使用velero可以对集群进行备份和恢复,降低集群DR造成的影响。velero的基本原理就是将集群的数据备份到对象存储中,在恢复的时候将数据从对象存储中拉取下来。可以从官方文档查看可接收的对象存储,本地存储可以使用Minio。下面演示使用velero将openstack上的openshift集群备份恢复到阿里云的openshift上。
环境要求:kubernetes >1.7;openshift >3.7
注意:本次使用的velero镜像来自官方dockerhub,版本为v1.2.0-beta.1,而非来自配置文件中的registry.cn-hangzhou.aliyuncs.com/acs/velero:latest。建议采用最新镜像,经验证v1.1.0版本的镜像会出现velero无法在1min内同步对象存储的问题(实际同步为1h)。
安装velero
该步骤需要在openstack和阿里云的openshift上执行,一个用于创建backup,一个执行restore。
使用阿里云oss需要特定的插件支持,velero的安装可以参见阿里云官方文档。
首先需要创建bucket,创建RAM用户并授权该用户,用户所需要的权限如下,以ecs开头的用于操作云盘快照,以oss开头的用于操作oss bucket。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:DescribeSnapshots",
"ecs:CreateSnapshot",
"ecs:DeleteSnapshot",
"ecs:DescribeDisks",
"ecs:CreateDisk",
"ecs:Addtags",
"oss:PutObject",
"oss:GetObject",
"oss:DeleteObject",
"oss:GetBucket",
"oss:ListObjects"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
修改官方项目中的install/credentials-velero文件,内容如下,用于连接oss bucket:
ALIBABA_CLOUD_ACCESS_KEY_ID=<ALIBABA_CLOUD_ACCESS_KEY_ID>
ALIBABA_CLOUD_ACCESS_KEY_SECRET=<ALIBABA_CLOUD_ACCESS_KEY_SECRET>
ALIBABA_CLOUD_OSS_ENDPOINT=<ALIBABA_CLOUD_OSS_ENDPOINT>
在shell中设置如下变量,分别用于设置BackupStorageLocation和VolumeSnapshotLocation。REGION可以从阿里云backet的页面看到,如oss-cn-beijing.aliyuncs.com的REGION就是beijing
BUCKET=<YOUR_BUCKET>
REGION=<YOUR_REGION>
按照官方文档执行如下步骤即可创建velero
kubectl create namespace velero
kubectl create secret generic cloud-credentials --namespace velero --from-file cloud=install/credentials-velero
kubectl apply -f install/00-crds.yaml
sed -i "s#<BUCKET>#$BUCKET#" install/01-velero.yaml
sed -i "s#<REGION>#$REGION#" install/01-velero.yaml
kubectl apply -f install/01-velero.yaml
配置文件install/01-velero.yaml中使用的镜像是从gcr.io/heptio-images/velero:latest同步的,可以在官方release中查看当前的最新版本
# sync from gcr.io/heptio-images/velero:latest
image: registry.cn-hangzhou.aliyuncs.com/acs/velero:latest
为了方便执行,可以下载velero命令行工具,拷贝到系统$PATH路径即可使用
velero的使用
velero的使用推荐观看该视频,讲解的比较详细。所有支持的命令可以通过--help选项查看
velero会定期同步对象存储中的backup操作(新增/删除)
手动备份
备份集群的所有资源
velero backup create ${BACKUP_NAME}
--include-namespaces选项可以指定备份某些命名空间下面的资源
velero backup create ${BACKUP_NAME} --include-namespaces ${NAMESPACE1},${NAMESPACE2}
--exclude-namespaces选项可以指定备份排除某些命名空间下面的资源
velero backup create ${BACKUP_NAME} --exclude-namespaces ${NAMESPACE1},${NAMESPACE2}
--include-resources选项可以指定备份哪些资源类型;--exclude-resources`可以指定排除某些资源类型
velero backup create ${BACKUP_NAME} --include-resources pod,secret
--ttl可以指定backup的生存周期,在ttl超时后,backup会被定期清理,ttl默认30天
删除backup
使用--confirm可以直接删除备份,无需确认
velero backup delete ${BACKUP_NAME} --confirm
定期backup
定期备份类似kubernetes的cronjob,会定期上传backup到对象存储。在首次执行velero schedule会执行一次数据备份。
# Create a backup every 6 hours
velero create schedule ${SCHEDULE_NAME} --schedule="0 */6 * * *"
# Create a backup every 6 hours with the @every notation
velero create schedule ${SCHEDULE_NAME} --schedule="@every 6h"
# Create a daily backup of the web namespace
velero create schedule ${SCHEDULE_NAME} --schedule="@every 24h" --include-namespaces web
# Create a weekly backup, each living for 90 days (2160 hours)
velero create schedule ${SCHEDULE_NAME} --schedule="@every 168h" --ttl 2160h0m0s
restore
从backup创建restore
velero restore create ${RESTORE_NAME} --from-backup ${BACKUP_NAME}
从backup创建restore,restore默认名为 ${BACKUP_NAME}-<timestamp>
velero restore create --from-backup ${BACKUP_NAME}
从schedule最新一次的backup创建restore
velero restore create --from-schedule ${SCHEDULE_NAME}
指定backup中的某些资源创建restore
velero restore create --from-backup backup-2 --include-resources pod,secret
velero Hook
velero支持两种Hook:Pre Hook和Post Hook,分别表示在backup前执行和在backup后执行
pre.hook.backup.velero.io/container
pre.hook.backup.velero.io/command
pre.hook.backup.velero.io/on-error
pre.hook.backup.velero.io/timeout
post.hook.backup.velero.io/container
post.hook.backup.velero.io/command
post.hook.backup.velero.io/on-error
post.hook.backup.velero.io/timeout
可以通过两种方式注入Hook:Pod annotation和Backup spec
需要注意的是Hook执行失败会导致backup操作失败,因此除非必要,请不要设置Hook
velero debug
查看backup的详细信息,带上detail可以查看备份的资源内容
velero backup describe <backupName> --detail
查看backup的服务日志
velero backup logs <backupName>
查看restore 的详细信息
velero restore describe <restoreName> --detail
查看restore 的服务日志
velero restore logs <restoreName>
查看velero服务日志
kubectl logs deployment/velero -n velero
download backup
使用velero backup download ${BACKUP_NAME}可在本地生成一个backup的压缩包,包含backup的各个资源
velero的删除
执行以下命令可以删除velero
kubectl delete namespace/velero clusterrolebinding/velero
kubectl delete crds -l component=velero
velero暴露Prometheus metrics
安装后的velero默认不会暴露Prometheus metrics。部署如下service,通过访问http://velero-exporter.velero.svc.cluster.local:8085/metrics查看metrics信息
apiVersion: v1
kind: Service
metadata:
labels:
velero: exporter
name: velero-exporter
namespace: velero
spec:
ports:
- name: https
port: 8085
protocol: TCP
targetPort: 8085
selector:
component: velero
Disaster recovery
-
cluster1上创建
velero schedule实现定期备份 -
cluster1发生DR时,在cluster2上执行如下命令即可
kubectl patch backupstoragelocation <STORAGE LOCATION NAME> --namespace velero --type merge --patch '{"spec":{"accessMode":"ReadOnly"}}'velero restore create --from-backup <SCHEDULE NAME>-<TIMESTAMP>kubectl patch backupstoragelocation <STORAGE LOCATION NAME> --namespace velero --type merge --patch '{"spec":{"accessMode":"ReadWrite"}}'上述为官方解决方案,也可以将cluster2的
backupstoragelocation直接设置为ReadOnly,此时cluster将无法创建/删除backup,仅能同步对象存储中的内容这里是一个例子,实现了将一个集群备份到阿里云上
TIPS:
-
openstack无法直接访问阿里云oss
可以在阿里ECS上创建反向代理,openstack通过反向代理连接阿里云oss。此时需要在velero的配置文件
install/01-velero.yaml中增加如下地址解析hostAliases: - hostnames: - "${BUCKET_NAME}.oss-cn-${REGION}-internal.aliyuncs.com" ip: "${PROXY_IP}"在代理情况下,如果在node节点上使用
velero命令行命令,需要在node节点上添加bucket${BUCKET_NAME}.oss-cn-${REGION}-internal.aliyuncs.com的地址解析,如在/ets/hosts中添加如下内容${OSS_PROXY_IP} ${BUCKET_NAME}.oss-cn-${REGION}-internal.aliyuncs.com -
进行集群备份的时候需要两个集群的kubernetes版本保持一致
-
备份集群资源时最好指定需要备份的内容,防止受环境无法备份的资源的影响,如pv/pvc
-
在cluster1创建backup到cluster2同步到该backup之间的时间差在90s以内,实现代码在
pkg/controller/backup_sync_controller.go,velero每30s会调调度backupSyncController.run,backupSyncController.run函数中会对比backupstoragelocations.velero.io资源中的lastSyncedTime字段,当前时间与该字段(上一次同步时间)的时间差大于1min时才会进行同步。status: lastSyncedTime: 2019-10-25T06:05:49.496158379Z -
velero有字段GC功能,一些无法删除或ttl超时的backup会在60min后被GC掉
-
velero集成了restic,用以备份容器的persistent volumes。使用velero备份persistent volumes时需要persistent volumes支持snapshots功能(快照功能通常由Amazon EBS Volumes, Azure Managed Disks, Google Persistent Disks等提供),否则需要单独使用restic,详见官方文档。
PS:restic不会支持阿里OSS (╬▔皿▔)凸 -
如果没有Ali OSS,也可以通过自行搭建Minio作为对象存储服务