譯者 | 張哲剛

審校 | 孫淑娟 梁策

隨著企業(yè)將 Kubernetes 投入生產(chǎn)，Kubernetes集群和應(yīng)用程序的不斷增加，它們也需要提供媲美其他生產(chǎn)系統(tǒng)的“企業(yè)級”服務(wù)。一旦遭遇意外事故、系統(tǒng)崩潰或惡意攻擊，執(zhí)行Kubernetes備份對保護(hù)應(yīng)用程序的運(yùn)行至關(guān)重要。除了應(yīng)用程序自有的彈性和數(shù)據(jù)保護(hù)機(jī)制外，還需要制定正確且有效的備份策略。

合理的Kubernetes 備份和恢復(fù)策略應(yīng)滿足以下幾種需求：

• 如若遭遇不可抵抗力事故時(shí)仍能恢復(fù)整個(gè)集群(容災(zāi)恢復(fù));
• 恢復(fù)特定的應(yīng)用程序(例如部分?jǐn)?shù)據(jù)受損時(shí));
• 在不同的環(huán)境之間遷移集群(本地到云，反之亦然);

Kubernetes備份的難點(diǎn)在于容易出錯(cuò)。這就要求技術(shù)人員操作備份時(shí)必須考慮周全，否則就難以(甚至完全不可能)將集群或應(yīng)用程序從崩潰恢復(fù)至正常。本文通過分析七個(gè)常見的Kubernetes 備份和恢復(fù)錯(cuò)誤，探討Kubernetes 備份存在的風(fēng)險(xiǎn)因素以及使用Kubernetes 備份的最佳操作方案。

Kubernetes 備份有何與眾不同?

Kubernetes備份應(yīng)用程序與虛擬機(jī)上備份和恢復(fù)大不相同。Kubernetes環(huán)境非常動(dòng)態(tài)化，單個(gè)的生產(chǎn)應(yīng)用程序就可能包含數(shù)百個(gè)組件，包括容器或pod、配置文件存儲、證書、加密憑證和卷。依照負(fù)載或其他操作要求，容器實(shí)例不斷變化，與此同時(shí)，數(shù)據(jù)寫入儲存到單個(gè)或多個(gè)可以動(dòng)態(tài)創(chuàng)建的持久卷。要想成功恢復(fù)，Kubernetes 應(yīng)用程序備份必須獲取全部這些信息。完善的Kubernetes集群備份必須包括：存儲在/etcd中的所有的Kubernetes 控制面板參數(shù)、所有的命名空間和所有的持久卷。

Kubernetes 備份和恢復(fù)易犯的錯(cuò)誤

操作人員和開發(fā)人員都有可能會犯錯(cuò)，即便是最強(qiáng)悍的硬件和軟件也有可能會崩潰。當(dāng)今，隨著網(wǎng)絡(luò)犯罪的日益猖獗，正確、完善而及時(shí)的備份是防止人員瀆職的最后一道防線。Kubernetes 備份和恢復(fù)對于生產(chǎn)經(jīng)營的正常運(yùn)轉(zhuǎn)至關(guān)重要，因此必須盡力避免以下七個(gè)常見錯(cuò)誤：

錯(cuò)誤 1：手動(dòng)編寫腳本來管理備份

如果應(yīng)用環(huán)境和業(yè)務(wù)需求非常有限，倒是可以使用Kubernetes API 簡單編寫腳本，用來備份或快照與應(yīng)用程序關(guān)聯(lián)的pod、服務(wù)、配置文件存儲、數(shù)據(jù)存儲和加密憑證。但這種方法的缺陷在于它根本不具備任何擴(kuò)展能力。隨著部署的集群和應(yīng)用程序數(shù)量的增加，這種方法就完全失效了。并且，在完全依賴手動(dòng)腳本的環(huán)境中，所有操作都會變得非常脆弱且難以追蹤和溯源。最終后果就是各個(gè)集群衍生各自的變體，問題上升到只有資深專家才能解決的地步。

錯(cuò)誤 2：備份過程沒有實(shí)現(xiàn)自動(dòng)化

Kubernetes部署的目標(biāo)是使操作得到最大程度的自動(dòng)化。對于大規(guī)模的業(yè)務(wù)運(yùn)營來說，自動(dòng)化至關(guān)重要。嚴(yán)格來說，任何要求定期執(zhí)行的任務(wù)都必須是自動(dòng)化的，包括集群和應(yīng)用程序備份。另外，由于Kubernetes環(huán)境變動(dòng)頻繁，除了按時(shí)計(jì)劃的備份，技術(shù)人員還必須能夠及時(shí)操作臨時(shí)備份。

錯(cuò)誤 3：使用多個(gè)管理工具管理備份

隨著時(shí)間推移，Kubernetes環(huán)境也日新月異地發(fā)展，因此，同時(shí)使用多個(gè)工具來管理備份也是常見的。

• 技術(shù)人員為不同的Kubernetes發(fā)行版適配了不同的工具;或者在本地集群和公有云中使用不同的工具進(jìn)行備份。
• 技術(shù)人員使用現(xiàn)有工具或腳本來備份/etcd(控制面板)，但是使用其他工具或存儲途徑備份持久卷。

在沒有遇到問題的時(shí)候，一切看似安然無恙。但是使用多個(gè)管理工具早晚會導(dǎo)致Kubernetes恢復(fù)出現(xiàn)問題。如何協(xié)調(diào)兩個(gè)或多個(gè)管理工具同步恢復(fù)到某個(gè)時(shí)間點(diǎn)?必須在多個(gè)不同的集群中恢復(fù)同一個(gè)應(yīng)用程序時(shí)怎么辦?所以，正確的選擇是單純使用一個(gè)簡單明了(至少盡可能簡單明了)的工具來管理，這樣的話何時(shí)何地操作恢復(fù)都一樣，輕車熟路。

錯(cuò)誤 4：沒有正確備份持久卷

顧名思義，持久卷就是要持久。如果希望持久卷真正做到持久，那么備份就是必須的。Kubernetes環(huán)境是動(dòng)態(tài)的，因此備份也要隨之而動(dòng)，跟上集群和應(yīng)用程序變化的步伐。如果備份僅限于當(dāng)前操作者視野范圍之內(nèi)的持久卷，那么這種備份操作遲早會有疏漏，無法正確備份所有內(nèi)容。無論是個(gè)人使用還是商用，Kubernetes備份部署都必須做到有能力檢查集群的狀態(tài)以確定需要備份的持久卷。基于策略的方案可以確保技術(shù)人員根據(jù)需要提供的服務(wù)級別，在正確和必要的時(shí)間段備份持久卷。

錯(cuò)誤5：不具備監(jiān)控備份執(zhí)行的能力

對于系統(tǒng)管理員來說，最糟糕的事情莫過于在啟動(dòng)緊急恢復(fù)時(shí)才發(fā)現(xiàn)過去兩周的備份都是失敗的。無論使用什么備份工具，都必須嚴(yán)格要求具備完善的監(jiān)控備份執(zhí)行能力以及驗(yàn)證備份是否成功的能力。形形色色的勒索軟件攻擊最常用的伎倆就是是靜默禁用備份功能，因此這項(xiàng)功能格外重要。一旦無法恢復(fù)，唯一的選擇就只有掏錢包了。

錯(cuò)誤 6：沒有安全地存儲備份憑據(jù)

隨著Kubernetes環(huán)境擴(kuò)展到多個(gè)集群，為每個(gè)集群提供單獨(dú)的備份憑據(jù)是必要的。這些憑據(jù)有可能成為一個(gè)重大漏洞。因此，管理和保護(hù)它們以防止未經(jīng)授權(quán)的訪問，是存儲備份憑據(jù)的安全底線。理想狀況，則是有一個(gè)Kubernetes備份部署，用來自動(dòng)處理備份和其他憑據(jù)。

我們最近的博客文章《保衛(wèi) Kubernetes：將零信任原則應(yīng)用于Kubernetes環(huán)境》詮釋了如何應(yīng)用Kubernetes內(nèi)置功能來防止未經(jīng)授權(quán)的訪問入侵Kubernetes集群。

錯(cuò)誤 7：沒有做好合規(guī)性管理

每個(gè)行業(yè)都必須合規(guī)，都有必須滿足的監(jiān)管要求。大多數(shù)組織也有各自的行業(yè)規(guī)范。明了這些規(guī)則要求非常重要，以確保自身達(dá)標(biāo)或留有富余量，并保證有能力向?qū)徲?jì)人員和安全部門證明自身合規(guī)。

定期報(bào)告可以檢查和發(fā)現(xiàn)問題，找出沒有貫徹執(zhí)行Kubernetes備份方案之處，降低數(shù)據(jù)丟失或泄露的風(fēng)險(xiǎn)，以免頻繁停機(jī)影響商業(yè)信譽(yù)。

譯者介紹

張哲剛，51CTO社區(qū)編輯，系統(tǒng)運(yùn)維工程師，國內(nèi)較早一批硬件評測及互聯(lián)網(wǎng)從業(yè)者，曾入職阿里巴巴。十余年IT項(xiàng)目管理經(jīng)驗(yàn)，具備復(fù)合知識技能，曾參與多個(gè)網(wǎng)站架構(gòu)設(shè)計(jì)、電子政務(wù)系統(tǒng)開發(fā)，主導(dǎo)過某地市級招生考試管理平臺運(yùn)維工作。

原文標(biāo)題：??7 Common Kubernetes Backup and Recovery Mistakes??，作者：Kyle Hunter