Guide de l'administrateur Kubernetes sur l'interface utilisateur Web NetBackup™

Last Published:
Product(s): NetBackup & Alta Data Protection (10.4)
  1. Présentation de NetBackup pour Kubernetes
    1.  
      Présentation
    2.  
      Fonctions de prise en charge de NetBackup pour Kubernetes
  2. Déploiement et configuration de l'opérateur NetBackup Kubernetes
    1.  
      Conditions préalables au déploiement de l'opérateur NetBackup Kubernetes
    2.  
      Déploiement du package de service sur l'opérateur NetBackup Kubernetes
    3.  
      Spécifications de port pour le déploiement de l'opérateur Kubernetes
    4.  
      Mise à niveau de l'opérateur NetBackup Kubernetes
    5.  
      Suppression de l'opérateur NetBackup Kubernetes
    6.  
      Configuration du système de déplacement des données NetBackup Kubernetes
    7.  
      Configuration automatisée de la protection NetBackup pour Kubernetes
    8. Configuration des paramètres pour l'opération de snapshot NetBackup
      1.  
        Paramètres de configuration pris en charge par les opérateurs Kubernetes
      2.  
        Conditions préalables pour les opérations de sauvegarde depuis un snapshot et de restauration à partir d'une sauvegarde
      3.  
        Paramètres de client DTE pris en charge par Kubernetes
      4.  
        Personnalisation des propriétés du datamover
    9.  
      Dépannage des serveurs NetBackup avec des noms courts
    10.  
      Prise en charge du mécanisme de planification des pods du système de déplacement des données
    11.  
      Validation de la classe de stockage d'accélérateur
  3. Déploiement de certificats sur l'opérateur NetBackup Kubernetes
    1.  
      Déploiement de certificats sur l'opérateur Kubernetes
    2.  
      Exécution d'opérations de certificats basés sur l'ID d'hôte
    3.  
      Exécution d'opérations de certificat d'autorité de certification externe
    4.  
      Identification des types de certificats
  4. Gestion des biens Kubernetes
    1.  
      Ajout d'un cluster Kubernetes
    2. Définition des paramètres
      1.  
        Modification des limites de ressource pour les types de ressources Kubernetes
      2.  
        Configuration de la fréquence de découverte automatique
      3.  
        Configuration des autorisations
    3.  
      Ajout de biens à un plan de protection
    4. Analyse antimalware
      1.  
        Biens par type de charge de travail
  5. Gestion des groupes intelligents Kubernetes
    1.  
      À propos des groupes intelligents
    2.  
      Création d'un groupe intelligent
    3.  
      Suppression d'un groupe intelligent
    4.  
      Modification d'un groupe intelligent
  6. Protection des biens Kubernetes
    1.  
      Protection d'un groupe intelligent
    2.  
      Suppression de la protection d'un groupe intelligent
    3.  
      Configuration d'une planification de sauvegarde
    4.  
      Configuration des options de sauvegardes
    5.  
      Configuration des sauvegardes
    6.  
      Configuration d'AIR (Auto Image Replication) et de la duplication
    7.  
      Configuration des unités de stockage
    8.  
      Prise en charge du mode volume
    9.  
      Configuration d'une sauvegarde cohérente au niveau application
  7. Gestion des groupes d'images
    1. À propos des groupes d'images
      1.  
        Expiration d'image
      2.  
        Copie d'image
  8. Protection des clusters gérés par Rancher dans NetBackup
    1.  
      Ajout d'un cluster RKE géré par Rancher dans NetBackup à l'aide de la configuration automatisée
    2.  
      Ajout manuel d'un cluster RKE géré par Rancher dans NetBackup
  9. Récupération des biens Kubernetes
    1.  
      Exploration et validation des points de récupération
    2.  
      Restauration à partir d'un snapshot
    3.  
      Restauration à partir d'une copie de sauvegarde
  10. À propos de la sauvegarde incrémentielle et de la restauration
    1.  
      Prise en charge des sauvegardes incrémentielles et des restaurations pour Kubernetes
  11. Activation de la sauvegarde basée sur l'accélérateur
    1.  
      À propos de la prise en charge de l'accélérateur NetBackup pour les charges de travail Kubernetes
    2.  
      Contrôle de l'espace disque réservé aux journaux de suivi sur le serveur principal
    3.  
      Impact du comportement de la classe de stockage sur l'accélérateur
    4.  
      À propos des nouvelles analyses forcées par l'accélérateur
    5.  
      Avertissements et raison probable des échecs des sauvegardes avec accélérateur
  12. Activation du mode FIPS dans Kubernetes
    1.  
      Activer le mode FIPS (Federal Information Processing Standards) dans Kubernetes
  13. Résolution des problèmes liés à Kubernetes
    1.  
      Erreur lors de la mise à niveau du serveur principal : échec de NBCheck
    2.  
      Erreur lors de la restauration d'une image ancienne : l'opération échoue
    3.  
      Erreur de l'API de récupération de volume persistant
    4.  
      Erreur lors de la restauration : l'état final du travail affiche un échec partiel
    5.  
      Erreur lors de la restauration sur le même espace de noms
    6.  
      Pods du datamover dépassant la limite de ressource Kubernetes
    7.  
      Erreur lors de la restauration : le travail échoue sur le cluster hautement chargé
    8.  
      Le rôle Kubernetes personnalisé créé pour des clusters spécifiques ne peut pas afficher les travaux
    9.  
      Openshift crée des PVC vides non sélectionnés lors de la restauration des applications installées à partir d'OperatorHub
    10.  
      L'opérateur NetBackup Kubernetes ne répond plus si la limite de PID est dépassée sur le nœud Kubernetes
    11.  
      Échec lors de la modification du cluster dans NetBackup Kubernetes 10.1
    12.  
      Échec de la restauration à partir d'un snapshot pour les demandes PVC volumineuses
    13.  
      Échec partiel de la restauration des PVC de mode fichier de l'espace de noms sur un système de fichiers différent
    14.  
      Échec de la restauration à partir de la copie de sauvegarde avec une erreur d'incohérence d'image
    15.  
      Vérifications de connectivité entre les serveurs principal/de médias NetBackup et les serveurs Kubernetes
    16.  
      Erreur lors de la sauvegarde avec accélérateur lorsque l'espace disponible pour le journal de suivi est insuffisant
    17.  
      Erreur lors de la sauvegarde avec accélérateur en raison de l'échec de la création de la demande PVC pour le journal de suivi
    18.  
      Erreur lors de la sauvegarde avec accélérateur en raison d'une classe de stockage d'accélérateur non valide
    19.  
      Une erreur se produit lors du démarrage du pod de journal de suivi
    20.  
      Échec de la configuration de l'instance de système de déplacement des données pour l'opération de création de demande PVC pour le journal de suivi
    21.  
      Erreur lors de la lecture de la classe de stockage du journal de suivi à partir du fichier configmap

Exécution d'opérations de certificats basés sur l'ID d'hôte

Assurez-vous que le serveur principal est configuré en mode NBCA. Pour vérifier si le mode NBCA est activé, exécutez la commande suivante : /usr/openv/netbackup/bin/nbcertcmd -getSecConfig -caUsage

La sortie ressemble à l'exemple suivant :

NBCA: ON
ECA: OFF

La spécification du certificat basé sur l'ID d'hôte ressemble à l'exemple suivant :

apiVersion: netbackup.veritas.com/v1
kind: BackupServerCert
metadata:
  name: backupservercert-sample
  namespace: kops-ns
spec:
  clusterName: cluster.sample.com:port
  backupServer: primaryserver.sample.domain.com
  certificateOperation: Create | Update | Remove
  certificateType: NBCA
  nbcaAttributes:
    nbcaCreateOptions:
      secretName: "Secret name consists of token and fingerprint"
    nbcaUpdateOptions:
      secretName: "Secret name consists of token and fingerprint"
      force: true
    nbcaRemoveOptions:
      hostID: "hostId of the nbca certificate. You can view on Netbackup UI"

Tableau : Opérations de certificats basés sur l'ID d'hôte

Type d'opération

Options et commentaires

Créer

secretName : nom du secret qui contient un jeton et une empreinte digitale.

Supprimer

hostID : identification de l'hôte du certificat NBCA.

Mettre à jour

secretName : nom du secret qui contient un jeton et une empreinte digitale.

Création d'un certificat basé sur l'ID d'hôte pour l'opérateur Kubernetes

Vous pouvez créer un certificat basé sur l'ID d'hôte pour l'opérateur Kubernetes en procédant comme suit.

Pour créer un certificat basé sur l'ID d'hôte pour l'opérateur Kubernetes

  1. Sur le serveur de sauvegarde, exécutez la commande suivante et obtenez l'empreinte digitale SHA-256.

    /usr/openv/netbackup/bin/nbcertcmd -listCACertDetails

  2. Pour créer un jeton d'autorisation, consultez la section Création de jetons d'autorisation du Guide de sécurité et de chiffrement NetBackup™.
  3. Pour créer un jeton de renouvellement, si nécessaire, consultez la section Création d'un jeton de renouvellement du Guide de sécurité et de chiffrement NetBackup™.
  4. Créez un secret avec un jeton et une empreinte digitale.
  5. Fournissez un jeton (obligatoire quel que soit le niveau de sécurité).

    Le fichier Token-fingerprint-secret.yaml ressemble à l'exemple suivant :

    apiVersion: v1
kind: Secret
metadata:
  name: secret-name
  namespace: kops-ns
type: Opaque
stringData:
  token: "Authorization token | Reissue token"
  fingerprint: "SHA256 Fingerprint"

    • Copiez le texte du fichier Token-fingerprint-secret.yaml.

    • Ouvrez l'éditeur de texte et collez le texte du fichier YAML.

    • Ensuite, enregistrez le texte en sélectionnant l'extension de fichier YAML dans le répertoire d'origine à partir duquel les clusters Kubernetes sont accessibles.

  6. Pour créer le fichier Token-fingerprint-secret.yaml, exécutez la commande suivante : kubectl create -f Token-fingerprint-secret.yaml
  7. Créez un objet backupservercert avec

    nbcaCreateOptions, puis spécifiez un nom de secret.

    Le fichier nbca-create-backupservercert.yaml ressemble à l'exemple suivant :

    apiVersion: netbackup.veritas.com/v1
kind: BackupServerCert
metadata:
  name: backupserver-nbca-create
  namespace: kops-ns
spec:
  clusterName: cluster.sample.com:port
  backupServer: backupserver.sample.domain.com
  certificateOperation: Create
  certificateType: NBCA
  nbcaAttributes:
    nbcaCreateOptions:
      secretName: nbcaSecretName with token and fingerprint

    • Copiez le texte du fichier nbca-create-backupservercert.yaml.

    • Ouvrez l'éditeur de texte et collez le texte du fichier YAML.

    • Ensuite, enregistrez le texte en sélectionnant l'extension de fichier YAML dans le répertoire d'origine à partir duquel les clusters Kubernetes sont accessibles.

  8. Pour créer le fichier nbca-create-backupservercert.yaml, exécutez la commande suivante : kubectl create -f nbca-create-backupservercert.yaml
  9. Une fois le certificat créé, vérifiez l'état des ressources personnalisées. Si l'état des ressources personnalisées indique une réussite, vous pouvez exécuter les travaux de sauvegarde à partir d'un snapshot .

    Remarque :

    Vous devez vérifier que l'état de la ressource personnalisée BackupServerCert indique une réussite avant de lancer des opérations de sauvegarde à partir d'un snapshot ou de restauration à partir d'une copie de sauvegarde.

    Remarque :

    Pour renouveler le certificat basé sur l'ID d'hôte : une vérification est effectuée toutes les 24 heures pour déterminer si le certificat basé sur l'ID d'hôte NetBackup doit être renouvelé. Les certificats sont automatiquement renouvelés 180 jours (6 mois) avant la date d'expiration.

    Remarque :

    Vérifiez que l'horloge du serveur principal NetBackup et l'horloge de l'opérateur NetBackup Kubernetes sont synchronisées. Pour plus de détails sur les erreurs CheckClockSkew, consultez la section Implication du décalage d'horaire sur la validité du certificat du Guide de sécurité et de chiffrement NetBackup™.

Suppression du certificat du serveur principal de l'opérateur Kubernetes

Vous pouvez supprimer un certificat d'un serveur principal si le serveur n'est pas utilisé pour exécuter les opérations de sauvegarde et de restauration.

Pour supprimer le certificat du serveur principal de l'opérateur Kubernetes

  1. Connectez-vous à l'interface utilisateur Web NetBackup et obtenez un ID d'hôte pour le certificat à supprimer.

    Pour obtenir l'ID d'hôte pour le certificat, consultez la section Affichage des détails de certificat basé sur l'ID d'hôte du Guide de sécurité et de chiffrement NetBackup™.

  2. Créez un backupservercert avec une opération de suppression.

    Le fichier nbca-remove-backupservercert.yaml ressemble à l'exemple suivant :

    apiVersion: netbackup.veritas.com/v1
kind: BackupServerCert
metadata:
  name: backupserver-nbca-domain.com
  namespace: kops-ns
spec:
  clusterName: cluster.sample.com:port 
  backupServer: backupserver.sample.domain.com
  certificateOperation: Remove
  certificateType: NBCA
  nbcaAttributes:
    nbcaRemoveOptions:
      hostID: nbcahostID

    • Copiez le texte du fichier nbca-remove-backupservercert.yaml.

    • Ouvrez l'éditeur de texte et collez le texte du fichier YAML.

    • Ensuite, enregistrez le texte en sélectionnant l'extension de fichier YAML dans le répertoire d'origine à partir duquel les clusters Kubernetes sont accessibles.

  3. Pour créer le fichier nbca-remove-backupservercert.yaml, exécutez la commande suivante : kubectl create -f nbca-remove-backupservercert.yaml
  4. Pour révoquer le certificat, consultez la section Révocation d'un certificat basé sur l'ID d'hôte du Guide de sécurité et de chiffrement NetBackup™.

    Remarque :

    Une fois que la commande nbca-remove-backupservercert.yaml est appliquée, le certificat est supprimé du magasin de certificats local de l'opérateur Kubernetes, mais reste présent et valide dans la base de données NetBackup. Le certificat doit donc être révoqué.

Mise à jour des certificats du serveur principal

Le scénario suivant décrit une situation qui pourrait impliquer la mise à jour des certificats, en supposant qu'ils soient lisibles et présents dans l'opérateur Kubernetes :

Lorsque les certificats présents sur l'opérateur NetBackup Kubernetes sont révoqués, ils peuvent être renouvelés par le biais d'une opération de mise à jour. Pour résoudre ce problème, vous pouvez mettre à jour ou supprimer le certificat du serveur, puis en créer un nouveau.

Remarque :

Si l'opération de mise à jour du certificat échoue, vous devez d'abord supprimer le certificat, puis en créer un nouveau.

Pour mettre à jour un certificat du serveur principal sur l'opérateur Kubernetes :

  1. Créez un objet backupservercert avec l'opération de mise à jour :

    Le fichier nbca-update-backupservercert.yaml ressemble à l'exemple suivant :

    apiVersion: netbackup.veritas.com/v1
kind: BackupServerCert
metadata:
  name: backupserver-nbca-update
  namespace:kops-ns
spec:
  clusterName: cluster.sample.com:port
  backupServer: backupserver.sample.domain.com
  certificateOperation: Update
  certificateType: NBCA
  nbcaAttributes:
    nbcaUpdateOptions:
    secretName: "Name of secret containing 
token and fingerprint"
    force: true

    • Copiez le texte du fichier nbca-update-backupservercert.yaml.

    • Ouvrez l'éditeur de texte et collez le texte du fichier YAML.

    • Ensuite, enregistrez le texte en sélectionnant l'extension de fichier YAML dans le répertoire d'origine à partir duquel les clusters Kubernetes sont accessibles.

  2. Pour créer le fichier nbca-update-backupservercert.yaml, exécutez la commande suivante : kubectl create -f nbca-update-backupservercert.yaml
  3. Une fois l'objet backupservercert créé, vérifiez l'état de la ressource personnalisée.