6.5. 복제 리포지토리 구성
복제 리포지토리로 사용할 오브젝트 스토리지를 구성해야 합니다. MTC(Migration Toolkit for Containers)는 소스 클러스터에서 복제 리포지토리로 데이터를 복사한 다음 복제 리포지토리에서 대상 클러스터로 데이터를 복사합니다.
MTC는 소스 클러스터에서 대상 클러스터로 데이터를 마이그레이션하기 위한 파일 시스템 및 스냅샷 데이터 복사 방법을 지원합니다. 환경에 적합하고 스토리지 공급자가 지원하는 방법을 선택할 수 있습니다.
다음과 같은 스토리지 공급자가 지원됩니다.
- MCG(Multi-Cloud Object Gateway)
- AWS(Amazon Web Services) S3
- GCP(Google Cloud Platform)
- Microsoft Azure Blob
- 일반 S3 오브젝트 스토리지(예: Minio 또는 Ceph S3)
6.5.1. 사전 요구 사항
- 모든 클러스터에는 복제 리포지토리에 대한 중단없는 네트워크 액세스 권한이 있어야 합니다.
- 내부 호스팅 복제 리포지토리와 함께 프록시 서버를 사용하는 경우 프록시가 복제 리포지토리에 액세스할 수 있는지 확인해야 합니다.
6.5.2. MCG(Multi-Cloud Object Gateway) 구성
OpenShift Container Storage Operator를 설치하고 MCG(Multi-Cloud Object Gateway) 스토리지 버킷을 MTC(Migration Toolkit for Containers)의 복제 리포지토리로 구성할 수 있습니다.
6.5.2.1. OpenShift Container Storage Operator 설치
OperatorHub에서 OpenShift Container Storage Operator를 설치할 수 있습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에서 Operator → OperatorHub를 클릭합니다.
- 키워드로 필터링(이 경우 OCS)을 사용하여 OpenShift Container Storage Operator를 찾습니다.
- OpenShift Container Storage Operator를 선택하고 설치를 클릭합니다.
- 업데이트 채널, 설치 모드 및 승인 전략을 선택합니다.
설치를 클릭합니다.
설치된 운영자 페이지에서 OpenShift Container Storage Operator가 openshift-storage 프로젝트에 Succeeded 상태로 나타납니다.
6.5.2.2. Multi-Cloud Object Gateway 스토리지 버킷 작성
MCG(Multi-Cloud Object Gateway) 스토리지 버킷의 사용자 정의 리소스(CR)를 생성할 수 있습니다.
프로세스
OpenShift Container Platform 클러스터에 로그인합니다.
$ oc login -u <username>
다음과 같은 내용과 함께
NooBaaCR 구성 파일,noobaa.yml을 생성합니다.apiVersion: noobaa.io/v1alpha1 kind: NooBaa metadata: name: <noobaa> namespace: openshift-storage spec: dbResources: requests: cpu: 0.5 1 memory: 1Gi coreResources: requests: cpu: 0.5 2 memory: 1GiNooBaa오브젝트를 생성합니다.$ oc create -f noobaa.yml
다음과 같은 내용과 함께
BackingStoreCR 구성 파일bs.yml을 생성합니다.apiVersion: noobaa.io/v1alpha1 kind: BackingStore metadata: finalizers: - noobaa.io/finalizer labels: app: noobaa name: <mcg_backing_store> namespace: openshift-storage spec: pvPool: numVolumes: 3 1 resources: requests: storage: <volume_size> 2 storageClass: <storage_class> 3 type: pv-poolBackingStore오브젝트를 생성합니다.$ oc create -f bs.yml
다음과 같은 내용으로
BucketClassCR 구성 파일,bc.yml을 생성합니다.apiVersion: noobaa.io/v1alpha1 kind: BucketClass metadata: labels: app: noobaa name: <mcg_bucket_class> namespace: openshift-storage spec: placementPolicy: tiers: - backingStores: - <mcg_backing_store> placement: SpreadBucketClass오브젝트를 생성합니다.$ oc create -f bc.yml
다음과 같은 내용과 함께
ObjectBucketClaimCR 구성 파일,obc.yml을 생성합니다.apiVersion: objectbucket.io/v1alpha1 kind: ObjectBucketClaim metadata: name: <bucket> namespace: openshift-storage spec: bucketName: <bucket> 1 storageClassName: <storage_class> additionalConfig: bucketclass: <mcg_bucket_class>- 1
- MTC 웹 콘솔에 복제 리포지토리를 추가하기 위한 버킷 이름을 기록합니다.
ObjectBucketClaim오브젝트를 생성합니다.$ oc create -f obc.yml
리소스 생성 프로세스를 보고
ObjectBucketClaim상태가Bound인지 확인합니다.$ watch -n 30 'oc get -n openshift-storage objectbucketclaim migstorage -o yaml'
이 프로세스는 5-10분 정도 걸릴 수 있습니다.
MTC 웹 콘솔에 복제 리포지토리를 추가할 때 필요한 다음 값을 확보하고 기록합니다.
S3 끝점:
$ oc get route -n openshift-storage s3
S3 공급자 액세스 키:
$ oc get secret -n openshift-storage migstorage \ -o go-template='{{ .data.AWS_ACCESS_KEY_ID }}' | base64 --decodeS3 공급자 보안 액세스 키:
$ oc get secret -n openshift-storage migstorage \ -o go-template='{{ .data.AWS_SECRET_ACCESS_KEY }}' | base64 --decode
6.5.3. Amazon Web Services S3 구성
MTC(Migration Toolkit for Containers)의 복제 리포지토리로 AWS(Amazon Web Services) S3 스토리지 버킷을 구성할 수 있습니다.
사전 요구 사항
- 소스 및 대상 클러스터에서 AWS S3 스토리지 버킷에 액세스할 수 있어야 합니다.
- AWS CLI가 설치되어 있어야 합니다.
스냅샷 복사 방법을 사용하는 경우:
- EC2 EBS(Elastic Block Storage)에 액세스할 수 있어야 합니다.
- 소스 및 대상 클러스터는 동일한 지역에 있어야 합니다.
- 소스 및 대상 클러스터는 동일한 스토리지 클래스를 보유해야 합니다.
- 스토리지 클래스는 스냅샷과 호환 가능해야 합니다.
프로세스
AWS S3 버킷을 생성합니다.
$ aws s3api create-bucket \ --bucket <bucket> \ 1 --region <bucket_region> 2IAM 사용자
velero를 생성합니다.$ aws iam create-user --user-name velero
EC2 EBS 스냅샷 정책을 생성합니다.
$ cat > velero-ec2-snapshot-policy.json <<EOF { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:CreateTags", "ec2:CreateVolume", "ec2:CreateSnapshot", "ec2:DeleteSnapshot" ], "Resource": "*" } ] } EOF하나 또는 모든 S3 버킷에 대한 AWS S3 액세스 정책을 생성합니다.
$ cat > velero-s3-policy.json <<EOF { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:DeleteObject", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::<bucket>/*" 1 ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::<bucket>" 2 ] } ] } EOF출력 예
"Resource": [ "arn:aws:s3:::*"EC2 EBS 정책을
velero에 연결합니다.$ aws iam put-user-policy \ --user-name velero \ --policy-name velero-ebs \ --policy-document file://velero-ec2-snapshot-policy.json
AWS S3 정책을
velero에 연결합니다.$ aws iam put-user-policy \ --user-name velero \ --policy-name velero-s3 \ --policy-document file://velero-s3-policy.json
velero에 대한 액세스 키를 생성합니다.$ aws iam create-access-key --user-name velero { "AccessKey": { "UserName": "velero", "Status": "Active", "CreateDate": "2017-07-31T22:24:41.576Z", "SecretAccessKey": <AWS_SECRET_ACCESS_KEY>, 1 "AccessKeyId": <AWS_ACCESS_KEY_ID> 2 } }AWS_SECRET_ACCESS_KEY및AWS_ACCESS_KEY_ID를 기록합니다. 인증 정보를 사용하여 AWS를 복제 리포지토리로 추가합니다.
6.5.4. GCP(Google Cloud Platform) 구성
GCP(Google Cloud Platform) 스토리지 버킷을 MTC(Migration Toolkit for Containers)의 복제 리포지토리로 구성할 수 있습니다.
사전 요구 사항
- 소스 및 대상 클러스터에서 GCP 스토리지 버킷에 액세스할 수 있어야 합니다.
-
gsutil이 설치되어 있어야 합니다. 스냅샷 복사 방법을 사용하는 경우:
- 소스 및 대상 클러스터는 동일한 지역에 있어야 합니다.
- 소스 및 대상 클러스터는 동일한 스토리지 클래스를 보유해야 합니다.
- 스토리지 클래스는 스냅샷과 호환 가능해야 합니다.
프로세스
gsutil에 로그인합니다.$ gsutil init
출력 예
Welcome! This command will take you through the configuration of gcloud. Your current configuration has been set to: [default] To continue, you must login. Would you like to login (Y/n)?
BUCKET변수를 설정합니다.$ BUCKET=<bucket> 1스토리지 버킷을 생성합니다.
$ gsutil mb gs://$BUCKET/
PROJECT_ID변수를 활성 프로젝트로 설정합니다.$ PROJECT_ID=`gcloud config get-value project`
VeleroIAM 서비스 계정을 생성합니다.$ gcloud iam service-accounts create velero \ --display-name "Velero Storage"SERVICE_ACCOUNT_EMAIL변수를 생성합니다.$ SERVICE_ACCOUNT_EMAIL=`gcloud iam service-accounts list \ --filter="displayName:Velero Storage" \ --format 'value(email)'`
ROLE_PERMISSIONS변수를 생성합니다.$ ROLE_PERMISSIONS=( compute.disks.get compute.disks.create compute.disks.createSnapshot compute.snapshots.get compute.snapshots.create compute.snapshots.useReadOnly compute.snapshots.delete compute.zones.get )velero.server사용자 정의 역할을 생성합니다.$ gcloud iam roles create velero.server \ --project $PROJECT_ID \ --title "Velero Server" \ --permissions "$(IFS=","; echo "${ROLE_PERMISSIONS[*]}")"프로젝트에 IAM 정책 바인딩을 추가합니다.
$ gcloud projects add-iam-policy-binding $PROJECT_ID \ --member serviceAccount:$SERVICE_ACCOUNT_EMAIL \ --role projects/$PROJECT_ID/roles/velero.serverIAM 서비스 계정을 업데이트합니다.
$ gsutil iam ch serviceAccount:$SERVICE_ACCOUNT_EMAIL:objectAdmin gs://${BUCKET}IAM 서비스 계정 키를 현재 디렉터리의
credentials-velero파일에 저장합니다.$ gcloud iam service-accounts keys create credentials-velero \ --iam-account $SERVICE_ACCOUNT_EMAIL
credentials-velero파일을 사용하여 GCP를 복제 리포지토리로 추가합니다.
6.5.5. Microsoft Azure Blob 구성
Microsoft Azure Blob 스토리지 컨테이너를 MTC(Migration Toolkit for Containers)의 복제 리포지토리로 구성할 수 있습니다.
사전 요구 사항
- Azure 스토리지 계정이 있어야 합니다.
- Azure CLI가 설치되어 있어야 합니다.
- Azure Blob 스토리지 컨테이너는 소스 및 대상 클러스터에 액세스할 수 있어야 합니다.
스냅샷 복사 방법을 사용하는 경우:
- 소스 및 대상 클러스터는 동일한 지역에 있어야 합니다.
- 소스 및 대상 클러스터는 동일한 스토리지 클래스를 보유해야 합니다.
- 스토리지 클래스는 스냅샷과 호환 가능해야 합니다.
프로세스
AZURE_RESOURCE_GROUP변수를 설정합니다.$ AZURE_RESOURCE_GROUP=Velero_Backups
Azure 리소스 그룹을 생성합니다.
$ az group create -n $AZURE_RESOURCE_GROUP --location <CentralUS> 1- 1
- 위치를 지정합니다.
AZURE_STORAGE_ACCOUNT_ID변수를 설정합니다.$ AZURE_STORAGE_ACCOUNT_ID=velerobackups
Azure 스토리지 계정을 생성합니다.
$ az storage account create \ --name $AZURE_STORAGE_ACCOUNT_ID \ --resource-group $AZURE_RESOURCE_GROUP \ --sku Standard_GRS \ --encryption-services blob \ --https-only true \ --kind BlobStorage \ --access-tier Hot
BLOB_CONTAINER변수를 설정합니다.$ BLOB_CONTAINER=velero
Azure Blob 스토리지 컨테이너를 생성합니다.
$ az storage container create \ -n $BLOB_CONTAINER \ --public-access off \ --account-name $AZURE_STORAGE_ACCOUNT_ID
velero에 대한 서비스 주체 및 자격 증명을 생성합니다.$ AZURE_SUBSCRIPTION_ID=`az account list --query '[?isDefault].id' -o tsv` \ AZURE_TENANT_ID=`az account list --query '[?isDefault].tenantId' -o tsv` \ AZURE_CLIENT_SECRET=`az ad sp create-for-rbac --name "velero" \ --role "Contributor" --query 'password' -o tsv` \ AZURE_CLIENT_ID=`az ad sp list --display-name "velero" \ --query '[0].appId' -o tsv`
credentials-velero파일에 서비스 주체 자격 증명을 저장합니다.$ cat << EOF > ./credentials-velero AZURE_SUBSCRIPTION_ID=${AZURE_SUBSCRIPTION_ID} AZURE_TENANT_ID=${AZURE_TENANT_ID} AZURE_CLIENT_ID=${AZURE_CLIENT_ID} AZURE_CLIENT_SECRET=${AZURE_CLIENT_SECRET} AZURE_RESOURCE_GROUP=${AZURE_RESOURCE_GROUP} AZURE_CLOUD_NAME=AzurePublicCloud EOFcredentials-velero파일을 사용하여 Azure를 복제 리포지토리로 추가합니다.
