那么具體又該如何做呢?Veritas發(fā)現(xiàn),目前在中國市場(chǎng),約有一半的企業(yè)正在使用獨(dú)立的產(chǎn)品對(duì)部分或全部Kubernetes環(huán)境進(jìn)行保護(hù),導(dǎo)致其保護(hù)環(huán)境復(fù)雜化。76%的中國受訪者表示,這可能是因?yàn)樗麄儗?duì)可以在傳統(tǒng)、虛擬和Kubernetes環(huán)境中保護(hù)數(shù)據(jù)的解決方案知之甚少甚至一無所知。
在Kubernetes數(shù)據(jù)保護(hù)迷霧中,如何選擇正確的道路?Veritas點(diǎn)亮“六盞明燈”,幫助企業(yè)在應(yīng)對(duì)惡意攻擊、惡意軟件和人為失誤時(shí),使其在Kubernetes環(huán)境中的數(shù)據(jù)更具韌性。
一 遵循基本安全原則
Veritas建議Kubernetes用戶采用安全系數(shù)高且多個(gè)不同的密碼以保證安全,并設(shè)置訪問權(quán)限,根據(jù)不同訪客身份相應(yīng)調(diào)整訪問權(quán)限。此外,關(guān)鍵數(shù)據(jù)在容器和資料庫之間傳輸時(shí)要進(jìn)行加密。Linux基金會(huì)就對(duì)如何正確配置、管理和保護(hù)數(shù)據(jù)集群的細(xì)節(jié)進(jìn)行過詳細(xì)的闡述。
二 保護(hù)數(shù)據(jù)不出錯(cuò)
保護(hù)數(shù)據(jù)不出錯(cuò)并不能排除人為因素。如果想自行備份Kubernetes環(huán)境中的數(shù)據(jù),并避免人為失誤的后果,應(yīng)該備份相應(yīng)文件。為了不浪費(fèi)Kubernetes的巨大優(yōu)勢(shì),其結(jié)構(gòu)和架構(gòu)需要采取特殊的方法。Kubernetes平臺(tái)由多個(gè)工作節(jié)點(diǎn)和位于頂端的集群主節(jié)點(diǎn)組成的結(jié)構(gòu)構(gòu)成,主節(jié)點(diǎn)和工作節(jié)點(diǎn)通過特定進(jìn)程進(jìn)行通信。命名空間和吊艙或容器可以自動(dòng)設(shè)置,推出到各自的工作節(jié)點(diǎn),并進(jìn)行監(jiān)控。
企業(yè)應(yīng)該對(duì)這些元素都進(jìn)行備份,而且備份需要完全支持市場(chǎng)上最常用的發(fā)行版。目前,紅帽O(jiān)penshift和VMware Tanzu是Kubernetes環(huán)境中較大玩家,備份解決方案需要考慮到不同平臺(tái)的保護(hù)支持。
三 全面保障命名空間的安全
Kubernetes基于不同的命名空間進(jìn)行操作(可以理解為項(xiàng)目或應(yīng)用程序),備份軟件可以通過命名空間接口與集群集成,自行檢測(cè)集群并進(jìn)行備份操作及數(shù)據(jù)恢復(fù)。
為了在應(yīng)用程序得到全面保護(hù)的基礎(chǔ)上保留Kubernetes環(huán)境的可擴(kuò)展性和可移植性,應(yīng)該備份包含所有組件的命名空間。同時(shí),在恢復(fù)數(shù)據(jù)時(shí),考慮到數(shù)據(jù)架構(gòu)可能發(fā)生邏輯錯(cuò)誤,必須要獨(dú)立于命名空間恢復(fù)持久卷。為了保持Kubernetes的敏捷性,備份解決方案還應(yīng)該支持在其他集群上恢復(fù)命名空間。
四 明確訪問權(quán)限
Veritas建議,只有擁有管理和使用Kubernetes環(huán)境訪問權(quán)限的用戶才能備份和恢復(fù)數(shù)據(jù)。也就是說,備份用戶只能看到他們有權(quán)限的命名空間和持久卷。這樣可以將開發(fā)、測(cè)試和生產(chǎn)人員的責(zé)任分開。同時(shí),也建議在配置中明確訪問權(quán)限,通過備份系統(tǒng)中的用戶身份角色識(shí)別。如此一來,可以加強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的恢復(fù)能力。
五 通過自動(dòng)化解放DevOps與備份團(tuán)隊(duì)
備份解決方案應(yīng)該定期自動(dòng)檢查集群中是否創(chuàng)建了新的命名空間。因此,Kubernetes發(fā)行版和備份解決方案必須完美配合。隨著相應(yīng)的備份計(jì)劃分配到新的命名空間,也可以自動(dòng)智能地分配邏輯選擇。在不斷擴(kuò)展的Kubernetes環(huán)境中,這降低了項(xiàng)目或應(yīng)用程序未被正確備份的風(fēng)險(xiǎn)。此外,自動(dòng)化分擔(dān)了IT團(tuán)隊(duì)檢查和配置的工作負(fù)擔(dān),減少了DevOps團(tuán)隊(duì)的數(shù)據(jù)丟失風(fēng)險(xiǎn)。有了適當(dāng)?shù)臋?quán)限,這些團(tuán)隊(duì)也可以自行恢復(fù)他們的數(shù)據(jù)庫存。這縮短了開發(fā)時(shí)間,減輕了負(fù)責(zé)備份的工作人員的負(fù)擔(dān),之前未完成的備份過程也可以在限制時(shí)間內(nèi)重新啟動(dòng)。之后可以在相應(yīng)的GUI,通過事件警報(bào)通知那些負(fù)責(zé)人。
在Veritas最新發(fā)布的NetBackup 10中,自動(dòng)化的優(yōu)勢(shì)得以體現(xiàn)。NetBackup 10為更多平臺(tái)即服務(wù)工作負(fù)載提供新的自動(dòng)檢測(cè)和保護(hù),其中就包括所有主要Kubernetes發(fā)行版。
六 考慮一致性備份
備份系統(tǒng)既應(yīng)該遵循Velero等既定標(biāo)準(zhǔn),也需要支持智能擴(kuò)展。具體來說,采用由具有復(fù)制能力的備份軟件控制的保留管理系統(tǒng),可以幫助防范勒索軟件攻擊。同時(shí),要牢記3-2-1備份規(guī)則。此外,備份守護(hù)程序可以幫助備份存儲(chǔ)目標(biāo)能夠擴(kuò)展到供應(yīng)商支持的兼容性。由此,Kubernetes可以被端到端地集成到一個(gè)集中的備份和恢復(fù)系統(tǒng)中,這避免了每個(gè)工作負(fù)載進(jìn)行單獨(dú)備份,可以降低成本,控制復(fù)雜性,并減少風(fēng)險(xiǎn)。
備份工具也是Kubernetes用戶對(duì)抗勒索攻擊和人為失誤造成的數(shù)據(jù)丟失的最有力措施。Veritas的NetBackup平臺(tái)針對(duì)Kubernetes設(shè)計(jì)的原生解決方案可以幫助企業(yè)解鎖“跨版本分發(fā)及可移植性”這一關(guān)鍵技能,無論Kubernetes應(yīng)用位于何處。此外,NetBackup能夠?qū)崿F(xiàn)高水平的自動(dòng)化,這減少了備份的工作量和成本。NetBackup可以保證在備份過程中,避免遺漏任何關(guān)鍵的系統(tǒng)或文件,即便勒索軟件或人為失誤破壞了關(guān)鍵數(shù)據(jù),Kubernetes用戶也可以安心進(jìn)行數(shù)據(jù)恢復(fù)。
關(guān)于Veritas
Veritas Technologies是多云數(shù)據(jù)管理領(lǐng)域的領(lǐng)導(dǎo)者。超過八萬家企業(yè)級(jí)客戶, 包括 87%的全球財(cái)富 500強(qiáng)企業(yè),均依靠Veritas確保其數(shù)據(jù)的保護(hù)、可恢復(fù)性和合規(guī)性。Veritas在規(guī);目煽啃苑矫嫦碛惺⒆u(yù),可為企業(yè)提供抵御勒索軟件等網(wǎng)絡(luò)攻擊威脅所需的彈性。Veritas通過統(tǒng)一的平臺(tái),支持超過800種數(shù)據(jù)源,100多種操作系統(tǒng),1400多種存儲(chǔ)設(shè)備以及60多類云平臺(tái)。在云級(jí)技術(shù)的支持下,Veritas現(xiàn)正在實(shí)踐其自治數(shù)據(jù)管理戰(zhàn)略,在提供更大價(jià)值的同時(shí),降低運(yùn)營成本。
Veritas中國官方網(wǎng)站 https://www.veritas.com/zh/cn/
Veritas官方微信平臺(tái):VERITAS_CHINA(VERITAS中文社區(qū))