Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

5.19. OADP Self-Service

5.19.1. OADP Self-Service
リンクのコピー

OpenShift API for Data Protection (OADP) 1.5.0 では、OADP Self-Service という名前の新しい機能が導入されており、namespace admin ユーザーは OpenShift Container Platform でアプリケーションをバックアップおよび復元できます。

5.19.1.1. OADP Self-Service について
リンクのコピー

OADP 1.5.0 以降では、バックアップおよび復元操作を実行するために cluster-admin ロールは必要ありません。namespace admin ロールで OADP を使用できます。namespace admin ロールには、ユーザーが割り当てられている namespace のみへの管理者アクセスがあります。

Self-Service 機能は、クラスター管理者が OADP Operator をインストールし、必要なパーミッションを付与した後にのみ使用できます。

OADP Self-Service 機能は、適切なアクセス制御を維持しながら、cluster-admin 権限を持たないユーザーにセキュアなセルフサービスデータ保護機能を提供します。

OADP クラスター管理者は、namespace admin ロールを持つユーザーを作成し、OADP Self-Service アクションを実行するために必要なロールベースアクセス制御 (RBAC) をユーザーに提供します。cluster-admin ロールと比較して、このユーザーのアクセスは制限されているため、このユーザーは namespace admin ユーザーと呼ばれます。

namespace admin ユーザーとして、クラスター上の認可された namespace にデプロイされたアプリケーションをバックアップおよび復元できます。

OADP Self-Service には、次の利点があります。

  • クラスター管理者として以下を実行します。

    • namespace admin ユーザーに対して namespace スコープのバックアップおよび復元操作を許可します。つまり、namespace admin ユーザーは、許可されていない namespace にアクセスできません。
    • 管理者以外のユーザーの操作に対しても、DataProtectionApplication の設定とポリシーを通じて管理者の制御を維持できます。

  • namespace admin ユーザーとして、以下を実行できます。

    • 認可された namespace のバックアップおよび復元カスタムリソースを作成できます。
    • 認可された namespace に専用の Backup Storage Location を作成できます。
    • バックアップログとステータス情報にセキュアにアクセスできます。

5.19.1.2. namespace スコープのバックアップおよび復元の意味
リンクのコピー

OADP Self-Service は、namespace admin ユーザーが認可された namespace 内でのみ動作するようにします。たとえば、namespace admin ユーザーとして namespace にアクセスできない場合は、その namespace をバックアップできません。

namespace admin ユーザーは、他のユーザーのバックアップおよび復元データにアクセスできません。

クラスター管理者は、バックアップおよび復元操作をセキュアに管理するカスタムリソース (CR) を使用して、アクセス制御を適用します。

さらに、クラスター管理者は、CR 内で許可されるオプションを制御し、DataProtectionApplication (DPA) CR の spec 強制を使用して、セキュリティーを強化するために特定の操作を制限できます。

namespace admin ユーザーは、次の Self-Service 操作を実行できます。

  • 認可された namespace のバックアップの作成および管理。
  • 認可された namespace へのデータの復元。
  • 独自の Backup Storage Location の設定。
  • バックアップおよび復元のステータスの確認。
  • 関連するログの取得の要求。

5.19.1.3. OADP Self-Service カスタムリソース
リンクのコピー

OADP Self-Service 機能には、namespace admin ユーザーのバックアップと復元操作を実行するための次の新しいカスタムリソース (CR) があります。

Expand
表5.6 カスタムリソース

CR

説明

NonAdminController (NAC)

Self-Service 操作を制御およびオーケストレーションします。

NonAdminBackup (NAB)

namespace スコープのバックアップ操作を管理します。

NonAdminRestore (NAR)

namespace スコープの復元操作を管理します。

NonAdminBackupStorageLocation (NABSL)

ユーザー固有の Backup Storage Location を定義します。

NonAdminDownloadRequest (NADR)

namespace スコープのダウンロード要求操作を管理します。

5.19.1.4. OADP Self-Service の仕組み
リンクのコピー

次の図では、OADP Self-Service の仕組みの概要を説明します。この図では、以下のワークフローを説明しています。

  1. namespace admin ユーザーは、NonAdminBackup (NAB) カスタムリソース (CR) 要求を作成します。
  2. NonAdminController (NAC) CR は NAB CR 要求を受け取ります。
  3. NAC は要求を検証し、要求に関する NAB CR を更新します。
  4. NAC は Velero バックアップオブジェクトを作成します。
  5. NAC は Velero バックアップオブジェクトを監視し、ステータスを NAB CR にカスケードします。

図5.1 OADP Self-Service の仕組み

5.19.1.5. OADP Self-Service の前提条件
リンクのコピー

OADP Self-Service を namespace admin ユーザーとして使用し始める前に、次の前提条件を満たしていることを確認してください。

  • クラスター管理者が OADP DataProtectionApplication (DPA) CR を設定して Self-Service を有効化している。

  • クラスター管理者が以下のタスクを完了している。

    • namespace admin ユーザーアカウントを作成している。
    • namespace admin ユーザーの namespace を作成している。
    • namespace admin ユーザーの namespace に適切な権限が割り当てられている。これにより、namespace admin ユーザーには、割り当てられた namespace にアクセスし、バックアップおよび復元操作を実行する権限が与えられます。
  • 必要に応じて、クラスター管理者は namespace admin ユーザー用の NonAdminBackupStorageLocation (NABSL) CR を作成できます。

5.19.1.6. OADP Self-Service namespace パーミッション
リンクのコピー

クラスター管理者は、以下のオブジェクトリストに対する編集者ロールが、namespace で namespace admin ユーザーに割り当てられていることを確認します。これらのオブジェクトにより、namespace admin ユーザーが自分の namespace でバックアップおよび復元操作を行うことができます。

  • nonadminbackups.oadp.openshift.io
  • nonadminbackupstoragelocations.oadp.openshift.io
  • nonadminrestores.oadp.openshift.io
  • nonadmindownloadrequests.oadp.openshift.io

namespace admin ロールの詳細は、デフォルトのクラスターロール を参照してください。

クラスター管理者は、独自の仕様を定義して、ユーザーに project または namespace admin ロールと同様の権限を持たせることもできます。

5.19.1.6.1. バックアップ操作用の RBAC YAML の例
リンクのコピー

namespace admin ユーザーがバックアップ操作を実行できるようにするための、namespace パーミッションを含むロールベースアクセス制御 (RBAC) YAML ファイルの以下の例を参照してください。

RBAC マニフェストの例

...
- apiGroups:
      - oadp.openshift.io
    resources:
      - nonadminbackups
      - nonadminrestores
      - nonadminbackupstoragelocations
      - nonadmindownloadrequests
    verbs:
      - create
      - delete
      - get
      - list
      - patch
      - update
      - watch
  - apiGroups:
      - oadp.openshift.io
    resources:
      - nonadminbackups/status
      - nonadminrestores/status
    verbs:
      - get
Copy to Clipboard Toggle word wrap

5.19.1.7. OADP Self-Service の制限
リンクのコピー

次の機能は、OADP Self-Service ではサポートされていません。

  • クラスター間のバックアップと復元、または移行はサポートされていません。これらの OADP 操作はクラスター管理者に対してサポートされています。
  • namespace admin ユーザーは、VolumeSnapshotLocation (VSL) CR を作成できません。クラスター管理者は、namespace admin ユーザーの DataProtectionApplication (DPA) CR で VSL を作成して設定します。
  • ResourceModifiers CR とボリュームポリシーは、namespace admin ユーザーに対してはサポートされていません。

  • namespace admin ユーザーは、NonAdminBackupStorageLocation CR を使用するユーザーによってバックアップまたは復元が作成されている場合にのみ、NonAdminDownloadRequest CR を使用してバックアップまたは復元ログを要求できます。

    バックアップまたは復元 CR がクラスター全体のデフォルトの Backup Storage Location を使用して作成されている場合、namespace admin ユーザーはバックアップまたは復元ログを要求できません。

  • セキュアなバックアップおよび復元を確保するために、OADP Self-Service は次の CR がバックアップまたは復元されないように自動的に除外します。

    • NonAdminBackup
    • NonAdminRestore
    • NonAdminBackupStorageLocation
    • SecurityContextConstraints
    • ClusterRole
    • ClusterRoleBinding
    • CustomResourceDefinition
    • PriorityClasses
    • VirtualMachineClusterInstanceTypes
    • VirtualMachineClusterPreferences

5.19.1.8. OADP Self-Service のバックアップおよび復元フェーズ
リンクのコピー

NonAdminBackup (NAB) カスタムリソース (CR) および NonAdminRestore (NAR) CR の status.phase フィールドは、CR の現在の状態の概要を提供します。次の表の NAB フェーズと NAR フェーズの値を確認します。

CR のフェーズは前にのみ進みます。あるフェーズが次のフェーズに移行すると、前のフェーズに戻ることはできません。

Expand
表5.7 フェーズ

説明

New

NAB または NAR CR の作成要求が NAC によって受け付けられましたが、まだ NAC によって検証されていません。

BackingOff

NAB または NAR CR の無効な spec が原因で、NAC CR によって NAB または NAR CR が無効になります。

namespace admin ユーザーは、NAB または NAR spec を更新することで、管理者が設定するポリシーに準拠できます。namespace admin ユーザーが CR を編集した後、NAC は CR を再度調整します。

Created

NAB または NAR CR は NAC によって検証され、Velero バックアップまたは復元オブジェクトが作成されます。

Deletion

NAB または NAR CR が削除対象としてマークされています。NAC は、対応する Velero バックアップまたは復元オブジェクトを削除します。Velero オブジェクトが削除されると、NAB または NAR CR も削除されます。

5.19.1.9. NonAdminBackupStorageLocation CR について
リンクのコピー

namespace 管理者は、バックアップデータを保存するために NonAdminBackupStorageLocation (NABSL) カスタムリソース (CR) を作成できます。

NABSL CR が作成され、セキュアに使用されるようにするには、クラスター管理者の制御を使用します。クラスター管理者は、NABSL CR を管理し、会社ポリシーおよびコンプライアンス要件に準拠します。

次のワークフローのいずれかを使用して、NABSL CR を作成できます。

  • 管理者作成ワークフロー: このワークフローでは、クラスター管理者は namespace admin ユーザーの NABSL CR を作成します。次に、namespace admin ユーザーは NonAdminBackup CR の NABSL を参照します。

  • 管理者承認ワークフロー: クラスター管理者は、nonAdmin.requireApprovalForBSL フィールドを true に設定して、DPA でこのオプトイン機能を明示的に有効にする必要があります。クラスター管理者の承認プロセスは以下のように実行されます。

    1. namespace admin ユーザーは NABSL CR を作成します。管理者は DPA で承認プロセスを適用しているため、openshift-adp namespace での NonAdminBackupStorageLocationRequest CR の作成がトリガーされます。

    2. クラスター管理者は要求を確認し、要求を承認または拒否します。

      • 承認されると、Velero BackupStorageLocation (BSL) が openshift-adp namespace に作成され、NABSL CR のステータスが更新されて承認が反映されます。
      • 拒否されると、NABSL CR のステータスは、拒否を反映するように更新されます。
    3. クラスター管理者は、以前に承認された NABSL CR を取り消すこともできます。approve フィールドは、pending または reject に戻されます。これにより、Velero BSL が削除され、namespace admin ユーザーに拒否が通知されます。
  • 自動承認ワークフロー: このワークフローでは、DPA の nonAdmin.requireApprovalForBSL フィールドを false に設定して、クラスター管理者による NABSL CR の承認プロセスを強制しません。このフィールドのデフォルト値は false です。フィールドを設定しないと、NABSL が自動的に承認されます。そのため、namespace admin ユーザーは認可された namespace から NABSL CR を作成できます。
重要

セキュリティー上の理由から、管理者の作成または管理者の承認ワークフローのいずれかを使用してください。自動承認ワークフローは、管理者のレビューを必要としないため、安全性が低くなります。

5.19.2. OADP Self-Service クラスター管理者のユースケース
リンクのコピー

クラスター管理者は、以下のシナリオで Self-Service 機能を使用できます。

  • OADP Self-Service の有効化または無効化。
  • NABSL カスタムリソース (CR) の承認または拒否。
  • DataProtectionApplication (DPA) CR でのテンプレートポリシーの適用。

5.19.2.1. OADP Self-Service の有効化と無効化
リンクのコピー

OADP Self-Service 機能を有効にするには、クラスター管理者である必要があります。DataProtectionApplication (DPA) カスタムリソース (CR) の spec.nonAdmin.enable セクションを使用して、Self-Service 機能を有効化または無効化できます。

Self-Service 機能を有効にすると、OADP Operator namespace に NonAdminController (NAC) CR がインストールされます。

注記

NonAdminController (NAC) CR のインスタンスは、クラスター内に 1 つだけインストールできます。NAC CR の複数のインスタンスをインストールすると、次のエラーが発生します。

エラーの例

message: only a single instance of Non-Admin Controller can be installed across the entire cluster. Non-Admin controller is already configured and installed in openshift-adp namespace.
Copy to Clipboard Toggle word wrap

前提条件

  • cluster-admin ロールでクラスターにログイン済みである。
  • OADP Operator がインストールされている。
  • DPA が設定されている。

手順

  • OADP Self-Service を有効にするには、DPA CR を編集して nonAdmin.enable セクションを設定します。次の設定例を参照してください。

    DataProtectionApplication CR の例

    apiVersion: oadp.openshift.io/v1alpha1
kind: DataProtectionApplication
metadata:
  name: oadp-backup
  namespace: openshift-adp
spec:
  configuration:
    nodeAgent:
      enable: true
      uploaderType: kopia
    velero:
      defaultPlugins:
        - aws
        - openshift
        - csi
      defaultSnapshotMoveData: true
  nonAdmin:
    1 
    
    enable: true
    2 
    
  backupLocations:
    - velero:
        config:
          profile: "default"
          region: noobaa
          s3Url: https://s3.openshift-storage.svc
          s3ForcePathStyle: "true"
          insecureSkipTLSVerify: "true"
        provider: aws
        default: true
        credential:
          key: cloud
          name:  <cloud_credentials>
        objectStorage:
          bucket: <bucket_name>
          prefix: oadp
    Copy to Clipboard Toggle word wrap

    1
    DPA の spec セクションに nonAdmin.enable セクションを追加します。
    2
    enable フィールドを true に設定します。Self-Service 機能を無効にするには、enable フィールドを false に設定します。

検証

  • NonAdminController (NAC) Pod が OADP namespace で実行されていることを確認するには、次のコマンドを実行します。 

    $ oc get pod -n openshift-adp -l control-plane=non-admin-controller
    Copy to Clipboard Toggle word wrap

    出力例

    NAME                                  READY   STATUS    RESTARTS   AGE
non-admin-controller-5d....f5-p..9p   1/1     Running   0          99m
    Copy to Clipboard Toggle word wrap

5.19.2.2. NonAdminBackupStorageLocation 管理者の承認ワークフローの有効化
リンクのコピー

NonAdminBackupStorageLocation (NABSL) カスタムリソース (CR) 管理者承認ワークフローは、オプトイン機能です。クラスター管理者は、nonAdmin.requireApprovalForBSL フィールドを true に設定して、DataProtectionApplication (DPA) CR で機能を明示的に有効にする必要があります。

また、DPA CR の noDefaultBackupLocation フィールドを true に設定する必要があります。この設定は、DPA CR にデフォルトの Backup Storage Location が設定されておらず、namespace admin ユーザーが NABSL CR を作成し、承認のために CR 要求を送信できることを示します。

前提条件

  • cluster-admin ロールでクラスターにログイン済みである。
  • OADP Operator がインストールされている。
  • DataProtectionApplication CR で OADP Self-Service を有効化している。

手順

  • NABSL 管理者承認ワークフローを有効にするには、以下の設定例を使用して DPA CR を編集します。

    DataProtectionApplication CR の例

    apiVersion: oadp.openshift.io/v1alpha1
kind: DataProtectionApplication
metadata:
  name: oadp-backup
  namespace: openshift-adp
spec:
  configuration:
    nodeAgent:
      enable: true
      uploaderType: kopia
    velero:
      defaultPlugins:
        - aws
        - openshift
        - csi
      noDefaultBackupLocation: true
    1 
    
  nonAdmin:
    enable: true
    requireApprovalForBSL: true
    2
    Copy to Clipboard Toggle word wrap

    1
    noDefaultBackupLocation フィールドを追加し、true に設定します。
    2
    requireApprovalForBSL フィールドを追加し、true に設定します。

5.19.2.3. NonAdminBackupStorageLocation 要求の承認
リンクのコピー

クラスター管理者は、NonAdminBackupStorageLocation (NABSL) CR リクエストを承認するには、NonAdminBackupStorageLocationRequest CR を編集し、approvalDecision フィールドを approve に設定します。

前提条件

  • cluster-admin ロールでクラスターにログイン済みである。
  • OADP Operator がインストールされている。
  • DataProtectionApplication (DPA) CR で OADP Self-Service を有効にしている。
  • DPA で NABSL CR 承認ワークフローを有効化している。

手順

  1. 管理者承認のためにキューにある NABSL CR 要求を表示するには、次のコマンドを実行します。 

    $ oc -n openshift-adp get NonAdminBackupStorageLocationRequests
    Copy to Clipboard Toggle word wrap

    出力例

    NAME                          REQUEST-PHASE   REQUEST-NAMESPACE     REQUEST-NAME               AGE
non-admin-bsl-test-.....175   Approved        non-admin-bsl-test    incorrect-bucket-nabsl    4m57s
non-admin-bsl-test-.....196   Approved        non-admin-bsl-test    perfect-nabsl             5m26s
non-admin-bsl-test-s....e1a   Rejected        non-admin-bsl-test    suspicious-sample         2m56s
non-admin-bsl-test-.....5e0   Pending         non-admin-bsl-test    waitingapproval-nabsl     4m20s
    Copy to Clipboard Toggle word wrap

  2. NABSL CR 要求を承認するには、次のコマンドを実行して approvalDecision フィールドを approve に設定します。 

    $ oc patch nabslrequest <nabsl_name> -n openshift-adp --type=merge -p '{"spec": {"approvalDecision": "approve"}}'
    1
    Copy to Clipboard Toggle word wrap
    1
    NonAdminBackupStorageLocationRequest CR の名前を指定します。

検証

  • 次のコマンドを実行して、Velero Backup Storage Location が作成され、フェーズが Available であることを確認します。 

    $ oc get velero.io.backupstoragelocation
    Copy to Clipboard Toggle word wrap

    出力例

    NAME                         PHASE       LAST VALIDATED   AGE   DEFAULT
test-nac-test-bsl-cd...930   Available   62s              62s
    Copy to Clipboard Toggle word wrap

5.19.2.4. NonAdminBackupStorageLocation 要求の拒否
リンクのコピー

クラスター管理者は、NonAdminBackupStorageLocation (NABSL) カスタムリソース (CR) 要求を拒否するには、NonAdminBackupStorageLocationRequest CR を編集して approvalDecision フィールドを reject に設定します。

前提条件

  • cluster-admin ロールでクラスターにログイン済みである。
  • OADP Operator がインストールされている。
  • DataProtectionApplication (DPA) CR で OADP Self-Service を有効にしている。
  • DPA で NABSL CR 承認ワークフローを有効化している。

手順

  1. 管理者承認のためにキューにある NABSL CR 要求を表示するには、次のコマンドを実行します。 

    $ oc -n openshift-adp get NonAdminBackupStorageLocationRequests
    Copy to Clipboard Toggle word wrap

    出力例

    $ oc get nabslrequest
NAME                          REQUEST-PHASE   REQUEST-NAMESPACE     REQUEST-NAME               AGE
non-admin-bsl-test-.....175   Approved        non-admin-bsl-test    incorrect-bucket-nabsl    4m57s
non-admin-bsl-test-.....196   Approved        non-admin-bsl-test    perfect-nabsl             5m26s
non-admin-bsl-test-s....e1a   Rejected        non-admin-bsl-test    suspicious-sample         2m56s
non-admin-bsl-test-.....5e0   Pending         non-admin-bsl-test    waitingapproval-nabsl     4m20s
    Copy to Clipboard Toggle word wrap

  2. NABSL CR 要求を拒否するには、次のコマンドを実行して、approvalDecision フィールドを reject に設定します。 

    $ oc patch nabslrequest <nabsl_name> -n openshift-adp --type=merge -p '{"spec": {"approvalDecision": "reject"}}'
    1
    Copy to Clipboard Toggle word wrap
    1
    NonAdminBackupStorageLocationRequest CR の名前を指定します。

5.19.2.5. OADP Self-Service 管理者 DPA 仕様の適用
リンクのコピー

クラスター管理者は、DataProtectionApplication (DPA) 仕様テンプレートでポリシーを適用できます。仕様の適用は、NonAdminBackupNonAdminRestoreNonAdminBackupStorageLocation などの Self-Service カスタムリソース (CR) に適用されます。

クラスター管理者は、DataProtectionApplication (DPA) CR で次のフィールドを使用して、会社またはコンプライアンスポリシーを適用できます。

enforceBSLSpec
NonAdminBackupStorageLocation CR でポリシーを適用する場合。
enforceBackupSpec
NonAdminBackup CR でポリシーを適用する場合。
enforceRestoreSpec
NonAdminRestore CR でポリシーを適用する場合。

強制可能なフィールドを使用することで、管理者は、namespace admin ユーザーが作成した NABSL、NAB、および NAR CR が管理者定義のポリシーに準拠することを確認できます。

5.19.2.6. NABSL の Self-Service 管理者仕様の適用
リンクのコピー

クラスター管理者は、NonAdminBackupStorageLocation (NABSL) カスタムリソース (CR) に次のフィールドを適用できます。

  • objectStorage
  • credential
  • config
  • accessMode
  • validationFrequency

たとえば、namespace admin ユーザーが特定のストレージバケットを使用するように適用する場合は、DataProtectionApplication (DPA) CR を以下のようにセットアップできます。

DataProtectionApplication CR の例

apiVersion: oadp.openshift.io/v1alpha1
kind: DataProtectionApplication
...
spec:
  nonAdmin:
    enable: true
    enforceBSLSpec:
1 

      config:
2 

        checksumAlgorithm: ""
        profile: default
        region: us-west-2
      objectStorage:
3 

        bucket: my-company-bucket
        prefix: velero
      provider: aws
Copy to Clipboard Toggle word wrap

1
enforceBSLSpec セクションを追加します。
2
NABSL の config セクションを適用して、us-west-2 リージョンで AWS S3 バケットを使用します。
3
NABSL の objectStorage セクションを適用して、my-company-bucket という名前の会社バケットを使用します。

namespace admin ユーザーが NABSL を作成する場合、DPA で設定されたテンプレートに従う必要があります。それ以外の場合は、NABSL CR の status.phase フィールドが BackingOff に設定され、NABSL は作成に失敗します。

5.19.2.7. NAB の Self-Service 管理者仕様の適用
リンクのコピー

クラスター管理者は、NonAdminBackup (NAB) CR に次のフィールドを適用できます。

  • csiSnapshotTimeout
  • itemOperationTimeout
  • resourcePolicy
  • includedResources
  • excludedResources
  • orderedResources
  • includeClusterResources
  • excludedClusterScopedResources
  • excludedNamespaceScopedResources
  • includedNamespaceScopedResources
  • labelSelector
  • orLabelSelectors
  • snapshotVolumes
  • ttl
  • snapshotMoveData
  • uploaderConfig.parallelFilesUpload

namespace admin ユーザーの ttl 値と Data Mover バックアップを適用する場合は、次の例のように DataProtectionApplication (DPA) CR をセットアップできます。

DataProtectionApplication CR の例

apiVersion: oadp.openshift.io/v1alpha1
kind: DataProtectionApplication
...
spec:
  nonAdmin:
    enable: true
    enforceBackupSpec:
1 

      snapshotMoveData: true
2 

      ttl: 158h0m0s
3
Copy to Clipboard Toggle word wrap

1
enforceBackupSpec セクションを追加します。
2
snapshotMoveData フィールドを true に設定して、Data Mover を適用します。
3
フィールドを 158h0m0s に設定して、ttl 値を適用します。

namespace admin ユーザーが NAB CR を作成する場合、DPA でセットアップされたテンプレートに従う必要があります。それ以外の場合は、NAB CR の status.phase フィールドが BackingOff に設定され、NAB CR は作成に失敗します。

5.19.2.8. NAR の Self-Service 管理者仕様の適用
リンクのコピー

クラスター管理者は、NonAdminRestore (NAR) カスタムリソース (CR) に次のフィールドを適用できます。

  • itemOperationTimeout
  • uploaderConfig
  • includedResources
  • excludedResources
  • restoreStatus
  • includeClusterResources
  • labelSelector
  • orLabelSelectors
  • restorePVs
  • preserveNodePorts

5.19.3. OADP Self-Service namespace admin のユースケース
リンクのコピー

namespace admin ユーザーは、以下のシナリオで Self-Service 機能を使用できます。

  • 認可された namespace に Backup Storage Location を作成する。
  • NonAdminBackup (NAB) カスタムリソース (CR) を作成する。
  • NonAdminRestore (NAR) CR を作成する。
  • NAB ログおよび NAR ログを確認する。

5.19.3.1. NonAdminBackupStorageLocation CR の作成
リンクのコピー

NonAdminBackupStorageLocation (NABSL) カスタムリソース (CR) を認可された namespace に作成できます。クラスター管理者が NABSL CR 要求を承認した後、NonAdminBackup CR 仕様で NABSL CR を使用できます。

前提条件

  • namespace admin ユーザーとしてクラスターにログインしている。
  • クラスター管理者が OADP Operator をインストールしている。
  • クラスター管理者が DataProtectionApplication (DPA) CR を設定して OADP Self-Service を有効化している。
  • クラスター管理者が namespace を作成し、その namespace からの操作を許可されている。

手順

  1. クラウドプロバイダーのクラウド認証情報ファイルの内容を使用して Secret CR を作成します。以下のコマンドを実行します。 

    $ oc create secret generic cloud-credentials -n test-nac-ns --from-file <cloud_key_name>=<cloud_credentials_file>
    1
    Copy to Clipboard Toggle word wrap
    1
    この例では、Secret 名は cloud-credentials で、認可された namespace 名は test-nac-ns です。<cloud_key_name> および <cloud_credentials_file> は、それぞれクラウドキー名とクラウド認証情報ファイル名に置き換えます。

  2. NonAdminBackupStorageLocation CR を作成するには、以下の設定で YAML マニフェストファイルを作成します。

    NonAdminBackupStorageLocation CR の例

    apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminBackupStorageLocation
metadata:
  name: test-nabsl
  namespace: test-nac-ns
    1 
    
spec:
  backupStorageLocationSpec:
    config:
      profile: default
      region: <region_name>
    2 
    
    credential:
      key: cloud
      name: cloud-credentials
    objectStorage:
      bucket: <bucket_name>
    3 
    
      prefix: velero
    provider: aws
    Copy to Clipboard Toggle word wrap

    1
    操作元となる namespace を指定します。たとえば、test-nac-ns などです。
    2
    <region_name> は、リージョン名に置き換えます。
    3
    <bucket_name> は、バケット名に置き換えます。

  3. NABSL CR 設定を適用するには、次のコマンドを実行します。 

    $ oc apply -f <nabsl_cr_filename>
    1
    Copy to Clipboard Toggle word wrap
    1
    <nabsl_cr_filename> は、NABSL CR 設定を含むファイル名に置き換えます。

検証

  1. NABSL CR が New フェーズにあり、管理者承認が保留であることを確認するには、次のコマンドを実行します。 

    $ oc get nabsl test-nabsl -o yaml
    Copy to Clipboard Toggle word wrap

    出力例

    apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminBackupStorageLocation
...
status:
  conditions:
  - lastTransitionTime: "2025-02-26T09:07:15Z"
    message: NonAdminBackupStorageLocation spec validation successful
    reason: BslSpecValidation
    status: "True"
    type: Accepted
  - lastTransitionTime: "2025-02-26T09:07:15Z"
    message: NonAdminBackupStorageLocationRequest approval pending
    1 
    
    reason: BslSpecApprovalPending
    status: "False"
    type: ClusterAdminApproved
  phase: New
    2 
    
  veleroBackupStorageLocation:
    nacuuid: test-nac-test-bsl-c...d4389a1930
    name: test-nac-test-bsl-cd....1930
    namespace: openshift-adp
    Copy to Clipboard Toggle word wrap

    1
    status.conditions.message フィールドに NonAdminBackupStorageLocationRequest approval pending メッセージが含まれることを定義します。
    2
    フェーズのステータスが New であることを定義します。

  2. クラスター管理者が NonAdminBackupStorageLocationRequest CR 要求を承認した後、次のコマンドを実行して、NABSL CR が正常に作成されたことを確認します。 

    $ oc get nabsl test-nabsl -o yaml
    Copy to Clipboard Toggle word wrap

    出力例

    apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminBackupStorageLocation
metadata:
  creationTimestamp: "2025-02-19T09:30:34Z"
  finalizers:
  - nonadminbackupstoragelocation.oadp.openshift.io/finalizer
  generation: 1
  name: test-nabsl
  namespace: test-nac-ns
  resourceVersion: "159973"
  uid: 4a..80-3260-4ef9-a3..5a-00...d1922
spec:
  backupStorageLocationSpec:
    credential:
      key: cloud
      name: cloud-credentials
    objectStorage:
      bucket: oadp...51rrdqj
      prefix: velero
    provider: aws
status:
  conditions:
  - lastTransitionTime: "2025-02-19T09:30:34Z"
    message: NonAdminBackupStorageLocation spec validation successful
    1 
    
    reason: BslSpecValidation
    status: "True"
    type: Accepted
  - lastTransitionTime: "2025-02-19T09:30:34Z"
    message: Secret successfully created in the OADP namespace
    2 
    
    reason: SecretCreated
    status: "True"
    type: SecretSynced
  - lastTransitionTime: "2025-02-19T09:30:34Z"
    message: BackupStorageLocation successfully created in the OADP namespace
    3 
    
    reason: BackupStorageLocationCreated
    status: "True"
    type: BackupStorageLocationSynced
  phase: Created
  veleroBackupStorageLocation:
    nacuuid: test-nac-..f933a-4ec1-4f6a-8099-ee...b8b26
    4 
    
    name: test-nac-test-nabsl-36...11ab8b26
    5 
    
    namespace: openshift-adp
    status:
      lastSyncedTime: "2025-02-19T11:47:10Z"
      lastValidationTime: "2025-02-19T11:47:31Z"
      phase: Available
    6
    Copy to Clipboard Toggle word wrap

    1
    NABSL spec は、クラスター管理者によって検証され、承認されます。
    2
    secret オブジェクトは openshift-adp namespace に正常に作成されます。
    3
    関連付けられた Velero BackupStorageLocation は、openshift-adp namespace に正常に作成されます。
    4
    nacuuid NAC は NABSL CR をオーケストレーションします。
    5
    関連付けられた Velero Backup Storage Location オブジェクトの名前。
    6
    Available フェーズは、NABSL が使用できる状態であることを示します。

5.19.3.2. NonAdminBackup CR の作成
リンクのコピー

namespace admin ユーザーは、NonAdminBackup (NAB) カスタムリソース (CR) を作成して、認可された namespace からアプリケーションをバックアップできます。NAB は、Velero バックアップオブジェクトの作成をセキュアに容易化する OpenShift Container Platform CR です。Velero バックアップオブジェクトは、最終的に status.phase フィールドを更新する NAB CR にステータスを報告します。

NAB CR の作成後、CR は次のフェーズを経ます。

  • CR の初期フェーズは New です。
  • CR 作成要求は、調整および検証のために NonAdminController (NAC) に送信されます。
  • Velero バックアップオブジェクトの検証と作成が正常に行われると、NAB CR の status.phase フィールドは次のフェーズ (Created) に更新されます。

NAB CR を作成する際は、以下の重要な点を確認してください。

  • NonAdminBackup CR は Velero バックアップオブジェクトをセキュアに作成し、他の namespace admin ユーザーが CR にアクセスできないようにします。
  • namespace admin ユーザーは、NAB CR で認可された namespace のみを指定できます。使用することを認可されていない namespace を指定すると、エラーが発生します。

前提条件

  • namespace admin ユーザーとしてクラスターにログインしている。
  • クラスター管理者が OADP Operator をインストールしている。
  • クラスター管理者が DataProtectionApplication (DPA) CR を設定して OADP Self-Service を有効化している。
  • クラスター管理者が namespace を作成し、その namespace からの操作を許可されている。
  • オプション: NonAdminBackupStorageLocation (NABSL) CR を作成して使用することで、バックアップデータを保存できます。NABSL CR を使用しない場合、バックアップは DPA で設定されたデフォルトの Backup Storage Location に保存されます。

手順

  1. NonAdminBackup CR を作成するには、次の設定で YAML マニフェストファイルを作成します。

    NonAdminBackup CR の例

    apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminBackup
metadata:
  name: test-nab
    1 
    
spec:
  backupSpec:
    defaultVolumesToFsBackup: true
    2 
    
    snapshotMoveData: false
    3 
    
    storageLocation: test-bsl
    4
    Copy to Clipboard Toggle word wrap

    1
    NAB CR の名前を指定します (例: test-nab)。
    2
    File System Backup (FSB) を使用するには、defaultVolumesToFsBackuptrue に設定します。
    3
    Data Mover を使用してデータボリュームをバックアップする場合は、snapshotMoveDatatrue に設定します。この例では、バックアップに FSB を使用しています。
    4
    必要に応じて、NABSL CR をストレージの場所として設定します。storageLocation を設定しないと、DPA に設定されたデフォルトの Backup Storage Location が使用されます。

  2. NAB CR 設定を適用するには、次のコマンドを実行します。 

    $ oc apply -f <nab_cr_filename>
    1
    Copy to Clipboard Toggle word wrap
    1
    NAB CR 設定を含むファイル名を指定します。

検証

  • NAB CR が正常に作成されたことを確認するには、次のコマンドを実行します。 

    $ oc get nab test-nab -o yaml
    Copy to Clipboard Toggle word wrap

    出力例

    apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminBackup
metadata:
  creationTimestamp: "2025-03-06T10:02:56Z"
  finalizers:
  - nonadminbackup.oadp.openshift.io/finalizer
  generation: 2
  name: test-nab
  namespace: test-nac-ns
    1 
    
  resourceVersion: "134316"
  uid: c5...4c8a8
spec:
  backupSpec:
    csiSnapshotTimeout: 0s
    defaultVolumesToFsBackup: true
    hooks: {}
    itemOperationTimeout: 0s
    metadata: {}
    storageLocation: test-bsl
    ttl: 0s
status:
  conditions:
  - lastTransitionTime: "202...56Z"
    message: backup accepted
    2 
    
    reason: BackupAccepted
    status: "True"
    type: Accepted
  - lastTransitionTime: "202..T10:02:56Z"
    message: Created Velero Backup object
    reason: BackupScheduled
    status: "True"
    type: Queued
  dataMoverDataUploads: {}
  fileSystemPodVolumeBackups:
    3 
    
    completed: 2
    total: 2
  phase: Created
    4 
    
  queueInfo:
    estimatedQueuePosition: 0
    5 
    
  veleroBackup:
    nacuuid: test-nac-test-nab-d2...a9b14
    6 
    
    name: test-nac-test-nab-d2...b14
    7 
    
    namespace: openshift-adp
    spec:
      csiSnapshotTimeout: 10m0s
      defaultVolumesToFsBackup: true
      excludedResources:
      - nonadminbackups
      - nonadminrestores
      - nonadminbackupstoragelocations
      - securitycontextconstraints
      - clusterroles
      - clusterrolebindings
      - priorityclasses
      - customresourcedefinitions
      - virtualmachineclusterinstancetypes
      - virtualmachineclusterpreferences
      hooks: {}
      includedNamespaces:
      - test-nac-ns
      itemOperationTimeout: 4h0m0s
      metadata: {}
      snapshotMoveData: false
      storageLocation: test-nac-test-bsl-bf..02b70a
      ttl: 720h0m0s
    status:
    8 
    
      completionTimestamp: "2025-0..3:13Z"
      expiration: "2025..2:56Z"
      formatVersion: 1.1.0
      hookStatus: {}
      phase: Completed
    9 
    
      progress:
        itemsBackedUp: 46
        totalItems: 46
      startTimestamp: "2025-..56Z"
      version: 1
      warnings: 1
    Copy to Clipboard Toggle word wrap

    1
    NonAdminController CR が Velero バックアップオブジェクトに設定してバックアップする namespace 名。
    2
    NAC は NAB CR を調整および検証し、Velero バックアップオブジェクトを作成しました。
    3
    fileSystemPodVolumeBackups フィールドは、FSB を使用してバックアップされるボリュームの数を示します。
    4
    NAB CR は Created フェーズにあります。
    5
    このフィールドは、バックアップオブジェクトのキューの位置を示します。プロセス内に複数のバックアップが存在する可能性があり、各バックアップオブジェクトにはキューの位置が割り当てられます。バックアップが完了すると、キューの位置は 0 に設定されます。
    6
    NAC は Velero バックアップオブジェクトを作成し、nacuuid フィールドの値を設定します。
    7
    関連付けられた Velero バックアップオブジェクトの名前。
    8
    Velero バックアップオブジェクトのステータス。
    9
    Velero バックアップオブジェクトは Completed フェーズにあり、バックアップは成功しました。

5.19.3.3. NonAdminRestore CR の作成
リンクのコピー

namespace admin ユーザーは、NonAdminRestore (NAR) カスタムリソース (CR) を作成し、バックアップを復元できます。バックアップは、認可された namespace に復元されます

前提条件

  • namespace admin ユーザーとしてクラスターにログインしている。
  • クラスター管理者が OADP Operator をインストールしている。
  • クラスター管理者が DataProtectionApplication (DPA) CR を設定して OADP Self-Service を有効化している。
  • クラスター管理者が namespace を作成し、その namespace からの操作を許可されている。
  • NonAdminBackup (NAB) CR を作成することで、アプリケーションがバックアップされている。

手順

  1. NonAdminRestore CR を作成するには、次の設定で YAML マニフェストファイルを作成します。

    NonAdminRestore CR の例

    apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminRestore
metadata:
  name: test-nar
    1 
    
spec:
  restoreSpec:
    backupName: test-nab
    2
    Copy to Clipboard Toggle word wrap

    1
    NAR CR の名前を定義します (例: test-nar)。
    2
    復元元となる NAB CR の名前を定義します。たとえば、test-nab などです。

  2. NAR CR 設定を適用するには、次のコマンドを実行します。 

    $ oc apply -f <nar_cr_filename>
    1
    Copy to Clipboard Toggle word wrap
    1
    <nar_cr_filename> は、NAR CR 設定を含むファイル名に置き換えます。

検証

  1. NAR CR が正常に作成されたことを確認するには、次のコマンドを実行します。 

    $ oc get nar test-nar -o yaml
    Copy to Clipboard Toggle word wrap

    出力例

    apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminRestore
metadata:
  creationTimestamp: "2025-..:15Z"
  finalizers:
  - nonadminrestore.oadp.openshift.io/finalizer
  generation: 2
  name: test-nar
  namespace: test-nac-ns
  resourceVersion: "156517"
  uid: f9f5...63ef34
spec:
  restoreSpec:
    backupName: test-nab
    hooks: {}
    itemOperationTimeout: 0s
status:
  conditions:
  - lastTransitionTime: "2025..15Z"
    message: restore accepted
    1 
    
    reason: RestoreAccepted
    status: "True"
    type: Accepted
  - lastTransitionTime: "2025-03-06T11:22:15Z"
    message: Created Velero Restore object
    reason: RestoreScheduled
    status: "True"
    type: Queued
  dataMoverDataDownloads: {}
  fileSystemPodVolumeRestores:
    2 
    
    completed: 2
    total: 2
  phase: Created
    3 
    
  queueInfo:
    estimatedQueuePosition: 0
    4 
    
  veleroRestore:
    nacuuid: test-nac-test-nar-c...1ba
    5 
    
    name: test-nac-test-nar-c7...1ba
    6 
    
    namespace: openshift-adp
    status:
      completionTimestamp: "2025...22:44Z"
      hookStatus: {}
      phase: Completed
    7 
    
      progress:
        itemsRestored: 28
        totalItems: 28
      startTimestamp: "2025..15Z"
      warnings: 7
    Copy to Clipboard Toggle word wrap

    1
    NonAdminController (NAC) CR は NAR CR を調整および検証しました。
    2
    fileSystemPodVolumeRestores フィールドは、復元されたボリュームの数を示します。
    3
    NAR CR は Created フェーズにあります。
    4
    このフィールドは、復元オブジェクトのキューの位置を示します。プロセス内に複数の復元が存在する可能性があり、各復元にはキューの位置が割り当てられます。復元が完了すると、キューの位置は 0 に設定されます。
    5
    NAC は Velero 復元オブジェクトを作成し、値を nacuuid に設定します。
    6
    関連付けられた Velero 復元オブジェクトの名前。
    7
    Velero 復元オブジェクトは Completed フェーズにあり、復元は正常に行われています。

5.19.3.4. NonAdminDownloadRequest CR について
リンクのコピー

namespace admin ユーザーは、NonAdminDownloadRequest (NADR) カスタムリソース (CR) を使用して、トラブルシューティングのためにバックアップおよび復元に関する詳細情報にアクセスできます。

この CR は、velero backup describe --details コマンドを使用して、クラスター管理者がアクセスできるものと同等の情報を提供します。

NADR CR 要求が検証された後、要求された情報にアクセスするためのセキュアなダウンロード URL が生成されます。

次の NADR リソースをダウンロードできます。

Expand
表5.8 NADR リソース

Resource type

説明

以下に相当

BackupResourceList

バックアップに含まれるリソースの一覧

velero backup describe --details (リソースリスト)

BackupContents

バックアップされたファイルの内容

バックアップの詳細の一部

BackupLog

バックアップ操作からのログ

velero backup logs

BackupVolumeSnapshots

ボリュームスナップショットに関する情報

velero backup describe --details (スナップショットセクション)

BackupItemOperations

バックアップ中に実行されたアイテム操作に関する情報

velero backup describe --details (操作セクション)

RestoreLog

復元操作からのログ

velero restore logs

RestoreResults

復元結果の詳細

velero restore describe --details

5.19.3.5. NAB ログと NAR ログの確認
リンクのコピー

namespace admin ユーザーは、NonAdminDownloadRequest (NADR) CR を作成して、NonAdminBackup (NAB) および NonAdminRestore (NAR) カスタムリソース (CR) のログを確認できます。

注記

NAB ログは、バックアップの Backup Storage Location として NonAdminBackupStorageLocation (NABSL) CR を使用している場合にのみ確認できます。

前提条件

  • namespace admin ユーザーとしてクラスターにログインしている。
  • クラスター管理者が OADP Operator をインストールしている。
  • クラスター管理者が DataProtectionApplication (DPA) CR を設定して OADP Self-Service を有効化している。
  • クラスター管理者が namespace を作成し、その namespace からの操作を許可されている。
  • NAB CR の作成によるアプリケーションのバックアップがある。
  • NAR CR の作成によりアプリケーションを復元している。

手順

  1. NAB CR ログを確認するには、以下の例のように NonAdminDownloadRequest CR を作成し、NAB CR 名を指定します。

    NonAdminDownloadRequest CR の例

    apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminDownloadRequest
metadata:
  name: test-nadr-backup
spec:
  target:
    kind: BackupLog
    1 
    
    name: test-nab
    2
    Copy to Clipboard Toggle word wrap

    1
    BackupLog を NADR CR の kind フィールドの値として指定します。
    2
    NAB CR の名前を指定します。

  2. 次のコマンドを実行して、NADR CR の処理を確認します。 

    $ oc get nadr test-nadr-backup -o yaml
    Copy to Clipboard Toggle word wrap

    出力例

    apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminDownloadRequest
metadata:
  creationTimestamp: "2025-03-06T10:05:22Z"
  generation: 1
  name: test-nadr-backup
  namespace: test-nac-ns
  resourceVersion: "134866"
  uid: 520...8d9
spec:
  target:
    kind: BackupLog
    name: test-nab
status:
  conditions:
  - lastTransitionTime: "202...5:22Z"
    message: ""
    reason: Success
    status: "True"
    type: Processed
  phase: Created
  velero:
    status:
      downloadURL: https://...
    1 
    
      expiration: "202...22Z"
      phase: Processed
    2
    Copy to Clipboard Toggle word wrap

    1
    status.downloadURL フィールドには、NAB ログのダウンロード URL が含まれます。downloadURL を使用して NAB ログをダウンロードし、確認できます。
    2
    status.phaseProcessed です。
  3. status.downloadURL URL を使用して、バックアップ情報をダウンロードして分析します。

  4. NAR CR ログを確認するには、NonAdminDownloadRequest CR を作成し、次の例に示すように NAR CR 名を指定します。

    NonAdminDownloadRequest CR の例

    apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminDownloadRequest
metadata:
  name: test-nadr-restore
spec:
  target:
    kind: RestoreLog
    1 
    
    name: test-nar
    2
    Copy to Clipboard Toggle word wrap

    1
    RestoreLog を NADR CR の kind フィールドの値として指定します。
    2
    NAR CR の名前を定義します。

  5. 次のコマンドを実行して、NADR CR の処理を確認します。 

    $ oc get nadr test-nadr-restore -o yaml
    Copy to Clipboard Toggle word wrap

    出力例

    apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminDownloadRequest
metadata:
  creationTimestamp: "2025-03-06T11:26:01Z"
  generation: 1
  name: test-nadr-restore
  namespace: test-nac-ns
  resourceVersion: "157842"
  uid: f3e...7862f
spec:
  target:
    kind: RestoreLog
    name: test-nar
status:
  conditions:
  - lastTransitionTime: "202..:01Z"
    message: ""
    reason: Success
    status: "True"
    type: Processed
  phase: Created
  velero:
    status:
      downloadURL: https://...
    1 
    
      expiration: "202..:01Z"
      phase: Processed
    2
    Copy to Clipboard Toggle word wrap

    1
    status.downloadURL フィールドには、NAR ログのダウンロード URL が含まれます。downloadURL を使用して NAR ログをダウンロードし、確認できます。
    2
    status.phaseProcessed です。
  6. status.downloadURL URL を使用して、復元情報をダウンロードして分析します。

5.19.4. OADP Self-Service のトラブルシューティング
リンクのコピー

次のセクションを使用して、OADP Self-Service を使用する場合の一般的なエラーをトラブルシューティングできます。

5.19.4.1. NonAdminBackupStorageLocation not found in the namespace エラー
リンクのコピー

namespace admin バックアップの以下のシナリオを検討してください。

  • 2 つの異なる namespace (例: namespace-1nabsl-1 および namespace-2nabsl-2) に 2 つの NonAdminBackupStorageLocations (NABL) カスタムリソース (CR) を作成している。
  • namespace-1 のバックアップを取得し、NonAdminBackup (NAB) CR で nabsl-2 を使用している。

このシナリオでは、NAB CR の作成後に次のエラーが発生します。 

NonAdminBackupStorageLocation not found in the namespace: NonAdminBackupStorageLocation.oadp.openshift.io
Copy to Clipboard Toggle word wrap

このエラーの原因は、NABSL CR がバックアップしようとしている namespace に属していないことです。

Error

apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminBackup
...
status:
  conditions:
  - lastTransitionTime: "2025-02-20T10:13:00Z"
  message: 'NonAdminBackupStorageLocation not found in the namespace: NonAdminBackupStorageLocation.oadp.openshift.io
    "nabsl2" not found'
  reason: InvalidBackupSpec
  status: "False"
  type: Accepted
  phase: BackingOff
Copy to Clipboard Toggle word wrap

解決方法

バックアップしようとしているのと同じ namespace に属する NABSL を使用します。

このシナリオでは、NAB CR の nabsl-1 を使用して、namespace-1 をバックアップする必要があります。

5.19.4.2. NonAdminBackupStorageLocation をデフォルトとして設定することができない
リンクのコピー

管理者以外のユーザーとして、認可された namespace に NonAdminBackupStorageLocation (NABSL) カスタムリソース (CR) を作成している場合は、NABSL CR をデフォルトの Backup Storage Location として設定することはできません。

このようなシナリオでは、NABSL CR が検証に失敗し、NonAdminController (NAC) でエラーメッセージが表示されます。

NABSL エラーの例

apiVersion: oadp.openshift.io/v1alpha1
kind: NonAdminBackupStorageLocation
metadata:
  creationTimestamp: "20...:03Z"
  generation: 1
  name: nabsl1
  namespace: test-nac-1
  resourceVersion: "11...9"
  uid: 8d2fc....c9b6c4401
spec:
  backupStorageLocationSpec:
    credential:
      key: cloud
      name: cloud-credentials-gcp
    default: true
1 

    objectStorage:
      bucket: oad..7l8
      prefix: velero
    provider: gcp
status:
  conditions:
  - lastTransitionTime: "20...:27:03Z"
    message: NonAdminBackupStorageLocation cannot be used as a default BSL
2 

    reason: BslSpecValidation
    status: "False"
    type: Accepted
  phase: BackingOff
Copy to Clipboard Toggle word wrap

1
default フィールドの値は true に設定されます。
2
NAC によって報告されるエラーメッセージ。

解決方法

NABSL CR を正常に検証および調整するには、NABSL CR で default フィールドが false に設定されていることを確認します。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat