NetBackup™ Web UI Kubernetes 管理者ガイド
- NetBackup for Kubernetes の概要
- NetBackup Kubernetes Operator の配備と構成
- イメージグループの管理
- NetBackup Kubernetes Operator での証明書の配備
- Kubernetes 資産の管理
- Kubernetes インテリジェントグループの管理
- Kubernetes 資産の保護
- Kubernetes 資産のリカバリ
- Kubernetes の問題のトラブルシューティング
- プライマリサーバーのアップグレード時のエラー: NBCheck が失敗する
- 古いイメージのリストア時のエラー: 操作が失敗する
- 永続ボリュームのリカバリ API でのエラー
- リストア中のエラー: ジョブの最終状態で一部が失敗していると表示される
- 同じ名前空間でのリストア時のエラー
- datamover ポッドが Kubernetes のリソース制限を超過
- リストア時のエラー: 高負荷のクラスタでジョブが失敗する
- 特定のクラスタ用に作成されたカスタムの Kubernetes の役割でジョブを表示できない
- OperatorHub からインストールされたアプリケーションのリストア時に、選択されていない空の PVC が Openshift によって作成される
- OperatorHub からインストールされたアプリケーションのリストア時に、選択されていない空の PVC が Openshift によって作成される
- Kubernetes ノードで PID の制限を超えると NetBackup Kubernetes Operator が応答しなくなる
- NetBackup Kubernetes 10.1 におけるクラスタの編集中のエラー
- 大きいサイズの PVC でスナップショットからのリストアが失敗する
- 名前空間ファイルモードの PVC を別のファイルシステムにリストアすると部分的に失敗する
- バックアップコピーからのリストアがイメージの不整合エラーで失敗する
ホスト ID ベースの証明書操作の実行
プライマリサーバーが NBCA モードで構成されていることを確認します。NBCA モードがオンかどうかを確認するには、コマンド /usr/openv/netbackup/bin/nbcertcmd -getSecConfig -caUsage を実行します。
出力は次のようになります。
NBCA: ON ECA: OFF
ホスト ID ベースの証明書の指定は次のようになります。
apiVersion: netbackup.veritas.com/v1
kind: BackupServerCert
metadata:
name: backupservercert-sample
namespace: kops-ns
spec:
clusterName: cluster.sample.com:port
backupServer: primaryserver.sample.domain.com
certificateOperation: Create | Update | Remove
certificateType: NBCA
nbcaAttributes:
nbcaCreateOptions:
secretName: "Secret name consists of token and fingerprint"
nbcaUpdateOptions:
secretName: "Secret name consists of token and fingerprint"
force: true
nbcaRemoveOptions:
hostID: "hostId of the nbca certificate. You can view on Netbackup UI"表: ホスト ID ベースの証明書操作
操作形式 | オプションとコメント |
|---|---|
作成 (Create) | secretName: トークンと指紋を含む Secret の名前。 |
削除 (Remove) | hostID: NBCA 証明書のホスト ID。 |
更新 (Update) | secretName: トークンと指紋を含む Secret の名前。 |
次の手順を使用して、Kubernetes Operator 用にホスト ID ベースの証明書を作成できます。
Kubernetes Operator 用ホスト ID ベースの証明書を作成するには
- バックアップサーバーで、次のコマンドを実行し、SHA-256 指紋を取得します。
/usr/openv/netbackup/bin/nbcertcmd -listCACertDetails
- 認証トークンを作成するには、『NetBackup™ セキュリティおよび暗号化ガイド』の「認証トークンの作成」を参照してください。
- 再発行トークンを作成するには、必要に応じて、『NetBackup™ セキュリティおよび暗号化ガイド』の「再発行トークンの作成」を参照してください。
- トークンと指紋を使用して Secret を作成します。
- セキュリティレベルに関係なく必須のため、トークンを指定します。
Token-fingerprint-secret.yamlは次のようになります。apiVersion: v1 kind: Secret metadata: name: secret-name namespace: kops-ns type: Opaque stringData: token: "Authorization token | Reissue token" fingerprint: "SHA256 Fingerprint"
Token-fingerprint-secret.yamlファイルのテキストをコピーします。テキストエディタを開き、yaml ファイルのテキストを貼り付けます。
その後、そのテキストに yaml ファイル拡張子を付けて、Kubernetes クラスタにアクセスできるホームディレクトリに保存します。
Token-fingerprint-secret.yamlファイルを作成するには、コマンド kubectl create -f Token-fingerprint-secret.yaml を実行します。-
nbcaCreateOptionsを使用してbackupservercertオブジェクトを作成し、Secret 名を指定します。nbca-create-backupservercert.yamlは次のようになります。apiVersion: netbackup.veritas.com/v1 kind: BackupServerCert metadata: name: backupserver-nbca-create namespace: kops-ns spec: clusterName: cluster.sample.com:port backupServer: backupserver.sample.domain.com certificateOperation: Create certificateType: NBCA nbcaAttributes: nbcaCreateOptions: secretName: nbcaSecretName with token and fingerprintnbca-create-backupservercert.yamlファイルのテキストをコピーします。テキストエディタを開き、yaml ファイルのテキストを貼り付けます。
その後、そのテキストに yaml ファイル拡張子を付けて、Kubernetes クラスタにアクセスできるホームディレクトリに保存します。
nbca-create-backupservercert.yamlファイルを作成するには、コマンド kubectl create -f nbca-create-backupservercert.yaml を実行します。- 証明書が作成されたら、カスタムリソースの状態を確認します。カスタムリソースの状態が正常の場合は、スナップショットからのバックアップジョブを実行できます。
メモ:
スナップショットからのバックアップ操作またはバックアップコピーからのリストア操作を開始する前に、BackupServerCert カスタムリソースの状態が正常であることを確認する必要があります。
メモ:
ホスト ID ベースの証明書を更新するには、NetBackup のホスト ID 証明書で、24 時間後に更新が予定されているかどうかを確認します。証明書は、有効期限の 180 日 (6 カ月) 前に自動的に更新されます。
メモ:
NetBackup プライマリサーバーのクロックと NetBackup Kubernetes Operator のクロックが同期しているかどうかを確認します。
CheckClockSkewのエラーについて詳しくは、『NetBackup™ セキュリティおよび暗号化ガイド』の「証明書の有効期間に対するクロックスキューの意味」セクションを参照してください。
プライマリサーバーがバックアップおよびリストア操作の実行に使用されていない場合は、そのサーバーから証明書を削除できます。
Kubernetes Operator からプライマリサーバー証明書を削除するには
- NetBackup Web UI にログオンし、削除する証明書のホスト ID を取得します。
証明書のホスト ID を取得するには、『NetBackup™ セキュリティおよび暗号化ガイド』の「ホスト ID ベースの証明書の詳細の表示」セクションを参照してください。
- 操作形式を削除に設定して backupservercert を作成します。
nbca-remove-backupservercert.yamlファイルは次のようになります。apiVersion: netbackup.veritas.com/v1 kind: BackupServerCert metadata: name: backupserver-nbca-domain.com namespace: kops-ns spec: clusterName: cluster.sample.com:port backupServer: backupserver.sample.domain.com certificateOperation: Remove certificateType: NBCA nbcaAttributes: nbcaRemoveOptions: hostID: nbcahostIDnbca-remove-backupservercert.yamlファイルのテキストをコピーします。テキストエディタを開き、yaml ファイルのテキストを貼り付けます。
その後、そのテキストに yaml ファイル拡張子を付けて、Kubernetes クラスタにアクセスできるホームディレクトリに保存します。
nbca-remove-backupservercert.yamlファイルを作成するには、コマンド kubectl create -f nbca-remove-backupservercert.yaml を実行します。- 証明書を無効にするには、『NetBackup™ セキュリティおよび暗号化ガイド』の「ホスト ID ベースの証明書の無効化」セクションを参照してください。
メモ:
nbca-remove-backupservercert.yamlが適用されると、証明書は Kubernetes Operator のローカル証明書ストアから削除されます。ただし、まだ NetBackup データベースには存在し、有効なままです。したがって、証明書を無効にする必要があります。
証明書が読み取り可能で、Kubernetes Operator に存在することを前提に、証明書を更新するシナリオを次に示します。
NetBackup Kubernetes Operator に存在する証明書が無効化されている場合は、更新操作を行って証明書を再発行できます。この問題を解決するには、サーバー証明書を更新するか、サーバー証明書を削除して新しい証明書を作成します。
メモ:
証明書の更新操作が失敗した場合は、最初に証明書を削除してから新しい証明書を作成する必要があります。
Kubernetes Operator でプライマリサーバー証明書を更新するには
- 更新操作を行って backupservercert オブジェクトを作成します。
nbca-update-backupservercert.yamlファイルは次のようになります。apiVersion: netbackup.veritas.com/v1 kind: BackupServerCert metadata: name: backupserver-nbca-update namespace:kops-ns spec: clusterName: cluster.sample.com:port backupServer: backupserver.sample.domain.com certificateOperation: Update certificateType: NBCA nbcaAttributes: nbcaUpdateOptions: secretName: "Name of secret containing token and fingerprint" force: truenbca-update-backupservercert.yamlファイルのテキストをコピーします。テキストエディタを開き、yaml ファイルのテキストを貼り付けます。
その後、そのテキストに yaml ファイル拡張子を付けて、Kubernetes クラスタにアクセスできるホームディレクトリに保存します。
nbca-update-backupservercert.yamlファイルを作成するには、コマンド kubectl create -f nbca-update-backupservercert.yaml を実行します。- backupservercert オブジェクトが作成されたら、カスタムリソースの状態を確認します。