NetBackup™ for Kubernetes 管理者ガイド

NetBackup でランチャ管理 RKE クラスタを手動で追加するには

1. 外部 CA 証明書: 外部アクセス用の証明書の構成に使用されている CA (認証機関) が異なる場合、NetBackup がクラスタと正常に通信するために外部 CA 証明書が必要です。

   • ランチャ管理サーバーの UI に移動して、左側のパネルの［Global Settings］の ［cacerts］の下で、［showcacerts］ボタンをクリックします。

     一時ファイルにこの CA 証明書の完全な値を抽出します。

   • たとえば、<cacert-value-file>

2. サービスアカウントの CA 証明書:

   メモ:

   クラスタ内で利用可能なサービスアカウントの CA 証明書と比較して、Kubernetes API サーバーの外部アクセス用に構成されている CA (認証機関) が異なるため、次の手順を実行する必要があります。そのため、これらの 2 つの CA 証明書を組み合わせる必要があります。

   サービスアカウントの CA 証明書を取得するには、Linux クラスタホストで次のコマンドを実行します。

   • 次のコマンドを使用して、Kubernetes Operator の名前空間で利用可能なサービスアカウントシークレット名を取得します。

     kubectl describe serviceaccount <kopsnamespace>-backup-server -n <kopsnamespace> | grep Tokens | cut -d ":" -f 2

   • 次のコマンドを使用して、このサービスアカウントのシークレットから base 64 デコードされた形式で CA 証明書を取得します。

     kubectl get secret <output-from-previous-command> -n <kopsnamespace> -o jsonpath='{. data.ca\.crt}' | base64 -d

     このコマンドの出力全体を、手順 1 で作成した一時ファイルに追加する必要があります。

3. 手順 2 の後に生成された出力を <cacert-value-file> ファイルの最後に追加します。必要な外部 CA 証明書と内部 CA 証明書の値が抽出され、ファイル <cacert-value-file> で利用可能になります。CA 証明書の値は base 64 でデコードされた形式ですが、NetBackup でクレデンシャルを作成するときに再度エンコードする必要があります。
4. トークン: ランチャ管理サーバーの UI で左側のパネルを開き、［Explore Cluster］セクションで保護するクラスタに移動し、右上隅にある［Kubeconfig］アイコンをクリックします。

   • (［Download KubeConfig］を使用して) ダウンロードした Kubeconfig ファイルから、一時ファイル <token-value-file> に二重引用符を除いたトークンの値を抽出します。

   • これらのトークンと cacert の両方のフィールドは、Kubernetes の NetBackup クレデンシャルに追加するために、base64 エンコード形式であることが必要です。

   • 次の base64 コマンドを使用して、これらの抽出された両方の値の base64 エンコードバージョンを取得する方法を示します。

     #Linux VM を使用して、この手順の値をエンコードします #注意: フラグ -w0 には 0 の記号ではなく数字のゼロを使用します。

     #CA 証明書:

     Cat <cacert-value-file>| base64 -w0

     この出力を、NetBackup のクレデンシャル作成ページの［CA 証明書 (CA certificate)］フィールドに貼り付けます。

     #トークン:

     この出力を、NetBackup Web UI のクレデンシャル作成ページの［トークン (Token)］フィールドに貼り付けます。

   • これらの値を、NetBackup Web UI の［クレデンシャルの管理 (Credential management)］、［指定したクレデンシャル (Named Credentials)］、［追加 (Add)］で使用して、NetBackup に有効なランチャクレデンシャルを追加します。

   • クレデンシャルが作成されたら、次のクラスタ情報の出力に示されている名前を使用して、NetBackup に Kubernetes クラスタを追加します。

クラスタ情報の出力を取得するには、次のコマンドを実行します。

1. クラスタ情報の出力は、次の例の形式である必要があります。[root@master-0~] # kubectl cluster-info
2. Kubernetes コントロールプレーンは、https://<rancher-hostname>/k8s/clusters/c-m-zjrfft56 で実行されます
3. CoreDNS は、https://<rancher-hostname>/k8s/clusters/c-m-zjrfft56/api/v1/ で実行されます

   namespaces/kube-system/services/rke2-coredns-rke2-coredns:udp-53/proxy

4. 出力から、API サーバーのエンドポイント全体 (https:// を含む) を抽出します。形式は、https://<rancher-hostname>/k8s/clusters/c-m-zjrfft56 のパターンになるはずです
5. NetBackup Web UI の［作業負荷 (Workloads)］、［Kubernetes］、［Kubernetes クラスタ (Kubernetes clusters)］、［追加 (Add)］で、ランチャクラスタ名全体を追加します。
6. ［Kubernetes クラスタの追加 (Add Kubernetes cluster)］ページで、URL またはエンドポイントに関連付けられているオプションを選択して、(https://) を含むエンドポイントに基づいてクラスタを追加できるようにします。

   メモ:

   エンドポイントベースのアプローチを使用して追加したクラスタ名は編集できません。そのようなクラスタ名は、削除および再追加だけを行えます。

7. NetBackup Web UI (エンドポイントまたは URL) の入力フィールドに、上記で抽出したクラスタ情報の出力を入力します。
8. 先に進み、手順 1 から 4 で準備したクレデンシャルを選択または作成します。
9. クレデンシャルが検証されると、クラスタが正常に追加されます。自動検証と検出がトリガされます。
10. 自動検出が正常に実行されたら、ユーザーは手動のクレデンシャル検証と検出を試み、すべてが正常に動作していることを確認します。
11. NetBackup でランチャ管理クラスタを追加します。
12. BFS (スナップショットからのバックアップ) 機能を設定するバックアップサーバー証明書シークレットとデータムーバー configmap を作成します。

    次に、推奨されるセットアップガイドに従って、残りの構成手順に進みます。