NetBackup™ Web UI Kubernetes 管理指南
- 适用于 Kubernetes 的 NetBackup 概述
- 部署和配置 NetBackup Kubernetes Operator
- 管理映像组
- 在 NetBackup Kubernetes Operator 上部署证书
- 管理 Kubernetes 资产
- 管理 Kubernetes 智能组
- 保护 Kubernetes 资产
- 恢复 Kubernetes 资产
- 对 Kubernetes 问题进行故障排除
- 主服务器升级期间出错:NBCheck 失败
- 旧映像还原期间出错:操作失败
- 永久卷恢复 API 期间出错
- 还原期间出错:最终作业状态显示部分失败
- 在同一命名空间上进行还原时出错
- datamover pod 超过 Kubernetes 资源限制
- 还原期间出错:高负载群集上的作业失败
- 为特定群集创建的自定义 Kubernetes 角色无法查看作业
- 从 OperatorHub 还原安装的应用程序时,Openshift 会创建空白非选定的 PVC
- 从 OperatorHub 还原安装的应用程序时,Openshift 会创建空白非选定的 PVC
- 如果超过 Kubernetes 节点上的 PID 限制,NetBackup Kubernetes Operator 将变得无响应
- 在 NetBackup Kubernetes 10.1 中编辑群集时失败
- 对于大型 PVC,从快照还原失败
- 将命名空间文件模式 PVC 还原到不同文件系统时部分失败
- 从备份副本还原失败并显示映像不一致错误
执行基于主机 ID 的证书操作
确保在 NBCA 模式下配置主服务器。要检查 NBCA 模式是否处于打开状态,请运行以下命令:/usr/openv/netbackup/bin/nbcertcmd -getSecConfig -caUsage。
输出如下所示:
NBCA: ON ECA: OFF
基于主机 ID 的证书规范如下所示:
apiVersion: netbackup.veritas.com/v1
kind: BackupServerCert
metadata:
name: backupservercert-sample
namespace: kops-ns
spec:
clusterName: cluster.sample.com:port
backupServer: primaryserver.sample.domain.com
certificateOperation: Create | Update | Remove
certificateType: NBCA
nbcaAttributes:
nbcaCreateOptions:
secretName: "Secret name consists of token and fingerprint"
nbcaUpdateOptions:
secretName: "Secret name consists of token and fingerprint"
force: true
nbcaRemoveOptions:
hostID: "hostId of the nbca certificate. You can view on Netbackup UI"表:基于主机 ID 的证书操作
操作类型 | 选项和注释 |
|---|---|
创建 | secretName:包含令牌和指纹的密钥的名称。 |
删除 | hostID:NBCA 证书的主机标识。 |
更新 | secretName:包含令牌和指纹的密钥的名称。 |
可以使用以下过程为 Kubernetes Operator 创建基于主机 ID 的证书。
为 Kubernetes Operator 创建基于主机 ID 的证书
- 在备份服务器上,运行以下命令并获取 SHA-256 指纹。
/usr/openv/netbackup/bin/nbcertcmd -listCACertDetails
- 要创建授权令牌,请参考《NetBackup™ 安全和加密指南》中的“创建授权令牌”部分。
- 要创建重新发布令牌(如果需要),请参考《NetBackup™ 安全和加密指南》中的“创建重新发布令牌”部分。
- 使用令牌和指纹创建密钥。
- 提供令牌,因为无论安全级别如何,它都是必需项。
Token-fingerprint-secret.yaml如下所示:apiVersion: v1 kind: Secret metadata: name: secret-name namespace: kops-ns type: Opaque stringData: token: "Authorization token | Reissue token" fingerprint: "SHA256 Fingerprint"
复制
Token-fingerprint-secret.yaml文件文本。打开文本编辑器并粘贴 yaml 文件文本。
然后,使用 yaml 文件扩展名将文本保存到可以访问 Kubernetes 群集的主目录中。
- 要创建
Token-fingerprint-secret.yaml文件,请运行以下命令:kubectl create -f Token-fingerprint-secret.yaml - 使用
nbcaCreateOptions创建backupservercert对象,然后指定密钥名称。nbca-create-backupservercert.yaml如下所示:apiVersion: netbackup.veritas.com/v1 kind: BackupServerCert metadata: name: backupserver-nbca-create namespace: kops-ns spec: clusterName: cluster.sample.com:port backupServer: backupserver.sample.domain.com certificateOperation: Create certificateType: NBCA nbcaAttributes: nbcaCreateOptions: secretName: nbcaSecretName with token and fingerprint复制
nbca-create-backupservercert.yaml文件文本。打开文本编辑器并粘贴 yaml 文件文本。
然后,使用 yaml 文件扩展名将文本保存到可以访问 Kubernetes 群集的主目录中。
- 要创建
nbca-create-backupservercert.yaml文件,请运行以下命令:kubectl create -f nbca-create-backupservercert.yaml - 创建证书后,检查自定义资源状态。如果自定义资源状态为“成功”,则可以运行“从快照备份”作业。
注意:
在启动“从快照备份”或“从备份副本还原”操作之前,需要检查 BackupServerCert 自定义资源状态是否为“成功”。
注意:
续订基于主机 ID 的证书:NetBackup 主机 ID 证书会检查是否应在 24 小时周期后续订。证书将在截止日期前 180 天(6 个月)自动续订。
注意:
确保检查 NetBackup 主服务器时钟和 NetBackup Kubernetes Operator 时钟是否同步。有关
CheckClockSkew错误的更多详细信息,请参考《NetBackup™ 安全和加密指南》中的“时钟偏差对证书有效期的影响”部分。
如果主服务器不用于运行备份和还原操作,则可以从该服务器删除证书。
从 Kubernetes Operator 删除主服务器证书。
- 登录到 NetBackup Web UI,并获取要删除的证书的主机 ID。
要获取证书的主机 ID,请参考《NetBackup™ 安全和加密指南》中的“查看基于主机 ID 的证书的详细信息”部分。
- 创建操作类型为“删除”的 backupservercert。
nbca-remove-backupservercert.yaml文件如下所示:apiVersion: netbackup.veritas.com/v1 kind: BackupServerCert metadata: name: backupserver-nbca-domain.com namespace: kops-ns spec: clusterName: cluster.sample.com:port backupServer: backupserver.sample.domain.com certificateOperation: Remove certificateType: NBCA nbcaAttributes: nbcaRemoveOptions: hostID: nbcahostID复制
nbca-remove-backupservercert.yaml文件文本。打开文本编辑器并粘贴 yaml 文件文本。
然后,使用 yaml 文件扩展名将文本保存到可以访问 Kubernetes 群集的主目录中。
- 要创建
nbca-remove-backupservercert.yaml文件,请运行以下命令:kubectl create -f nbca-remove-backupservercert.yaml - 要吊销证书,请参考《NetBackup™ 安全和加密指南》中的“吊销基于主机 ID 的证书”部分。
注意:
应用
nbca-remove-backupservercert.yaml后,将从 Kubernetes Operator 的本地证书存储库中删除证书。但它在 NetBackup 数据库中仍然存在且有效。因此,需要吊销证书。
以下是您可能希望更新证书的情形(假设证书可读并且存在于 Kubernetes Operator 中):
吊销 NetBackup Kubernetes Operator 上存在的证书后,可以使用更新操作重新发布证书。要解决此问题,可以更新服务器证书,也可以删除服务器证书,然后创建新证书。
注意:
如果更新证书操作失败,则必须先删除证书,然后创建新证书。
要更新 Kubernetes Operator 上的主服务器证书,请执行以下操作:
- 使用更新操作创建 backupservercert 对象:
nbca-update-backupservercert.yaml文件如下所示:apiVersion: netbackup.veritas.com/v1 kind: BackupServerCert metadata: name: backupserver-nbca-update namespace:kops-ns spec: clusterName: cluster.sample.com:port backupServer: backupserver.sample.domain.com certificateOperation: Update certificateType: NBCA nbcaAttributes: nbcaUpdateOptions: secretName: "Name of secret containing token and fingerprint" force: true复制
nbca-update-backupservercert.yaml文件文本。打开文本编辑器并粘贴 yaml 文件文本。
然后,使用 yaml 文件扩展名将文本保存到可以访问 Kubernetes 群集的主目录中。
- 要创建
nbca-udpate-backupservercert.yaml文件,请运行以下命令:kubectl create -f nbca-update-backupservercert.yaml - 创建 backupservercert 对象后,检查自定义资源状态。