云计算·大数据 频道

Kubernetes环境下的数据保护策略:建立以业务为中心的原生体验

  云原生时代,企业数据保护策略发生了根本性变化,不再以虚机或者物理机层面进行备份,而是以业务视角去审视安全问题,防范各种风险。

  云原生变革

  过去,企业通过把简单的业务放在一个虚机里,而复杂一些的业务,会部署在几个虚机,或者以几十个虚机组合的方式支撑业务,所以企业的数据保护只需要做到虚机层面的保护就可以了,直接对虚机本身的VMDK文件或者以KVM的文件进行保护。

  但是,当云计算走向云原生时代,企业把越来越多的企业部署在以Kubernetes为代表的容器环境中,也许只是一个业务就由成百上千甚至上万的容器来支撑,其业务的复杂性难以想象。因为,在Kubernetes环境中,所有的资源以不同的命名空间进行组织,同时各种命名空间之间是不可交叉状态,导致容器和各种命名空间、配置文件、业务资源和组织方式更难以管理。

  那么,有没有容器云环境下的数据保护“金标准”呢?

  ▲Veritas公司大中华区技术销售与服务总监顾海巍

  “与虚机相比,Kubernetes环境下的数据保护要更细粒度、更复杂,需以业务为中心一层层梳理。”Veritas公司大中华区技术销售与服务总监顾海巍认为,在容器环境下的最佳数据保护策略,应该以业务为中心,一层层往下梳理。

  在容器运行环境下,一个业务可能就有上千个命名空间,每个命名空间底下又有不同的资源,其复杂性远远超过虚机。如果中间不小心漏掉一个资源,最终会导致业务恢复失败,这也是很多企业在数据备份时,选择从工作负载视角转为应用视角的最重要原因。

  数据保护面临新挑战

  具体而言,Kubernetes环境下的数据保护存在三大挑战:

  第一,如何保证容器环境的备份效率?

  在Kubernetes环境下,用户最关心的问题是备份是不是有效,够不够及时,能不能提供原生支持,是否符合企业自己的运维标准。进行Kubernetes环境保护不能降低Kubernetes本身的运维水准,包括集成Kubernetes环境本身的CI/CD(持续性集成、持续性部署、持续性交付)。同时,数据保护的总体拥有成本是不是合理,应用的扩展性如何,会不会被限制在一个烟囱里等等,要想有效解决这些问题,必须在数据保护平台的架构层面,就实现和Kubernetes环境的契合,包括大规模Kubernetes环境的保护和恢复。

  第二,如何针对Kubernetes容器应用复杂性进行一致性保护?

  传统数据中心上云,是为了屏蔽应用的复杂性,但随着多云时代的来临,云也出现了新的问题,而Kubernetes的出现,则实现了云标准的统一,消除了运维的复杂性。只不过,Kubernetes涉及更多微服务,需要进行更复杂的编排。要想保证业务的一致性,必须把所有资源视为一个整体,处理好不同Kubernetes微服务之间的编排关系。

  第三,如何保护好Kubernetes环境的可移植遵从性?

  既然Kubernetes带来了新的复杂性,那么客户为什么还会选择?其中,最重要一个原因是,Kubernetes环境有很大的可移植性,可以兼容传统数据中心、不同云以及不同的商业版本,确保原先代码的可移植性。所以,数据保护要遵循这种可移植性,否则最终价值将大大降低。

  基于上述种种问题,Veritas提出一个新理念,那就是要以应用为中心进行备份容灾。

  NetBackup 10带来现代化业务体验

  从具体的落地工具层面来看,要想满足企业在Kubernetes环境下的备份需求,必须基于原生框架提供备份工具。熟悉传统备份环境的人都知道,客户端跟被保护的工作负载(Workload)之间有建立通信能力,但在Kubernetes环境中,再采用这种挂车式的客户端代理方式去做,就会显得很笨重。

  于是,NetBackup 10在Kubernetes上提出了“原生保护功能”,这种方式的最大优势在于,备份通信机制或者备份的客户端都要遵从Kubernetes本身的架构。比如:通过容器化的NetBackup Operator,就可以像在传统环境中的Agent一样,把它作为一个容器部署在Kubernetes集群中。NetBackup Operator的分发需要遵从NetBackup原生标准,自动把数据保护接口分发出去。NetBackup的设计特别强调,能够自动发现Kubernetes上的业务,自动管理容器上限,进行自我保护。

  为了具备自我保护以及自动发现的能力,NetBackup 10有一整套完整机制,可以完美契合到CI/CD的运维标准中。所以,Veritas也向Kubernetes的运维管理员提供了基于访问策略标准、基于角色权限控制标准的一套API,把NetBackup保护集成到CI/CD流程中。

  当然,并不是所有的容器保护平台都需要做得这么复杂。在很多企业里,容器Kubernetes保护平台由备份管理员来维护,他们可能并不是Kubernetes方面专家,只想保护好Kubernetes。这时,他们可以基于设定好的策略,直接进行保护就可以了,不需要了解与CI/CD相关的标准,也无须关心Helm chart分发机制。

  NetBackup 10针对不同业务角色进行了个性化开发,比如开发了基于Web界面的数据保护,备份管理员只需要简单敲几下鼠标,就能完成Kubernetes环境的保护。

  概括来说,NetBackup 10有五大杀手锏功能:1)原生的工具;2)针对Kubernetes环境平台和存储的广泛支持;3)以应用为中心,进行Kubernetes的数据保护;4)基于Kubernetes的灵活恢复选项;5)简化备份和运维恢复。

  其实,数据安全问题由来已久,不管是传统环境,还是基于Kubernetes的容器环境,都有各种各样的问题。

  正如顾海巍所言,安全的真正问题并不是意识不足,绝大多数企业都已经依据标准,建立了不同级别的安全运维能力。只不过,安全运维本身是一个动态发展、持续迭代的一个能力,并不是部署了某些安全运维解决方案就能一劳永逸。尤其在企业数字化转型加快背景下,如果数据治理能力没有跟得上4C挑战,就行形成差距,产生不安全因素。

  从这个角度来看,容器化部署,也是数字化转型的具体落地方案,如果企业没有基于容器环境建立相关的部署能力,也就无法赶超数字化速度。

  针对Kubernetes环境下的数据保护,建议企业加强如下六个方面的能力:

  (1)遵循基本的安全原则;

  (2)妥善保护Kubernetes环境下的数据;

  (3)完整地保证Kubernetes环境下所有命名空间的安全,缺一不可,这是数据复制完整性的问题。

  (4)要明确Kubernetes环境的各种运维人员和使用用户的访问权限。

  (5)简化运维,通过自动化的方式解放DevOPs团队和备份团队的工作量。

  (6)基于现有的企业整体环境,不仅是Kubernetes环境,包括其他所有环境,建立整体环境下的统一、一致性的备份平台。

  综上而言,在运维产品选型方面,企业应该选择被市场长期验证可靠的、有效的、平台性的解决方案;而在品牌选择上,应该是一个能够跟客户共同成长,可信任的合作伙伴。

0
相关文章