Amazon EKS クラスターの復元 - AWS Backup
Amazon EKS backups

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EKS クラスターの復元

AWS Backup コンソールまたは CLI を使用して EKS クラスターのバックアップを復元できます。EKS バックアップは、EKS クラスターの状態と永続的ボリュームバックアップの両方を含む複合復旧ポイントです。

AWS Backup は、詳細な名前空間レベルの復元など、複数の復元エクスペリエンスをサポートします。復元は非破壊的であり、ターゲット EKS クラスター内の既存の Kubernetes オブジェクトを上書きしません。復元しても、ターゲット EKS クラスターの Kubernetes バージョンは上書きされません。

EKS Backup は、ターゲット EKS クラスターに復元する必要があります。つまり、事前にプロビジョニングされた Amazon EKS クラスターです。復元ワークフローの一環として、 がユーザーに代わって作成する新しい EKS クラスター AWS Backup の作成を選択できます。

注記

AWS Backup は、復元の一部として新しい EKS クラスターを作成するための限定されたオプションセットを提供します。すべての EKS クラスター作成機能について、お客様は EKS コンソールまたは API を使用して新しい EKS APIs、復元ターゲットとして選択できます。

Amazon EKS の復元機能

復元タイプ 復元ターゲット 復元動作
既存のクラスターの復元 ソース EKS クラスターまたは既存の EKS クラスターへの復元 すべての Kubernetes リソースと永続ボリュームを既存の EKS クラスターに復元します。すべての復元は非破壊であり、既存のオブジェクトは上書きされません。スキップされたオブジェクトについては、SNS 通知にサブスクライブできます。
新しいクラスターの復元 EKS 復元の一部として新しい Amazon EKS クラスターを作成します。 Restore は新しい EKS クラスターを作成し、すべての Kubernetes リソースと永続ボリュームを新しく作成された clsuter に復元します。
名前空間の復元 既存の Amazon EKS クラスター 指定された名前空間のみを復元し、その Kubernetes リソースおよび対応する永続的ストレージ復元は非破壊であり、既存のオブジェクトは上書きされません。スキップされたオブジェクトについては、SNS 通知にサブスクライブできます。
永続的ストレージの復元 永続的ストレージ依存 個々の永続的ストレージをスタンドアロン復元として復元します。「Amazon EBSAmazon S3、Amazon EFS の復元動作」を参照してください。 EFS

アクセス許可

必要なアクセス許可は、復元タイプとターゲットの送信先によって異なります。

  • AWS Backupの マネージドポリシー AWSBackupServiceRolePolicyForRestores には、Amazon EKS クラスターと EBS および EFS 永続ストレージを復元するために必要なアクセス許可が含まれています。

  • EKS クラスターに S3 バケットが含まれている場合、または子 S3 復旧ポイントのみを復元する場合は、 内の次のポリシーまたはアクセス許可がロール AWSBackupServiceRolePolicyForS3Restore に割り当てられていることを確認する必要があります。

復元前の考慮事項

EKS 復元ジョブを開始する前に、以下を確認してください。アカウントまたはリージョン間でコピーされた EKS バックアップを復元する場合は、復元の失敗を防ぐために、復元前にこれらの考慮事項を確認してください。

  1. IAM ロール: 別のクラスターに復元する場合、ソースクラスターで使用される IAM ロール (ポッド ID、IRSA など。 OIDC プロバイダーの設定など) は、送信先クラスターとしてアカウント/リージョンに存在する必要があります。

  2. EKS バージョンと互換性を確認する: 復元するオブジェクトの API バージョンは、新しいクラスターでサポートされている同じバージョン (または可能な限り近いバージョン) である必要があります。 AWS Backup は EKS バージョン間でベストエフォートの復元を実行しますが、大幅に異なるバージョン間で復元するときに互換性の問題が発生する可能性があります。

  3. 一致するストレージクラス: 既存の EKS クラスターに復元する場合は、復元する前に適切な CSI ストレージドライバーアドオンがインストールされていることを確認してください。

  4. S3 バケット: S3 バケットを使用して EKS クラスターを復元する場合は、送信先アカウントまたはリージョンで S3 バケットがバージョニングされ、アクセス可能であることを確認します。

  5. イメージリポジトリ: EKS クラスターを復元するときは、ターゲット EKS クラスターのアカウントまたはリージョンが、復元の一部として参照されているイメージにアクセスできることを確認します。レジストリに十分なクロスリージョン/アカウントポリシーのアクセス許可があることを確認します。

  6. セキュリティグループ: 復元の一部として新しい EKS クラスターを作成する場合は、ターゲットアカウントとリージョンの ALB、ポッド ID、EKS ノードグループなどにセキュリティグループを事前に作成する必要があります。

  7. EBS アベイラビリティーゾーンとノード: EBS ボリュームを復旧するアベイラビリティーゾーンは、既存の EKS ノードのアベイラビリティーゾーンにマッピングする必要があります

  8. 非破壊復元: すべての EKS 復元は非破壊であり、ターゲット復元の Kubernetes オブジェクトを上書きしません。

  9. EKS 監査ログを有効にする: EKS 監査ログを有効にして、復元前に追加のログ記録とトラブルシューティングを行います。SNS 通知をサブスクライブして、復元時にスキップまたは失敗したオブジェクトを通知することもできます。

EKS 設定

複合 Amazon を復元するときは AWS Backup、復元タイプとターゲット送信先を選択します。ソース EKS クラスター、既存の EKS クラスターに復元するか、復元ターゲットとして新しい EKS クラスターを作成するかを選択できます。新しい EKS クラスターの場合、バックアップされたクラスターと同じ既存のインフラストラクチャ設定 (VPC、サブネットなど) を使用するか、新しい設定を使用するかを選択できます。 AWS Backup は常に、既存のリソースを上書きしない非破壊復元を実行します。

名前空間の復元では、最大 5 つの名前空間を指定して選択的に復元できます。名前空間スコープのリソースのみが復元され、関連する永続ボリュームを除き、クラスタースコープのリソースは除外されます。

詳細設定として、Kubernetes オブジェクトの復元順序を変更することができます。デフォルトでは、 AWS Backup はすべての Kubernetes オブジェクトを次の順序で復元します。

クラスタースコープの Kubernetes リソース

  1. カスタムリソース定義

  2. 名前空間 (名前空間内のリソースではなく、名前空間自体)

  3. StorageClasses

  4. PersistentVolumes

名前空間スコープの Kubernetes リソース

  1. PersistentVolumeClaims

  2. Secrets

  3. ConfigMaps

  4. ServiceAccounts

  5. LimitRanges

  6. ポッド

  7. ReplicaSets

永続的ストレージ設定

複合 Amazon EKS バックアップ復元の一環として、2 番目のステップは永続的ストレージの設定です。これは、EKS クラスターの一部としてバックアップされた永続的ストレージによって異なります。

Amazon EBS スナップショットの場合、Amazon EBS ボリュームが復元および作成されるアベイラビリティーゾーンを指定する必要があります。 AWS Backup は、復元の一部としてボリュームを EKS クラスターに再マウントできるように、選択したのと同じアベイラビリティーゾーンに EKS ポッドを作成しようとします。

復元の一環として、 AWS Backup は復元された EKS クラスターに Amazon EBS ボリュームと Amazon S3 バケットを再マウントします。Amazon EFS ファイルシステムはランダムプレフィックスに復元し、復元後に手動でアクセスポイントを作成して EKS クラスターに再マウントする必要があります。 AWS Backup はユーザーに代わってアクセスポイントやマウントターゲットを作成しません。アクセスポイントマウントターゲットについては、こちらのガイダンスを参照してください。

Amazon EKS 復元手順

AWS Backup コンソールまたは を使用して Amazon EKS バックアップを復元するには、次の手順に従います AWS CLI。

Console
Amazon EKS クラスターを復元するには

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. ナビゲーションペインで、[バックアップボールト] を選択します。

  3. Amazon EKS バックアップを含むバックアップボールトを選択し、Amazon EKS バックアップの復旧ポイントを選択します。

  4. [復元] を選択します。

  5. 復元オプションペインで、復元タイプを選択します。

    • 完全な EKS クラスターの復元 - Amazon EKS 複合復旧ポイント全体を復元します

    • 復元する名前空間の選択 - 最大 5 つの特定の名前空間を復元します

  6. ターゲットの送信先を設定します。

    • クラスターを復元するには、新しいクラスターを作成するか、既存のクラスターを使用するかを選択します。

    • 新しいクラスターの場合は、クラスター名、Kubernetes バージョン、VPC 設定、IAM ロール、サブネット、追加のセキュリティグループ、ノードグループ設定、Fargate プロファイル、Pod ID IAM ロールを指定します。

    • 既存のクラスターの場合は、ドロップダウンからターゲットクラスターを選択します。

    • 名前空間の復元には、ターゲットクラスターと名前空間名を指定します。

  7. 必要に応じて、Kubernetes リソースのカスタム復元順序の詳細設定を行います。

  8. ジョブの IAM 復元ロールを選択します。デフォルトのロールを使用していない場合は、選択したロールに iam:PassRole アクセス許可が含まれていることを確認してください。

  9. [バックアップを復元] を選択します。

AWS CLI

Amazon EKS 固有のメタデータで aws backup start-restore-job コマンドを使用します。

必要なメタデータは、復元タイプによって異なります。すべての復元オペレーションには clusterNameパラメータが必要です。

を使用して Amazon EKS 復旧ポイントを復元する AWS CLI

StartRestoreJob を使用します。Amazon EKS の復元中に、次のメタデータを指定できます。

必須メタデータ:

  • clusterName - 復元先のクラスターの名前

オプションのメタデータ:

  • newCluster - (true/false) 復元中に新しい EKS クラスターを作成する必要がある場合

    • newCluster が「true」の場合、次のメタデータフィールドが適用されます。

      • eksClusterVersion - 復元中にクラスターバージョンを増やす場合は、必要な K8s バージョンのクラスター

      • clusterRole - 作成した EKS クラスターにアタッチする IAM ロール ARN

      • clusterVpcConfig - 作成された EKS クラスターの VPC/ネットワーク設定。このフィールドには、次のネストされたフィールドがあります。

        • vpcId - クラスターに関連付けられている VPC

        • subnetIds - クラスターに関連付けられているサブネット

        • securityGroupIds - クラスターに関連付けられた追加のセキュリティグループ

      • nodeGroups - EKS クラスターに作成されるマネージド型ノードグループ。復元する NodeGroups には、バックアップ時間から同じノードグループがすべて存在し、一致する nodeGroupId が必要です。

        • nodeGroupId - ノードグループの ID

        • subnetIds - ノードグループに関連付けられている Auto Scaling グループに指定されたサブネット

        • instanceTypes - ノードグループが起動テンプレートでデプロイされていない場合、これはノードグループに関連付けられているインスタンスタイプです。

        • nodeRole - ノードグループに関連付けられた IAM ロール

        • securityGroupIds - ノードへの SSH アクセスが許可されているセキュリティグループ IDs

        • remoteAccessEc2SshKey - マネージドノードグループ内のノードとの SSH 通信のためのアクセスを提供する Amazon EC2 SSH キー名

      • fargateProfiles - EKS クラスターに作成される Fargate プロファイル。復元用の Fargate プロファイルには、バックアップ時間から同じ Fargate プロファイルがすべて含まれており、名前が一致している必要があります。

        • name - Fargate プロファイルの名前

        • subnetIds - Pod を起動するサブネットの IDs

        • podExecutionRoleArn - Fargate プロファイルのセレクタに一致する Pod に使用する Pod 実行ロールの IAM ロール ARN

      • podIdentityAssociations - EKS クラスターに作成される Pod Identity の関連付け

        • associationId - Pod Identity Association の ID

        • roleArn - Pod Identity Association の IAM ロール ARN

  • kubernetesRestoreOrder - Kubernetes マニフェストが復元される順序を上書きします。この順序は、デフォルトのサービス復元順序よりも優先されます。これは、group/version/kind または version/kind の形式に従います。

    ["v1/persistentvolumes"v1/pods"customresource/v2/custom"]

  • namespaceLevelRestore - (true/false) 名前空間レベルの復元を実行する場合

  • namespaces - namespaceLevelRestore が「true」の場合に復元する名前空間のリスト。復元する名前空間を最大 5 つ指定できます

  • restoreKubernetesManifestsOnly - (true/false) Kubernetes マニフェストファイルのみを復元し、永続的ストレージシステム (EBS、S3、EFS など) を使用しない場合

  • nestedRestoreJobs - 複合リカバリポイント内のPersistentVolumeストレージシステムのネストされたすべてのリカバリポイントのメタデータ設定を復元します。これは RecoveryPointArn: RestoreMetadata of that Recovery Point のマップです。

既存のクラスターに復元する

aws backup start-restore-job \
                              --recovery-point-arn "arn:aws:backup:us-west-2:123456789012:recovery-point:composite:eks/my-cluster-20240115" \
                              --iam-role-arn "arn:aws:iam::123456789012:role/AWSBackupServiceRolePolicyForEKSRestore" \
                              --metadata '{"clusterName":"existing-cluster","newCluster":false}' \
                              --resource-type "EKS"

新しいクラスターへの復元

aws backup start-restore-job \
                              --recovery-point-arn "arn:aws:backup:us-west-2:123456789012:recovery-point:composite:eks/my-cluster-20240115" \
                              --iam-role-arn "arn:aws:iam::123456789012:role/AWSBackupServiceRolePolicyForEKSRestore" \
                              --metadata '{"clusterName":"new-cluster","newCluster":true,"clusterRole":"arn:aws:iam::123456789012:role/EKSClusterRole","eksClusterVersion":"1.33","clusterVpcConfig":"{\"vpcId\":\"vpc-1234\",\"subnetIds\":[\"subnet-1\",\"subnet-2\",\"subnet-3\"],\"securityGroupIds\":[\"sg-123\"]}","nodeGroups":"[{\"nodeGroupId\":\"nodegroup-1\",\"subnetIds\":[\"subnet-1\",\"subnet-2\",\"subnet-3\"],\"nodeRole\":\"arn:aws:iam::123456789012:role/EKSNodeGroupRole\",\"instanceTypes\":[\"t3.small\"]}]","fargateProfiles":"[{\"name\":\"fargate-profile-1\",\"subnetIds\":[\"subnet-1\",\"subnet-2\",\"subnet-3\"],\"podExecutionRoleArn\":\"arn:aws:iam::123456789012:role/EKSFargateProfileRole\"}]"}' \
                              --resource-type "EKS"

復元ジョブを開始したら、 describe-restore-job を使用して進行状況をモニタリングします。

aws backup describe-restore-job --restore-job-id restore-job-id

障害が発生したオブジェクトとスキップされたオブジェクトの通知イベントをサブスクライブして復元できます。詳細については、「 を使用した通知オプション」を参照してください AWS Backup。