Google Kubernetes Engine クラスタで Backup for GKE エージェントを有効にすると、Backup for GKE によって CustomResourceDefinition が提供されます。これにより、新しい種類の Kubernetes リソース ProtectedApplication が導入されます。
ProtectedApplication の作成では、次の 3 つの操作を行います。
アプリケーションの一部としてバックアップと復元を行うリソースセットを選択する。
リソースのサブセットに詳細なオーケストレーション ルールを定義する。
ProtectedApplicationを検証して、バックアップの準備ができているかどうかを確認する。
ProtectedApplication リソースを使用すると、バックアップと復元のロジックをアプリケーション レベルでカスタマイズする際に、次の機能を使用できます。
より詳細なバックアップと復元。
ProtectedApplicationsを使用しない場合は、バックアップのスコープをNamespaceレベルで定義する必要があります(allNamespaces または selectedNamespaces を選択)。名前空間付きリソースの復元にも同様のロジックが適用されます。ProtectedApplicationリソースを作成すると、Namespace内のリソースのサブセットに名前を指定できます。その後、バックアップ スコープで selectedApplications をリストして、サブセットのバックアップと復元を行うこともできます(復元の場合も同様です)。バックアップまたは復元のプロセスの詳細なオーケストレーション
バックアップ時に選択したボリュームをスキップします。
アプリケーション トポロジをバックアップと復元に組み込みます(たとえば、複製されたデータベースの 1 つのインスタンスのみをバックアップし、それを使用して複数のインスタンスを復元します)。
ボリュームのスナップショットの前後にユーザー定義のフックを実行します。たとえば、スナップショットを作成する前にワークロードをフラッシュして停止させ、完了後に停止を解除します。
他の Kubernetes リソースと同様に、kubectl を使用して ProtectedApplication を作成します。これらはすべて任意です。ProtectedApplication リソースが存在しない場合、Backup for GKE は、バックアップ スコープ内のすべてのボリュームに対してボリューム バックアップを作成します。その結果、ボリュームのバックアップがクラッシュ整合性を持ちます。特定の時点でディスクにフラッシュされたすべての書き込みがキャプチャされます(つまり、部分的な書き込みはありません)。ただし、一部のアプリケーションでは、ディスクにフラッシュされていないデータをメモリに保持することがあるため、アプリケーションがクラッシュ整合性のあるバックアップから正常に復元できるかどうかは、アプリケーション ロジックによって異なります。
リソースの選択
ProtectedApplication リソースを作成する最初のステップは、アプリケーションの一部として含める同じ Namespace 内のリソースを特定することです。これは、BackupPlan 構成で selectedApplications スコープ オプションを指定した場合にバックアップまたは復元されるリソースのセットです。
リソースは、ラベルセレクタを使用して識別されます。そのためには、すべてのリソースに(各リソースの metadata.label フィールドを使用して)同じラベルを付ける必要があります。これは、コントローラによって自動的に作成されるリソースにも該当します。自動的に作成されたこれらのリソースには、対応するテンプレートによってラベルが設定されます。すでに使用しているラベルを再利用して、生成された Pods と PersistentVolumeClaims を親リソースに関連付けるのが一般的です。
使用上の考慮事項は次のとおりです。
- 子リソースを作成するリソースを保護する場合は、親リソース(
StatefulSet、Deployment、DaemonSetなど)と子リソース(Pod、PersistentVolumeClaimなど)の両方に、ProtectedApplicationのSelectorフィールドで使用されるラベルが必要です。 ProtectedApplicationで参照される一部のリソースがオペレーターによって自動的に作成される場合は、ProtectedApplicationセレクタにオペレーターのカスタム リソースを含める必要があります。これにより、オペレーターがリソースの作成を試みるのと同時にバックアップから復元された場合に発生する、復元時間の競合状態を回避できます。
次の例では、Deployment に加えて、他のリソースにも app: nginx ラベルを適用しています。
apiVersion: v1 kind: ConfigMap metadata: name: nginx-vars namespace: webserver labels: app: nginx data: ... --- apiVersion: v1 kind: PersistentVolumeClaim metadata: name: nginx-logs namespace: webserver labels: app: nginx spec: accessModes: - ReadWriteOnce resources: requests: storage: 50Mi storageClassName: standard-rwo --- apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment namespace: webserver labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: volumes: - name: nginx-logs persistentVolumeClaim: claimName: nginx-logs containers: ... 選択したラベルをすべてのターゲット リソース(追加リソースの生成元となるテンプレートを含む)に適用すると、ProtectedApplication からそれらのリソースを参照できます。次に例を示します。
kind: ProtectedApplication apiVersion: gkebackup.gke.io/v1 metadata: name: nginx namespace: webserver spec: resourceSelection: type: Selector selector: matchLabels: app: nginx ... オーケストレーション ルールを定義する
ProtectedApplication 内のすべてのリソースを特定したら、それらのリソースのサブセットに詳細なオーケストレーション ルールを定義できます。これらのルールは、Deployment と StatefulSet の 2 種類のリソースにのみ適用されます。これらは ProtectedApplication の components セクションで参照されています。
コンポーネントの概要
コンポーネントの構成では、次のことを行います。
このコンポーネントのバックアップと復元に関する基本的な戦略を選択します。次の 3 つの戦略があります。
BackupAllRestoreAll- コンポーネントのすべてのインスタンスに関連付けられたボリュームをバックアップし、すべてをバックアップから復元するBackupOneRestoreAll- コンポーネントの 1 つのインスタンスのボリュームをバックアップし、そのバックアップを使用してすべてのインスタンスを復元するDumpAndLoad- バックアップ時にアプリケーションから単一ボリュームにデータをエクスポートし、復元時にそのデータをアプリケーションにインポートする
バックアップ時に実行する実行フックを定義します(戦略によっては復元時にも実行します)。フックは、特定のコンテナで実行されるコマンドです。
実行フック
フックは、バックアップまたは復元プロセスの特定のフェーズで Backup for GKE がコンテナ内で実行するシェルコマンドです。
フックには次の 4 種類があります。
pre hooks- このコマンドは、ボリュームがバックアップされる直前に実行されます。ディスクに新しい書き込みが発生しないよう、通常はメモリ内のデータをディスクにフラッシュしてから、アプリケーションを停止します。このフックは、BackupAllRestoreAll戦略とBackupOneRestoreAll戦略で使用されます。post hooks- このコマンドは、ボリューム バックアップ プロセスの SNAPSHOTTING ステップの直後(UPLOADING ステップの前)のボリューム バックアップ プロセスで実行されます。通常、SNAPSHOTTING ステップにかかる時間は数秒です。通常、アプリケーションは停止解除状態になります(つまり、通常の処理とディスクの書き込みを続行します)。このフックは、BackupAllRestoreAll、BackupOneRestoreAll、DumpAndLoadの各戦略で使用されます。dump hooks- このコマンドは、DumpAndLoad戦略でボリュームがバックアップされる前に実行されます。通常、アプリケーションから指定のバックアップ ボリュームにデータをエクスポートします。load hooks- このコマンドは、DumpAndLoad戦略でバックアップ ボリュームが復元された後に実行されます。通常は、バックアップ ボリュームからアプリケーションにデータをインポートします。
タイプごとに複数のフックを指定することができ、Backup for GKE は定義された順序でこれらのフックを実行します。
フックは、ProtectedApplication 仕様のコンポーネント セクションの一部として定義します。フックの定義で使用できるフィールドは次のとおりです。
name- フックに割り当てた名前。container- (省略可)コマンドを実行するコンテナの名前。コンテナを指定しない場合、Backup for GKE はターゲットPodに定義された最初のコンテナでフックを実行します。command- コンテナに送信される実際のコマンド。単語の配列として構成されます。配列の最初の単語はコマンドのパスで、以降はコマンドに渡される引数です。timeoutSeconds- (省略可)フックの実行を中止するまでの時間。指定しない場合、デフォルトで 30 秒に設定されます。onError- (省略可)フックが失敗したときの動作。IgnoreまたはFail(デフォルト)に設定できます。Failに設定した場合、フックが失敗すると、ボリュームのバックアップも失敗します。Ignoreに設定すると、このフックの失敗は無視されます。
フックが期待どおりに動作することを確認するには、ProtectedApplication フックをアプリケーションに適用する前に、kubectl exec を使用してコマンドをテストする必要があります。
kubectl exec POD_NAME -- COMMAND 次のように置き換えます。
POD_NAME:ProtectedApplicationリソースを含む Pod の名前。COMMAND: コンテナで実行するコマンドを含む配列。
バックアップするボリュームのサブセットの選択
アプリケーションによっては、復元に関係のないボリュームに書き込みを行う場合があります(たとえば、特定のログやスクラッチ ボリュームなど)。これらのボリュームのバックアップを抑制するには、ボリューム セレクタを使用します。
この機能を使用するには、まずバックアップするボリュームの PersistentVolumeClaim リソースに共通のラベルを適用する必要があります。また、バックアップしないボリュームの PersistentVolumeClaim リソースには、このラベルを付けない必要があります。その後、次のようにコンポーネント定義に volumeSelector 句を含めます。
spec: ... components: ... strategy: ... volumeSelector: matchLabels: label_name: label_value コンポーネントに volumeSelector を指定すると、PersistentVolumeClaim リソースに特定のラベルが付いているボリュームのみがバックアップおよび復元されます。復元時に、他のボリュームはボリューム バックアップから復元されるのではなく、空のものとしてプロビジョニングされます。
戦略: BackupAllRestoreAll
最もシンプルな戦略で、バックアップ時にはコンポーネントのすべてのボリュームがバックアップされ、復元時にはそのすべてがボリュームのバックアップから復元されます。これは、アプリケーションで Pods 間のレプリケーションがない場合に最適です。
この戦略は、次のパラメータをサポートしています。
backupPreHooks- (省略可)ボリュームがバックアップされる直前に実行されるフックの順序付きリスト。これらのコマンドは、コンポーネント内のすべてのPodsで実行されます。backupPostHooks- (省略可)ボリュームのバックアップが UPLOADING フェーズに達した後に実行されるフックの順序付きリスト。これらのコマンドは、コンポーネント内のすべてのPodsで実行されます。volumeSelector- (省略可)バックアップするボリュームのサブセットを照合するロジック。
この例では、ログボリュームをバックアップする前にファイル システムを停止し、バックアップの後に停止する ProtectedApplication リソースを作成します。
kind: ProtectedApplication apiVersion: gkebackup.gke.io/v1 metadata: name: nginx namespace: sales spec: resourceSelection: type: Selector selector: matchLabels: app: nginx components: - name: nginx-app resourceKind: Deployment resourceNames: ["nginx-deployment"] strategy: type: BackupAllRestoreAll backupAllRestoreAll: backupPreHooks: - name: freeze container: nginx command: - bash - "-c" - | # Add application logic to flush data to disk before snapshot # and freeze the application from further changes. echo "Freezing the application" # Return 0 on successful freeze of application, and non-zero # for errors exit 0 backupPostHooks: - name: unfreeze container: nginx command: - bash - "-c" - | # Add application logic to unfreeze the application. echo "Unfreezing the application" # Return 0 on successful freeze of application, and non-zero # for errors exit 0 戦略: BackupOneAndRestoreAll
この戦略では、選択した Pod のコピーを 1 つバックアップします。この単一コピーは、復元中にすべての Pod を復元するソースです。この方法は、ストレージ費用を削減しバックアップ時間を短縮するのに役立ちます。この戦略は、1 つのプライマリ PersistentVolumeClaim と複数のセカンダリ PersistentVolumeClaims でコンポーネントがデプロイされている場合に、高可用性構成で機能します。
この戦略は、次のパラメータをサポートしています。
backupTargetName- (必須)データのバックアップに使用する Deployment または StatefulSet を指定します。バックアップに最適な Pod が自動的に選択されます。高可用性構成の場合は、これをアプリケーション レプリカのいずれかに設定することをおすすめします。backupPreHooks- (省略可)ボリュームがバックアップされる直前に実行されるフックの順序付きリスト。これらのコマンドは、選択したバックアップPodでのみ実行されます。backupPostHooks- (省略可)ボリュームのバックアップが UPLOADING フェーズに達した後に実行されるフックの順序付きリスト。これらのコマンドは、選択したバックアップPodでのみ実行されます。volumeSelector- (省略可)バックアップするボリュームのサブセットを照合するロジック。
コンポーネントが複数の Deployment または StatefulSet で構成されている場合は、すべてのリソースが同じ PersistentVolume 構造になっている必要があります。つまり、次のルールに従う必要があります。
- すべての Deployment または StatefulSet で使用される
PersistentVolumeClaimsの数は同じである必要があります。 - 同じインデックス内の
PersistentVolumeClaimsの目的は同じである必要があります。StatefulSet で、インデックスはvolumeClaimTemplateで定義されます。Deployment で、インデックスはVolumesで定義され、非永続ボリュームはスキップされます。 - アプリケーション コンポーネントが Deployment で構成されている場合、各 Deployment には 1 つのレプリカが必要です。
これらの考慮事項を前提に、バックアップには複数のボリューム セットを選択できますが、各ボリューム セットから選択されるボリュームは 1 つだけです。
この例は、1 つのプライマリ StatefulSet とセカンダリ StatefulSet のアーキテクチャを想定し、セカンダリ StatefulSet に 1 つの Pod のボリュームのバックアップがあり、その後、他のすべてのボリュームに復元されることを示しています。
kind: ProtectedApplication apiVersion: gkebackup.gke.io/v1 metadata: name: mariadb namespace: mariadb spec: resourceSelection: type: Selector selector: matchLabels: app: mariadb components: - name: mariadb resourceKind: StatefulSet resourceNames: ["mariadb-primary", "mariadb-secondary"] strategy: type: BackupOneRestoreAll backupOneRestoreAll: backupTargetName: mariadb-secondary backupPreHooks: - name: quiesce container: mariadb command: [...] backupPostHooks: - name: unquiesce container: mariadb command: [...] 戦略: DumpAndLoad
この戦略では、バックアップと復元のプロセスに専用のボリュームが使用されます。ダンプデータを格納するコンポーネントには、専用の PersistentVolumeClaim が接続されている必要があります。
この戦略は、次のパラメータをサポートしています。
dumpTarget- (必須)データのバックアップに使用する Deployment または StatefulSet を指定します。バックアップに最適な Pod が自動的に選択されます。高可用性構成の場合は、これをアプリケーション レプリカのいずれかに設定することをおすすめします。loadTarget- (必須)データの読み込みに使用する Deployment または StatefulSet を指定します。バックアップに最適な Pod が自動的に選択されます。読み込みターゲットは、ダンプ ターゲットと同じにする必要はありません。dumpHooks- (必須)専用のバックアップ ボリュームを設定するために実行されるフックの順序付きリスト。これらのコマンドは、選択したダンプPodに対してのみ実行されます。backupPostHooks- (省略可)ボリュームのバックアップが UPLOADING フェーズに達した後に実行されるフックの順序付きリスト。これらのコマンドは、選択したダンプPodでのみ実行されます。loadHooks- (必須)アプリケーションの起動後に復元されたボリュームからデータを読み込むために実行されるフックの順序付きリスト。これらのコマンドは、選択した読み込みPodでのみ実行されます。volumeSelector- (必須)1 つのボリューム(ダンプ ボリューム)をバックアップおよび復元に一致させるためのロジック。一致させるボリュームは 1 つだけですが、この構成は、他の戦略で使用されるバックアップするボリュームのサブセットと同じ方法で行います。
アプリケーションが Deployment で構成されている場合、各 Deployment には 1 つのレプリカが必要です。
この例では、プライマリ StatefulSet とセカンダリ StatefulSet の両方に専用の PersistentVolumeClaims を持つ 1 つのプライマリ StatefulSet とセカンダリ StatefulSet のアーキテクチャを想定し、DumpAndLoad の戦略を示しています。
kind: ProtectedApplication apiVersion: gkebackup.gke.io/v1 metadata: name: mariadb namespace: mariadb spec: resourceSelection: type: Selector selector: matchLabels: app: mariadb components: - name: mariadb-dump resourceKind: StatefulSet resourceNames: ["mariadb-primary", "mariadb-secondary"] strategy: type: DumpAndLoad dumpAndLoad: loadTarget: mariadb-primary dumpTarget: mariadb-secondary dumpHooks: - name: db_dump container: mariadb command: - bash - "-c" - | mysqldump -u root --all-databases > /backup/mysql_backup.dump loadHooks: - name: db_load container: mariadb command: - bash - "-c" - | mysql -u root < /backup/mysql_backup.sql volumeSelector: matchLabels: gkebackup.gke.io/backup: dedicated-volume ProtectedApplication がバックアップの準備ができているかどうかを確認する
次のコマンドを実行して、ProtectedApplication がバックアップの準備ができているかどうかを確認できます。
kubectl describe protectedapplication APPLICATION_NAME APPLICATION_NAME は、アプリケーションの名前に置き換えます。
準備ができると、次の例のように、アプリケーションの説明には Ready to backup ステータスが true として表示されます。
% kubectl describe protectedapplication nginx Name: nginx Namespace: default API Version: gkebackup.gke.io/v1 Kind: ProtectedApplication Metadata: UID: 90c04a86-9dcd-48f2-abbf-5d84f979b2c2 Spec: Components: Name: nginx Resource Kind: Deployment Resource Names: nginx Strategy: Backup All Restore All: Backup Pre Hooks: Command: /sbin/fsfreeze -f /var/log/nginx Container: nginx Name: freeze Backup Post Hooks: Command: /sbin/fsfreeze -u /var/log/nginx Container: nginx Name: unfreeze Type: BackupAllRestoreAll Resource Selection: Selector: Match Labels: app: nginx Type: Selector Status: Ready To Backup: true Events: <none> 次のステップ
- 詳しくは、一連のバックアップのプランニングをご覧ください。