Red Hat Summit5.20. OADP VMFR
5.20.1. OADP 仮想マシンファイルの復元
OADP 仮想マシンファイル復元 (VMFR) を使用すると、仮想マシン全体を復元することなく、kubevirt VM バックアップから個々のファイルを復元できます。複数のバックアップから同時にファイルを閲覧、比較、ダウンロードできます。
5.20.1.1. OADP VMFR はどのような問題を解決しているのか
kubevirt 仮想マシン (仮想マシン) のバックアップから、仮想マシン全体を復元することなく個々のファイルを復元します。複数のバックアップを同時に参照し、Web ブラウザーや rsync などの標準ツールを使用して必要なファイルのみを取得できます。
現在の VM バックアップ復旧ワークフローでは、単一のファイルにアクセスするためだけに、仮想マシン全体を復元する必要があります。これは相当量のクラスターリソースと時間を消費します。仮想マシンファイル復元 (VMFR) 機能は、OADP によって作成された VM バックアップからのファイルレベルの復元を Kubernetes ネイティブなメカニズムで提供することで、この問題を解決します。
VMFR 機能は 2 段階のアプローチを採用しています。
-
バックアップの検出:
VirtualMachineBackupsDiscovery(VMBD) カスタムリソース (CR) を作成することで、指定された仮想マシンを含む Velero バックアップを特定します。 -
ファイル復元:
VirtualMachineFileRestore(VMFR) CR を作成することで、検出されたバックアップファイルの閲覧とダウンロードを可能にします。
OADP VMFR は以下のメリットを提供します。
- 仮想マシン全体を復元することなく、仮想マシンバックアップから個々のファイルを復元できます。
- 複数のバックアップバージョン間で、同時にファイルを閲覧比較できます。
-
復元されたファイルには、Web ブラウザーまたは
rsync、scp、sftpなどの SSH ベースのツールを使用してアクセスできます。 - すべての操作は、標準的な Kubernetes リソースを使用してクラスター内で管理されます。
- 一時的な名前空間はファイル配信リソースを分離し、自動的にクリーンアップされます。
5.20.1.2. OADP VMFR を使用するタイミング
OADP 仮想マシンファイル復元 (VMFR) が一般的なファイル復旧の課題にどのように対処するか、以下のシナリオを確認してください。これは、VMFR がお客様のユースケースに適したソリューションであるかどうかを判断するのに役立ちます。
- 設定問題の調査
- 設定に問題がある実稼働環境の仮想マシン (VM) があります。事件発生前と発生後の設定ファイルを比較する必要があります。VMFR を使用しない場合、複数の仮想マシンを完全に復元し、手動でファイル比較を行う必要があり、これにはかなりの時間とリソースがかかります。VMFR を使用すると、複数のバックアップバージョンから同時にファイルを参照し、仮想マシンを復元することなく設定を比較できます。
- 選択的ファイル復元
- 仮想マシンから重要なドキュメントを誤って削除してしまった。ファイルは最近のバックアップに存在しますが、仮想マシン全体を復元すると、そのバックアップ以降に加えられた変更が上書きされてしまいます。VMFR を使用すると、現在の仮想マシンの状態を失ったり、最近の変更を上書きしたりすることなく、必要な特定のファイルを復元できます。
- 複数 VM バックアップ検出
-
複数の仮想マシンが稼働し、数週間にわたって毎日バックアップが実行されるネームスペースがあります。特定の仮想マシンからファイルを復元する必要があるが、どのバックアップにそのファイルが含まれているか分からない。VMFR がない場合、各バックアップを個別に検査するか、複数回のリストアを試みる必要があります。VMFR を使用すると、
VirtualMachineBackupsDiscoveryCR を作成して、対象の仮想マシンが含まれているバックアップを特定し、対象のバックアップからファイルを復元できます。
5.20.1.3. OADP VMFR カスタムリソース
OADP 仮想マシンファイル復元 (VMFR) カスタムリソースを使用して、VM バックアップを検出し、それらのバックアップから個々のファイルを復元します。kubevirt 仮想マシンのファイルレベルの復旧を実行できます。
OADP VMFR 機能は、ファイルレベルの復元操作を実行するために、以下のカスタムリソース (CR) を使用します。
| CR | 説明 |
|---|---|
|
| 指定された仮想マシンが含まれている Velero バックアップを識別します。有効なバックアップと無効なバックアップを分類した結果を返します。 |
|
| 検出されたバックアップファイルを Web アクセスまたは SSH アクセス方式で利用できるようにするためのワークフローを統括します。 |
5.20.1.4. OADP VMFR の仕組み
OADP 仮想マシンファイル復元 (VMFR) が、仮想マシン (仮想マシン) バックアップを検出し、その内容を閲覧およびダウンロードできるようにする 2 段階のワークフローを通じて、ファイルレベルの復元要求をどのように処理するかを確認します。
5.20.1.4.1. バックアップ検出フェーズ
バックアップ検出フェーズでは、指定された仮想マシンを含む Velero バックアップを特定します。VirtualMachineBackupsDiscovery (VMBD) CR を作成すると、検出コントローラーは次の手順を実行します。
- 明示的に名前が付けられたバックアップ、またはクラスター全体のバックアップから、候補となるバックアップのリストを作成します。
-
開始時刻と終了時刻の境界を指定すると、時間範囲に基づいて候補を絞り込みます。 -
各候補バックアップが
完了フェーズにあることを検証します。 - Velero メタデータを照会することにより、指定された仮想マシンが各候補バックアップに存在することを確認します。
- VMBD のステータスを、有効なバックアップと無効なバックアップの分類結果で更新します。
5.20.1.4.2. ファイル復元フェーズ
ファイル復元フェーズでは、検出されたバックアップファイルにアクセスできるようになります。VirtualMachineFileRestore (VMFR) CR を作成すると、リストアコントローラーは次の手順を実行します。
-
参照されている VMBD CR が存在し、
完了フェーズにあることを検証します。 - 選択したバックアップが有効な検出結果に存在することを確認します。
- 選択したバックアップマニフェストから永続ボリューム要求 (PVC) メタデータを抽出します。
- ファイル配信リソースを分離するために、一時的な名前空間を作成します。
-
各バックアップの PVC に対して、Velero がオブジェクトを復元するトリガーを実行します。リストアオブジェクトは
includedResourcesを使用してPersistentVolumeClaims(PVC) とVolumeSnapshotsのみをリストアし、orLabelSelectorsを使用してvelero.kubevirt.io/pvc-uidラベルによって特定の PVC を対象とします。namespaceMapping は、復元された PVC を一時的な名前空間にリダイレクトします。 - 初期化コンテナーとアクセスサイドカーを備えたファイル配信 Pod を作成します。
5.20.1.4.3. ファイル配信 Pod のアーキテクチャー
ファイル配信 Pod は、libguestfs と FUSE を使用して、特権アクセスを必要とせずに仮想マシンディスクイメージをマウントします。初期化コンテナーは、以下の手順を実行します。
- 仮想マシンディスクイメージファイルを見つけるために PVC をスキャンします。
-
qcow2やrawなどのディスクイメージ形式を検出します。 -
ディスクイメージを
/backups/ディレクトリーに読み取り専用としてマウントします。 - バックアップ名と PVC 名でファイルを整理します。
初期化後、サイドカーは Web または SSH 経由でファイルアクセスを提供します。
マウントされたディレクトリー構造は、次の例に示すように、直感的な設定を提供します。
/backups/
<backup_name_1>/
<vm_disk_root>/
etc/
var/
<vm_disk_data>/
application-data/
<backup_name_2>/
<vm_disk_root>/
etc/
var/5.20.1.5. OADP VMFR の前提条件
以下の前提条件を満たして、OADP 仮想マシンファイル復元 (VMFR) 操作を有効にするようにクラスター環境を設定してください。これは、仮想マシンのバックアップからファイルレベルの復元を実行するのに役立ちます。
- OADP Operator がインストールされている。
-
DataProtectionApplication(DPA) CR を設定し、vmFileRestore.enableフィールドをtrueに設定しました。 -
DPA CR には、
kubevirtプラグインがdefaultPluginsリストに含まれています。 - OpenShift Virtualization はクラスター上にインストールされ、稼働しています。
- クラスターにはデフォルトのストレージクラスが設定されています。
-
既存の Velero バックアップには、
kubevirt仮想マシンのデータが含まれています。
5.20.1.6. OADP VMFR ファイルアクセス方法
Web ブラウザーまたは SSH ベースのツールを使用して、仮想マシン (VM) のバックアップから復元されたファイルにアクセスできます。OADP 仮想マシンファイル復元 (VMFR) は、個別に、または組み合わせて設定できるアクセス方法を提供します。
5.20.1.6.1. Web ブラウザーアクセス
Web アクセス方式では、FileBrowser コンテナーを使用して HTTPS インターフェイスを提供し、ファイルの閲覧とダウンロードを行います。Web ブラウザーによるアクセスでは、以下の機能が利用できます。
- バックアップバージョン間でのディレクトリーナビゲーション
- 一般的なテキストおよびイメージ形式のファイルプレビュー
- 個々のファイルまたはディレクトリーアーカイブのダウンロード
- Kubernetes Secrets による認証情報管理
-
ClusterIPサービスを公開して内部クラスターにアクセスできるようにする -
VMFR CR で
exposeExternally: true を設定することで、クラスター外部からのアクセス用にオプションの外部ルートを公開できます。
5.20.1.6.2. SSH ベースのアクセス
SSH アクセス方式は、鍵認証を通じてコマンドラインからのファイル転送機能を提供します。VMFR CR で fileAccess.ssh: {} を設定すると、コントローラーは SSH キーペアを自動生成し、それを Kubernetes シークレットに保存します。SSH ベースのアクセスは、以下のツールをサポートしています。
-
SCPによる個別ファイル転送 -
対話型ファイル閲覧セッション用の
SFTP -
SSH 経由で
rsync を使用してファイルとディレクトリーを同期します。
SSH アクセスでは、以下のデフォルト設定が使用されます。
-
デフォルトのユーザー名:
oadp -
デフォルトポート:
2222 - リモートパス形式: `/restores/< 日付 >/< バックアップ名 >/<VM 名 >/_< ファイルへのパス >`
- SSH アクセスは鍵認証のみを使用します。パスワードによるログインはサポートされていません。
5.20.1.7. OADP VMFR の制限
OADP 仮想マシンファイル復元 (VMFR) の制限事項を確認し、どの操作が制限されているかを理解してください。これは、サポートされている機能の範囲内で、適切なファイルレベルの復元ストラテジーを計画するのに役立ちます。
OADP VMFR には以下の制限が適用されます。
-
VMFR は、
kubevirtVelero プラグインを使用して OADP によって作成されたkubevirt仮想マシンバックアップのみをサポートします。このプラグインを使用せずに作成されたバックアップはサポートされません。 - 復元されたファイルは読み取り専用としてマウントされます。バックアップ内のファイルを直接変更することはできません。
-
VMFR は、
qcow2およびraw のディスクイメージ形式をサポートしています。その他のディスクイメージ形式はサポートされていません。 -
VMFR は、
ext4、xfs、ntfs、fatのファイルシステムをサポートしています。その他のファイルシステムはサポートされていません。 - ファイル配信 Pod は、バックアップデータをマウントして配信するために十分なディスク容量を必要とします。各復元操作では、PVC はバックアップ時のサイズでマウントされます。クラスターに十分なディスクリソースが確保されていることを確認してください。
-
VMFR CR は、
完了フェーズにあるVirtualMachineBackupsDiscoveryCR を参照する必要があります。調査が完了していないと、VMFR CR を作成することはできません。 - VMFR は、完全な仮想マシン復元機能を代替するものではありません。ファイルレベルの復元と仮想マシン全体の復元は、共存する別々のワークフローです。
- VMFR は、実行中の仮想マシンへのホットマウント機能をサポートしていません。
5.20.1.8. OADP VMFR のセキュリティーに関する考慮事項
OADP 仮想マシンファイル復元 (VMFR) のセキュリティーに関する考慮事項を確認し、アクセス制御、データ保護、およびマルチテナンシーがどのように管理されるかを理解してください。これは、安全なファイルレベルの復元操作を計画するのに役立ちます。
- アクセス制御
VMFR は以下のアクセス制御ポリシーを適用します。
-
ファイル配信リソースは、OADP 名前空間とは別の、一時的な名前空間に作成されます。この名前空間は
VirtualMachineFileRestoreCR によって所有されており、CR を削除すると自動的にクリーンアップされます。 -
検出コントローラーは、Velero
Backupリソースへの読み取り専用アクセスを必要とします。 - ファイル復元コントローラーは、名前空間、Pod、サービス、および PVC に対する作成および削除アクセス権限を必要とします。
-
クラスター管理者は、OADP 名前空間内の
VirtualMachineBackupsDiscoveryおよびVirtualMachineFileRestoreリソースに対して、作成、読み取り、更新、および削除のアクセス権が必要です。 - コントローラーは、Velero バックアップストレージの場所の認証情報を使用して、オブジェクトストレージへの認証を行います。コントローラーはバックアップデータへの読み取り専用アクセス権を持ち、バックアップデータを変更することはありません。
-
ファイル配信リソースは、OADP 名前空間とは別の、一時的な名前空間に作成されます。この名前空間は
- データ保護
VMFR は、以下のメカニズムを使用して転送中のデータを保護します。
- Web ブラウザーからのアクセスには、TLS 証明書を使用した HTTPS エンドポイントが使用されます。
- SSH アクセスでは、自動生成された鍵ペアが使用されます。
- 認証情報は Kubernetes のシークレットに保存されます。
- マルチテナンシー
VMFR は、名前空間の分離を通じてマルチテナンシーをサポートします。
-
複数の
VirtualMachineFileRestoreリソースが同時に存在できます。各リソースは、独立した一時的な名前空間を作成します。 - 異なる復元元からのリソースは互いに干渉してはならない。
- 異なるバックアップから同じ仮想マシンを並行して復元できます。
-
一時的な名前空間名は、
VirtualMachineFileRestoreリソース名から派生し、一時的な名前空間内の PVC 名には、名前の競合を防ぐためにバックアップ名が接尾辞として使用されます。
-
複数の
5.20.1.9. OADP VMFR の検出および復元フェーズ
ファイルレベルの復元操作の進行状況を追跡するには、VirtualMachineBackupsDiscovery (VMBD) および VirtualMachineFileRestore (VMFR) カスタムリソース (CR) のステータスフェーズを確認してください。これは、VMFR リクエストの監視とトラブルシューティングに役立ちます。
| 値 | 説明 |
|---|---|
|
| VMBD CR 作成リクエストは承認されましたが、検出はまだ開始されていません。 |
|
| コントローラーは、候補となるバックアップを積極的に検証し、仮想マシンの存在を確認しています。 |
|
| 候補となるバックアップはすべて処理され、結果は VMBD ステータスで確認できます。 |
|
| 候補となるバックアップの中には検証に成功したものもあったが、検証に失敗したものもあった。 |
|
| 発見プロセスは失敗に終わった。エラーの詳細は、VMBD の状態条件を確認してください。 |
| 値 | 説明 |
|---|---|
|
| VMFR CR 作成要求は受理されましたが、復元プロセスはまだ開始されていません。 |
|
| コントローラーは PVC を復元し、ファイル配信リソースを作成しています。 |
|
| すべての PVC が復旧し、ファイル配信エンドポイントが利用可能になりました。 |
|
| 一部の PVC 管は修復されたが、その他は修復されなかった。ファイルの一部にアクセスできる場合があります。 |
|
| 復元処理が失敗しました。エラーの詳細は、VMFR の状態条件を確認してください。 |
|
| VMFR CR は削除対象としてマークされています。コントローラーは、ファイル配信リソース、復元された PVC、および一時的な名前空間をクリーンアップしています。 |
| 値 | 説明 |
|---|---|
|
| PVC は修復され、ファイルシステムはマウントされてアクセス可能になった。 |
|
| PVC の修復作業が進行中です。 |
|
| PVC の修復は失敗しました。 |
|
| この PVC のソースバックアップは削除されました。 |
|
| この PVC のソースバックアップが見つかりません。 |
|
| バックアップは、サポートされていないプラグイン形式で作成されました。 |
|
| ディスクイメージからのファイルシステムの抽出に失敗しました。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}