云原生时代，企业数据保护策略发生了根本性变化，不再以虚机或者物理机层面进行备份，而是以业务视角去审视安全问题，防范各种风险。

　　云原生变革

　　过去，企业通过把简单的业务放在一个虚机里，而复杂一些的业务，会部署在几个虚机，或者以几十个虚机组合的方式支撑业务，所以企业的数据保护只需要做到虚机层面的保护就可以了，直接对虚机本身的VMDK文件或者以KVM的文件进行保护。

　　但是，当云计算走向云原生时代，企业把越来越多的企业部署在以Kubernetes为代表的容器环境中，也许只是一个业务就由成百上千甚至上万的容器来支撑，其业务的复杂性难以想象。因为，在Kubernetes环境中，所有的资源以不同的命名空间进行组织，同时各种命名空间之间是不可交叉状态，导致容器和各种命名空间、配置文件、业务资源和组织方式更难以管理。

　　那么，有没有容器云环境下的数据保护“金标准”呢？

　　▲Veritas公司大中华区技术销售与服务总监顾海巍

　　“与虚机相比，Kubernetes环境下的数据保护要更细粒度、更复杂，需以业务为中心一层层梳理。”Veritas公司大中华区技术销售与服务总监顾海巍认为，在容器环境下的最佳数据保护策略，应该以业务为中心，一层层往下梳理。

　　在容器运行环境下，一个业务可能就有上千个命名空间，每个命名空间底下又有不同的资源，其复杂性远远超过虚机。如果中间不小心漏掉一个资源，最终会导致业务恢复失败，这也是很多企业在数据备份时，选择从工作负载视角转为应用视角的最重要原因。

　　数据保护面临新挑战

　　具体而言，Kubernetes环境下的数据保护存在三大挑战：

　　第一，如何保证容器环境的备份效率？

　　在Kubernetes环境下，用户最关心的问题是备份是不是有效，够不够及时，能不能提供原生支持，是否符合企业自己的运维标准。进行Kubernetes环境保护不能降低Kubernetes本身的运维水准，包括集成Kubernetes环境本身的CI/CD（持续性集成、持续性部署、持续性交付）。同时，数据保护的总体拥有成本是不是合理，应用的扩展性如何，会不会被限制在一个烟囱里等等，要想有效解决这些问题，必须在数据保护平台的架构层面，就实现和Kubernetes环境的契合，包括大规模Kubernetes环境的保护和恢复。

　　第二，如何针对Kubernetes容器应用复杂性进行一致性保护？

　　传统数据中心上云，是为了屏蔽应用的复杂性，但随着多云时代的来临，云也出现了新的问题，而Kubernetes的出现，则实现了云标准的统一，消除了运维的复杂性。只不过，Kubernetes涉及更多微服务，需要进行更复杂的编排。要想保证业务的一致性，必须把所有资源视为一个整体，处理好不同Kubernetes微服务之间的编排关系。

　　第三，如何保护好Kubernetes环境的可移植遵从性?

　　既然Kubernetes带来了新的复杂性，那么客户为什么还会选择？其中，最重要一个原因是，Kubernetes环境有很大的可移植性，可以兼容传统数据中心、不同云以及不同的商业版本，确保原先代码的可移植性。所以，数据保护要遵循这种可移植性，否则最终价值将大大降低。

　　基于上述种种问题，Veritas提出一个新理念，那就是要以应用为中心进行备份容灾。

　　NetBackup 10带来现代化业务体验

　　从具体的落地工具层面来看，要想满足企业在Kubernetes环境下的备份需求，必须基于原生框架提供备份工具。熟悉传统备份环境的人都知道，客户端跟被保护的工作负载（Workload）之间有建立通信能力，但在Kubernetes环境中，再采用这种挂车式的客户端代理方式去做，就会显得很笨重。

　　于是，NetBackup 10在Kubernetes上提出了“原生保护功能”，这种方式的最大优势在于，备份通信机制或者备份的客户端都要遵从Kubernetes本身的架构。比如：通过容器化的NetBackup Operator，就可以像在传统环境中的Agent一样，把它作为一个容器部署在Kubernetes集群中。NetBackup Operator的分发需要遵从NetBackup原生标准，自动把数据保护接口分发出去。NetBackup的设计特别强调，能够自动发现Kubernetes上的业务，自动管理容器上限，进行自我保护。

　　为了具备自我保护以及自动发现的能力，NetBackup 10有一整套完整机制，可以完美契合到CI/CD的运维标准中。所以，Veritas也向Kubernetes的运维管理员提供了基于访问策略标准、基于角色权限控制标准的一套API，把NetBackup保护集成到CI/CD流程中。

　　当然，并不是所有的容器保护平台都需要做得这么复杂。在很多企业里，容器Kubernetes保护平台由备份管理员来维护，他们可能并不是Kubernetes方面专家，只想保护好Kubernetes。这时,他们可以基于设定好的策略，直接进行保护就可以了，不需要了解与CI/CD相关的标准，也无须关心Helm chart分发机制。

　　NetBackup 10针对不同业务角色进行了个性化开发，比如开发了基于Web界面的数据保护，备份管理员只需要简单敲几下鼠标，就能完成Kubernetes环境的保护。

　　概括来说，NetBackup 10有五大杀手锏功能：1）原生的工具；2）针对Kubernetes环境平台和存储的广泛支持；3）以应用为中心，进行Kubernetes的数据保护；4）基于Kubernetes的灵活恢复选项；5）简化备份和运维恢复。

　　其实，数据安全问题由来已久，不管是传统环境，还是基于Kubernetes的容器环境，都有各种各样的问题。

　　正如顾海巍所言，安全的真正问题并不是意识不足，绝大多数企业都已经依据标准，建立了不同级别的安全运维能力。只不过，安全运维本身是一个动态发展、持续迭代的一个能力，并不是部署了某些安全运维解决方案就能一劳永逸。尤其在企业数字化转型加快背景下，如果数据治理能力没有跟得上4C挑战，就行形成差距，产生不安全因素。

　　从这个角度来看，容器化部署，也是数字化转型的具体落地方案，如果企业没有基于容器环境建立相关的部署能力，也就无法赶超数字化速度。

　　针对Kubernetes环境下的数据保护，建议企业加强如下六个方面的能力：

　　（1）遵循基本的安全原则；

　　（2）妥善保护Kubernetes环境下的数据；

　　（3）完整地保证Kubernetes环境下所有命名空间的安全，缺一不可，这是数据复制完整性的问题。

　　（4）要明确Kubernetes环境的各种运维人员和使用用户的访问权限。

　　（5）简化运维，通过自动化的方式解放DevOPs团队和备份团队的工作量。

　　（6）基于现有的企业整体环境，不仅是Kubernetes环境，包括其他所有环境，建立整体环境下的统一、一致性的备份平台。

　　综上而言，在运维产品选型方面，企业应该选择被市场长期验证可靠的、有效的、平台性的解决方案；而在品牌选择上，应该是一个能够跟客户共同成长，可信任的合作伙伴。