Veritas:“六盏明灯”照亮Kubernetes数据保护，使企业数据更具韧性

当前,全球大部分企业已经将Kubernetes作为其云战略的核心部分。根据Veritas最新调研,有超过四分之一的中国企业目前已经投入使用该技术,90%的中国企业预计将在未来两到三年内部署该技术。然而,到目前为止,在已部署Kubernetes的中国企业中,只有35%具备防范勒索软件攻击等数据丢失事件的保护措施。调查发现,在部署了Kubernetes的中国企业中,有35%经历过对其容器化环境的勒索软件攻击,而令人震惊的是,有高达73%的中国受访者认为勒索软件对Kubernetes环境的攻击是其企业目前面临的一个严峻问题。这些都意味着企业必须采取措施保护其Kubernetes环境以及其中的应用程序和数据。

那么具体又该如何做呢?Veritas发现,目前在中国市场,约有一半的企业正在使用独立的产品对部分或全部Kubernetes环境进行保护,导致其保护环境复杂化。76%的中国受访者表示,这可能是因为他们对可以在传统、虚拟和Kubernetes环境中保护数据的解决方案知之甚少甚至一无所知。

在Kubernetes数据保护迷雾中,如何选择正确的道路?Veritas点亮“六盏明灯”,帮助企业在应对恶意攻击、恶意软件和人为失误时,使其在Kubernetes环境中的数据更具韧性。

一 遵循基本安全原则

Veritas建议Kubernetes用户采用安全系数高且多个不同的密码以保证安全,并设置访问权限,根据不同访客身份相应调整访问权限。此外,关键数据在容器和资料库之间传输时要进行加密。Linux基金会就对如何正确配置、管理和保护数据集群的细节进行过详细的阐述。

二 保护数据不出错

保护数据不出错并不能排除人为因素。如果想自行备份Kubernetes环境中的数据,并避免人为失误的后果,应该备份相应文件。为了不浪费Kubernetes的巨大优势,其结构和架构需要采取特殊的方法。Kubernetes平台由多个工作节点和位于顶端的集群主节点组成的结构构成,主节点和工作节点通过特定进程进行通信。命名空间和吊舱或容器可以自动设置,推出到各自的工作节点,并进行监控。

企业应该对这些元素都进行备份,而且备份需要完全支持市场上最常用的发行版。目前,红帽Openshift和VMware Tanzu是Kubernetes环境中较大玩家,备份解决方案需要考虑到不同平台的保护支持。

三 全面保障命名空间的安全

Kubernetes基于不同的命名空间进行操作(可以理解为项目或应用程序),备份软件可以通过命名空间接口与集群集成,自行检测集群并进行备份操作及数据恢复。

为了在应用程序得到全面保护的基础上保留Kubernetes环境的可扩展性和可移植性,应该备份包含所有组件的命名空间。同时,在恢复数据时,考虑到数据架构可能发生逻辑错误,必须要独立于命名空间恢复持久卷。为了保持Kubernetes的敏捷性,备份解决方案还应该支持在其他集群上恢复命名空间。

四 明确访问权限

Veritas建议,只有拥有管理和使用Kubernetes环境访问权限的用户才能备份和恢复数据。也就是说,备份用户只能看到他们有权限的命名空间和持久卷。这样可以将开发、测试和生产人员的责任分开。同时,也建议在配置中明确访问权限,通过备份系统中的用户身份角色识别。如此一来,可以加强对网络攻击的恢复能力。

五 通过自动化解放DevOps与备份团队

备份解决方案应该定期自动检查集群中是否创建了新的命名空间。因此,Kubernetes发行版和备份解决方案必须完美配合。随着相应的备份计划分配到新的命名空间,也可以自动智能地分配逻辑选择。在不断扩展的Kubernetes环境中,这降低了项目或应用程序未被正确备份的风险。此外,自动化分担了IT团队检查和配置的工作负担,减少了DevOps团队的数据丢失风险。有了适当的权限,这些团队也可以自行恢复他们的数据库存。这缩短了开发时间,减轻了负责备份的工作人员的负担,之前未完成的备份过程也可以在限制时间内重新启动。之后可以在相应的GUI,通过事件警报通知那些负责人。

在Veritas最新发布的NetBackup 10中,自动化的优势得以体现。NetBackup 10为更多平台即服务工作负载提供新的自动检测和保护,其中就包括所有主要Kubernetes发行版。

六 考虑一致性备份

备份系统既应该遵循Velero等既定标准,也需要支持智能扩展。具体来说,采用由具有复制能力的备份软件控制的保留管理系统,可以帮助防范勒索软件攻击。同时,要牢记3-2-1备份规则。此外,备份守护程序可以帮助备份存储目标能够扩展到供应商支持的兼容性。由此,Kubernetes可以被端到端地集成到一个集中的备份和恢复系统中,这避免了每个工作负载进行单独备份,可以降低成本,控制复杂性,并减少风险。

备份工具也是Kubernetes用户对抗勒索攻击和人为失误造成的数据丢失的最有力措施。Veritas的NetBackup平台针对Kubernetes设计的原生解决方案可以帮助企业解锁“跨版本分发及可移植性”这一关键技能,无论Kubernetes应用位于何处。此外,NetBackup能够实现高水平的自动化,这减少了备份的工作量和成本。NetBackup可以保证在备份过程中,避免遗漏任何关键的系统或文件,即便勒索软件或人为失误破坏了关键数据,Kubernetes用户也可以安心进行数据恢复。