1.2. OADP Operator 설치 및 IAM 역할 제공
AWS STS(AWS Security Token Service)는 IAM 또는 페더레이션 사용자를 위한 단기 인증 정보를 제공하는 글로벌 웹 서비스입니다. STS를 사용하는 ROSA(Red Hat OpenShift Service on AWS)는 ROSA 클러스터에 권장되는 인증 정보 모드입니다. 이 문서에서는 AWS STS를 사용하여ROSA(ROSA)에 OADP(OpenShift API for Data Protection)를 설치하는 방법을 설명합니다.
Restic 및 Kopia는 AWS STS 환경의 ROSA의 OADP에서 지원되지 않습니다. Restic/Kopia 노드 에이전트가 비활성화되어 있는지 확인합니다. 볼륨 백업의 경우 AWS STS를 사용하여 ROSA의 OADP는 기본 스냅샷 및 CSI 스냅샷만 지원합니다. 자세한 내용은 알려진 문제를 참조하십시오.
STS 인증을 사용하는 Amazon ROSA 클러스터에서는 다른 AWS 리전에서 백업 데이터를 복원할 수 없습니다.
Data Mover 기능은 현재 ROSA 클러스터에서 지원되지 않습니다. 데이터 이동을 위해 기본 AWS S3 툴을 사용할 수 있습니다.
사전 요구 사항
-
필요한 액세스 및 토큰이 있는 클러스터입니다. 자세한 내용은 "AWS 인증 정보 준비"의 절차를 참조하십시오. 백업 및 복원에 두 개의 다른 클러스터를 사용하려면 각 클러스터에 대해
ROLE_ARN
을 포함한 AWS 인증 정보를 준비해야 합니다.
절차
다음 명령을 입력하여 AWS 토큰 파일에서 OpenShift 시크릿을 생성합니다.
자격 증명 파일을 생성합니다.
$ cat <<EOF > ${SCRATCH}/credentials [default] role_arn = ${ROLE_ARN} web_identity_token_file = /var/run/secrets/openshift/serviceaccount/token EOF
OADP의 네임스페이스를 생성합니다.
$ oc create namespace openshift-adp
OpenShift 시크릿을 생성합니다.
$ oc -n openshift-adp create secret generic cloud-credentials \ --from-file=${SCRATCH}/credentials
참고AWS 버전 4.15 이상에서 OADP Operator는 OLM(Operator Lifecycle Manager) 및 CCO(Cloud Credentials Operator)를 통해 새로운 표준화된 STS 워크플로를 지원합니다. 이 워크플로에서는 시크릿을 생성할 필요가 없으며 AWS 웹 콘솔에서 Red Hat OpenShift Service를 통해 OLM 관리 Operator를 설치하는 동안 ARN 역할을 제공해야 합니다. 위의 시크릿은 CCO를 통해 자동으로 생성됩니다.
OADP Operator를 설치합니다.
- AWS 웹 콘솔의 Red Hat OpenShift Service에서 Operator → OperatorHub로 이동합니다.
- OADP Operator를 검색한 다음 설치를 클릭합니다.
AWS 인증 정보를 사용하여 AWS 클라우드 스토리지를 생성합니다.
$ cat << EOF | oc create -f - apiVersion: oadp.openshift.io/v1alpha1 kind: CloudStorage metadata: name: ${CLUSTER_NAME}-oadp namespace: openshift-adp spec: creationSecret: key: credentials name: cloud-credentials enableSharedConfig: true name: ${CLUSTER_NAME}-oadp provider: aws region: $REGION EOF
백업 및 볼륨 스냅샷이 저장되는 스토리지에 대한 연결을 구성하는 데 사용되는
DataProtectionApplication
리소스를 만듭니다.$ cat << EOF | oc create -f - apiVersion: oadp.openshift.io/v1alpha1 kind: DataProtectionApplication metadata: name: ${CLUSTER_NAME}-dpa namespace: openshift-adp spec: backupLocations: - bucket: cloudStorageRef: name: ${CLUSTER_NAME}-oadp credential: key: credentials name: cloud-credentials prefix: velero default: true config: region: ${REGION} configuration: velero: defaultPlugins: - openshift - aws nodeAgent: 1 enable: false uploaderType: restic snapshotLocations: - velero: config: credentialsFile: /tmp/credentials/openshift-adp/cloud-credentials-credentials 2 enableSharedConfig: "true" 3 profile: default 4 region: ${REGION} 5 provider: aws EOF
이제 OADP 설명서에 설명된 대로 OpenShift 애플리케이션을 백업 및 복원할 준비가 되었습니다.
OADP는 ROSA 환경에서 Restic을 지원하지 않기 때문에 restic
의 enable
매개 변수는 이 구성에서 false
로 설정됩니다.
OADP 1.2를 사용하는 경우 이 구성을 교체합니다.
nodeAgent: enable: false uploaderType: restic
다음을 수행합니다.
restic: enable: false
백업 및 복원을 위해 두 개의 다른 클러스터를 사용하려면 cloudstorage CR 및 OADP DataProtectionApplication
구성 둘 다에 동일한 AWS S3 스토리지 이름이 있어야 합니다.
추가 리소스