Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

6.5. 配置复制存储库

您必须将对象存储配置为用作复制存储库。MTC 将数据从源集群复制到复制存储库,然后从复制存储库复制到目标集群。

MTC 支持将数据从源集群迁移到目标集群的文件系统和快照数据复制方法。您可以选择适合于您的环境并受您的存储供应商支持的方法。

支持以下存储供应商:

6.5.1. 先决条件
复制链接

  • 所有集群都必须具有对复制存储库的不间断网络访问权限。
  • 如果您将代理服务器与内部托管的复制存储库搭配使用,您必须确保代理允许访问复制存储库。

6.5.2. 检索多云对象网关凭证
复制链接

您必须检索 Multicloud Object Gateway(MCG)凭证和 S3 端点,以便将 MCG 配置为 MTC 的 Migration Toolkit for Containers(MTC)的复制仓库。您必须检索 Multicloud Object Gateway(MCG)凭证,以便为 OpenShift API 创建用于数据保护(OADP)的 Secret 自定义资源(CR)。

MCG 是 OpenShift Data Foundation 的一个组件。

先决条件

流程

  1. 通过对 NooBaa 自定义资源运行 describe 命令,获取 S3 端点、AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY

    您可以使用这些凭证将 MCG 作为复制存储库来添加。

6.5.3. 配置 Amazon Web Services
复制链接

您可以将 Amazon Web Services(AWS)S3 对象存储配置为 MTC 的 Migration Toolkit for Containers(MTC)的复制仓库。

先决条件

  • 已安装 AWS CLI
  • AWS S3 存储桶必须可以被源和目标集群访问。

  • 如果您使用快照复制方法:

    • 您必须有权访问 EC2 Elastic Block Storage (EBS)。
    • 源和目标集群必须位于同一区域。
    • 源和目标集群必须具有相同的存储类。
    • 存储类必须与快照兼容。

流程

  1. 设置 BUCKET 变量: 

    $ BUCKET=<your_bucket>
    Copy to Clipboard Toggle word wrap

  2. 设置 REGION 变量: 

    $ REGION=<your_region>
    Copy to Clipboard Toggle word wrap

  3. 创建 AWS S3 存储桶: 

    $ aws s3api create-bucket \
    --bucket $BUCKET \
    --region $REGION \
    --create-bucket-configuration LocationConstraint=$REGION
    1
    Copy to Clipboard Toggle word wrap
    1
    us-east-1 不支持 LocationConstraint。如果您的区域是 us-east-1,忽略 --create-bucket-configuration LocationConstraint=$REGION

  4. 创建一个 IAM 用户: 

    $ aws iam create-user --user-name velero
    1
    Copy to Clipboard Toggle word wrap
    1
    如果要使用 Velero 备份具有多个 S3 存储桶的集群,请为每个集群创建一个唯一用户名。

  5. 创建 velero-policy.json 文件: 

    $ cat > velero-policy.json <<EOF
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:CreateSnapshot",
                "ec2:DeleteSnapshot"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::${BUCKET}/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": [
                "arn:aws:s3:::${BUCKET}"
            ]
        }
    ]
}
EOF
    Copy to Clipboard Toggle word wrap

  6. 附加策略,为 velero 用户提供所需的最低权限: 

    $ aws iam put-user-policy \
  --user-name velero \
  --policy-name velero \
  --policy-document file://velero-policy.json
    Copy to Clipboard Toggle word wrap

  7. velero 用户创建访问密钥: 

    $ aws iam create-access-key --user-name velero
    Copy to Clipboard Toggle word wrap

    输出示例

    {
  "AccessKey": {
        "UserName": "velero",
        "Status": "Active",
        "CreateDate": "2017-07-31T22:24:41.576Z",
        "SecretAccessKey": <AWS_SECRET_ACCESS_KEY>,
        "AccessKeyId": <AWS_ACCESS_KEY_ID>
  }
}
    Copy to Clipboard Toggle word wrap

    记录 AWS_SECRET_ACCESS_KEYAWS_ACCESS_KEY_ID。您可以使用凭证将 AWS 添加为复制存储库。

6.5.4. 配置 Google Cloud Platform
复制链接

您可以将 Google Cloud Platform(GCP)存储桶配置为 Migration Toolkit for Containers(MTC)的复制仓库。

先决条件

  • 您必须安装了 gcloudgsutil CLI 工具。详情请查看 Google 云文档
  • GCP 存储桶必须可以被源和目标集群访问。

  • 如果您使用快照复制方法:

    • 源和目标集群必须位于同一区域。
    • 源和目标集群必须具有相同的存储类。
    • 存储类必须与快照兼容。

流程

  1. 登录到 GCP: 

    $ gcloud auth login
    Copy to Clipboard Toggle word wrap

  2. 设置 BUCKET 变量: 

    $ BUCKET=<bucket>
    1
    Copy to Clipboard Toggle word wrap
    1
    指定存储桶名称。

  3. 创建存储桶: 

    $ gsutil mb gs://$BUCKET/
    Copy to Clipboard Toggle word wrap

  4. PROJECT_ID 变量设置为您的活跃项目: 

    $ PROJECT_ID=$(gcloud config get-value project)
    Copy to Clipboard Toggle word wrap

  5. 创建服务帐户: 

    $ gcloud iam service-accounts create velero \
    --display-name "Velero service account"
    Copy to Clipboard Toggle word wrap

  6. 列出服务帐户: 

    $ gcloud iam service-accounts list
    Copy to Clipboard Toggle word wrap

  7. 设置 SERVICE_ACCOUNT_EMAIL 变量,使其与 email 值匹配: 

    $ SERVICE_ACCOUNT_EMAIL=$(gcloud iam service-accounts list \
    --filter="displayName:Velero service account" \
    --format 'value(email)')
    Copy to Clipboard Toggle word wrap

  8. 附加策略,为 velero 用户提供所需的最低权限: 

    $ ROLE_PERMISSIONS=(
    compute.disks.get
    compute.disks.create
    compute.disks.createSnapshot
    compute.snapshots.get
    compute.snapshots.create
    compute.snapshots.useReadOnly
    compute.snapshots.delete
    compute.zones.get
    storage.objects.create
    storage.objects.delete
    storage.objects.get
    storage.objects.list
    iam.serviceAccounts.signBlob
)
    Copy to Clipboard Toggle word wrap

  9. 创建 velero.server 自定义角色: 

    $ gcloud iam roles create velero.server \
    --project $PROJECT_ID \
    --title "Velero Server" \
    --permissions "$(IFS=","; echo "${ROLE_PERMISSIONS[*]}")"
    Copy to Clipboard Toggle word wrap

  10. 为项目添加 IAM 策略绑定: 

    $ gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member serviceAccount:$SERVICE_ACCOUNT_EMAIL \
    --role projects/$PROJECT_ID/roles/velero.server
    Copy to Clipboard Toggle word wrap

  11. 更新 IAM 服务帐户: 

    $ gsutil iam ch serviceAccount:$SERVICE_ACCOUNT_EMAIL:objectAdmin gs://${BUCKET}
    Copy to Clipboard Toggle word wrap

  12. 将 IAM 服务帐户的密钥保存到当前目录中的 credentials-velero 文件中: 

    $ gcloud iam service-accounts keys create credentials-velero \
    --iam-account $SERVICE_ACCOUNT_EMAIL
    Copy to Clipboard Toggle word wrap

    您可以使用 credentials-velero 文件将 GCP 添加为复制存储库。

6.5.5. 配置 Microsoft Azure
复制链接

您可以将 Microsoft Azure Blob 存储容器配置为 Migration Toolkit for Containers(MTC)的复制仓库。

先决条件

  • 已安装 Azure CLI
  • Azure Blob 存储容器必须可以被源和目标集群访问。

  • 如果您使用快照复制方法:

    • 源和目标集群必须位于同一区域。
    • 源和目标集群必须具有相同的存储类。
    • 存储类必须与快照兼容。

流程

  1. 登录到 Azure: 

    $ az login
    Copy to Clipboard Toggle word wrap

  2. 设置 AZURE_RESOURCE_GROUP 变量: 

    $ AZURE_RESOURCE_GROUP=Velero_Backups
    Copy to Clipboard Toggle word wrap

  3. 创建 Azure 资源组: 

    $ az group create -n $AZURE_RESOURCE_GROUP --location CentralUS
    1
    Copy to Clipboard Toggle word wrap
    1
    指定位置。

  4. 设置 AZURE_STORAGE_ACCOUNT_ID 变量: 

    $ AZURE_STORAGE_ACCOUNT_ID="velero$(uuidgen | cut -d '-' -f5 | tr '[A-Z]' '[a-z]')"
    Copy to Clipboard Toggle word wrap

  5. 创建 Azure 存储帐户: 

    $ az storage account create \
    --name $AZURE_STORAGE_ACCOUNT_ID \
    --resource-group $AZURE_RESOURCE_GROUP \
    --sku Standard_GRS \
    --encryption-services blob \
    --https-only true \
    --kind BlobStorage \
    --access-tier Hot
    Copy to Clipboard Toggle word wrap

  6. 设置 BLOB_CONTAINER 变量: 

    $ BLOB_CONTAINER=velero
    Copy to Clipboard Toggle word wrap

  7. 创建 Azure Blob 存储容器: 

    $ az storage container create \
  -n $BLOB_CONTAINER \
  --public-access off \
  --account-name $AZURE_STORAGE_ACCOUNT_ID
    Copy to Clipboard Toggle word wrap

  8. velero 创建服务主体和凭证: 

    $ AZURE_SUBSCRIPTION_ID=`az account list --query '[?isDefault].id' -o tsv`
  AZURE_TENANT_ID=`az account list --query '[?isDefault].tenantId' -o tsv`
    Copy to Clipboard Toggle word wrap

  9. 创建一个带有 Contributor 角色的服务主体,分配一个特定的 --role--scopes: 

    $ AZURE_CLIENT_SECRET=`az ad sp create-for-rbac --name "velero" \
                                                --role "Contributor" \
                                                --query 'password' -o tsv \
                                                --scopes /subscriptions/$AZURE_SUBSCRIPTION_ID/resourceGroups/$AZURE_RESOURCE_GROUP`
    Copy to Clipboard Toggle word wrap

    CLI 为您生成一个密码。确保您记录了密码。

  10. 创建服务主体后,获取客户端 ID。 

    $ AZURE_CLIENT_ID=`az ad app credential list --id <your_app_id>`
    Copy to Clipboard Toggle word wrap
    注意

    要成功完成此操作,您必须知道您的 Azure 应用程序 ID。

  11. credentials-velero 文件中保存服务主体的凭证: 

    $ cat << EOF > ./credentials-velero
AZURE_SUBSCRIPTION_ID=${AZURE_SUBSCRIPTION_ID}
AZURE_TENANT_ID=${AZURE_TENANT_ID}
AZURE_CLIENT_ID=${AZURE_CLIENT_ID}
AZURE_CLIENT_SECRET=${AZURE_CLIENT_SECRET}
AZURE_RESOURCE_GROUP=${AZURE_RESOURCE_GROUP}
AZURE_CLOUD_NAME=AzurePublicCloud
EOF
    Copy to Clipboard Toggle word wrap

    您可以使用 credentials-velero 文件将 Azure 添加为复制存储库。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat