9.4. AWS에서 etcd 백업 및 복원

프로세스

1. 다음 명령을 입력하여 호스팅된 클러스터의 조정을 일시 중지합니다.

   $ oc patch -n clusters hostedclusters/<hosted_cluster_name> \
     -p '{"spec":{"pausedUntil":"true"}}' --type=merge

   Copy to Clipboard Toggle word wrap

2. 다음 명령을 입력하여 모든 etcd-writer 배포를 중지합니다.

   $ oc scale deployment -n <hosted_cluster_namespace> --replicas=0 \
     kube-apiserver openshift-apiserver openshift-oauth-apiserver

   Copy to Clipboard Toggle word wrap

3. etcd 스냅샷을 찍으려면 다음 명령을 입력하여 각 etcd 컨테이너에서 exec 명령을 사용합니다.

   $ oc exec -it <etcd_pod_name> -n <hosted_cluster_namespace> -- \
     env ETCDCTL_API=3 /usr/bin/etcdctl \
     --cacert /etc/etcd/tls/etcd-ca/ca.crt \
     --cert /etc/etcd/tls/client/etcd-client.crt \
     --key /etc/etcd/tls/client/etcd-client.key \
     --endpoints=localhost:2379 \
     snapshot save /var/lib/data/snapshot.db

   Copy to Clipboard Toggle word wrap

4. 스냅샷 상태를 확인하려면 다음 명령을 실행하여 각 etcd 컨테이너에서 exec 명령을 사용합니다.

   $ oc exec -it <etcd_pod_name> -n <hosted_cluster_namespace> -- \
     env ETCDCTL_API=3 /usr/bin/etcdctl -w table snapshot status \
     /var/lib/data/snapshot.db

   Copy to Clipboard Toggle word wrap

5. 나중에 검색할 수 있는 위치(예: S3 버킷)에 스냅샷 데이터를 복사합니다. 다음 예제를 참조하십시오.

   참고

   다음 예제에서는 서명 버전 2를 사용합니다. us-east-2 지역과 같이 서명 버전 4를 지원하는 지역에 있는 경우 서명 버전 4를 사용하세요. 그렇지 않으면 스냅샷을 S3 버킷에 복사할 때 업로드가 실패합니다.

   예

   BUCKET_NAME=somebucket
   CLUSTER_NAME=cluster_name
   FILEPATH="/${BUCKET_NAME}/${CLUSTER_NAME}-snapshot.db"
   CONTENT_TYPE="application/x-compressed-tar"
   DATE_VALUE=`date -R`
   SIGNATURE_STRING="PUT\n\n${CONTENT_TYPE}\n${DATE_VALUE}\n${FILEPATH}"
   ACCESS_KEY=accesskey
   SECRET_KEY=secret
   SIGNATURE_HASH=`echo -en ${SIGNATURE_STRING} | openssl sha1 -hmac ${SECRET_KEY} -binary | base64`
   HOSTED_CLUSTER_NAMESPACE=hosted_cluster_namespace
   
   oc exec -it etcd-0 -n ${HOSTED_CLUSTER_NAMESPACE} -- curl -X PUT -T "/var/lib/data/snapshot.db" \
     -H "Host: ${BUCKET_NAME}.s3.amazonaws.com" \
     -H "Date: ${DATE_VALUE}" \
     -H "Content-Type: ${CONTENT_TYPE}" \
     -H "Authorization: AWS ${ACCESS_KEY}:${SIGNATURE_HASH}" \
     https://${BUCKET_NAME}.s3.amazonaws.com/${CLUSTER_NAME}-snapshot.db

   Copy to Clipboard Toggle word wrap

6. 나중에 새 클러스터에서 스냅샷을 복원하려면 호스팅된 클러스터가 참조하는 암호화 비밀번호를 저장합니다.

   1. 다음 명령을 입력하여 비밀 암호화 키를 얻으세요.

      $ oc get hostedcluster <hosted_cluster_name> \
        -o=jsonpath='{.spec.secretEncryption.aescbc}'
      {"activeKey":{"name":"<hosted_cluster_name>-etcd-encryption-key"}}

      Copy to Clipboard Toggle word wrap

   2. 다음 명령을 입력하여 비밀 암호화 키를 저장합니다.

      $ oc get secret <hosted_cluster_name>-etcd-encryption-key \
        -o=jsonpath='{.data.key}'

      Copy to Clipboard Toggle word wrap

      새 클러스터에서 스냅샷을 복원할 때 이 키를 해독할 수 있습니다.

7. 다음 명령을 입력하여 모든 etcd-writer 배포를 다시 시작합니다.

   $ oc scale deployment -n <control_plane_namespace> --replicas=3 \
     kube-apiserver openshift-apiserver openshift-oauth-apiserver

   Copy to Clipboard Toggle word wrap

8. 다음 명령을 입력하여 호스팅된 클러스터의 조정을 재개합니다.

   $ oc patch -n <hosted_cluster_namespace> \
     -p '[\{"op": "remove", "path": "/spec/pausedUntil"}]' --type=json

   Copy to Clipboard Toggle word wrap

절차

1. aws CLI(명령줄 인터페이스)에서 인증 정보를 etcd 배포에 전달하지 않고 S3에서 etcd 스냅샷을 다운로드할 수 있도록 사전 서명된 URL을 생성합니다.

   ETCD_SNAPSHOT=${ETCD_SNAPSHOT:-"s3://${BUCKET_NAME}/${CLUSTER_NAME}-snapshot.db"}
   ETCD_SNAPSHOT_URL=$(aws s3 presign ${ETCD_SNAPSHOT})

   Copy to Clipboard Toggle word wrap

2. URL을 참조하도록 HostedCluster 사양을 수정합니다.

   spec:
     etcd:
       managed:
         storage:
           persistentVolume:
             size: 4Gi
           type: PersistentVolume
           restoreSnapshotURL:
           - "${ETCD_SNAPSHOT_URL}"
       managementType: Managed

   Copy to Clipboard Toggle word wrap
3. spec.secretEncryption.aescbc 값에서 참조한 보안에 이전 단계에서 저장한 것과 동일한 AES 키가 포함되어 있는지 확인합니다.