那么具體又該如何做呢?Veritas發(fā)現(xiàn),目前在中國市場,約有一半的企業(yè)正在使用獨立的產(chǎn)品對部分或全部Kubernetes環(huán)境進行保護,導(dǎo)致其保護環(huán)境復(fù)雜化。76%的中國受訪者表示,這可能是因為他們對可以在傳統(tǒng)、虛擬和Kubernetes環(huán)境中保護數(shù)據(jù)的解決方案知之甚少甚至一無所知。
在Kubernetes數(shù)據(jù)保護迷霧中,如何選擇正確的道路?Veritas點亮“六盞明燈”,幫助企業(yè)在應(yīng)對惡意攻擊、惡意軟件和人為失誤時,使其在Kubernetes環(huán)境中的數(shù)據(jù)更具韌性。
一 遵循基本安全原則
Veritas建議Kubernetes用戶采用安全系數(shù)高且多個不同的密碼以保證安全,并設(shè)置訪問權(quán)限,根據(jù)不同訪客身份相應(yīng)調(diào)整訪問權(quán)限。此外,關(guān)鍵數(shù)據(jù)在容器和資料庫之間傳輸時要進行加密。Linux基金會就對如何正確配置、管理和保護數(shù)據(jù)集群的細(xì)節(jié)進行過詳細(xì)的闡述。
二 保護數(shù)據(jù)不出錯
保護數(shù)據(jù)不出錯并不能排除人為因素。如果想自行備份Kubernetes環(huán)境中的數(shù)據(jù),并避免人為失誤的后果,應(yīng)該備份相應(yīng)文件。為了不浪費Kubernetes的巨大優(yōu)勢,其結(jié)構(gòu)和架構(gòu)需要采取特殊的方法。Kubernetes平臺由多個工作節(jié)點和位于頂端的集群主節(jié)點組成的結(jié)構(gòu)構(gòu)成,主節(jié)點和工作節(jié)點通過特定進程進行通信。命名空間和吊艙或容器可以自動設(shè)置,推出到各自的工作節(jié)點,并進行監(jiān)控。
企業(yè)應(yīng)該對這些元素都進行備份,而且備份需要完全支持市場上最常用的發(fā)行版。目前,紅帽O(jiān)penshift和VMware Tanzu是Kubernetes環(huán)境中較大玩家,備份解決方案需要考慮到不同平臺的保護支持。
三 全面保障命名空間的安全
Kubernetes基于不同的命名空間進行操作(可以理解為項目或應(yīng)用程序),備份軟件可以通過命名空間接口與集群集成,自行檢測集群并進行備份操作及數(shù)據(jù)恢復(fù)。
為了在應(yīng)用程序得到全面保護的基礎(chǔ)上保留Kubernetes環(huán)境的可擴展性和可移植性,應(yīng)該備份包含所有組件的命名空間。同時,在恢復(fù)數(shù)據(jù)時,考慮到數(shù)據(jù)架構(gòu)可能發(fā)生邏輯錯誤,必須要獨立于命名空間恢復(fù)持久卷。為了保持Kubernetes的敏捷性,備份解決方案還應(yīng)該支持在其他集群上恢復(fù)命名空間。
四 明確訪問權(quán)限
Veritas建議,只有擁有管理和使用Kubernetes環(huán)境訪問權(quán)限的用戶才能備份和恢復(fù)數(shù)據(jù)。也就是說,備份用戶只能看到他們有權(quán)限的命名空間和持久卷。這樣可以將開發(fā)、測試和生產(chǎn)人員的責(zé)任分開。同時,也建議在配置中明確訪問權(quán)限,通過備份系統(tǒng)中的用戶身份角色識別。如此一來,可以加強對網(wǎng)絡(luò)攻擊的恢復(fù)能力。
五 通過自動化解放DevOps與備份團隊
備份解決方案應(yīng)該定期自動檢查集群中是否創(chuàng)建了新的命名空間。因此,Kubernetes發(fā)行版和備份解決方案必須完美配合。隨著相應(yīng)的備份計劃分配到新的命名空間,也可以自動智能地分配邏輯選擇。在不斷擴展的Kubernetes環(huán)境中,這降低了項目或應(yīng)用程序未被正確備份的風(fēng)險。此外,自動化分擔(dān)了IT團隊檢查和配置的工作負(fù)擔(dān),減少了DevOps團隊的數(shù)據(jù)丟失風(fēng)險。有了適當(dāng)?shù)臋?quán)限,這些團隊也可以自行恢復(fù)他們的數(shù)據(jù)庫存。這縮短了開發(fā)時間,減輕了負(fù)責(zé)備份的工作人員的負(fù)擔(dān),之前未完成的備份過程也可以在限制時間內(nèi)重新啟動。之后可以在相應(yīng)的GUI,通過事件警報通知那些負(fù)責(zé)人。
在Veritas最新發(fā)布的NetBackup 10中,自動化的優(yōu)勢得以體現(xiàn)。NetBackup 10為更多平臺即服務(wù)工作負(fù)載提供新的自動檢測和保護,其中就包括所有主要Kubernetes發(fā)行版。
六 考慮一致性備份
備份系統(tǒng)既應(yīng)該遵循Velero等既定標(biāo)準(zhǔn),也需要支持智能擴展。具體來說,采用由具有復(fù)制能力的備份軟件控制的保留管理系統(tǒng),可以幫助防范勒索軟件攻擊。同時,要牢記3-2-1備份規(guī)則。此外,備份守護程序可以幫助備份存儲目標(biāo)能夠擴展到供應(yīng)商支持的兼容性。由此,Kubernetes可以被端到端地集成到一個集中的備份和恢復(fù)系統(tǒng)中,這避免了每個工作負(fù)載進行單獨備份,可以降低成本,控制復(fù)雜性,并減少風(fēng)險。
備份工具也是Kubernetes用戶對抗勒索攻擊和人為失誤造成的數(shù)據(jù)丟失的最有力措施。Veritas的NetBackup平臺針對Kubernetes設(shè)計的原生解決方案可以幫助企業(yè)解鎖“跨版本分發(fā)及可移植性”這一關(guān)鍵技能,無論Kubernetes應(yīng)用位于何處。此外,NetBackup能夠?qū)崿F(xiàn)高水平的自動化,這減少了備份的工作量和成本。NetBackup可以保證在備份過程中,避免遺漏任何關(guān)鍵的系統(tǒng)或文件,即便勒索軟件或人為失誤破壞了關(guān)鍵數(shù)據(jù),Kubernetes用戶也可以安心進行數(shù)據(jù)恢復(fù)。
關(guān)于Veritas
Veritas Technologies是多云數(shù)據(jù)管理領(lǐng)域的領(lǐng)導(dǎo)者。超過八萬家企業(yè)級客戶, 包括 87%的全球財富 500強企業(yè),均依靠Veritas確保其數(shù)據(jù)的保護、可恢復(fù)性和合規(guī)性。Veritas在規(guī);目煽啃苑矫嫦碛惺⒆u,可為企業(yè)提供抵御勒索軟件等網(wǎng)絡(luò)攻擊威脅所需的彈性。Veritas通過統(tǒng)一的平臺,支持超過800種數(shù)據(jù)源,100多種操作系統(tǒng),1400多種存儲設(shè)備以及60多類云平臺。在云級技術(shù)的支持下,Veritas現(xiàn)正在實踐其自治數(shù)據(jù)管理戰(zhàn)略,在提供更大價值的同時,降低運營成本。
Veritas中國官方網(wǎng)站 https://www.veritas.com/zh/cn/
Veritas官方微信平臺:VERITAS_CHINA(VERITAS中文社區(qū))
