譯者 | 張哲剛

審校 | 孫淑娟 梁策

隨著企業(yè)將 Kubernetes 投入生產(chǎn)，Kubernetes集群和應(yīng)用程序的不斷增加，它們也需要提供媲美其他生產(chǎn)系統(tǒng)的“企業(yè)級”服務(wù)。一旦遭遇意外事故、系統(tǒng)崩潰或惡意攻擊，執(zhí)行Kubernetes備份對保護應(yīng)用程序的運行至關(guān)重要。除了應(yīng)用程序自有的彈性和數(shù)據(jù)保護機制外，還需要制定正確且有效的備份策略。

合理的Kubernetes 備份和恢復(fù)策略應(yīng)滿足以下幾種需求：

• 如若遭遇不可抵抗力事故時仍能恢復(fù)整個集群(容災(zāi)恢復(fù));
• 恢復(fù)特定的應(yīng)用程序(例如部分?jǐn)?shù)據(jù)受損時);
• 在不同的環(huán)境之間遷移集群(本地到云，反之亦然);

Kubernetes備份的難點在于容易出錯。這就要求技術(shù)人員操作備份時必須考慮周全，否則就難以(甚至完全不可能)將集群或應(yīng)用程序從崩潰恢復(fù)至正常。本文通過分析七個常見的Kubernetes 備份和恢復(fù)錯誤，探討Kubernetes 備份存在的風(fēng)險因素以及使用Kubernetes 備份的最佳操作方案。

Kubernetes 備份有何與眾不同?

Kubernetes備份應(yīng)用程序與虛擬機上備份和恢復(fù)大不相同。Kubernetes環(huán)境非常動態(tài)化，單個的生產(chǎn)應(yīng)用程序就可能包含數(shù)百個組件，包括容器或pod、配置文件存儲、證書、加密憑證和卷。依照負載或其他操作要求，容器實例不斷變化，與此同時，數(shù)據(jù)寫入儲存到單個或多個可以動態(tài)創(chuàng)建的持久卷。要想成功恢復(fù)，Kubernetes 應(yīng)用程序備份必須獲取全部這些信息。完善的Kubernetes集群備份必須包括：存儲在/etcd中的所有的Kubernetes 控制面板參數(shù)、所有的命名空間和所有的持久卷。

Kubernetes 備份和恢復(fù)易犯的錯誤

操作人員和開發(fā)人員都有可能會犯錯，即便是最強悍的硬件和軟件也有可能會崩潰。當(dāng)今，隨著網(wǎng)絡(luò)犯罪的日益猖獗，正確、完善而及時的備份是防止人員瀆職的最后一道防線。Kubernetes 備份和恢復(fù)對于生產(chǎn)經(jīng)營的正常運轉(zhuǎn)至關(guān)重要，因此必須盡力避免以下七個常見錯誤：

錯誤 1：手動編寫腳本來管理備份

如果應(yīng)用環(huán)境和業(yè)務(wù)需求非常有限，倒是可以使用Kubernetes API 簡單編寫腳本，用來備份或快照與應(yīng)用程序關(guān)聯(lián)的pod、服務(wù)、配置文件存儲、數(shù)據(jù)存儲和加密憑證。但這種方法的缺陷在于它根本不具備任何擴展能力。隨著部署的集群和應(yīng)用程序數(shù)量的增加，這種方法就完全失效了。并且，在完全依賴手動腳本的環(huán)境中，所有操作都會變得非常脆弱且難以追蹤和溯源。最終后果就是各個集群衍生各自的變體，問題上升到只有資深專家才能解決的地步。

錯誤 2：備份過程沒有實現(xiàn)自動化

Kubernetes部署的目標(biāo)是使操作得到最大程度的自動化。對于大規(guī)模的業(yè)務(wù)運營來說，自動化至關(guān)重要。嚴(yán)格來說，任何要求定期執(zhí)行的任務(wù)都必須是自動化的，包括集群和應(yīng)用程序備份。另外，由于Kubernetes環(huán)境變動頻繁，除了按時計劃的備份，技術(shù)人員還必須能夠及時操作臨時備份。

錯誤 3：使用多個管理工具管理備份

隨著時間推移，Kubernetes環(huán)境也日新月異地發(fā)展，因此，同時使用多個工具來管理備份也是常見的。

• 技術(shù)人員為不同的Kubernetes發(fā)行版適配了不同的工具;或者在本地集群和公有云中使用不同的工具進行備份。
• 技術(shù)人員使用現(xiàn)有工具或腳本來備份/etcd(控制面板)，但是使用其他工具或存儲途徑備份持久卷。

在沒有遇到問題的時候，一切看似安然無恙。但是使用多個管理工具早晚會導(dǎo)致Kubernetes恢復(fù)出現(xiàn)問題。如何協(xié)調(diào)兩個或多個管理工具同步恢復(fù)到某個時間點?必須在多個不同的集群中恢復(fù)同一個應(yīng)用程序時怎么辦?所以，正確的選擇是單純使用一個簡單明了(至少盡可能簡單明了)的工具來管理，這樣的話何時何地操作恢復(fù)都一樣，輕車熟路。

錯誤 4：沒有正確備份持久卷

顧名思義，持久卷就是要持久。如果希望持久卷真正做到持久，那么備份就是必須的。Kubernetes環(huán)境是動態(tài)的，因此備份也要隨之而動，跟上集群和應(yīng)用程序變化的步伐。如果備份僅限于當(dāng)前操作者視野范圍之內(nèi)的持久卷，那么這種備份操作遲早會有疏漏，無法正確備份所有內(nèi)容。無論是個人使用還是商用，Kubernetes備份部署都必須做到有能力檢查集群的狀態(tài)以確定需要備份的持久卷。基于策略的方案可以確保技術(shù)人員根據(jù)需要提供的服務(wù)級別，在正確和必要的時間段備份持久卷。

錯誤5：不具備監(jiān)控備份執(zhí)行的能力

對于系統(tǒng)管理員來說，最糟糕的事情莫過于在啟動緊急恢復(fù)時才發(fā)現(xiàn)過去兩周的備份都是失敗的。無論使用什么備份工具，都必須嚴(yán)格要求具備完善的監(jiān)控備份執(zhí)行能力以及驗證備份是否成功的能力。形形色色的勒索軟件攻擊最常用的伎倆就是是靜默禁用備份功能，因此這項功能格外重要。一旦無法恢復(fù)，唯一的選擇就只有掏錢包了。

錯誤 6：沒有安全地存儲備份憑據(jù)

隨著Kubernetes環(huán)境擴展到多個集群，為每個集群提供單獨的備份憑據(jù)是必要的。這些憑據(jù)有可能成為一個重大漏洞。因此，管理和保護它們以防止未經(jīng)授權(quán)的訪問，是存儲備份憑據(jù)的安全底線。理想狀況，則是有一個Kubernetes備份部署，用來自動處理備份和其他憑據(jù)。

我們最近的博客文章《保衛(wèi) Kubernetes：將零信任原則應(yīng)用于Kubernetes環(huán)境》詮釋了如何應(yīng)用Kubernetes內(nèi)置功能來防止未經(jīng)授權(quán)的訪問入侵Kubernetes集群。

錯誤 7：沒有做好合規(guī)性管理

每個行業(yè)都必須合規(guī)，都有必須滿足的監(jiān)管要求。大多數(shù)組織也有各自的行業(yè)規(guī)范。明了這些規(guī)則要求非常重要，以確保自身達標(biāo)或留有富余量，并保證有能力向?qū)徲嬋藛T和安全部門證明自身合規(guī)。

定期報告可以檢查和發(fā)現(xiàn)問題，找出沒有貫徹執(zhí)行Kubernetes備份方案之處，降低數(shù)據(jù)丟失或泄露的風(fēng)險，以免頻繁停機影響商業(yè)信譽。

譯者介紹

張哲剛，51CTO社區(qū)編輯，系統(tǒng)運維工程師，國內(nèi)較早一批硬件評測及互聯(lián)網(wǎng)從業(yè)者，曾入職阿里巴巴。十余年IT項目管理經(jīng)驗，具備復(fù)合知識技能，曾參與多個網(wǎng)站架構(gòu)設(shè)計、電子政務(wù)系統(tǒng)開發(fā)，主導(dǎo)過某地市級招生考試管理平臺運維工作。

原文標(biāo)題：??7 Common Kubernetes Backup and Recovery Mistakes??，作者：Kyle Hunter