第 1 章备份应用程序

您可以将 OpenShift API 用于 Red Hat OpenShift Service on AWS (ROSA)集群的数据保护(OADP)来备份和恢复应用程序数据。在安装 OADP 前，您必须为 OADP 设置角色和策略凭证，以便可以使用 AWS API。

这是一个包括两个阶段的过程：

准备 AWS 凭证。
安装 OADP Operator，并将其提供给 IAM 角色。

1.1. 准备 AWS 凭证
复制链接

AWS 帐户必须准备好接受 OADP 安装。

流程

运行以下命令来创建以下环境变量：

注意

更改集群名称来匹配您的 ROSA 集群，并确保以管理员身份登录到集群。在继续操作前，确保所有字段被正常输出。

export CLUSTER_NAME=my-cluster

$ export CLUSTER_NAME=my-cluster


export ROSA_CLUSTER_ID=$(rosa describe cluster -c ${CLUSTER_NAME} --output json | jq -r .id)
export REGION=$(rosa describe cluster -c ${CLUSTER_NAME} --output json | jq -r .region.id)
export OIDC_ENDPOINT=$(oc get authentication.config.openshift.io cluster -o jsonpath='{.spec.serviceAccountIssuer}' | sed 's|^https://||')
export AWS_ACCOUNT_ID=$(aws sts get-caller-identity --query Account --output text)
export CLUSTER_VERSION=$(rosa describe cluster -c ${CLUSTER_NAME} -o json | jq -r .version.raw_id | cut -f -2 -d '.')
export ROLE_NAME="${CLUSTER_NAME}-openshift-oadp-aws-cloud-credentials"
export SCRATCH="/tmp/${CLUSTER_NAME}/oadp"
mkdir -p ${SCRATCH}
echo "Cluster ID: ${ROSA_CLUSTER_ID}, Region: ${REGION}, OIDC Endpoint:
${OIDC_ENDPOINT}, AWS Account ID: ${AWS_ACCOUNT_ID}"

Copy to Clipboard

Toggle word wrap

1: 将 my-cluster 替换为您的 ROSA 集群名称。

在 AWS 帐户上，创建一个 IAM 策略以允许访问 S3。

运行以下命令，检查策略是否存在：

POLICY_ARN=$(aws iam list-policies --query "Policies[?PolicyName=='RosaOadpVer1'].{ARN:Arn}" --output text)

$ POLICY_ARN=$(aws iam list-policies --query "Policies[?PolicyName=='RosaOadpVer1'].{ARN:Arn}" --output text)

Copy to Clipboard

Toggle word wrap

1: 将 RosaOadp 替换为您的策略名称。

使用以下命令来创建策略 JSON 文件，然后在 ROSA 中创建策略。

注意

如果没有找到策略 ARN，该命令将创建策略。如果策略 ARN 已存在，则 if 语句将跳过策略创建。

if [[ -z "${POLICY_ARN}" ]]; then

$ if [[ -z "${POLICY_ARN}" ]]; then
cat << EOF > ${SCRATCH}/policy.json


{
"Version": "2012-10-17",
"Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "s3:CreateBucket",
      "s3:DeleteBucket",
      "s3:PutBucketTagging",
      "s3:GetBucketTagging",
      "s3:PutEncryptionConfiguration",
      "s3:GetEncryptionConfiguration",
      "s3:PutLifecycleConfiguration",
      "s3:GetLifecycleConfiguration",
      "s3:GetBucketLocation",
      "s3:ListBucket",
      "s3:GetObject",
      "s3:PutObject",
      "s3:DeleteObject",
      "s3:ListBucketMultipartUploads",
      "s3:AbortMultipartUpload",
      "s3:ListMultipartUploadParts",
      "ec2:DescribeSnapshots",
      "ec2:DescribeVolumes",
      "ec2:DescribeVolumeAttribute",
      "ec2:DescribeVolumesModifications",
      "ec2:DescribeVolumeStatus",
      "ec2:CreateTags",
      "ec2:CreateVolume",
      "ec2:CreateSnapshot",
      "ec2:DeleteSnapshot"
    ],
    "Resource": "*"
  }
 ]}
EOF

POLICY_ARN=$(aws iam create-policy --policy-name "RosaOadpVer1" \
--policy-document file:///${SCRATCH}/policy.json --query Policy.Arn \
--tags Key=rosa_openshift_version,Value=${CLUSTER_VERSION} Key=rosa_role_prefix,Value=ManagedOpenShift Key=operator_namespace,Value=openshift-oadp Key=operator_name,Value=openshift-oadp \
--output text)
fi

Copy to Clipboard

Toggle word wrap

1: SCRATCH 是为环境变量创建的临时目录的名称。

运行以下命令来查看策略 ARN：
```
echo ${POLICY_ARN}
```
```
$ echo ${POLICY_ARN}
```
Copy to Clipboard Toggle word wrap

为集群创建 IAM 角色信任策略：

运行以下命令来创建信任策略文件：

cat <<EOF > ${SCRATCH}/trust-policy.json
{
    "Version": "2012-10-17",
    "Statement": [{
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::${AWS_ACCOUNT_ID}:oidc-provider/${OIDC_ENDPOINT}"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "${OIDC_ENDPOINT}:sub": [
            "system:serviceaccount:openshift-adp:openshift-adp-controller-manager",
            "system:serviceaccount:openshift-adp:velero"]
        }
      }
    }]
}
EOF

$ cat <<EOF > ${SCRATCH}/trust-policy.json
{
    "Version": "2012-10-17",
    "Statement": [{
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::${AWS_ACCOUNT_ID}:oidc-provider/${OIDC_ENDPOINT}"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "${OIDC_ENDPOINT}:sub": [
            "system:serviceaccount:openshift-adp:openshift-adp-controller-manager",
            "system:serviceaccount:openshift-adp:velero"]
        }
      }
    }]
}
EOF

Copy to Clipboard

Toggle word wrap

运行以下命令来创建角色：

ROLE_ARN=$(aws iam create-role --role-name \
  "${ROLE_NAME}" \
  --assume-role-policy-document file://${SCRATCH}/trust-policy.json \
  --tags Key=rosa_cluster_id,Value=${ROSA_CLUSTER_ID}

$ ROLE_ARN=$(aws iam create-role --role-name \
  "${ROLE_NAME}" \
  --assume-role-policy-document file://${SCRATCH}/trust-policy.json \
  --tags Key=rosa_cluster_id,Value=${ROSA_CLUSTER_ID}
Key=rosa_openshift_version,Value=${CLUSTER_VERSION}
Key=rosa_role_prefix,Value=ManagedOpenShift
Key=operator_namespace,Value=openshift-adp
Key=operator_name,Value=openshift-oadp \
   --query Role.Arn --output text)

Copy to Clipboard

Toggle word wrap

运行以下命令来查看角色 ARN：
```
echo ${ROLE_ARN}
```
```
$ echo ${ROLE_ARN}
```
Copy to Clipboard Toggle word wrap

运行以下命令，将 IAM 策略附加到 IAM 角色：

aws iam attach-role-policy --role-name "${ROLE_NAME}" \
  --policy-arn ${POLICY_ARN}

$ aws iam attach-role-policy --role-name "${ROLE_NAME}" \
  --policy-arn ${POLICY_ARN}

Copy to Clipboard

Toggle word wrap

后续步骤

继续安装 OADP Operator 并提供 IAM 角色。

返回顶部

第 1 章备份应用程序

1.1. 准备 AWS 凭证
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 1 章 备份应用程序

1.1. 准备 AWS 凭证复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 1 章备份应用程序

1.1. 准备 AWS 凭证
复制链接