1장. 애플리케이션 백업
ROSA(Red Hat OpenShift Service on AWS) 클러스터에서 OADP(Data Protection)를 사용하여 애플리케이션 데이터를 백업 및 복원할 수 있습니다. OADP를 설치하기 전에 AWS API를 사용할 수 있도록 OADP의 역할 및 정책 자격 증명을 설정해야 합니다.
이는 두 단계의 프로세스입니다.
- AWS 인증 정보를 준비합니다.
- OADP Operator를 설치하고 IAM 역할을 제공합니다.
1.1. AWS 인증 정보 준비
AWS 계정은 OADP 설치를 수락할 준비가 되어 있어야 합니다.
절차
다음 명령을 실행하여 다음 환경 변수를 생성합니다.
참고ROSA 클러스터와 일치하도록 클러스터 이름을 변경하고 관리자로 클러스터에 로그인했는지 확인합니다. 계속하기 전에 모든 필드가 올바르게 출력되었는지 확인합니다.
$ export CLUSTER_NAME=my-cluster 1 export ROSA_CLUSTER_ID-$(rosa describe cluster -c ${CLUSTER_NAME} --output json | jq -r .id) export REGION=$(rosa describe cluster -c ${CLUSTER_NAME} --output json | jq -r .region.id) export OIDC_ENDPOINT=$(oc get authentication.config.openshift.io cluster -o jsonpath='{.spec.serviceAccountIssuer}' | sed 's|^https://||') export AWS_ACCOUNT_ID='aws sts get-caller-identity --query Account --output text' export CLUSTER_VERSION='rosa describe cluster -c ${CLUSTER_NAME} -o json | jq -r .version.raw_id | but -f -2 -d '.' ' export ROLE_NAME="${CLUSTER_NAME}-openshift-oadp-aws-cloud-credentials" export SCRATCH="/tmp/${CLUSTER_NAME}/oadp" mkdir -p ${SCRATCH} echo "Cluster ID: ${ROSA_CLUSTER_ID}, Region: ${REGION}, OIDC Endpoint: ${OIDC_ENDPOINT}, AWS Account ID: ${AWS_ACCOUNT_ID}"- 1
my-cluster를 ROSA 클러스터 이름으로 교체합니다.
AWS 계정에서 S3에 대한 액세스를 허용하는 IAM 정책을 생성합니다.
다음 명령을 실행하여 정책이 존재하는지 확인합니다.
$ POLICY_ARN=$(aws iam list-policies --query "Policies[?PolicyName=='RosaOadpVer1'].{ARN:Arn}" -- output text) 1- 1
RosaOadp를 정책 이름으로 교체합니다.
다음 명령을 사용하여 정책 JSON 파일을 생성한 다음 ROSA에서 정책을 생성합니다.
참고정책 ARN을 찾을 수 없는 경우 명령에서 정책을 생성합니다. 정책 ARN이 이미 존재하는 경우
if문이 의도적으로 정책 생성을 건너뜁니다.$ if [[ -z "${POLICY_ARN}" ]]; then cat << EOF > ${SCRATCH}/policy.json 1 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:CreateBucket",$ echo ${POLICY_ARN} "s3:DeleteBucket",cd openshift-docs "s3:PutBucketTegging", "s3:GetBucketTegging", "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration", "s3:PutLifecycleConfiguration", "s3:GetLifecycleConfiguration", "s3:GetBucketLocation", "s3:ListBucket", "s3:GetObject", "s3:PutObject", "s3:DeleteOgject", "s3:ListBucketMultipartUpLoads", "s3:AbortMultipartUpLoads", "s3:ListMultipartUpLoadParts", "s3:DescribeSnapshots", "ec2:DescribeVolumes", "ec2:DescribeVolumeAttribute", "ec2:DescribeVolumesModifications", "ec2:DescribeVolumeStatus", "ec2:CreateTags", "ec2:CreateVolume", "ec2:CreateSnapshot", "ec2:DeleteSnapshot", ] "Resource": "*" } ]} EOF POLICY_ARN=$(aws iam create-policy --policy-mane "RosaOadpVer1" \ --policy-document file:///${SCRATCH}/policy.json --query Policy.Arn \ --tags Key=rosa_openshift_version,Value=${CLUSTER_VERSION} Key-rosa_role_prefix,Value=ManagedOpenShift Key=operator_namespace,Value=openshift-oadp Key=operator_name,Value=openshift-oadp \ --output text) fi- 1
SCRATCH는 환경 변수에 대해 생성된 임시 디렉터리의 이름입니다.
다음 명령을 실행하여 정책 ARN을 확인합니다.
$ echo ${POLICY_ARN}
클러스터에 대한 IAM 역할 신뢰 정책을 생성합니다.
다음 명령을 실행하여 신뢰 정책 파일을 생성합니다.
$ cat <<EOF > ${SCRATCH}/trust-policy.json { "Version": :2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::${AWS_ACCOUNT_ID}:oidc-provider/${OIDC_ENDPOINT}" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "${OIDC_ENDPOINT}:sub": [ "system:serviceaccount:openshift-adp:openshift-adp-controller-manager", "system:serviceaccount:openshift-adp:velero:] } } }] } EOF다음 명령을 실행하여 역할을 생성합니다.
$ ROLE_ARN=$(aws iam create-role --role-name \ "${ROLE_NAME}" \ --assume-role-policy-document file://${SCRATCH}/trust-policy.json \ --tags Key+rosa_cluster_id,Value=${ROSA_CLUSTER_ID} Key=rosa_openshift_verson,Value=${CLUSTER_VERSION} Key=rosa_role_prefix,Value=ManagedOpenShift Key=operator_namespace,Value=openshift-adp Key=operator_name,Value-openshift-oadp \ --query Role.Arn --output text)다음 명령을 실행하여 역할 ARN을 확인합니다.
$ echo ${ROLE_ARN}
다음 명령을 실행하여 IAM 역할에 IAM 정책을 연결합니다.
$ aws iam attach-role-policy --role-name "${ROLE_NAME}" \ --policy-arn ${POLICY_ARN}
다음 단계
- OADP Operator 설치를 계속하고 IAM 역할을 제공합니다.