Guide de l'administrateur Kubernetes sur l'interface utilisateur Web NetBackup™

Last Published:
Product(s): NetBackup & Alta Data Protection (10.4)
  1. Présentation de NetBackup pour Kubernetes
    1.  
      Présentation
    2.  
      Fonctions de prise en charge de NetBackup pour Kubernetes
  2. Déploiement et configuration de l'opérateur NetBackup Kubernetes
    1.  
      Conditions préalables au déploiement de l'opérateur NetBackup Kubernetes
    2.  
      Déploiement du package de service sur l'opérateur NetBackup Kubernetes
    3.  
      Spécifications de port pour le déploiement de l'opérateur Kubernetes
    4.  
      Mise à niveau de l'opérateur NetBackup Kubernetes
    5.  
      Suppression de l'opérateur NetBackup Kubernetes
    6.  
      Configuration du système de déplacement des données NetBackup Kubernetes
    7.  
      Configuration automatisée de la protection NetBackup pour Kubernetes
    8. Configuration des paramètres pour l'opération de snapshot NetBackup
      1.  
        Paramètres de configuration pris en charge par les opérateurs Kubernetes
      2.  
        Conditions préalables pour les opérations de sauvegarde depuis un snapshot et de restauration à partir d'une sauvegarde
      3.  
        Paramètres de client DTE pris en charge par Kubernetes
      4.  
        Personnalisation des propriétés du datamover
    9.  
      Dépannage des serveurs NetBackup avec des noms courts
    10.  
      Prise en charge du mécanisme de planification des pods du système de déplacement des données
    11.  
      Validation de la classe de stockage d'accélérateur
  3. Déploiement de certificats sur l'opérateur NetBackup Kubernetes
    1.  
      Déploiement de certificats sur l'opérateur Kubernetes
    2.  
      Exécution d'opérations de certificats basés sur l'ID d'hôte
    3.  
      Exécution d'opérations de certificat d'autorité de certification externe
    4.  
      Identification des types de certificats
  4. Gestion des biens Kubernetes
    1.  
      Ajout d'un cluster Kubernetes
    2. Définition des paramètres
      1.  
        Modification des limites de ressource pour les types de ressources Kubernetes
      2.  
        Configuration de la fréquence de découverte automatique
      3.  
        Configuration des autorisations
    3.  
      Ajout de biens à un plan de protection
    4. Analyse antimalware
      1.  
        Biens par type de charge de travail
  5. Gestion des groupes intelligents Kubernetes
    1.  
      À propos des groupes intelligents
    2.  
      Création d'un groupe intelligent
    3.  
      Suppression d'un groupe intelligent
    4.  
      Modification d'un groupe intelligent
  6. Protection des biens Kubernetes
    1.  
      Protection d'un groupe intelligent
    2.  
      Suppression de la protection d'un groupe intelligent
    3.  
      Configuration d'une planification de sauvegarde
    4.  
      Configuration des options de sauvegardes
    5.  
      Configuration des sauvegardes
    6.  
      Configuration d'AIR (Auto Image Replication) et de la duplication
    7.  
      Configuration des unités de stockage
    8.  
      Prise en charge du mode volume
    9.  
      Configuration d'une sauvegarde cohérente au niveau application
  7. Gestion des groupes d'images
    1. À propos des groupes d'images
      1.  
        Expiration d'image
      2.  
        Copie d'image
  8. Protection des clusters gérés par Rancher dans NetBackup
    1.  
      Ajout d'un cluster RKE géré par Rancher dans NetBackup à l'aide de la configuration automatisée
    2.  
      Ajout manuel d'un cluster RKE géré par Rancher dans NetBackup
  9. Récupération des biens Kubernetes
    1.  
      Exploration et validation des points de récupération
    2.  
      Restauration à partir d'un snapshot
    3.  
      Restauration à partir d'une copie de sauvegarde
  10. À propos de la sauvegarde incrémentielle et de la restauration
    1.  
      Prise en charge des sauvegardes incrémentielles et des restaurations pour Kubernetes
  11. Activation de la sauvegarde basée sur l'accélérateur
    1.  
      À propos de la prise en charge de l'accélérateur NetBackup pour les charges de travail Kubernetes
    2.  
      Contrôle de l'espace disque réservé aux journaux de suivi sur le serveur principal
    3.  
      Impact du comportement de la classe de stockage sur l'accélérateur
    4.  
      À propos des nouvelles analyses forcées par l'accélérateur
    5.  
      Avertissements et raison probable des échecs des sauvegardes avec accélérateur
  12. Activation du mode FIPS dans Kubernetes
    1.  
      Activer le mode FIPS (Federal Information Processing Standards) dans Kubernetes
  13. Résolution des problèmes liés à Kubernetes
    1.  
      Erreur lors de la mise à niveau du serveur principal : échec de NBCheck
    2.  
      Erreur lors de la restauration d'une image ancienne : l'opération échoue
    3.  
      Erreur de l'API de récupération de volume persistant
    4.  
      Erreur lors de la restauration : l'état final du travail affiche un échec partiel
    5.  
      Erreur lors de la restauration sur le même espace de noms
    6.  
      Pods du datamover dépassant la limite de ressource Kubernetes
    7.  
      Erreur lors de la restauration : le travail échoue sur le cluster hautement chargé
    8.  
      Le rôle Kubernetes personnalisé créé pour des clusters spécifiques ne peut pas afficher les travaux
    9.  
      Openshift crée des PVC vides non sélectionnés lors de la restauration des applications installées à partir d'OperatorHub
    10.  
      L'opérateur NetBackup Kubernetes ne répond plus si la limite de PID est dépassée sur le nœud Kubernetes
    11.  
      Échec lors de la modification du cluster dans NetBackup Kubernetes 10.1
    12.  
      Échec de la restauration à partir d'un snapshot pour les demandes PVC volumineuses
    13.  
      Échec partiel de la restauration des PVC de mode fichier de l'espace de noms sur un système de fichiers différent
    14.  
      Échec de la restauration à partir de la copie de sauvegarde avec une erreur d'incohérence d'image
    15.  
      Vérifications de connectivité entre les serveurs principal/de médias NetBackup et les serveurs Kubernetes
    16.  
      Erreur lors de la sauvegarde avec accélérateur lorsque l'espace disponible pour le journal de suivi est insuffisant
    17.  
      Erreur lors de la sauvegarde avec accélérateur en raison de l'échec de la création de la demande PVC pour le journal de suivi
    18.  
      Erreur lors de la sauvegarde avec accélérateur en raison d'une classe de stockage d'accélérateur non valide
    19.  
      Une erreur se produit lors du démarrage du pod de journal de suivi
    20.  
      Échec de la configuration de l'instance de système de déplacement des données pour l'opération de création de demande PVC pour le journal de suivi
    21.  
      Erreur lors de la lecture de la classe de stockage du journal de suivi à partir du fichier configmap

Exécution d'opérations de certificat d'autorité de certification externe

Avant d'effectuer des opérations de création, de mise à jour et de suppression d'autorité de certification externe (ECA), vous devez configurer le serveur de sauvegarde en mode ECA.

Pour vérifier que le mode ECA est activé, exécutez la commande suivante : /usr/openv/netbackup/bin/nbcertcmd -getSecConfig -caUsage

La sortie ressemble à l'exemple suivant :

NBCA: ON
ECA: ON

Pour configurer le serveur de sauvegarde en mode ECA, consultez la section À propos de la prise en charge d'une autorité de certification externe dans NetBackup du Guide de sécurité et de chiffrement NetBackup™

La spécification du certificat d'autorité de certification externe ressemble à l'exemple suivant :

apiVersion: netbackup.veritas.com/v1
kind: BackupServerCert
metadata:
  name: backupservercert-sample-eca
  namespace: kops-ns
spec:
  clusterName: cluster.sample.com:port
  backupServer: primaryserver.sample.domain.com
  certificateOperation: Create | Update | Remove
  certificateType: ECA
  ecaAttributes:
    ecaCreateOptions:
      ecaSecretName: "Secret name consists of cert, key, passphrase, cacert"
      copyCertsFromSecret: true | false
      isKeyEncrypted: true | false
    ecaUpdateOptions:
      ecaCrlCheck: DISABLE | LEAF | CHAIN
      ecaCrlRefreshHours: range[0,4380]

Tableau : Opérations de certificat d'autorité de certification externe

Type d'opération

Options et commentaires

Créer

  • secretName : nom du secret qui contient le certificat, la clé, la phrase de passe et le fichier cacert.

  • copyCertsFromSecret : les valeurs possibles sont true et false. Cette option est ajoutée, car l'autorité de certification externe est commune à tous les serveurs principaux. Les mêmes certificats peuvent être inscrits sur l'opérateur Kubernetes pour tous les serveurs principaux.

    Il n'est donc pas nécessaire de copier les certificats et les clés à chaque fois. Cette option permet de contrôler la copie des certificats et des clés.

    Si ECAHealthCheck échoue en raison d'un problème lié aux certificats et aux clés, les certificats doivent être à nouveau copiés.

  • isKeyEncrypted : si la clé privée est chiffrée, définissez ce champ sur true, sinon définissez-le sur false.

Supprimer

N/A

Mettre à jour

  • ecaCrlCheck : permet de spécifier le niveau de contrôle de la révocation pour les certificats externes.

    Les valeurs possibles sont DISABLE, LEAF et CHAIN.

  • L'option ecaCrlRefreshHours spécifie l'intervalle de temps en heures pour le téléchargement des listes de révocation des certifications.

    Plage de valeurs possibles : 0 - 4380

Création d'un certificat signé par une autorité de certification externe

NetBackup prend en charge une l'utilisation d'une autorité de certification externe enregistrée auprès de l'opérateur Kubernetes par plusieurs serveurs principaux. Si l'autorité de certification externe est commune aux serveurs principaux, l'utilisation du point de distribution de la liste de révocation des certifications est obligatoire pour récupérer la liste dynamiquement pendant la communication.

Pour créer un certificat signé par une autorité de certification externe

  1. Pour récupérer la liste de révocation des certifications, utilisez son point de distribution.
  2. Conservez la chaîne de certification signée par une autorité de certification externe, la clé privée et la phrase de passe (si nécessaire) dans votre répertoire d'origine.
  3. Identifiez les différents formats (par exemple, DER, PEM, etc.) pris en charge pour chacun des fichiers mentionnés à l'étape 2. Pour plus d'informations, consultez la section des Options de configuration pour les certificats signés par une autorité de certification externe du Guide de sécurité et de chiffrement NetBackup™.
  4. Créez un secret à l'aide des fichiers mentionnés à l'étape 3.

    • Pour créer un secret si la clé privée n'est pas chiffrée, exécutez la commande suivante : kubectl create secret generic <Name of secret>

      --from-file=cert_chain=<File path to ECA signed certificate chain> --from-file=key=<File path to private key>

      --from-file=cacert=<File path to External CA certificate> -n <Namespace where kops is deployed>

    • Pour créer un secret si la clé privée est chiffrée, exécutez la commande suivante : kubectl create secret generic <Name of secret>

      --from-file=cert_chain=<File path to ECA signed certificate chain> --from-file=key=<File path to private key>

      --from-file=cacert=<File path to External CA certificate> --from-file=passphrase=<File path to passphrase

      of encrypted private key> -n <Namespace where kops is deployed>

    La structure de répertoires ressemble à l'exemple suivant :

    ├── cert_chain.pem
├── private
|  |___key.pem
|  |___passphrase.txt
|___trusted
     |__cacerts.pem

    cert_chain.pem est une chaîne de certification signée par une autorité de certification externe

    private/key.pem est une clé privée

    private/passphrase.txt est la phrase de passe pour la clé privée

    trusted/cacerts.pem est un certificat d'autorité de certification externe

    • Pour créer un secret nommé eca-secret si la clé privée n'est pas chiffrée, exécutez la commande suivante :

      kubectl create secret generic eca-secret--from-file=cert_chain=cert_chain.pem

      --from-file=key=private/key.pem

      --from-file=cacert=trusted/cacerts.pem -n kops-ns

    • Pour créer un secret nommé eca-secret si la clé privée est chiffrée, exécutez la commande suivante :

      kubectl create secret generic eca-secret

      --from-file=cert_chain=cert_chain.pem

      --from-file=key=private/key.pem

      --from-file=cacert=trusted/cacerts.pem

      --from- file=passphrase=private/passphrase.txt

      -n kops-ns

  5. Une fois le secret créé, créez une ressource personnalisée d'objet backupservercert.

    Le fichier eca-create-backupservercert.yaml ressemble à l'exemple suivant :

    apiVersion: netbackup.veritas.com/v1
kind: BackupServerCert
metadata:
  name: backupservercert-eca-create
  namespace: kops-ns
spec:
  clusterName: cluster.sample.com:port
  backupServer: backupserver.sample.domain.com
  certificateOperation: Create
  certificateType: ECA
  ecaAttributes:
    ecaCreateOptions:
      ecaSecretName: eca-secret
      copyCertsFromSecret: true
      isKeyEncrypted: false

    • Copiez le texte du fichier eca-create-backupservercert.yaml.

    • Ouvrez l'éditeur de texte et collez le texte du fichier YAML.

    • Ensuite, enregistrez le texte en sélectionnant l'extension de fichier YAML dans le répertoire d'origine à partir duquel les clusters Kubernetes sont accessibles.

  6. Pour copier le certificat et les clés sur l'opérateur Kubernetes, effectuez l'une des opérations suivantes :

    • Définissez copyCertsFromSecret sur true.

    • Définissez copyCertsFromSecret sur false pour éviter de copier les certificats et les clés existants sur l'opérateur Kubernetes.

    Remarque :

    L'autorité de certification externe est commune à tous les serveurs principaux. L'opérateur Kubernetes requiert donc un ensemble de certificats et de clés pouvant être inscrits auprès de tous les serveurs principaux en fonction des besoins. Il n'est pas nécessaire de copier les certificats et les clés à chaque fois, sauf en cas de problème avec les certificats et clés copiés précédemment.

    Remarque :

    Si ecaHealthCheck échoue pour une raison quelconque liée aux certificats et aux clés (autorité de certification externe endommagée, arrivée à expiration ou modifiée), identifiez la raison de l'échec et effectuez une copie d'un certificat valide à l'aide d'un indicateur.

  7. Si la clé privée est chiffrée, définissez l'indicateur isKeyEncrypted sur true ou false pour la clé non chiffrée. Assurez-vous que la phrase de passe est fournie dans le secret si la clé privée est chiffrée.
  8. Définissez ecaSecretName avec le nom du secret créé dans le fichier backupservercert.yaml à l'étape 5.
  9. Pour créer le fichier eca-create-backupservercert.yaml, exécutez la commande suivante : kubectl create -f eca-create-backupservercert.yaml
  10. Une fois la ressource personnalisée backupservercert créée, vérifiez son état.
  11. Pour afficher les détails des certificats externes dans l'interface utilisateur Web NetBackup, consultez la section Affichage des informations de certificats externes pour les hôtes NetBackup dans le domaine du Guide de l'administrateur de l'interface utilisateur Web NetBackup™.
Suppression d'un certificat signé par une autorité de certification externe

Vous pouvez supprimer le certificat signé par une autorité de certification externe du serveur principal.

Pour supprimer un certificat signé par une autorité de certification externe

  1. Créez un backupservercert avec une opération de suppression et en définissant un certificat de type ECA.

    Le fichier eca-remove-backupservercert.yaml ressemble à l'exemple suivant :

    apiVersion: netbackup.veritas.com/v1
kind: BackupServerCert
metadata:
  name: backupservercert-eca-remove
  namespace: kops-ns
spec:
  clusterName: cluster.sample.com:port
  backupServer: backupserver.sample.domain.com
  certificateOperation: Remove
  certificateType: ECA

    • Copiez le texte du fichier eca-remove-backupservercert.yaml.

    • Ouvrez l'éditeur de texte et collez le texte du fichier YAML.

    • Ensuite, enregistrez le texte en sélectionnant l'extension de fichier YAML dans le répertoire d'origine à partir duquel les clusters Kubernetes sont accessibles.

  2. Pour créer le fichier eca-remove-backupservercert.yaml, exécutez la commande suivante : kubectl create -f eca-remove-backupservercert.yaml
  3. Une fois l'objet créé, vérifiez l'état de la ressource personnalisée. En cas d'échec, vous pouvez prendre les mesures nécessaires.

Cette procédure supprime du magasin de certificats local les informations du certificat externe relatives au serveur principal spécifié. Le certificat n'est supprimé ni du système ni de la base de données NetBackup.

Pour désactiver une autorité de certification externe, consultez la section Désactivation d'une autorité de certification externe dans un domaine NetBackup du Guide de sécurité et de chiffrement NetBackup™.

Si vous avez inscrit une autorité de certification externe sur l'opérateur Kubernetes pour un serveur de sauvegarde, puis réinstallé le serveur de sauvegarde qui prend uniquement en charge l'autorité de certification NetBackup, vous devez supprimer l'inscription de l'autorité de certification externe à partir de l'opérateur Kubernetes, car il est possible que la prise en charge de l'autorité de certification soit vérifiée et qu'une erreur se produise en cas d'incohérence lors de la communication entre nbcertcmd et le serveur de sauvegarde.

Mise à jour d'un certificat signé par une autorité de certification externe

Certaines options peuvent être configurées dans l'autorité de certification externe. Vous pouvez configurer ces options à l'aide des opérations de mise à jour.

Pour mettre à jour un certificat signé par une autorité de certification externe

  1. Créez un objet backupservercert avec une opération de type mise à jour.

    Le fichier eca-update-backupservercert.yaml ressemble à l'exemple suivant :

    apiVersion: netbackup.veritas.com/v1
kind: BackupServerCert
metadata:
  name: backupservercert-eca-update
  namespace: kops-ns
spec:
  clusterName: cluster.sample.com:port
  backupServer: backupserver.sample.domain.com
  certificateOperation: Update
  certificateType: ECA
  ecaAttributes:
    ecaUpdateOptions:
      ecaCrlCheck: DISABLE | LEAF | CHAIN 
      ecaCrlRefreshHours: [0,4380]

    • Copiez le texte du fichier eca-update-backupservercert.yaml.

    • Ouvrez l'éditeur de texte et collez le texte du fichier YAML.

    • Ensuite, enregistrez le texte en sélectionnant l'extension de fichier YAML dans le répertoire d'origine à partir duquel les clusters Kubernetes sont accessibles.

  2. Pour créer le fichier eca-update-backupservercert.yaml, exécutez la commande suivante : kubectl create -f eca-update-backupservercert.yaml
  3. L'option ECA_CRL_CHECK permet de spécifier le niveau de contrôle de révocation pour les certificats externes de l'hôte. Elle permet également de désactiver le contrôle de révocation des certificats externes. En fonction du contrôle, l'état de révocation du certificat est validé à l'aide de la liste de révocation des certifications (CRL) pendant la communication avec l'hôte. Pour plus d'informations, consultez la section ECA_CRL_CHECK pour les serveurs et les clients NetBackup du Guide de sécurité et de chiffrement NetBackup™.
  4. L'option ECA_CRL_REFRESH_HOURS spécifie l'intervalle de temps en heures pour le téléchargement des listes CRL à partir des URL spécifiées dans les points de distribution des listes de révocation des certifications (CDP) du certificat de l'hôte homologue. Pour plus d'informations, consultez la section ECA_CRL_REFRESH_HOURS pour les serveurs et les clients NetBackup du Guide de sécurité et de chiffrement NetBackup™.