AWS Backup での新しい Amazon EKS サポートによる EKS クラスターのセキュア化

11 月 10 日、AWS Backup での Amazon EKS のサポートが発表され、他の Amazon Web Services (AWS) サービスで信頼されているものと同じ一元化されたプラットフォームを使用して Kubernetes アプリケーションをセキュア化する機能が提供されるようになりました。この統合は、コンテナ化されたアプリケーションを保護しながらクラスター構成とアプリケーションデータの両方にエンタープライズグレードのバックアップ機能を提供するという複雑性を解消します。AWS Backup は、AWS ワークロードとオンプレミスワークロードの全体でデータ保護を一元化し、自動化するためのフルマネージドサービスです。Amazon Elastic Kubernetes Service (Amazon EKS) は、Kubernetes クラスターの可用性とスケーラビリティを管理するためのフルマネージド Kubernetes サービスです。この新しい機能を使用することで、他の AWS サービスと並行して Amazon EKS 環境全体でのデータ保護の一元的な管理と自動化を行えます。

これまで、お客様が EKS クラスターをバックアップするにはカスタムソリューションやサードパーティツールに頼らなければならず、クラスターごとに複雑なスクリプト作成とメンテナンスが必要でした。AWS Backup での Amazon EKS のサポートは、EKS クラスター (Kubernetes デプロイとリソース) およびステートフルデータ (Amazon Elastic Block Store (Amazon EBS)、Amazon Elastic File System (Amazon EFS)、Amazon Simple Storage Service (Amazon S3) のみに保存されているもの) の両方を保護する単一の一元化されたポリシー主導のソリューションを提供し、クラスター全体でカスタムスクリプトを管理する必要をなくことで、このオーバーヘッドを解消します。復元に関しては、これまでお客様は EKS バックアップをターゲット EKS クラスター (ソース EKS クラスターまたは新しい EKS クラスター) に復元しなければならず、復元する前に EKS クラスターインフラストラクチャをプロビジョニングしておく必要がありました。この新しい機能では、EKS クラスターバックアップの復元時に以前の EKS クラスターの構成設定に基づいて新しい EKS クラスターを作成し、この新しい EKS クラスターに復元するオプションもお客様に提供され、EKS クラスターのプロビジョニングは AWS Backup がお客様に代わって管理します。

このサポートには、単一または複数の EKS クラスターを保護するためのポリシーベースの自動化が含まれます。 この単一データ保護ポリシーは、AWS Backup がサポートするすべてのサービスで一貫したエクスペリエンスを提供します。そのため、悪意のある変更や不注意による変更を防ぐためのイミュータブルバックアップの作成が可能になり、お客様が規制コンプライアンスのニーズを満たすために役立ちます。顧客データの損失やクラスターのダウンタイムが発生した場合でも、お客様は使い勝手の良いインターフェイスを使用することで暗号化されたイミュータブルバックアップから EKS クラスターデータを簡単に復元し、EKS クラスターを大規模に実行する事業継続性を維持できます。

仕組み
以下は、AWS Backup で EKS クラスターのオンデマンドバックアップのサポートを設定する方法です。最初にバックアッププロセスのウォークスルーを説明してから、EKS クラスターの復元を実際に行っていきます。

バックアップ
AWS Backup コンソールの左側にあるナビゲーションペインで [設定] を設定してから [リソースを設定] を選択し、AWS Backup での EKS クラスター保護オプションを有効にします。

Amazon EKS が有効になったので、[保護されたリソース] で [オンデマンドバックアップを作成] を選択し、既存の EKS クラスターである floral-electro-unicorn のバックアップを作成します。

[設定] で EKS を有効にすることで、EKS クラスターのオンデマンドバックアップの作成時に EKS が [リソースタイプ] として表示されることを確実にします。EKS リソースタイプとクラスターの選択に進みます。

残りの情報はデフォルトのままにしておき、[IAM ロールを選択] を選択して、私に代わってバックアップを作成および管理するときに AWS Backup が引き受ける必須の許可を用いて作成およびカスタマイズされたロール (test-eks-backup) を選択します。[オンデマンドバックアップを作成] を選択してプロセスを完了します。

ジョブが開始され、EKS クラスターの状態と永続的ボリュームの両方をバックアップし始めます。Amazon S3 バケットがバックアップにアタッチされている場合は、追加の Amazon S3 バックアップ許可 AWSBackupServiceRolePolicyForS3Backup をロールに追加する必要があります。このポリシーには、AWS Backup が任意の Amazon S3 バケットをバックアップするために必要な許可が含まれています。これには、バケット内のすべてのオブジェクトと、関連する AWS KMS キーへのアクセスが含まれます。

ジョブが正常に完了し、floral-electro-unicorn EKS クラスターが AWS Backup によってバックアップされました。

復元
AWS Backup コンソールを使用して、EKS クラスターバックアップの復元プロセスを開始するための EKS バックアップ複合リカバリポイントを選択してから、[復元] を選択します。

[EKS クラスターを完全に復元] を選択して、EKS バックアップを完全に復元します。既存のクラスターに復元するには、[既存のクラスターを選択] し、ドロップダウンリストからクラスターを選択します。個々の Kubernetes リソースが復元される順序として、[デフォルトの順序] を選択します。

その後、永続的ストレージリソースの復元を設定します。このリソースは EKS クラスターと共に復元されます。

次に、復元アクションを実行するための [IAM ロールを選択] します。デフォルトでオンになっている [保護されたリソースのタグ] チェックボックスはそのままにしておき、[次へ] を選択します。

[復元] を選択してプロセスを完了し、ジョブを開始する前に、すべての情報を確認します。

ドロップダウン矢印を選択すると、EKS クラスターの状態とアタッチされている永続的ボリューム両方の復元ステータスの詳細が表示されます。このウォークスルーでは、個々のリカバリポイントのすべてが正常に復元されました。バックアップの一部が失敗した場合でも、正常にバックアップされた永続ストア (Amazon EBS ボリュームなど) とクラスター構成設定を個別に復元することが可能です。ただし、EKS バックアップを完全に復元することはできません。正常にバックアップされたリソースを復元用に利用できるようになり、EKS クラスターのリカバリポイントの下にネストされたリカバリポイントとして一覧表示されます。部分的な失敗が発生すると、失敗した部分の通知が行われます。

メリット
以下は、AWS Backup での Amazon EKS のサポートによって実現されるメリットです。

• カスタムスクリプトやサードパーティソリューションの管理に伴うオーバーヘッドを解消するフルマネージド型のマルチクラスターバックアップエクスペリエンス。
• バックアップのライフサイクル管理を簡素化し、EKS を含めた AWS サービス全体でアプリケーションデータのバックアップとリカバリをシームレスにする一元化されたポリシーベースのバックアップ管理。
• バックアップボールトを使用してバックアップを保存し、整理する機能。バックアップボールトにポリシーを割り当てて、バックアッププランやオンデマンドバックアップを作成するためのアクセス権をユーザーに付与するとともに、リカバリポイントの作成後にそれらを削除する能力を制限します。

知っておくと便利な情報
以下は、知っておくと役に立つ情報です。

• AWS Backup を使用した EKS クラスターの保護には、AWS Backup コンソール、API、または AWS コマンドラインインターフェイス (AWS CLI) を使用します。また、クラスターの作成後にクラスターのオンデマンドバックアップを作成することも可能です。
• いくつかの異なるアカウントや AWS リージョンに EKS バックアップのセカンダリコピーを作成して、バックアップが誤って削除されるリスクを最小限に抑えることができます。
• EKS バックアップの復元は、AWS Backup コンソール、API、または AWS CLI を使用して実行できます。
• 復元は非破壊的であるため、既存のクラスターに復元しても Kubernetes バージョンやデータが上書きされることはありません。その代わりに、バックアップリソースとソースリソース間の差分の復元が作成されます。
• Kubernetes リソースはクラスターレベルでスコープされている可能性があるため、復元が正常に行われるようにするためにも、名前空間は既存のクラスターにのみ復元できます。

お客様の声

Salesforce の Sr.Director of Engineering である Srikanth Rajan 氏は、「バックアップと復元の堅実な計画がない状態でソフトウェアのバグやクラスターの意図しない削除に起因する Kubernetes コントロールプレーンの損失が発生すると、致命的な結果を招くことになりかねません。AWS による EKS の新しいバックアップと復元特徴量のリリースが非常にすばらしいのはこのためです。これは、Kubernetes プラットフォームの重大なレジリエンシーギャップの解消に向けた大きな前進です」と語っています。

今すぐご利用いただけます
AWS Backup での Amazon EKS のサポートは、AWS Backup と Amazon EKS が提供されているすべての AWS 商用リージョン (中国を除く) と AWS GovCloud (米国) で本日からご利用いただけます。今後の更新については、全リージョンのリストをご確認ください。

詳細については、AWS Backup 製品ページと AWS Backup の料金ページをご覧ください。

AWS Backup で EKS クラスターを保護するためのこの機能をぜひお試しいただき、AWS re:Post for AWS Backup、または通常の AWS サポート担当者を通じてフィードバックを提供することで、皆さんのご意見をお聞かせください。

– Veliswa

原文はこちらです。