

https://appexchange.salesforce.com/listingDetail?listingId=a0N3u00000PuyFpEAJ&tab=e

6. 欢迎下载与试用

本文中所提到的内容与应用场景只是简单的说明,我们希望您可以亲自尝试,并把您的感受与经验分享给我们,以下是试用的链接。

试用链接:

Veeam Backup for Salesforce 试用链接
https://aws.amazon.com/marketplace/pp/B082BJM5M3?qid=1584172885627&sr=0-3&ref_=srh_res_product_title

7. 参考资料

和往常一样,Veeam 擅长从知识管理中的过程中解决客户的疑问,从以下资源列表中,您可以下载任何想要的报告与白皮书。

Veeam Salesforce Protection Trends Report 2022
https://go.veeam.com/wp-veeam-salesforce-protection-trends-report-2022

Salesforce Backup 傻瓜书
https://www.veeam.com/wp-salesforce-backup-dummies.html

企业需要Salesforce备份的9大原因
https://www.veeam.com/wp-salesforce-backup-reasons.html

How to connect Veeam Backup for Salesforce with Salesforce CRM
https://www.veeam.com/kb4240

Kasten 精英训练营教材升级 – 加入基于CSI快照的备份操作

Kasten 精英训练营教材升级 - 加入基于CSI快照的备份操作

前言

创新与迭代是 Veeam 的核心价值观之一,我们近日又对 Kasten 精英训练营的教材进行了升级, 在新升级的教材中有以下更新。

  • 升级 Ubuntu 到 22.04,继利用4C,8G,200G 这个单个虚拟机配置完成实验
  • 使用 External Hostpath CSI 和 External Snapshotter
  • Kasten K10 升级到 5.0.11
  • 利用 Kasten 调用 Hostpath CSI 和 快照进行备份

本文主要内容

[toc]

作者观察 -- 来自 KubeCon 的消息

近日 KubeCon + CloudNativeCon 2022 在底特律的密歇根市如期进行,做为钻石级赞助商的 Kasten by Veeam 在 KubeCon 宣布推出全新的 Kasten by Veeam K10 V5.5,这将包括一系列新的功能。

20221030160606

Kasten K10 V5.5 的新功能包括:

  • 智能策略
    Kasten K10 具有智能决策功能,可大规模简化数据保护流程。用户可以依策略建议在非高峰时间指定备份时间窗口。Kasten K10 不仅会灵活的建议备份时间窗口,还会进一步自动化底层备份作业的排序。这优化了底层基础设施的利用率,并可以在多个策略时并发时自动处理冲突。

  • 提高部署和扩展的便利性
    Kasten K10 通过提供直观的图形向导来生成最合适的安装清单,以进一步简化了部署环节。Kasten K10 5.5 还支持IPv6,支持 Amazon EKS 与 IPv6 Pod 间通信和 GitOps 工作流集成,提供可扩展的工作流以实现高效的应用程序部署以及备份/恢复。

  • 扩展的云原生生态系统
    确保客户能够在不断增加的工作负载类型、地理区域、存储类型和安全性方面获得最新的进步。Kasten K10 现在支持 RedHat OpenShift 虚拟化,使您能够在 Red Hat OpenShift 上并行运行和管理 VM 和容器工作负载。此外,Kasten K10 增加了对 OCP 4.10、Kubernetes 1.23、Azure 文件服务作为备份目标和 Azure 托管身份的支持,以及 AWS 和 GCP 更多区域的支持。

Kasten by Veeam Announces NEW Kasten K10 V5.5 to Simplify Kubernetes Data Protection at Scale with Autonomous Operations and Cloud Native Expansion
https://www.veeam.com/news/kasten-by-veeam-announces-new-kasten-k10-v5-5-to-simplify-kubernetes-data-protection-at-scale-with-autonomous-operations-and-cloud-native-expansion.html
kubeCon + CloudnativeCon 大会详情
https://events.linuxfoundation.org/kubecon-cloudnativecon-north-america/

1. Kasten K10 实验环境准备

1.1. 配置虚拟机

  • 虚拟机配置
    4C 8G 200G HDD, IP: NAT + Static IP, User: Supervisors User and Root(Option)
  • 操作系统
    Ubuntu 20.04 LTS or Ubuntu 22.04 LTS 为了实验方便,Desktop 版本就可以使用。可使用以下链接进行下载。

    Ubuntu 下载链接

1.2. 虚拟机系统环境准备

在安装了操作系统之后,我们要对虚拟机进行一系列软件包的安装

#主机配置,option 自己了解环境就好
$ sudo apt install systemd
#hostname config
$ hostnamectl set-hostname mars-k8s1 $hostnamectl
$ sudo apt install vim
# 多节点时用 (Option)
$ sudo vim /etc/hosts
172.16.124.70 mars-k8s-master1
172.16.124.71 mars-k8s-worker1
# 软件配置,option 自己了解环境就好
$ sudo apt-get install openssh-server
$ sudo apt-get install -y apt-transport-https ca-certificates \
curl gnupg lsb-release
$ sudo apt-get update
# 安装 helm
$ sudo snap install helm --classic

1.3. Docker安装环境准备

#Docker 环境清理
$ sudo apt-get remove -y docker docker-engine \ docker.io containerd runc
#关闭 Swap
$ sudo swapoff -a
$ sudo sed -i -e '/swap/d' /etc/fstab $ swapon --show
#安装Docker 环境
$ curl -fsSL https://download.docker.com/linux/ubuntu/gpg \ | sudo gpg --dearmor \
-o /usr/share/keyrings/docker-archive-keyring.gpg
$ echo \
"deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu
$(lsb_release -cs) stable" \
| sudo tee /etc/apt/sources.list.d/docker.list
$ sudo apt-get update
$ sudo apt-get install -y docker-ce docker-ce-cli containerd.io
$ sudo mkdir -p /etc/docker
$ cat <<EOF | sudo tee /etc/docker/daemon.json
{
"exec-opts": ["native.cgroupdriver=systemd"], "log-driver": "json-file",
"log-opts": {"max-size": "100m"}, "storage-driver": "overlay2"
} EOF
# Docker 开机启动,赋权
$ sudo systemctl restart docker
$ sudo systemctl enable docker
$ sudo usermod -aG docker $USER

1.4. Kubernetes安装与配置

#kubernetes Install
$ curl -s https://mirrors.aliyun.com/kubernetes/apt/doc/apt-key.gpg | sudo apt-key add -
$ sudo tee /etc/apt/sources.list.d/kubernetes.list <<EOF
deb https://mirrors.aliyun.com/kubernetes/apt/ kubernetes-xenial main
EOF
$ sudo apt-get update
$ sudo apt-get install -y kubeadm=1.23.1-00 kubectl=1.23.1-00 kubelet=1.23.1-00
#kubernetes 开机启动
$ sudo systemctl enable kubelet
$ sudo -i
# 以下带♯命令需要在Root权限下运行
♯ systemctl enable kubelet 
♯ systemctl stop etcd
♯ rm -rf /var/lib/etcd
# kubernetes 集群初始化
♯ kubeadm init --kubernetes-version=1.23.1 --pod-network-cidr 10.16.0.0/16 --image-repository registry.aliyuncs.com/google_containers
♯ exit
# 设置kubeconfig
$ mkdir -p $HOME/.kube
$ sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config $ sudo chown $(id -u):$(id -g) $HOME/.kube/config
# 查看 Node 状态
$ kubectl get node
# 去除污点
$ kubectl taint nodes --all node-role.kubernetes.io/master-

1.5. 配置 Kubernetes网络

#安装 CNI
$ kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml
#查看 Calico 服务启动的情况
$ kubectl get pod -n kube-system -w
#注意 CNI 在这里是 Calico 是 CoreDNS 启动的前题条件,Pull Image 有时需要等待和自查。

$ kubectl get po -n kube-system
NAMESPACE     NAME                                       READY   STATUS    RESTARTS      AGE
kube-system   calico-kube-controllers-54965c7ccb-w944s   1/1     Running   0             40m
kube-system   calico-node-rzrww                          1/1     Running   0             39m
kube-system   coredns-6d8c4cb4d-5gz58                    1/1     Running   0             39m
kube-system   coredns-6d8c4cb4d-kl28q                    1/1     Running   0             39m
kube-system   etcd-mars-k8s-1                            1/1     Running   2 (32m ago)   8h
kube-system   kube-apiserver-mars-k8s-1                  1/1     Running   2 (32m ago)   8h
kube-system   kube-controller-manager-mars-k8s-1         1/1     Running   2 (32m ago)   8h
kube-system   kube-proxy-k78cr                           1/1     Running   2 (32m ago)   8h
kube-system   kube-scheduler-mars-k8s-1                  1/1     Running   3 (32m ago)   8h

1.6.安装配置存储与快照组件 StorageClass 和 VolumeSnapshotClass

HostPath 是一种云原生存储类型,它使用的卷是指计划运行 Pod 的节点(虚拟机/计算机)上的目录。我们将为 Kubernetes 集群启用 HostPath 并测试 VolumeSnapshot 功能,这是 Kasten k10 运行的先决条件。请按照以下步骤安装和验证主机路径 CSI 驱动程序:

1.6.1 安装存储类与快照类

安装 volumesnapshot, volumesnapshotcontent, volumesnapshotclass crds

# Create snapshot controller CRDs
$ kubectl apply -f https://github.com/kubernetes-csi/external-snapshotter/raw/v5.0.1/client/config/crd/snapshot.storage.k8s.io_volumesnapshotclasses.yaml
$ kubectl apply -f https://github.com/kubernetes-csi/external-snapshotter/raw/v5.0.1/client/config/crd/snapshot.storage.k8s.io_volumesnapshotcontents.yaml
$ kubectl apply -f https://github.com/kubernetes-csi/external-snapshotter/raw/v5.0.1/client/config/crd/snapshot.storage.k8s.io_volumesnapshots.yaml

# Create snapshot controller
$ kubectl apply -f https://raw.githubusercontent.com/kubernetes-csi/external-snapshotter/${SNAPSHOTTER_VERSION}/deploy/kubernetes/snapshot-controller/rbac-snapshot-controller.yaml
$ kubectl apply -f https://raw.githubusercontent.com/kubernetes-csi/external-snapshotter/${SNAPSHOTTER_VERSION}/deploy/kubernetes/snapshot-controller/setup-snapshot-controller.yaml

External snapshot CRDs and Controller 参考链接
external snapshotter controller
external snapshotter crd

1.6.2 配置 CSI-Driver 部署脚本

$ git clone https://github.com/kubernetes-csi/csi-driver-host-path.git
$ cd csi-driver-host-path/deploy/kubernetes-1.XX
$ ./deploy.sh

# 查看运行情况 
$kubectl get po -A
NAMESPACE     NAME                                       READY   STATUS    RESTARTS        AGE
default       csi-hostpath-socat-0                       1/1     Running   0               4m47s
default       csi-hostpathplugin-0                       8/8     Running   0               4m47s
kube-system   calico-kube-controllers-54965c7ccb-w944s   1/1     Running   0               5h46m
kube-system   calico-node-rzrww                          1/1     Running   0               5h46m
kube-system   coredns-6d8c4cb4d-5gz58                    1/1     Running   0               5h45m
kube-system   coredns-6d8c4cb4d-kl28q                    1/1     Running   0               5h46m
kube-system   etcd-mars-k8s-1                            1/1     Running   2 (5h39m ago)   13h

# csi-hostpathplugin 包括 8 个 容器,看名字我们可以大体知道它们的作用
$ kubectl describe po csi-hostpathplugin-0 |grep Image:
    Image:         registry.k8s.io/sig-storage/hostpathplugin:v1.9.0
    Image:         registry.k8s.io/sig-storage/csi-external-health-monitor-controller:v0.6.0
    Image:         registry.k8s.io/sig-storage/csi-node-driver-registrar:v2.5.1
    Image:         registry.k8s.io/sig-storage/livenessprobe:v2.7.0
    Image:         registry.k8s.io/sig-storage/csi-attacher:v3.5.0
    Image:         registry.k8s.io/sig-storage/csi-provisioner:v3.2.1
    Image:         registry.k8s.io/sig-storage/csi-resizer:v1.5.0
    Image:         registry.k8s.io/sig-storage/csi-snapshotter:v6.0.1

1.6.3 查看与配置 storageclass 与 snapshotclass

# 存储类
$ kubectl get sc
NAME                        PROVISIONER           RECLAIMPOLICY   VOLUMEBINDINGMODE   ALLOWVOLUMEEXPANSION   AGE
csi-hostpath-sc (default)   hostpath.csi.k8s.io   Retain          Immediate           false                  3s
# 快照类
$ kubectl get volumesnapshotclasses
NAME                     DRIVER                DELETIONPOLICY   AGE
csi-hostpath-snapclass   hostpath.csi.k8s.io   Delete           31m

# 标记存储类给K10
$ kubectl annotate volumesnapshotclass csi-hostpath-snapclass k10.kasten.io/is-snapshot-class=true
volumesnapshotclass.snapshot.storage.k8s.io/csi-hostpath-snapclass annotated
# 为存储类标记 snapshotclass
$ kubectl annotate storageclass csi-hostpath-sc k10.kasten.io/volume-snapshot-class=csi-hostpath-snapclass

1.6.4. 用 Kasten Pre-Flight Checks 脚本验证存储类与快照是否工作正常

$ curl https://docs.kasten.io/tools/k10_primer.sh | bash
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  7113  100  7113    0     0  12513      0 --:--:-- --:--:-- --:--:-- 12522
Namespace option not pbashrovided, using default namespace
Checking for tools
 --> Found kubectl
 --> Found helm
Checking if the Kasten Helm repo is present
 --> The Kasten Helm repo was found
Checking for required Helm version (>= v3.0.0)
 --> No Tiller needed with Helm v3.7.0
K10Primer image
 --> Using Image (gcr.io/kasten-images/k10tools:5.0.11) to run test
Checking access to the Kubernetes context kubernetes-admin@kubernetes
 --> Able to access the default Kubernetes namespace
K10 Kanister tools image
 --> Using Kanister tools image (ghcr.io/kanisterio/kanister-tools:0.83.0) to run test

Running K10Primer Job in cluster with command- 
     ./k10tools primer
serviceaccount/k10-primer created
clusterrolebinding.rbac.authorization.k8s.io/k10-primer created
job.batch/k10primer created
Waiting for pod k10primer-lfc5l to be ready - ContainerCreating
Waiting for pod k10primer-lfc5l to be ready - ContainerCreating
Pod Ready!

Kubernetes Version Check:
  Valid kubernetes version (v1.23.1)  -  OK

RBAC Check:
  Kubernetes RBAC is enabled  -  OK

Aggregated Layer Check:
  The Kubernetes Aggregated Layer is enabled  -  OK

         Found multiple snapshot API group versions, using preferred.
CSI Capabilities Check:
  Using CSI GroupVersion snapshot.storage.k8s.io/v1  -  OK

Validate Generic Volume Snapshot:
  Pod created successfully  -  OK
  GVS Backup command executed successfully  -  OK
  Pod deleted successfully  -  OK

serviceaccount "k10-primer" deleted
clusterrolebinding.rbac.authorization.k8s.io "k10-primer" deleted
job.batch "k10primer" deleted

安装测试用的 workload -- mysql

# add bitnami repo
$ helm repo add bitnami https://charts.bitnami.com/bitnami 
# helm install mysql
$ helm install mysql-release bitnami/mysql --namespace mysql --create-namespace \
 --set auth.rootPassword='Start123' \
 --set primary.persistence.size=10Gi
# check mysql status
$ kubectl get all -n mysql
NAME                  READY   STATUS    RESTARTS   AGE
pod/mysql-release-0   1/1     Running   0          99s

NAME                             TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)    AGE
service/mysql-release            ClusterIP   10.104.247.217   <none>        3306/TCP   48m
service/mysql-release-headless   ClusterIP   None             <none>        3306/TCP   48m

NAME                             READY   AGE
statefulset.apps/mysql-release   1/1     48m

2. Kasten K10 的安装与配置

2.1. 安装 Kasten K10

# Add helm chart for Kasten
$ helm repo add kasten https://charts.kasten.io/ 
# Check if kasten repo already added
$ helm repo list
# Fetch the charts
$ helm fetch kasten/k10 --version=5.0.11
# install kasten with following parameters
$ helm install k10 k10-5.0.11.tgz --namespace kasten-io --create-namespace --set global.airgapped.repository=ccr.ccs.tencentyun.com/kasten \
--set auth.tokenAuth.enabled=true \
--set metering.mode=airgap \
--set injectKanisterSidecar.enabled=true \
--set-string injectKanisterSidecar.namespaceSelector.matchLabels.k10/injectKanisterSidecar=true \
--set global.persistence.storageClass=csi-hostpath-sc

# 要确定所有的 Pod 都是 Running 状态才能进行下一步
$ kubectl get po -n kasten-io
NAME                                     READY   STATUS    RESTARTS   AGE
aggregatedapis-svc-5cb69ccb87-f728h      1/1     Running   0          7m18s
auth-svc-59f8597cd-kkm87                 1/1     Running   0          7m19s
catalog-svc-5cc7f8c865-g9wqt             2/2     Running   0          7m18s
controllermanager-svc-64c5fcf9c4-ncwjf   1/1     Running   0          7m19s
crypto-svc-cf68bdd99-n528w               4/4     Running   0          7m19s
dashboardbff-svc-669449d5f4-kxhrw        1/1     Running   0          7m19s
executor-svc-56d8fff95d-7q9gf            2/2     Running   0          7m19s
executor-svc-56d8fff95d-kc769            2/2     Running   0          7m19s
executor-svc-56d8fff95d-zzmhm            2/2     Running   0          7m19s
frontend-svc-7bff945b6c-mndws            1/1     Running   0          7m19s
gateway-78946b9fd7-rsq4t                 1/1     Running   0          7m19s
jobs-svc-c556bffd7-jgwng                 1/1     Running   0          7m18s
k10-grafana-58b85c856d-8pctz             1/1     Running   0          7m19s
kanister-svc-6db7f4d4bc-nhxdw            1/1     Running   0          7m19s
logging-svc-7b87c6dc8-zqfgg              1/1     Running   0          7m19s
metering-svc-b45bfb675-xzp26             1/1     Running   0          7m19s
prometheus-server-64877fdd68-z4ws6       2/2     Running   0          7m19s
state-svc-786864ddc6-tk99x               2/2     Running   0          7m18s

# 设置采 Kasten k10 的 Gateway Service 暴露出来,用 Node Port 方式访问 GUI
$ kubectl expose service gateway -n kasten-io --type=NodePort --name=gateway-nodeport
$ kubectl get svc -n kasten-io gateway-nodeport
NAME               TYPE       CLUSTER-IP      EXTERNAL-IP   PORT(S)          AGE
gateway-nodeport   NodePort   10.97.233.211   <none>        8000:32612/TCP   93s
$ kubectl get nodes -owide
NAME         STATUS   ROLES                  AGE   VERSION   INTERNAL-IP    EXTERNAL-IP   OS-IMAGE             KERNEL-VERSION      CONTAINER-RUNTIME
mars-k8s-1   Ready    control-plane,master   20h   v1.23.1   172.16.60.90   <none>        Ubuntu 22.04.1 LTS   5.15.0-52-generic   docker://20.10.21 

☞ 浏览器访问 K10 UI: http://172.16.60.90:32612/k10/#

20221030200444

2.2. 登录 Kasten K10 GUI 管理界面

☞ 浏览器访问:http://172.16.60.90:32612/k10/#

☞ 用以下命令得到 Token, 以登录到 K10 控制台

$ sa_secret=$(kubectl get serviceaccount k10-k10 -o jsonpath="{.secrets[0].name}" --namespace kasten-io) && kubectl get secret $sa_secret --namespace kasten-io -ojsonpath="{.data.token}{'\n'}" | base64 --decode

☞ 以登录到 K10 控制台

20221030200658

2.3. 安装 MinIO 做为存储库

# Create MinIO Namespace
$ kubectl create ns minio
# Create MinIO by manifest
$ cat <<EOF | kubectl -n minio create -f -
apiVersion: v1
kind: Service
metadata:
  name: minio
spec:
  ports:
  - port: 9000
    targetPort: 9000
  selector:
    app: minio
---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: minio-pvc
spec:
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
      storage: 30Gi
---
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: minio
spec:
  serviceName: "minio"
  replicas: 1
  selector:
    matchLabels:
      app: minio
  template:
    metadata:
      labels:
        app: minio
    spec:
      volumes:
      - name: data
        persistentVolumeClaim:
          claimName: minio-pvc
      containers:
      - name: minio
        volumeMounts:
        - name: data 
          mountPath: "/data"
        image: minio/minio:RELEASE.2020-12-10T01-54-29Z
        args:
        - server
        - /data
        env:
        - name: MINIO_ACCESS_KEY
          value: "minio"
        - name: MINIO_SECRET_KEY
          value: "minio123"
        ports:
        - containerPort: 9000
          hostPort: 9000
EOF

#Check if MinIO Service running normally
$ kubectl get all -n minio
NAME          READY   STATUS    RESTARTS   AGE
pod/minio-0   1/1     Running   0          21m

NAME            TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)    AGE
service/minio   ClusterIP   10.110.230.23   <none>        9000/TCP   21m

NAME                     READY   AGE
statefulset.apps/minio   1/1     21m 

#Expose MinIO Service for UI Acess
$ kubectl expose service minio -n minio --type=NodePort --name=minio-nodeport
$ kubectl get svc -n minio && kubectl get node -o wide
NAME             TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)          AGE
minio            ClusterIP   10.110.230.23    <none>        9000/TCP         23m
minio-nodeport   NodePort    10.106.243.153   <none>        9000:31106/TCP   29s
NAME         STATUS   ROLES                  AGE   VERSION   INTERNAL-IP    EXTERNAL-IP   OS-IMAGE             KERNEL-VERSION      CONTAINER-RUNTIME
mars-k8s-1   Ready    control-plane,master   21h   v1.23.1   172.16.60.90   <none>        Ubuntu 22.04.1 LTS   5.15.0-52-generic   docker://20.10.21

☞ 浏览器访问:http://172.16.60.90:31106/
Access Key: minio
Secret Key: minio123

☞ 点击硬盘图标,Create 名为 Kasten 的 Bucket

20221030201637

2.4. 在 K10 中配置MinIO做为存储库

在 K10 控制台配置存储库

主界面 Settings > Locations > Location Profiles > New Profiles

20221030201456

设定如下参数,点击 “Save Profile”

  • Profile Name: minio
  • Cloud Storage Provider: S3 Compatible
  • Access Key: minio
  • Secret Key: minio123
  • Endpoint: http://minio.minio:9000
  • Check ☑ Skip certificate chain and hostname verification
  • Region:
  • Bucket: kasten

3. 利用快照进行应用程序的备份与恢复

3.1. K10 应用程序发现

主界面 > Applications > mysql 找到我们需要备份的应用

20221030202513

3.4. 创建 Policy 保护 mysql 应用

点击 Crete Policy > 创建备份的策略

选项一切都可默认,点击Create Policy

20221030202924

3.5. 执行备份策略

主界面 > Policies > mysql-backup > Run Once 执行应用备份

20221030203033

3.6. 查看 Dashboard 与命令行中查看备份的执行情况

主界面 > Actions > Policy Run > 点击运行任务查看备份结果

20221030203404

在命令行上查看快照调用的情况

# 查看 volumesnapshot
$ kubectl get volumesnapshot -n mysql
NAME                            READYTOUSE   SOURCEPVC              SOURCESNAPSHOTCONTENT   RESTORESIZE   SNAPSHOTCLASS            SNAPSHOTCONTENT                                    CREATIONTIME   AGE
k10-csi-snap-r4tn4qk94h674rpg   true         data-mysql-release-0                           10Gi          csi-hostpath-snapclass   snapcontent-af9a8c05-b077-4294-aa4f-e7e1d4265759   2d             2d
# 查看 volumesnapshotcontent
$ kubectl get volumesnapshotcontent -n mysql
NAME                                               READYTOUSE   RESTORESIZE   DELETIONPOLICY   DRIVER                VOLUMESNAPSHOTCLASS      VOLUMESNAPSHOT                  VOLUMESNAPSHOTNAMESPACE   AGE
snapcontent-af9a8c05-b077-4294-aa4f-e7e1d4265759   true         10737418240   Delete           hostpath.csi.k8s.io   csi-hostpath-snapclass   k10-csi-snap-r4tn4qk94h674rpg   mysql                     2d

3.9. 在 K10 中还原 mysql 数据到另一个 Namespace

主界面 > Applications > mysql > 点击 Restore查看还原点

20221030204015

点击还原点 > 在 Applications Name 下 > 点击 Create a New Namespace > 输入 mysql-restore > 点击 Create > 点击 Restore

20221030204220

在 Confirm Restore 对话框中, 点击 Restore
20221030204522

3.10.查看 Dashboard 上 mysql-restore 数据还原的情况

20221030204811

3.10.对数据还原的情况进行分析

此时,让我们来观察一下快照的还原机制,通过查看 volumesnapshotcontent, 我们可以发现这里有一个名为 k10-csi-snap-wh9m8wgjg5gzj2x4 的快照,它的快照类为 k10-clone-csi-hostpath-snapclass, DELETIONPOLICY 为 Retain, 很明显这是 K10 为还原而创建的。同时,在对这个 mysql-restore 的 PVC 的描述时,可以发现,这就是源自于这个快照的。

$ kubectl get volumesnapshotcontent -n mysql-restore
NAME                                                                         READYTOUSE   RESTORESIZE   DELETIONPOLICY   DRIVER                VOLUMESNAPSHOTCLASS                VOLUMESNAPSHOT                  VOLUMESNAPSHOTNAMESPACE   AGE
k10-csi-snap-wh9m8wgjg5gzj2x4-content-9e561840-c004-4e0f-88e9-6c7374438a2f   true         10737418240   Retain           hostpath.csi.k8s.io   k10-clone-csi-hostpath-snapclass   k10-csi-snap-wh9m8wgjg5gzj2x4   mysql-restore             2m41s
snapcontent-af9a8c05-b077-4294-aa4f-e7e1d4265759                             true         10737418240   Delete           hostpath.csi.k8s.io   csi-hostpath-snapclass             k10-csi-snap-r4tn4qk94h674rpg   mysql                     2d1h

$ kubectl get pvc -n mysql-restore
mysql-restore   data-mysql-release-0   Bound    pvc-13d8ed12-0173-4f59-b7d5-b5b01d98ea16   1        csi-hostpath-sc   4m51s

$ kubectl -n mysql-restore describe pvc data-mysql-release-0
Name:          data-mysql-release-0
Namespace:     mysql-restore
StorageClass:  csi-hostpath-sc
Status:        Bound
Volume:        pvc-13d8ed12-0173-4f59-b7d5-b5b01d98ea16
Labels:        app.kubernetes.io/component=primary
               app.kubernetes.io/instance=mysql-release
               app.kubernetes.io/name=mysql
Annotations:   pv.kubernetes.io/bind-completed: yes
               pv.kubernetes.io/bound-by-controller: yes
               volume.beta.kubernetes.io/storage-provisioner: hostpath.csi.k8s.io
               volume.kubernetes.io/storage-provisioner: hostpath.csi.k8s.io
Finalizers:    [kubernetes.io/pvc-protection]
Capacity:      10Gi
Access Modes:  RWO
VolumeMode:    Filesystem
DataSource:
  APIGroup:  snapshot.storage.k8s.io
  Kind:      VolumeSnapshot
  Name:      k10-csi-snap-wh9m8wgjg5gzj2x4
Used By:     mysql-release-0
Events:
  Type    Reason                 Age    From                                                                           Message
  ----    ------                 ----   ----                                                                           -------
  Normal  ExternalProvisioning   7m29s  persistentvolume-controller                                                    waiting for a volume to be created, either by external provisioner "hostpath.csi.k8s.io" or manually created by system administrator
  Normal  Provisioning           7m29s  hostpath.csi.k8s.io_csi-hostpathplugin-0_38bf5516-630c-48d9-abf4-56ec8da0599b  External provisioner is provisioning volume for claim "mysql-restore/data-mysql-release-0"
  Normal  ProvisioningSucceeded  7m28s  hostpath.csi.k8s.io_csi-hostpathplugin-0_38bf5516-630c-48d9-abf4-56ec8da0599b  Successfully provisioned volume pvc-13d8ed12-0173-4f59-b7d5-b5b01d98ea16

4. 总结

本文中我们利用一个简单的 Ubuntu 虚拟机,创建了存储类与快照类,并利用 Kasten K10 对调用快照进行备份与还原,使大家在做 K10 的实验时,可以得到与企业级存储快照同样的体验,欢迎关注并转发!

5. 参考链接

Ubuntu 下载链接
https://ubuntu.com/download
external snapshotter controller
https://github.com/kubernetes-csi/external-snapshotter/tree/master/deploy/kubernetes/snapshot-controller
external snapshotter crd
https://github.com/kubernetes-csi/external-snapshotter/tree/v5.0.1/client/config/crd
Kasten Document
https://docs.kasten.io/latest/

Kasten k10 云原生应用安全系列 04 – 深度解读 Kasten K10 RBAC 基于角色的访问控制机制

本文主要内容

  1. RBAC 简介
  2. RBAC 在 Kubernetes 上的应用
  3. 使用 RBAC 为多租户环境配置 Kasten K10
  4. 总结
  5. 参考文献

前言

由于备份是应对勒索病毒攻击等威胁的最后一道防线,因此对备份环境的访问机制的保护尤为重要。作为领先的 Kubernetes 备份和恢复解决方案,Kasten K10 by Veeam 提供了保护 K10 环境所需的细粒度身份和访问管理控制,并可轻松为用户提供其角色所需的访问权限。在这篇文章中,我们将详细讲解 Kasten K10 中基于角色的访问控制 (RBAC) 功能。

继续阅读“Kasten k10 云原生应用安全系列 04 – 深度解读 Kasten K10 RBAC 基于角色的访问控制机制”

Kasten k10 云原生应用安全系列 01 – 使用 keycloak 为 K10 配置基于 OIDC 的身份验证

使用 keycloak 为 K10 配置基于 OIDC 的身份验证

[toc]

前言

访问控制是云原生安全的重要组成部分,也是 Kubernetes 集群在多租户环境中必不可少的基本安全加固手段。在 Kubernetes 中,访问控制分为三个部分:请求认证、授权和准入控制,今天我们的话题重点放在 Kasten K10 的认证和授权这两方面。 Kasten K10 作为云原生数据管理平台,专为 Kubernetes 而构建,符合 Kubernetes 的安全标准, 旨在为为企业运营团队提供是一个易于使用、可扩展且安全的数据管理应用平台,助力企业实现 Kubernetes 应用程序的备份恢复、灾难恢复和应用移动性。本文展示了我们如何通过启用基于 OpenID Connect (OIDC) 的身份验证方式进行身份验证,Kasten K10 支持多个厂商如 Okta、Google、Dex、Keycloak 和 Ping ID 等,本文以开源的 Keycloak 为例,向大家阐述 K10 在认证与授权方面的特性。

继续阅读“Kasten k10 云原生应用安全系列 01 – 使用 keycloak 为 K10 配置基于 OIDC 的身份验证”

Kasten K10 基础知识系列 — Kubernetes 备份定义

Kubernetes 备份定义

Kubernetes 备份的过程是备份在 Kubernetes 编排平台中运行的组件的过程,它是容器化应用程序和服务的抽象层。Kubernetes 集群的组件包括 pod、节点、控制平面和卷,其中每一个组件都需要一定程度的保护。与单体应用程序不同,现代应用程序在 Kubernetes 环境中的容器内包含多个微服务。保护 Kubernetes 集群的主要组件至关重要。随着企业越来越依赖容器化应用程序,Kubernetes 正在成为企业 IT 环境的重要组成部分。Kubernetes 备份可以部署在现场、异地或云端。

业务应用程序和微服务生成大量数据,需要使用强大的数据保护解决方案进行保护。Kubernetes 备份软件使企业能够执行备份并恢复包含容器的所有文件和微服务。

继续阅读“Kasten K10 基础知识系列 — Kubernetes 备份定义”

Kasten k10 云原生应用安全系列 02 – Kasten 调用 HashiCorp Vault 加密备份数据

Kasten 调用 HashiCorp Vault 加密备份数据

1. 数据加密备份的意义

数据是企业的资产,在备份存储库上的数据在保留状态时必须提防恶意行为。数据中心的安全操作规范中对备份数据加密的规定是保护备份基础架构的关键。Kasten by Veeam 将数据保留到存储库时会将备份数据进行加密,以达成存储环境安全的目的。本期文章我们一起学习如何用 HashiCorp Vault 对备份数据进行加密保护。

本文目录
1.数据加密备份的意义
2.Kasten K10 加密的工作原理与设置
3.HashiCorp Vault 与 Transit Secrets Engine 介绍
4.利用 HashiCorp Vault 加密 Kasten k10 备份数据
5.设置 Kasten K10 与 Vault 集成
6.总结

继续阅读“Kasten k10 云原生应用安全系列 02 – Kasten 调用 HashiCorp Vault 加密备份数据”

Kasten k10 云原生应用安全系列 03 – 利用 Kyverno 策略引擎实施和自动化 Kubernetes 数据保护策略

本文重点章节

  • 作者观察
  • Kasten 与 Kyverno
  • Kyerno + Kasten 数据保护策略快速上手
    • Kyerno 策略引擎介绍
    • Kyvero 的安装与部署
    • Kyvero 策略实践 - Kasten 数据保护的策略检查
  • Kasten 数据保护策略的说明
  • 关键要点总结
  • 参考文献

1.作者观察

随着云原生基础架构的普及,越来越多的企业开始把工作重点放在云原生的安全策略上。从 Redhat 公司 《2022 年 Kubernetes 安全现状报告》中,我们发现,受访者最担心由于容器和 Kubernetes 环境中的错误配置而导致的风险。应对这一挑战的最佳方法是尽可能自动化配置管理,以便用安全工具(而不是人工)提供帮助开发人员和 DevOps 团队更安全地配置容器和 Kubernetes 的护栏。

继续阅读“Kasten k10 云原生应用安全系列 03 – 利用 Kyverno 策略引擎实施和自动化 Kubernetes 数据保护策略”

Kasten k10 多云平台适配系列 10 – 利用 Kasten K10 保护 联通云 CSK 云原生应用

Kasten k10 多云平台适配系列 10 - 利用 Kasten K10 保护 联通云 CSK 云原生应用

[TOC]

1. 前言

发展云原生生态圏是 Veeam 的又一重要战略,以 Kasten by Veeam 为圆心,这个战略又分为三个重要的组成部分,公有云厂商、K8S 分发版本和云原生存储厂商。大家都知道在云原生的领域中,公有云的K8S分发版本是市场占有率最高的,Veeam China 在中国的云原生生态战略部局中也积极在与国内多家公有云厂商合作。联通云容器引擎是高性能的企业级 Kubernetes 集群,借助云容器引擎,企业可以在联通云上轻松部署、管理和扩展容器化应用程序。今天我们要讲述的是如何在联通云 CSK kubernetes 引擎上保护云原生应用。

继续阅读“Kasten k10 多云平台适配系列 10 – 利用 Kasten K10 保护 联通云 CSK 云原生应用”

安装 VolumeSnapshot CRDs

安装 VolumeSnapshot CRDs 参考

Written by Mars Zhang

1.前置条件

在安装 VolumeSnapshot CRDs 之前, 需要确认这些 CRDs 是否已经体现在 Kubernetes 系统之上,因为有这个问题,做如下命令。如果 CRD 已存在,则输出应类似于下面显示的输出。第二列显示已安装的 CRD 的版本(在本例中为 v1)。确保它是正在使用的 CSI 驱动程序所需的正确版本。

kubectl api-resources | grep volumesnapshot
volumesnapshotclasses    snapshot.storage.k8s.io/v1        false        VolumeSnapshotClass
volumesnapshotcontents   snapshot.storage.k8s.io/v1        false        VolumeSnapshotContent
volumesnapshots          snapshot.storage.k8s.io/v1        true         VolumeSnapshot

2. Installing CRDs

请注意保证仅安装以下版本的卷快照 CRD 其中一个版本

  • 确保只安装一个版本的卷快照CRD;即不要同时安装 v1 和 v1beta1 CRD。
  • 确保它是正在使用的 CSI 驱动程序所需的正确的卷快照 CRD 版本。
  • 对于 Kubernetes v 1.20+,请安装 v1。对于 Kubernetes v1.19,安装 v1beta1。

3. 安装 v1 CRDs

从 GitHub external-snapshotter 项目下载所需的文件。
运行命令: kubectl apply -f v1.yaml
若成功执行上述命令,v1 卷快照 CRD 现在应该在系统上可用。通过执行 **前置条件** 再次检查。

4. 安装 v1beta1 CRDs

要安装 v1beta1,请按照 Kubernetes 文档中的说明进行操作。假设成功执行上述命令,v1beta1 VolumeSnapshot CRD 现在应该在系统上可用。您可以通过执行以下命令再次检查。

kubectl api-resources | grep volumesnapshot

5. 参考文献

https://docs.trilio.io/kubernetes/appendix/csi-drivers/installing-volumesnapshot-crds
https://github.com/kubernetes-csi/external-snapshotter
https://github.com/kubernetes-csi/external-snapshotter