WebUIGuide KubernetesAdmin

Guide de l'administrateur
Kubernetes sur l'interface

utilisateur Web
NetBackup™
Version 10.3
Dernière mise à jour : 2023-12-28
Mentions légales
Copyright © 2023 Veritas Technologies LLC. Tous droits réservés.
Veritas et le logo Veritas et NetBackup sont des marques ou des marques déposées de
Veritas Technologies LLC ou de ses filiales aux États-Unis et dans d'autres pays. Les autres
noms peuvent être des marques commerciales de leurs détenteurs respectifs.
Ce produit peut contenir des logiciels tiers pour lesquels Veritas est tenu de mentionner les
tiers concernés ("Programmes tiers"). Certains des programmes tiers sont disponibles sous
licence Open Source ou gratuite. Le contrat de licence accompagnant le logiciel ne modifie
aucun des droits ou obligations que vous pouvez avoir dans le cadre de ces licences Open
Source ou de logiciel gratuit. Reportez-vous au document des mentions légales tierces
accompagnant ce produit Veritas ou disponible à l’adresse suivante :
https://www.veritas.com/about/legal/license-agreements
Le produit décrit dans ce document est distribué dans le cadre de licences limitant son
utilisation, sa copie, sa distribution et sa décompilation ou son ingénierie inverse. Vous ne
pouvez reproduire aucune partie de ce document sous quelque forme ou par quelque moyen
que ce soit sans avoir reçu au préalable l’autorisation écrite de Veritas Technologies LLC et
de ses ayants droit éventuels.
LA DOCUMENTATION EST FOURNIE "EN L’ÉTAT" ET L’ENTREPRISE N’ASSUME AUCUNE

RESPONSABILITÉ QUANT À UNE GARANTIE OU CONDITION D’AUCUNE SORTE,
EXPRESSE OU IMPLICITE, Y COMPRIS TOUTES GARANTIES OU CONDITIONS
IMPLICITES DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER
OU DE RESPECT DES DROITS DE PROPRIÉTÉ INTELLECTUELLE, DANS LA MESURE
OÙ CETTE CLAUSE D’EXCLUSION DE RESPONSABILITÉ RESPECTE LA LOI EN
VIGUEUR. Veritas Technologies LLC NE SERA PAS RESPONSABLE DES DOMMAGES
ACCESSOIRES OU INDIRECTS LIÉS À LA PRESTATION, LA PERFORMANCE OU
L’UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS
CETTE DOCUMENTATION SONT SUJETTES À MODIFICATION SANS PRÉAVIS.
Le logiciel et la documentation sous licence sont assimilables à un logiciel commercial selon

les définitions de la section FAR 12.212 et soumis aux restrictions spécifiées dans les sections
FAR 52.227-19, "Commercial Computer Software - Restricted Rights" et DFARS 227.7202
et "Commercial Computer Software and Commercial Computer Software Documentation" en
vigueur et selon toute autre législation en vigueur, qu’ils soient fournis par Veritas en tant que
services locaux ou hébergés. Toute utilisation, modification, reproduction, représentation ou
divulgation du logiciel ou de la documentation sous licence par le gouvernement des États-Unis
doit être réalisée exclusivement conformément aux conditions du Contrat.
Veritas Technologies LLC

2625 Augustine Drive
Santa Clara, CA 95054
http://www.veritas.com
Support technique
Le support technique entretient globalement les centres de support. Tous les services de
support sont fournis conformément à votre contrat de support et aux politiques de support
technique en vigueur dans l'entreprise. Pour plus d’informations sur les offres de support et
comment contacter le support technique, rendez-vous sur notre site web :
https://www.veritas.com/support
Vous pouvez gérer les informations de votre compte Veritas à l'adresse URL suivante :
https://my.veritas.com
Si vous avez des questions concernant un contrat de support existant, envoyez un message
électronique à l’équipe d'administration du contrat de support de votre région :
Monde (sauf Japon) CustomerCare@veritas.com
Japon CustomerCare_Japan@veritas.com
Documentation
Assurez-vous que vous utilisez la version actuelle de la documentation. Chaque document
affiche la date de la dernière mise à jour sur la page 2. La documentation la plus récente est
disponible sur le site web de Veritas :
https://sort.veritas.com/documents
Commentaires sur la documentation

Vos commentaires sont importants pour nous. Suggérez des améliorations ou rapportez des
erreurs ou des omissions dans la documentation. Indiquez le titre et la version du document,
le titre du chapitre et le titre de la section du texte que vous souhaitez commenter. Envoyez
le commentaire à :
NB.docs@veritas.com
Vous pouvez également voir des informations sur la documentation ou poser une question
sur le site de la communauté Veritas :
http://www.veritas.com/community/
Veritas Services and Operations Readiness Tools (SORT)

Veritas Services and Operations Readiness Tools (SORT) est un site Web qui fournit des
informations et des outils permettant d’automatiser et de simplifier certaines tâches
administratives chronophages. Selon le produit, SORT vous aide à préparer les installations
et les mises à jour, à identifier les risques dans vos data centers et à améliorer l’efficacité
opérationnelle. Pour voir quels services et quels outils SORT fournit pour votre produit,
consultez la fiche de données :
https://sort.veritas.com/data/support/SORT_Data_Sheet.pdf
Table des matières
Chapitre 1 Présentation de NetBackup pour Kubernetes

............................................................................................. 8
Présentation ................................................................................. 8
Fonctions de prise en charge de NetBackup pour Kubernetes ................. 9
Chapitre 2 Déploiement et configuration de l’opérateur

NetBackup Kubernetes .............................................. 12
Conditions préalables au déploiement de l’opérateur NetBackup
Kubernetes ........................................................................... 13
Déploiement du package de service sur l’opérateur
NetBackup Kubernetes ............................................................ 14
Spécifications de port pour le déploiement de l’opérateur Kubernetes
........................................................................................... 18
Mise à niveau de l’opérateur NetBackup Kubernetes ........................... 18
Suppression de l’opérateur NetBackup Kubernetes ............................ 19
Configuration du système de déplacement des données NetBackup
Kubernetes ........................................................................... 20
Configuration automatisée de la protection NetBackup pour Kubernetes
........................................................................................... 21
Configuration des paramètres pour l’opération de snapshot NetBackup
........................................................................................... 24
Paramètres de configuration pris en charge par les opérateurs
Kubernetes ..................................................................... 25
Conditions préalables pour les opérations de sauvegarde depuis
un snapshot et de restauration à partir d’une sauvegarde
..................................................................................... 31
Paramètres de client DTE pris en charge par Kubernetes .............. 37
Personnalisation des propriétés du datamover ............................. 38
Dépannage des serveurs NetBackup avec des noms courts ................. 39
Prise en charge du mécanisme de planification des pods du système
de déplacement des données .................................................. 40
Table des matières 5
Chapitre 3 Déploiement de certificats sur l’opérateur

NetBackup Kubernetes .............................................. 49
Déploiement de certificats sur l’opérateur Kubernetes .......................... 49
Exécution d’opérations de certificats basés sur l’ID d’hôte ..................... 51
Exécution d’opérations de certificat d’autorité de certification externe
........................................................................................... 57
Identification des types de certificats ................................................ 64
Chapitre 4 Gestion des biens Kubernetes ...................................... 67
Ajout d’un cluster Kubernetes ......................................................... 67

Définition des paramètres .............................................................. 69
Modification des limites de ressource pour les types de
ressources Kubernetes ...................................................... 69
Configuration de la fréquence de découverte automatique .............. 70
Configuration des autorisations ................................................. 71
Ajout de biens à un plan de protection ............................................. 71
Chapitre 5 Gestion des groupes intelligents Kubernetes

........................................................................................... 73
À propos des groupes intelligents .................................................... 73

Création d’un groupe intelligent ....................................................... 74
Suppression d'un groupe intelligent .................................................. 76
Modification d’un groupe intelligent .................................................. 76
Chapitre 6 Protection des biens Kubernetes .................................. 78

Protection d'un groupe intelligent ..................................................... 78
Suppression de la protection d'un groupe intelligent ............................ 79
Configuration d’une planification de sauvegarde ................................ 79
Configuration des options de sauvegardes ....................................... 81
Configuration des sauvegardes ....................................................... 82
Configuration d’AIR (Auto Image Replication) et de la duplication ........... 84
Configuration des unités de stockage .............................................. 87
Prise en charge du mode volume ..................................................... 88
Configuration d’une sauvegarde cohérente au niveau application ........... 89
Chapitre 7 Gestion des groupes d’images ...................................... 94

À propos des groupes d’images ...................................................... 94
Expiration d’image .................................................................. 94
Copie d’image ....................................................................... 95
Chapitre 8 Protection des clusters gérés par Rancher dans

NetBackup ..................................................................... 97
Ajout d’un cluster RKE géré par Rancher dans NetBackup à l’aide de
la configuration automatisée ..................................................... 97
Ajout manuel d'un cluster RKE géré par Rancher dans NetBackup
.......................................................................................... 100
Chapitre 9 Récupération des biens Kubernetes .......................... 104

Exploration et validation des points de récupération ........................... 104
Restauration à partir d’un snapshot ................................................ 105
Restauration à partir d’une copie de sauvegarde ............................... 108
Chapitre 10 Activation du mode FIPS dans Kubernetes ............. 112

Activer le mode FIPS (Federal Information Processing Standards)
dans Kubernetes ................................................................. 112
Chapitre 11 Résolution des problèmes liés à Kubernetes .......... 115

Erreur lors de la mise à niveau du serveur principal : échec de
NBCheck ........................................................................... 116
Erreur lors de la restauration d’une image ancienne : l’opération échoue
.......................................................................................... 116
Erreur de l’API de récupération de volume persistant ........................ 117
Erreur lors de la restauration : l’état final du travail affiche un échec
partiel ................................................................................. 117
Erreur lors de la restauration sur le même espace de noms ................. 117
Pods du datamover dépassant la limite de ressource Kubernetes
.......................................................................................... 118
Erreur lors de la restauration : le travail échoue sur le cluster hautement
chargé ............................................................................... 120
Le rôle Kubernetes personnalisé créé pour des clusters spécifiques
ne peut pas afficher les travaux ............................................... 120
Openshift crée des PVC vides non sélectionnés lors de la restauration
des applications installées à partir d’OperatorHub ....................... 121
L’opérateur NetBackup Kubernetes ne répond plus si la limite de PID
est dépassée sur le nœud Kubernetes ...................................... 122
Échec lors de la modification du cluster dans
NetBackup Kubernetes 10.1 ................................................... 123
Échec de la restauration à partir d’un snapshot pour les demandes
PVC volumineuses ............................................................... 123
Échec partiel de la restauration des PVC de mode fichier de l’espace

de noms sur un système de fichiers différent .............................. 124
Échec de la restauration à partir de la copie de sauvegarde avec une
erreur d’incohérence d’image ................................................. 124
Vérifications de connectivité entre les serveurs principal/de médias
NetBackup et les serveurs Kubernetes ...................................... 125
Chapitre 1
Présentation de
NetBackup pour
Kubernetes
Ce chapitre traite des sujets suivants :
■ Présentation
■ Fonctions de prise en charge de NetBackup pour Kubernetes
Présentation
L’interface utilisateur Web NetBackup permet de sauvegarder et de restaurer les
applications Kubernetes sous forme d’espaces de noms. Les biens pouvant être
protégés dans les clusters Kubernetes sont découverts automatiquement dans
l’environnement NetBackup et les administrateurs peuvent sélectionner un ou
plusieurs plans de protection contenant les paramètres de planification, de
sauvegarde et de conservation souhaités.
L’interface utilisateur Web NetBackup permet d’effectuer les opérations suivantes :
■ Ajouter un cluster Kubernetes à la protection.
■ Afficher les espaces de noms découverts
■ Gérer les autorisations des rôles
■ Définir des limites de ressource pour optimiser la charge sur votre infrastructure
et votre réseau.
■ Gérer la protection et le groupe intelligent pour protéger les biens Kubernetes.
Présentation de NetBackup pour Kubernetes 9
Fonctions de prise en charge de NetBackup pour Kubernetes
■ Restaurez les espaces de noms et les volumes persistants sur un cluster

Kubernetes identique ou différent.
■ Surveiller les opérations de sauvegarde et de restauration
■ Opérations d’expiration, d’importation et de copie d’image.
Fonctions de prise en charge de NetBackup pour

Kubernetes
Tableau 1-1 NetBackup pour Kubernetes
Fonction Description
Configuration Permet d’ajouter un cluster Kubernetes et des configurations telles que la classe de stockage
automatique de l’agent et la classe de snapshot de volume. De plus, le datamover peut être configuré à l’aide d’un
NetBackup Kubernetes déploiement automatisé pris en charge.
Intégration avec le L’interface utilisateur Web NetBackup fournit des rôles RBAC qui déterminent les utilisateurs
contrôle d’accès basé NetBackup qui peuvent gérer les opérations Kubernetes dans NetBackup. L’utilisateur ne
sur les rôles (RBAC) de doit pas nécessairement être un administrateur NetBackup pour gérer les opérations
NetBackup Kubernetes.
Gestion des licences Licences basées sur la capacité.
Plans de protection Les avantages suivants sont inclus :
■ Utilisez un plan de protection unique pour protéger plusieurs espaces de nom

Kubernetes. Les biens peuvent être répartis sur plusieurs clusters.
■ Il n’est pas nécessaire de connaître les commandes Kubernetes pour protéger des
biens Kubernetes.
Gestion intelligente des NetBackup découvre automatiquement les espaces de noms, les volumes persistants, les
biens Kubernetes demandes de volume persistant, etc., dans les clusters Kubernetes. Vous pouvez également
effectuer une découverte manuelle. Une fois les biens découverts, l’administrateur de la
charge de travail Kubernetes peut sélectionner un ou plusieurs plans de protection pour
les protéger.
Informations Comptes de service Kubernetes utilisés pour authentifier et gérer les clusters.
d’authentification propres
à Kubernetes
Découverte La découverte à l’aide de l’option Découvrir maintenant est toujours une découverte
complète.
■ Découverte complète
■ Découverte La découverte lors de l’ajout d’un nouveau cluster à NetBackup est toujours une découverte
incrémentielle complète.
Une fois le cluster Kubernetes ajouté, le cycle de découverte automatique est déclenché
pour découvrir tous les biens disponibles sur le cluster Kubernetes. La première découverte
automatique du jour est une découverte complète et les découvertes automatiques suivantes
sont incrémentielles.
Fonctions de sauvegarde Les fonctions suivantes sont disponibles pour la sauvegarde :
■ Sauvegardes de ■ Les sauvegardes sont gérées intégralement par le serveur NetBackup à partir d’un
snapshot uniquement emplacement central. Les administrateurs peuvent planifier des sauvegardes
■ Sauvegarde à partir automatiques et sans surveillance pour les espaces de noms sur différents clusters
d’un snapshot Kubernetes.
■ L’interface utilisateur Web NetBackup prend en charge la sauvegarde et la restauration
des espaces de noms à partir d’une même interface.
■ Permet de configurer la planification de sauvegardes complètes.
■ Permet d’exécuter des sauvegardes manuelles et des sauvegardes de snapshot
uniquement.
■ Permet de limiter les ressources pour chaque cluster afin d’améliorer les performances
des sauvegardes.
■ NetBackup peut effectuer des sauvegardes des espaces de noms Kubernetes avec la
méthodologie de snapshot, afin d’assurer des temps de récupération plus courts.
Fonctions de Les fonctions suivantes sont disponibles pour la restauration :

restauration
■ Restauration des espaces de noms et des volumes persistants Kubernetes à des
■ Restauration à partir emplacements différents.
d’un snapshot ■ Restauration vers un cluster Kubernetes de version différente à partir d’une copie de
■ Restauration à partir sauvegarde avec des travaux de restauration parallèles.
d’une copie de
sauvegarde
Prise en charge de la La fonction de prise en charge de la déduplication des données côté client est activée pour
déduplication des Kubernetes.
données côté client
Pour plus d’informations, consultez la section À propos de la déduplication côté client du
Guide de déduplication NetBackup™.
Auto Image Replication Les sauvegardes générées dans un cluster NetBackup Kubernetes peuvent être répliquées
(AIR) dans le stockage appartenant à un ou plusieurs domaines cibles NetBackup. Cette
fonctionnalité est également appelée AIR, c’est-à-dire la capacité de répliquer des
sauvegardes vers le stockage dans d’autres domaines NetBackup.
Protection des Il est possible de protéger l’application Kubernetes utilisant des volumes persistants pour
applications avec état maintenir un état. Sauvegarde et restauration des demandes de volume persistant (PVC)
du système de fichiers de mode et/ou du bloc pour les fournisseurs de CSI (Container
Storage Interface) qui prennent en charge les fonctions suivantes :
■ Fonction de snapshot de PVC

■ Provisionnement de volume PVC basé sur le système de fichiers réseau (NFS) ou sur
un autre stockage sans bloc
■ La sauvegarde et la restauration d’un espace de noms avec des volumes mixtes
(VolumeMode : système de fichiers et bloc) sont désormais prises en charge à partir
de NetBackup 10.3.
Importation et vérification L’importation est une opération en deux étapes. La première opération consiste à recréer
des entrées de catalogue pour les sauvegardes des médias spécifiés. Une fois la deuxième
phase d’importation terminée, les entrées de catalogue des fichiers sauvegardés par ces
images sont créées.
Vérification : NetBackup peut vérifier le contenu d’une sauvegarde en comparant son

contenu à ce qui est enregistré dans le catalogue NetBackup.
Prise en charge des Avec NetBackup 10.3, la charge de travail Kubernetes peut prendre en charge la
plates-formes RedHat communication conforme à la norme FIPS sur une plate-forme RedHat.
par les normes FIPS
(Federal Information
Processing Standards)
Chapitre 2
Déploiement et
configuration de
l’opérateur NetBackup
Kubernetes
■ Conditions préalables au déploiement de l’opérateur NetBackup Kubernetes
■ Déploiement du package de service sur l’opérateur NetBackup Kubernetes
■ Spécifications de port pour le déploiement de l’opérateur Kubernetes
■ Mise à niveau de l’opérateur NetBackup Kubernetes
■ Suppression de l’opérateur NetBackup Kubernetes
■ Configuration du système de déplacement des données NetBackup Kubernetes
■ Configuration automatisée de la protection NetBackup pour Kubernetes
■ Configuration des paramètres pour l’opération de snapshot NetBackup
■ Dépannage des serveurs NetBackup avec des noms courts
■ Prise en charge du mécanisme de planification des pods du système de

déplacement des données
Déploiement et configuration de l’opérateur NetBackup Kubernetes 13
Conditions préalables au déploiement de l’opérateur NetBackup Kubernetes
Conditions préalables au déploiement de

l’opérateur NetBackup Kubernetes
Avant de déployer l’opérateur NetBackup Kubernetes, vous devez installer le
Helm Chart et prévoir de l’espace pour le volume persistant.
Pour installer la dernière version de Helm, exécutez les commandes suivantes :
1. $ curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm
2. $ chmod 700 get_helm.sh
3. $ ./get_helm.sh
Remarque : Vous devez déployer l’opérateur sur chaque cluster dans lequel vous
souhaitez déployer NetBackup.
Pour installer un nouveau Helm Chart

1 Pour répertorier tous les Helm Charts dans un espace de noms, exécutez la
commande suivante :
- helm list -n <namespace>
2 Pour désinstaller un ancien plug-in, exécutez la commande suivante :

■ helm uninstall <plugin-name> -n <namespace>
3 Pour installer un nouveau plug-in, exécutez la commande suivante :

■ helm install <plugin-name> <chart-path> -n <namespace>
Voici la structure du Helm Chart et de l’arborescence.
netbackupkops-helm-chart/
├── charts
├── Chart.yaml
├── templates
│ ├── deployment.yaml
│ └── _helpers.tpl
└── values.yaml
Structure de répertoires :
tar --list -f netbackupkops-10.3.tar.gz

veritas_license.txt
netbackupkops.tar
netbackupkops-helm-chart/
Déploiement du package de service sur l’opérateur NetBackup Kubernetes
netbackupkops-helm-chart/Chart.yaml
netbackupkops-helm-chart/values.yaml
netbackupkops-helm-chart/.helmignore
netbackupkops-helm-chart/templates/
netbackupkops-helm-chart/templates/deployment.yaml
netbackupkops-helm-chart/templates/_helpers.tpl
netbackupkops-helm-chart/charts/
Déploiement du package de service sur

l’opérateur NetBackup Kubernetes
Configuration du Helm Chart
Vous pouvez utiliser le Helm Chart pour déployer l’opérateur NetBackup Kubernetes.
Vous devez mettre à niveau un Helm Chart pour mettre à niveau l’opérateur
Remarque : Avant d’installer un nouveau plug-in, vous devez désinstaller l’ancien

plug-in.
Pour déployer l’opérateur NetBackup Kubernetes :

1 Téléchargez le package .tar sur le site Web du support technique Veritas :
https://www.veritas.com/content/support
2 Extrayez ce package dans le répertoire d’origine. Le dossier
netbackupkops-helm-chart doit figurer dans le répertoire d’origine.
3 Pour obtenir la liste des contextes de cluster, exécutez la commande : kubectl

config get-contexts
4 Pour sélectionner le cluster dans lequel vous souhaitez déployer le service

d’opérateur, exécutez la commande suivante :
kubectl config use-context <cluster-context-name>
5 Pour remplacer le répertoire actuel par votre répertoire d’origine, exécutez la

commande : cd ~
6 NetBackup prend en charge tous les référentiels d’images de conteneur
conformes aux normes OCI. Vous pouvez utiliser l’outil de votre choix pour
transférer les opérateurs et les images du système de déplacement des
données.
Si vous utilisez un registre Docker privé, procédez comme suit pour créer un
nb-docker-cred secret dans l’espace de noms NetBackup. Sinon, passez à
l’étape suivante.
■ Pour vous connecter au registre docker privé, exécutez la commande :
docker login -u <user name><repo-name>
Après la connexion, le fichier config.json contenant le jeton d’autorisation
est créé ou mis à jour. Pour afficher le fichier config.json, exécutez la
commande : cat ~/.docker/config.json
Le résultat prend la forme suivante :
{
"auths": {
"https://index.docker.io/v1/": {
"auth": "c3R...zE2"
}
}
}
■ Pour créer un secret nommé netbackupkops-docker-cred dans l’espace

de noms NetBackup, exécutez la commande suivante :
kubectl create secret generic netbackupkops-docker-cred \
--from-file=.dockerconfigjson=.docker/config.json \
--type=kubernetes.io/dockerconfigjson -n netbackup
Vous pouvez fournir n’importe quel espace de noms pour créer un secret.
■ Pour vérifier que le secret netbackupkops-docker-cred a été créé dans
l’espace de noms NetBackup, exécutez la commande suivante :
kubectl get secrets -n netbackup
■ Pour charger l’image dans le cache Docker et la transférer vers le référentiel

d’images Docker, exécutez les commandes suivantes :
■ Chargez le fichier .tar de l’opérateur NetBackup Kubernetes.
<docker load -i <nameof the tar file> ./>
■ Étiquetez l’image Docker chargée selon vos besoins.

docker tag <imagename:tagof the loadedimage>
<repo-name/image-name:tag-name>
■ Transférez l’image vers un référentiel à partir duquel Kubernetes pourra

la récupérer lors du déploiement de l’opérateur NetBackup Kubernetes.
docker push <repo-name/image-name:tag-name>
Remarque : Dans l’exemple, Docker est utilisé à titre de référence. Vous

pouvez utiliser un autre outil d’interface de ligne de commande doté de
fonctionnalités équivalentes.
7 Modifiez le fichier netbackupkops-helm-chart/values.yaml dans un éditeur de

texte,
■ remplacez la valeur de l’image dans la section manager par le nom de votre
image et étiquetez repo-name/image-name:tag-name.
■ Définissez la valeur des répliques sur 0.
Remarque : Les répliques sont définies sur 0, car nous appliquons la

procédure manuelle de configuration de l’opérateur NetBackup Kubernetes.
8 Le dimensionnement du volume persistant de métadonnées est requis. La

taille du volume persistant par défaut pour l’opérateur Kubernetes est de 10 Gi.
La taille du volume persistant est configurable.
Vous pouvez définir une valeur de stockage plus élevée avant de déployer le
plug-in. La taille du pod nbukops correspond ainsi à celle de la PVC montée
dans le pod.
Vous pouvez spécifier la taille du volume persistant de métadonnées dans le
fichier values.yaml.
La revendication de volume persistant dans le fichier deployment.yaml sous
le helm-chart se présente comme suit :
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
labels:
component: netbackup
name: {{ .Release.Namespace }}-netbackupkops
namespace: {{ .Release.Namespace }}
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 10Gi
■ Lors d’une nouvelle installation pendant la configuration du Helm Chart,

vous pouvez modifier la taille du stockage PVC dans le fichier
deployment.yaml de netbackupkops-helm-chart, ce qui définit la taille initiale

de la PVC.
■ Après l’installation, la mise à jour de la taille de la PVC (expansion de
volume dynamique) est prise en charge par certains fournisseurs de
stockage. Pour plus d’informations, consultez la page
https://kubernetes.io/docs/concepts/storage/persistent-volumes
Remarque : La taille par défaut du volume persistant peut être redimensionnée

à une valeur supérieure sans perte de données. Il est recommandé d’ajouter
le fournisseur de stockage prenant en charge l’expansion de volume.
9 Pour déployer le service d’opérateur NetBackup Kubernetes, exécutez la

commande suivante :
helm install <release name of the deployment>
./netbackupkops-helm-chart -n <namespace which runs NetBackup
operator service>
Exemple : helm install veritas-netbackupkops

./netbackupkops-helm-chart -n netbackup
■ Si nécessaire, modifiez le nom de version du déploiement.

■ L’option -n est requise pour spécifier l’espace de noms dans lequel le
service d’opérateur NetBackup et NetBackup doivent s’exécuter.
10 Pour vérifier l’état du déploiement, exécutez la commande :

helm list -n <namespace which runs NetBackup operator service >
Exemple :
helm list -n netbackup
11 Pour vérifier l’historique des versions, exécutez la commande suivante :

helm history veritas-netbackupkops -n
<namespace which runs NetBackup operator service>.
Exemple :
helm history veritas-netbackupkops -n netbackup
Spécifications de port pour le déploiement de l’opérateur Kubernetes
Spécifications de port pour le déploiement de

l’opérateur Kubernetes
Le tableau suivant présente les spécifications de port pour le déploiement de
l’opérateur Kubernetes. Si un pare-feu existe entre les différents hôtes, vous devrez
ouvrir les ports de communication requis.
Tableau 2-1 Ports à ouvrir dans un environnement de cluster NetBackup

Kubernetes
Source Numéro de port Emplacement
Serveur principal Port TCP 443 Cluster Kubernetes
Serveur de médias Port TCP 443 (nouveau dans Cluster Kubernetes

NetBackup 10.0)
Remarque : Vérifiez la configuration de Kubernetes pour vous assurer que le port par
défaut du serveur d’API Kubernetes (443) n’a pas été remplacé par un autre port
(généralement 6443 ou 8443).
Cluster Kubernetes Port TCP 443 (applicable à Serveur principal

NetBackup 9.1, mais pas à la
version 10.0 ou une version
ultérieure)
Remarque : L’opérateur NetBackup Kubernetes (KOps) et les pods du datamover incluent

des conditions supplémentaires (nouveau dans NetBackup 10.0).
Cluster Kubernetes Port TCP 1556 sortant Serveur principal
Cluster Kubernetes Port TCP 1556 sortant Serveur de médias
Cluster Kubernetes Port TCP 13724 bidirectionnel Serveur principal et serveur

si un réseau résilient est de médias
utilisé
Mise à niveau de l’opérateur

NetBackup Kubernetes
Vous pouvez mettre à niveau le déploiement de l’opérateur NetBackup Kubernetes
à l’aide des commandes Helm.
Suppression de l’opérateur NetBackup Kubernetes
Pour mettre à niveau l’opérateur NetBackup Kubernetes :

1 Téléchargez le dernier package .tar de l’opérateur NetBackup Kubernetes (ou
celui de votre choix).
2 Pour mettre à niveau l’opérateur NetBackup Kubernetes, exécutez la commande
suivante :
■ helm upgrade <plugin-name> <chart-path> -n <namespace>
Exemple :helm upgrade veritas-netbackupkops
./netbackupkops-helm-chart -n netbackup
Suppression de l’opérateur NetBackup

Kubernetes
Vous pouvez supprimer un déploiement d’opérateur NetBackup Kubernetes à partir
d’un cluster.
helm uninstall <plugin-name> -n <Netbackup Kubernetes Operator
Namespace>
Remarque : La désinstallation du plug-in supprime également la demande PVC

de l’opérateur Kubernetes NetBackup dont les métadonnées sont liées aux
sauvegardes basées sur snapshot.
La suppression de l’opérateur NetBackup Kubernetes entraîne la perte du volume

de métadonnées, qui héberge également les métadonnées de snapshot. Si des
snapshots ont déjà été effectués, l’opération de restauration à partir d’une copie
de snapshot échoue en raison de l’absence de métadonnées.
Dans NetBackup 9.1, vous devez d’abord supprimer manuellement les snapshots
plus anciens, puis les snapshots Velero associés.
Dans NetBackup 10.0, vous ne pouvez pas faire expirer des snapshots gérés par
Velero et créés à l’aide de NetBackup 9.1. Lorsque les images de sauvegarde
expirent dans NetBackup, le catalogue est automatiquement effacé. Vous devez
cependant supprimer manuellement le snapshot se trouvant sur le serveur
Kubernetes.
Pour plus de détails sur l’opération manuelle d’expiration d’image, consultez la
page https://www.veritas.com/content/support.
Configuration du système de déplacement des données NetBackup Kubernetes
Remarque : Sans expiration des snapshots ou sans suppression des snapshots

de volume persistants, si vous désinstallez l’opérateur Kubernetes, le snapshot de
volume orphelin se trouvera dans le cluster Kubernetes.
Configuration du système de déplacement des

données NetBackup Kubernetes
Vous devez configurer le système de déplacement des données pour la charge de
travail NetBackup Kubernetes. Téléchargez la version correcte de l’image du
système de déplacement des données :
Vous devez configurer l’espace de noms de l’opérateur NetBackup Kubernetes
pour prendre en charge les sauvegardes à partir de snapshots et les restaurations
à partir de sauvegardes. (Copie de sauvegarde) Téléchargez la version de l’image
du système de déplacement des données veritasnetbackup-datamover-10.3.tar
correspondant à votre version à partir du centre de téléchargement. Voir
https://www.veritas.com/content/support
Pour configurer le système de déplacement des données
1 Pour transférer l’image du système de déplacement des données vers le
registre d’images, exécutez la commande suivante :
docker login -u <user name> <repo-name>
2 Entrez le mot de passe lorsque vous y êtes invité. Ignorez cette étape si vous
êtes déjà connecté.
3 Exécutez docker load -i <name of the datamover image file>
4 Exécutez docker tag <datamover image name:tag of the loaded
datamover image> <repo-name/image-name:tag-name>
5 docker push <repo-name/image-name:tag-name>
Remarque : Dans l’exemple, docker est utilisé à titre de référence. Vous pouvez
utiliser un outil d’interface de ligne de commande doté de fonctions
équivalentes.
6 Assurez-vous que la valeur de l’image définie pour ConfigMap avec le nom du

serveur principal est <nom-référentiel/nom-image:nom-étiquette> envoyée à
l’étape 4.
Par exemple :
apiVersion: v1
data:
datamover.properties: image=<image-repo>/datamover:<datamover tag>
version: "1"
kind: ConfigMap
metadata:
name: <Primary Server Name>
namespace: <Netbackup Kubernetes Operator Namespace Name>
Pour plus d’informations sur ConfigMap, consultez la section Paramètres de

configuration pris en charge par les opérateurs Kubernetes du Guide de
l’administrateur Kubernetes de l’interface utilisateur Web NetBackup.
Configuration automatisée de la protection

NetBackup pour Kubernetes
Conditions préalables
Avant de configurer NetBackup sur la charge de travail Kubernetes, vous devez
exécuter un serveur NetBackup avec accès aux ports 443, 1556 et 13724.
Les images du datamover et de l’opérateur NetBackup Kubernetes doivent être
chargées dans le registre de conteneur accessible depuis le cluster Kubernetes.
Vous devez créer un secret à utiliser pour le déploiement automatisé.
Pour créer une clé d’API, procédez comme suit dans l’interface utilisateur
Web NetBackup :
1 Accédez à Sécurité > Clés d’accès > Ajouter. Entrez le nom d’utilisateur et
définissez la période de validité sur un jour pour éviter toute utilisation abusive
de la clé d’API.
2 Sur le cluster Kubernetes, créez le secret nb-config-deploy-secret.yaml,
avec le contenu suivant.
apiVersion: v1
kind: Secret
metadata:
name: <kops-namespace>-nb-config-deploy-secret
namespace: <kops-namespace>
type: Opaque
stringData:
apikey: <Enter the value of API key from the earlier step>
3 Exécutez la commande suivante pour appliquer le secret : kubectl apply -f

nb-config-deploy-secret.yaml
Avant l’installation
1 Modifiez les champs suivants dans le fichier
netbackupkops-helm-chart/values.yaml
■ containers.manager.image : URL du registre de conteneur pour l’extraction

de l’image du contrôleur NetBackup Kubernetes
■ imagePullSecrets: name : nom du secret d’extraction d’images si le registre
de conteneur requiert une authentification pour l’extraction d’images.
■ nbprimaryserver : nom configuré du serveur principal NetBackup.
■ nbsha256fingerprint : récupérez la signature sha256 à partir de l’interface
utilisateur Web NetBackup. Accédez à Sécurité > Certificats > Autorité
de certification
■ k8sCluster : nom de domaine complet du serveur d’API du cluster
Kubernetes.
■ k8sPort : port sur lequel le serveur d’API Kubernetes est répertorié.
Les informations sont disponibles sur la console d’interface utilisateur du cluster
Kubernetes.
2 Si elles ne sont pas présentes, exécutez la commande # kubectl
cluster-info pour obtenir le cluster Kubernetes et le numéro de port
Kubernetes. Le panneau de contrôle Kubernetes est accessible à l’adresse

https://<Kubernetes FQDN>:6443
■ datamoverimage : URL du registre de conteneur pour l’extraction de l’image
du datamover.
■ Des paramètres de stockage sont requis pour les opérations de snapshot
et de sauvegarde à partir d’un snapshot. Au moins un des paramètres de
stockage Bloc ou Système de fichiers est obligatoire.
3 Pour obtenir les classes de stockage, exécutez la commande # kubectl get

storageclasses
■ storageclassblock : classe de stockage utilisée pour le provisionnement

des volumes de bloc.
■ storageclassblock : classe de stockage utilisée pour le provisionnement
des volumes de système de fichiers.
4 Pour obtenir la classe de snapshot de volume, exécutez la commande #

kubectl get volumesnapshotclasses
■ volumesnapshotclassblock : classe de snapshot de volume pour créer des

snapshots de volume de bloc.
■ volumesnapshotclassfilesystem : classe de snapshot de volume pour créer
des snapshots de volume de système de fichiers.
■ waitTimeBeforeCleanupMinutes : délai (en minutes) avant la suppression
du déploiement de configuration en cas de réussite. La valeur maximale
est 129600 (90 jours). En cas de défaillance, le jeton de sécurité et les
informations d’authentification des ressources NetBackup sont supprimés
automatiquement, mais le déploiement s’exécute pour procéder au
débogage.
Installation
Pour installer Helm, exécutez la commande # helm install
veritas-netbackupkops <path to netbackupkops-helm-chart> -n <kops
namespace>
Débogage
Pour obtenir le pod config-deploy à partir de l’espace de noms de l’opérateur
Kubernetes, exécutez la commande # kubectl get pod -n <kops namespace>
| grep "config-deploy"
Journaux
Pour consulter les journaux du pod <namespace>-netbackup-config-deploy,
exécutez la commande # kubectl logs <pod-name> -n <kops namespace>
Remarque : Pour plus d’informations, consultez le Guide de démarrage rapide

NetBackup Kubernetes (version 10.3).
Configuration des paramètres pour l’opération de

snapshot NetBackup
Vous devez configurer des classes de stockage et une classe de snapshot de
volume pour protéger les revendications de volume persistant. Une fois l’opérateur
NetBackup Kubernetes installé, la configuration suivante doit être effectuée.
1. Identifiez les classes de stockage pointant vers le plug-in CSI, ou, s’il n’en
existe aucune, définissez une nouvelle classe de stockage pointant vers le
plug-in CSI.
2. Identifiez la classe de snapshot de volume pointant vers le plug-in CSI. S’il
n’en existe aucune, définissez-en une.
Définissez une classe VolumeSnapshotClass contenant les détails du pilote
CSI.
3. Étiquetez les classes de stockage CSI sur le cluster Kubernetes.
■ Les étiquettes de classe de stockage
netbackup.veritas.com/default-csi-storage-class=true sont utilisées pour
labéliser l’emplacement sur lequel la classe de stockage provisionne les
volumes en fonction des blocs bruts (volumeMode=Block).
■ L’tiquette de classe de stockage
netbackup.veritas.com/default-csi-filesystem-storage-class=true est utilisée
pour labéliser l’emplacement sur lequel la classe de stockage provisionne
les volumes en fonction du système de fichiers (volumeMode=FileSystem).
Remarque : Vous pouvez ajouter les deux étiquettes sur une seule classe de
stockage si la classe de stockage prend en charge le volume en bloc reposant
sur le bloc brut et le volume de système de fichiers.
4. Étiquetez la classe de snapshot de volume CSI pour une utilisation dans

NetBackup.
■ L’étiquette de classe de snapshot de volume CSI

netbackup.veritas.com/default-csi-storage-class=true est requise pour l’ajout
de toutes les classes de snapshot de volume CSI que l’utilisateur souhaite
utiliser pour l’opération de snapshot.
Remarque : Le snapshot d’un espace de noms composé d’un volume persistant

échoue avec un message d’erreur : Echec de la création d’un snapshot de l’espace
de noms Kubernetes. L’opération de snapshot peut échouer pour plusieurs raisons,
par exemple, si une classe de snapshot de volume valide pour le pilote avec
l’étiquette volumesnapshotclass est introuvable.
Paramètres de configuration pris en charge par les opérateurs

Kubernetes
Remarque : pour obtenir la valeur de configuration, vous pouvez exécuter la

commande suivante : kubectl get configmaps
<namespace>-backup-operator-configuration -n <namespace> -o yaml >
{local.file}
Tableau 2-2 Paramètres de configuration de l’opérateur Kubernetes pris en

charge dans
<espacedenoms>-configuration-opérateur-sauvegarde
Configuration Description Valeur Valeur

par possible
défaut
daemonsets Si la valeur est définie true true, false

sur false, cette
ressource est
découverte et
sauvegardée. Mais les
ressources ne sont pas
visibles dans la section
Ressource lorsque
vous cliquez sur
l’espace de noms
Kubernetes dans
l’interface utilisateur
Web NetBackup.

par possible
défaut
deployments Si la valeur est définie true true, false

sur false, cette
ressource est
découverte et
Ressource lorsque
vous cliquez sur
l’espace de noms
Kubernetes dans
Web NetBackup.
pods Si la valeur est définie true true, false

sur false, cette
ressource est
découverte et
Ressource lorsque
vous cliquez sur
l’espace de noms
Kubernetes dans
Web NetBackup.
replicasets Si la valeur est définie true true, false

sur false, cette
ressource est
découverte et
Ressource lorsque
vous cliquez sur
l’espace de noms
Kubernetes dans
Web NetBackup.

par possible
défaut
secrets Si la valeur est définie true true, false

sur false, cette
ressource est
découverte et
Ressource lorsque
vous cliquez sur
l’espace de noms
Kubernetes dans
Web NetBackup.
services Si la valeur est définie true true, false

sur false, cette
ressource est
découverte et
Ressource lorsque
vous cliquez sur
l’espace de noms
Kubernetes dans
Web NetBackup.

par possible
défaut
namespace L’opérateur Kubernetes Tout nom Espace de

est déployé dans donné à un noms
l’espace de noms. espace de NetBackup.
noms.
Si la valeur est définie
sur false, cette
ressource est
découverte et
Ressource lorsque
vous cliquez sur
l’espace de noms
Kubernetes dans
Web NetBackup.
cleanStaleCRDurationMinutes Durée après l’appel 1440minutes Toute

d’un travail de valeur en
ressource minutes
personnalisée pour
nettoyer les ressources
personnalisées
obsolètes. Intervalle à
l’issue duquel le travail
de nettoyage des
ressources
personnalisées
obsolètes est
déclenché.
Pour les longs travaux

de sauvegarde à partir
d’un snapshot et de
restauration à partir
d’une sauvegarde,
vous devez augmenter
la valeur de
cleanStaleCRDurationMinutes.
ttlCRDurationMinutes Durée TTL de la 30240minutes 30240minutes

ressource
personnalisée.

par possible
défaut
fipsMode Configuration DISABLE ENABLE,

permettant d’activer DISABLE
FIPS_MODE dans
l’opérateur et le
datamover NetBackup
Kubernetes.
livesnessProbeInitialDelay Délai initial de la 60 secondes 60 minutes

sonde.
livenessProbeTimeoutInSeconds Sur la machine 1 seconde 1à

chargée, l’exécution de 5 secondes.
la sonde de vérification
d’activité peut prendre
plus de 1 seconde.
L’utilisateur peut
augmenter cette valeur
afin d’éviter les échecs
dus aux erreurs de
délai d’expiration de la
sonde de vérification
d’activité.
livenessProbePeriodInSeconds Durée d’exécution de 180secondes Toute

la sonde. valeur en
secondes
checkNbcertdaemonStatusDurationMinutes Durée de l’état du 1440minutes 1440minutes

daemon de certificat
NetBackup.

par possible
défaut
collectDataMoverLogs En raison d’une Failed All, Failed,

utilisation élevée de la None
mémoire pour la
collecte de journaux du
datamover, il est
recommandé d’activer
les journaux
uniquement lors du
débogage, du
dépannage ou du
redémarrage des pods.
Avant d’activer les

journaux du
datamover,
assurez-vous
d’augmenter les limites
de mémoire du pod
NetBackup Kubernetes
à au moins 2 Go. Une
fois le débogage ou le
dépannage terminé,
vous pouvez rétablir la
valeur précédente ou
la valeur par défaut.
Remarque : La prise
en charge granulaire
est disponible pour la
collecte des journaux
du datamover
uniquement en cas
d’échec de travaux.
Elle fournit une couche
de granularité
supplémentaire
(All/FailedOnly/Off).
maxRetentionDataMoverLogsInHours Durée maximale de 24 heures 72 heures

conservation des
journaux du
datamover.

par possible
défaut
maxRetentionDataMoverInHours Supprime toutes les 24 heures Toute

ressources du valeur en
datamover plus heures
anciennes que la
valeur indiquée.
cleanStaleCertFilesDurationMinutes Intervalle à l’issue 60 minutes 1440minutes

duquel le travail de
nettoyage des
certificats obsolètes est
déclenché.
maxRetentionInDiscoveryCacheHours Durée de conservation 24 heures 48 heures

(en heures) du cache
de découverte.
pollingTimeoutInMinutes Délai pendant lequel 15 minutes Toute

de nouvelles tentatives valeur en
sont effectuées avant minutes
l’expiration et l’échec.
pollingFrequencyInSecs Fréquence 5 secondes Toute

d’interrogation. valeur en
secondes
nbcertPrerequisteDirectoryAndFiles Conditions préalables Nom du Nom du

pour l’autorité de certificat certificat
certification
NetBackup.
Conditions préalables pour les opérations de sauvegarde depuis un

snapshot et de restauration à partir d’une sauvegarde
1. Étiquetez une classe de stockage valide en vue d’une utilisation par NetBackup
et ajoutez l’étiquette ou les étiquettes ci-dessous en fonction du VolumeMode
(Block/Filesystem) pris en charge par la classe de stockage.
■ Pour la classe de stockage de provisionnement de demande de volume
persistant basée sur Filesystem,
veritas.com/default-csi-filesystem-storage-class=true
■ Pour la classe de stockage de provisionnement de demande de volume
persistant basée sur Block,
veritas.com/default-csi-storage-class=true
Si la classe de stockage étiquetée pour NetBackup est introuvable, la
sauvegarde à partir d’un snapshot et la restauration à partir d’une copie de
sauvegarde échouent avec le message d’erreur Aucune classe de stockage
éligible trouvée.
Pour étiqueter les classes de stockage, exécutez les commandes suivantes
indiquées dans les exemples :
Exemple 1. Exécutez la commande : # kubectl get sc
Nom Provisionneur
ocs-storagecluster-ceph-rbd (par openshift-storage.rbd.csi.ceph.com

défaut)
ocs-storagecluster-ceph-rgw openshift-storage.ceph.rook.io/bucket
ocs-storagecluster-ceph-rbd openshift-storage.cephfs.csi.ceph.com
openshift-storage.noobaa.io openshift-storage.noobaa.io/obc
thin kubernetes.io/vsphere-volume
Politique de Mode de liaison Autoriser Âge

récupération de volume l’expansion de
volume
Supprimer Immédiat Vrai 2j2h
Supprimer Immédiat Faux 2j2h
Supprimer Immédiat Vrai 2j2h
Supprimer Immédiat Faux 2j2h
Supprimer Immédiat Faux 19h
Exemple 2. Exécutez la commande : # kubectl get sc

ocs-storagecluster-ceph-rbd --show-labels
Nom Provisionneur Politique de

récupération
ocs-storagecluster-ceph-rbd openshift-storage.rbd.csi.ceph.com Supprimer

(par défaut)
Mode de Autoriser Âge Étiquette

liaison de l’expansion
volume de volume
Immédiat Vrai 2j2h netbackup.veritas.com/default-csi-storage-class=true
Exemple 3. Exécutez la commande : oc label storageclass

ocs-storagecluster-cephfs
netbackup.veritas.com/default-csi-storage-class=true
storageclass.storage.k8s.io/ocs-storagecluster-cephfs labeled
Exemple 4. Exécutez la commande : kubectl get sc

ocs-storagecluster-cephfs --show-labels
Nom Provisionneur Politique de

récupération
ocs-storagecluster-cephfs openshift-storage.cephfs.csi.ceph.com Supprimer
Mode de Autoriser Âge Étiquette

liaison de l’expansion
volume de volume
Immédiat Vrai 2j2h netbackup.veritas.com/default-csi-storage-class=true
2. Étiquetez une classe de snapshot de volume valide pour une utilisation dans
NetBackup en ajoutant l’étiquette suivante :
netbackup.veritas.com/default-csi-volume-snapshot-class=true. Si la classe
VolumeSnapshotClass étiquetée pour NetBackup est introuvable, le travail de
sauvegarde à partir d’un snapshot pour les métadonnées d’images et les
travaux de restauration échoue avec le message d’erreur Echec de la création
d’un snapshot de l’espace de noms Kubernetes.
Pour étiqueter les classes de snapshot de volume, exécutez les commandes
suivantes indiquées dans les exemples :
Exemple 1. Exécutez la commande : # kubectl get volumesnapshotclass
Nom Pilote
ocs-storagecluster-cephfsplugin-snapclass openshift-storage.cephfs.csi.ceph.com
ocs-storagecluster-rbdplugin-snapclass openshift-storage.rbd.csi.ceph.co
Politique de suppression Âge
Supprimer 2j2h
Supprimer 2j2h

ocs-storagecluster-cephfsplugin-snapclass --show-labels
Nom Pilote
Politique de suppression Âge
Supprimer 2j2h
Exemple 3. Exécutez la commande : # kubectl label volumesnapshotclass

ocs-storagecluster-cephfsplugin-snapclass
netbackup.veritas.com/default-csi-volume-snapshot-class=true
volumesnapshotclass.snapshot.storage.k8s.io/ocs-storagecluster-cephfsplugi

ocs-storagecluster-cephfsplugin-snapclass --show-labels
Nom Pilote
Politique de Âge Étiquettes

suppression
Supprimer 2j2h netbackup.veritas.com/default-csi-volume-snapshot-class=true
3. Chaque serveur principal exécutant les opérations de sauvegarde à partir d’un

snapshot et de restauration à partir d’une copie de sauvegarde doit créer un
ConfigMap distinct avec le nom du serveur principal.
Dans l’exemple de fichier configmap.yaml suivant,
■ backupserver.sample.domain.com et mediaserver.sample.domain.com
sont les noms d’hôte du serveur principal et du serveur de médias
NetBackup.
■ 10.20.12.13 et 10.21.12.13 sont les adresses IP du serveur principal et du

serveur de médias NetBackup.
apiVersion: v1
data:
datamover.hostaliases: |
10.20.12.13=backupserver.sample.domain.com
10.21.12.13=mediaserver.sample.domain.com
datamover.properties: |
image=reg.domain.com/datamover/image:latest
version: "1"
kind: ConfigMap
metadata:
name: backupserver.sample.domain.com
namespace: kops-ns
■ Copiez les détails du fichier configmap.yaml.

■ Ouvrez l’éditeur de texte et collez les détails du fichier YAML.
■ Ensuite, enregistrez en sélectionnant l’extension de fichier YAML dans le
répertoire d’origine à partir duquel les clusters Kubernetes sont accessibles.
4. Spécifiez datamover.properties:
image=reg.domain.com/datamover/image:latest avec l’image datamover
appropriée.
5. Spécifiez datamover.hostaliases si le serveur principal et les serveurs de
médias connectés au serveur principal ont des noms courts et si la résolution
de l’hôte échoue à partir du datamover. Fournissez un mappage de tous les
noms d’hôte aux adresses IP pour le serveur principal et les serveurs de
médias.
6. Créez un secret comme décrit en détail dans le point 6 de la section
pour utiliser un registre Docker privé.
Une fois le secret créé, ajoutez les attributs suivants lors de la création d’un
fichier configmap.yaml.
image=repo.azurecr.io/netbackup/datamover:10.0.0049
imagePullSecret=secret_name
7. Pour créer le fichier configmap.yaml, exécutez la commande suivante :

kubectl create -f configmap.yaml
8. Si l’opérateur Kubernetes ne parvient pas à résoudre le serveur principal

d’après les noms courts
■ Lors de la récupération des certificats, si vous obtenez un message EXIT
STATUS 8500: la connexion au service Web n’a pas été établie. Vérifiez
ensuite l’état de la résolution du nom d’hôte à partir des journaux nbcert.
■ Si la résolution du nom d’hôte échoue, procédez comme suit :
Mettez à jour kops deployment.yaml et ajoutez hostAliases au déploiement.
■ Dans l’exemple suivant de hostAliases,
NetBackup.
■ 10.20.12.13 et 10.21.12.13 sont les adresses IP du serveur principal et
du serveur de médias NetBackup.
hostAliases:
- hostnames:
- backupserver.sample.domain.com
ip: 10.20.12.13
- hostnames:
- mediaserver.sample.domain.com
ip: 10.21.12.13
Copiez-collez les détails de l’exemple de hostAliases dans l’éditeur de texte

et ajoutez-les à hostAliases dans le déploiement.
Remarque : la section hostAliases doit être ajoutée à la ligne 2 210 du

fichier par défaut
./netbackupkops-helm-chart/templates/deployment.yaml.
Exemple de hostAliases :
2104 hostAliases;
- ip:10.15.206.7
hostnames:
- lab02-linsvr-01.demo.sample.domain.com
- lab02-linsvr-01
- ip:10.15.206.8
hostnames:
- lab02-linsvr-02.demo.sample.domain.com
- lab02-linsvr-02
imagePullSecrets:
- name: {{ .values.netbackupKops.imagePullSecrets.name}}
9. Créez un secret avec l’empreinte digitale et un jeton d’autorisation.

Pour plus d’informations sur la création du secret et du backupservercert,
consultez la section Déploiement de certificats sur l’opérateur
NetBackup Kubernetes du Guide de l’administrateur Kubernetes de l’interface
utilisateur Web NetBackup™.
10. Créez une demande backupservercert pour récupérer les certificats.
Pour plus d’informations, consultez la section Déploiement de certificats sur
l’opérateur NetBackup Kubernetes du Guide de l’administrateur Kubernetes
de l’interface utilisateur Web NetBackup™.
Pour plus d’informations, consultez le Guide de sécurité et de chiffrement
NetBackup™.
Remarque : ces étapes sont obligatoires pour que la sauvegarde à partir d’un
snapshot et la restauration à partir d’une copie de sauvegarde aboutissent.
Paramètres de client DTE pris en charge par Kubernetes

L’option DTE_CLIENT_MODE spécifie le mode de chiffrement des données en
transit (DTE) défini sur le datamover via le fichier configmap spécifique au serveur
de sauvegarde. Le chiffrement des données en transit des images de sauvegarde
est effectué en fonction du mode DTE global et du mode DTE client.
Mettez à jour le fichier configmap spécifique au serveur de sauvegarde et ajoutez-y
la clé DTE_CLIENT_MODE. Cette clé peut prendre les valeurs suivantes :
■ AUTOMATIC
■ ON
■ OFF
Pour plus d’informations sur DTE_CLIENT_MODE, consultez la section
DTE_CLIENT_MODE pour les clients du Guide de l’administrateur Veritas
NetBackup™, volume I.
Le fichier configmap se présente comme suit après l’ajout du paramètre
DTE_CLIENT_MODE :
apiVersion: v1
data:
DTE_CLIENT_MODE=ON
version: "1"
kind: ConfigMap
metadata:
namespace: kops-ns
Personnalisation des propriétés du datamover

Vous pouvez personnaliser les propriétés du datamover en ajoutant des paires
clé-valeur dans le fichier configmap spécifique au serveur de sauvegarde.
Tableau 2-3 Propriétés du datamover
Nom de clé Valeurs possibles
VXMS_VERBOSE Plage : [0,99]
VERBOSE Plage : [0,5]
DTE_CLIENT_MODE ■ AUTOMATIC
■ ON
■ OFF
Pour mettre à jour le fichier configmap, ajoutez des paires clé/valeur comme suit :
apiVersion: v1
data:
VERBOSE=5
DTE_CLIENT_MODE=OFF
VXMS_VERBOSE=5
version: "1"
kind: ConfigMap
metadata:
namespace: kops-ns
Dépannage des serveurs NetBackup avec des noms courts
Dépannage des serveurs NetBackup avec des

noms courts
1 Si l’opérateur NetBackup Kubernetes ne peut pas résoudre le serveur de
sauvegarde ou le serveur de médias avec des noms courts, procédez comme
suit :
■ Lors de la récupération des certificats, si vous obtenez un message EXIT
STATUS 8500: la connexion au service Web n’a pas été établie, consultez
les journaux nbcert pour vérifier si la résolution du nom d’hôte a abouti. En
cas d’échec, procédez comme suit :
■ Mettez à jour le fichier deployment.yaml de l’opérateur Kubernetes et
ajoutez hostAliases au déploiement.
■ Dans l’exemple suivant de hostAliases,
NetBackup.
hostAliases:
- hostnames:
- backupserver.sample.domain.com
ip: 10.20.12.13
- hostnames:
- mediaserver.sample.domain.com
ip: 10.21.12.13
Copiez-collez les détails de l’exemple de hostAliases dans l’éditeur de texte

et ajoutez-les à hostAliases dans le déploiement.
2 Si le datamover ne peut pas résoudre les noms courts du serveur de

sauvegarde ou du serveur de médias, procédez comme suit pour résoudre le
problème :
■ Mettez à jour ConfigMap avec le nom du serveur de sauvegarde.
■ Ajoutez le champ datamover.hostaliases, puis mappez les adresses IP
correspondantes au nom d’hôte.
■ Dans l’exemple de fichier configmap.yaml suivant,
Prise en charge du mécanisme de planification des pods du système de déplacement des données
NetBackup.
apiVersion: v1
data:
version: "1"
kind: configmap
metadata:
namespace: kops-ns
■ Copiez les détails du fichier configmap.yaml.

■ Ouvrez l’éditeur de texte et collez les détails du fichier YAML.
■ Ensuite, enregistrez en sélectionnant l’extension de fichier YAML dans
le répertoire d’origine à partir duquel les clusters Kubernetes sont
accessibles.
■ Pour créer le fichier configmap.yaml, exécutez la commande kubectl
create -f configmap.yaml.
■ Si vous mettez à jour le fichier configmap.yaml déjà créé, exécutez la

commande pour mettre à jour configmap. kubectl apply -f
configmap.yaml
Prise en charge du mécanisme de planification

des pods du système de déplacement des
données
Spécifiez les champs suivants dans le configMap du serveur de sauvegarde pour
planifier les pods du système de déplacement des données sur les nœuds.
1. nodeSelector : nodeSelector est un moyen facile de limiter les pods aux nœuds
avec des étiquettes spécifiques.
Exemple :
apiVersion: v1
kind: ConfigMap
metadata:
namespace: netbackup
data:
datamover.nodeSelector: |
kubernetes.io/hostname: test1-l94jm-worker-k49vj
topology.rook.io/rack: rack1
version: "1"
2. nodeName : nodeName est un formulaire direct de sélection de nœud différent

d’affinity ou de nodeSelector. Il vous permet de spécifier un nœud sur lequel
un pod est planifié pour la sauvegarde et de remplacer le mécanisme de
planification par défaut.
Exemple :
apiVersion: v1
kind: ConfigMap
metadata:
data:
datamover.nodeName : test1-l94jm-worker-hbblk
version: "1"
3. Taint et Toleration : la valeur Toleration vous permet de planifier les pods

avec des valeurs taint similaires. Les valeurs Taint et la Toleration fonctionnent
ensemble pour garantir que les pods sont planifiés sur les nœuds appropriés.
Si une ou plusieurs valeurs taint sont appliquées à un nœud, celui-ci ne doit
pas accepter les pods qui ne prennent pas en charge les valeurs taint.
Exemple :
apiVersion: v1
kind: ConfigMap
metadata:
data:
datamover.tolerations: |
- key: "dedicated"
operator: "Equal"
value: "experimental"
effect: "NoSchedule"
version: "1"
4. Affinité et Anti-affinité : les fonctions d’affinité de nœud (similaires au champ

NodeSelector, mais plus expressives) vous permettent de spécifier des règles
logicielles. La fonction d’affinité/anti-affinité Inter-pod vous permet de limiter
les pods au niveau des étiquettes sur les autres pods.
Exemples :
■ Affinité de nœud :
apiVersion: v1
kind: ConfigMap
metadata:
data:
datamover.affinity: |
nodeAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
nodeSelectorTerms:
- matchExpressions:
- key: kubernetes.io/hostname
operator: In
values:
- test1-l94jm-worker-hbblk
preferredDuringSchedulingIgnoredDuringExecution:
- weight: 1
preference:
matchExpressions:
- key: beta.kubernetes.io/arch
operator: In
values:
- amd64
version: "1"
■ Affinité de pod
apiVersion: v1
kind: ConfigMap
metadata:
data:
datamover.affinity: |
podAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchExpressions:
- key: component
operator: In
values:
- netbackup
topologyKey: kubernetes.io/hostname
version: "1"
5. topologySpreadConstraints : les contraintes de propagation de topologie

sont utilisées pour contrôler le comportement des pods répartis dans votre
cluster, dans des domaines de défaillance tels que des régions, des zones,
des nœuds et d’autres domaines de topologie définis par l’utilisateur.
Exemple :
apiVersion: v1
kind: ConfigMap
metadata:
data:
datamover. hostaliases: |
datamover.topologySpreadConstraints : |
- maxSkew: 1
topologyKey: kubernetes.io/hostname
whenUnsatisfiable: DoNotSchedule
version: "1"
■ Étiquettes : les paires clé/valeur sont associées aux objets, tels que des
pods. Les étiquettes ont pour but d’identifier les attributs d’un objet qui sont
significatifs et pertinents pour les utilisateurs. Les étiquettes peuvent
organiser et sélectionner des sous-ensembles d’objets. Les étiquettes
associées aux objets lors de leur création sont ajoutées et modifiées par
la suite à tout moment.
Exemple :
apiVersion: v1
kind: ConfigMap
metadata:
data:
datamover.labels: |
env: test
pod: datamover
version: "1"
■ Annotations : l’utilisateur peut utiliser des étiquettes ou des annotations

pour associer des métadonnées aux objets Kubernetes. Vous ne pouvez
pas utiliser des annotations pour identifier et sélectionner des objets.
Exemple :
apiVersion: v1
kind: ConfigMap
metadata:
data:
datamover.annotations: |
buildinfo: |-
[{
"name": "test",
"build": "1"
}]
imageregistry: "https://reg.domain.com/"
version: "1"
Chapitre 3
Déploiement de certificats
sur l’opérateur NetBackup
Kubernetes
■ Déploiement de certificats sur l’opérateur Kubernetes
■ Exécution d’opérations de certificats basés sur l’ID d’hôte
■ Exécution d’opérations de certificat d’autorité de certification externe
■ Identification des types de certificats
Déploiement de certificats sur l’opérateur

Kubernetes
Vous devez déployer des certificats pour assurer une communication sécurisée
entre le datamover et les serveurs de médias NetBackup.
Remarque : Vous devez déployer les certificats avant de pouvoir exécuter des
opérations de sauvegarde à partir d’un snapshot et de restauration à partir
d’une sauvegarde.
Vous ne pouvez créer le BackupServerCert que si le cluster a été ajouté et
découvert, car NetBackup doit transmettre des clusterInfo pour que le cluster
définisse l’état sur Réussi.
Déploiement de certificats sur l’opérateur NetBackup Kubernetes 50
Déploiement de certificats sur l’opérateur Kubernetes
Certificats pris en charge pour la communication du

datamover
Le datamover facilite la circulation des données dans l’environnement NetBackup.
Il communique avec les serveurs de médias via le protocole TLS
(Transport Layer Security). Pour plus d’informations, consultez la section À propos
de la communication sécurisée dans NetBackup du Guide de sécurité et de
chiffrement NetBackup™ Le datamover nécessite un certificat basé sur l’ID d’hôte
ou un certificat signé par une autorité de certification externe émis par le serveur
principal NetBackup pour la communication. Une nouvelle définition de ressource
personnalisée BackupServerCert a été introduite pour activer l’opération de
déploiement de certificat en mode NBCA (autorité de certification NetBackup)
ou ECA (autorité de certification externe).
La spécification des ressources personnalisées ressemble à ce qui suit :
apiVersion: netbackup.veritas.com/v1
kind: BackupServerCert
metadata:
name: backupservercert-sample-nbca
namespace: kops-ns
spec:
clusterName: cluster.sample.com:port
backupServer: primary.server.sample.com
certificateOperation: Create | Update | Remove
certificateType: NBCA | ECA
nbcaAttributes:
nbcaCreateOptions:
secretName: "Secret name consists of token and fingerprint"
nbcaUpdateOptions:
force: true | false
nbcaRemoveOptions:
hostID: "hostId of the nbca certificate. You can view on Netbackup UI"
ecaAttributes:
ecaCreateOptions:
ecaSecretName: "Secret name consists of cert, key, passphrase, cacert"
copyCertsFromSecret: true | false
isKeyEncrypted: true | false
ecaUpdateOptions:
ecaCrlCheck: DISABLE | LEAF | CHAIN
ecaCrlRefreshHours: [0,4380]
Exécution d’opérations de certificats basés sur l’ID d’hôte
Exécution d’opérations de certificats basés sur

l’ID d’hôte
Assurez-vous que le serveur principal est configuré en mode NBCA. Pour vérifier
si le mode NBCA est activé, exécutez la commande suivante :
/usr/openv/netbackup/bin/nbcertcmd -getSecConfig -caUsage
La sortie ressemble à l’exemple suivant :
NBCA: ON
ECA: OFF
La spécification du certificat basé sur l’ID d’hôte ressemble à l’exemple suivant :
metadata:
name: backupservercert-sample
namespace: kops-ns
spec:
backupServer: primaryserver.sample.domain.com
certificateType: NBCA
nbcaAttributes:
nbcaCreateOptions:
nbcaUpdateOptions:
force: true
nbcaRemoveOptions:
hostID: "hostId of the nbca certificate. You can view on Netbackup UI"
Tableau 3-1 Opérations de certificats basés sur l’ID d’hôte
Type d’opération Options et commentaires
Créer secretName : nom du secret qui contient un jeton et une

empreinte digitale.
Supprimer hostID : identification de l’hôte du certificat NBCA.

Mettre à jour secretName : nom du secret qui contient un jeton et une

empreinte digitale.
Création d’un certificat basé sur l’ID d’hôte pour l’opérateur

Kubernetes
Vous pouvez créer un certificat basé sur l’ID d’hôte pour l’opérateur Kubernetes
en procédant comme suit.
Pour créer un certificat basé sur l’ID d’hôte pour l’opérateur Kubernetes
1 Sur le serveur de sauvegarde, exécutez la commande suivante et obtenez
l’empreinte digitale SHA-256.
/usr/openv/netbackup/bin/nbcertcmd -listCACertDetails
2 Pour créer un jeton d’autorisation, consultez la section Création de jetons

d’autorisation du Guide de sécurité et de chiffrement NetBackup™.
3 Pour créer un jeton de renouvellement, si nécessaire, consultez la section
Création d’un jeton de renouvellement du Guide de sécurité et de chiffrement
NetBackup™.
4 Créez un secret avec un jeton et une empreinte digitale.
5 Fournissez un jeton (obligatoire quel que soit le niveau de sécurité).
Le fichier Token-fingerprint-secret.yaml ressemble à l’exemple suivant :
apiVersion: v1
kind: Secret
metadata:
name: secret-name
namespace: kops-ns
type: Opaque
stringData:
token: "Authorization token | Reissue token"
fingerprint: "SHA256 Fingerprint"
■ Copiez le texte du fichier Token-fingerprint-secret.yaml.

■ Ouvrez l’éditeur de texte et collez le texte du fichier YAML.
■ Ensuite, enregistrez le texte en sélectionnant l’extension de fichier YAML
dans le répertoire d’origine à partir duquel les clusters Kubernetes sont
accessibles.
6 Pour créer le fichier Token-fingerprint-secret.yaml, exécutez la commande

suivante : kubectl create -f Token-fingerprint-secret.yaml
7 Créez un objet backupservercert avec
nbcaCreateOptions, puis spécifiez un nom de secret.
Le fichier nbca-create-backupservercert.yaml ressemble à l’exemple

suivant :
metadata:
name: backupserver-nbca-create
namespace: kops-ns
spec:
backupServer: backupserver.sample.domain.com
certificateOperation: Create
nbcaAttributes:
nbcaCreateOptions:
secretName: nbcaSecretName with token and fingerprint
■ Copiez le texte du fichier nbca-create-backupservercert.yaml.

accessibles.
8 Pour créer le fichier nbca-create-backupservercert.yaml, exécutez la

commande suivante : kubectl create -f
nbca-create-backupservercert.yaml
9 Une fois le certificat créé, vérifiez l’état des ressources personnalisées. Si l’état
des ressources personnalisées indique une réussite, vous pouvez exécuter
les travaux de sauvegarde à partir d’un snapshot .
Remarque : Vous devez vérifier que l’état de la ressource personnalisée

BackupServerCert indique une réussite avant de lancer des opérations de
sauvegarde à partir d’un snapshot ou de restauration à partir d’une copie
de sauvegarde.
Remarque : Pour renouveler le certificat basé sur l’ID d’hôte : une vérification
est effectuée toutes les 24 heures pour déterminer si le certificat basé sur l’ID
d’hôte NetBackup doit être renouvelé. Les certificats sont automatiquement
renouvelés 180 jours (6 mois) avant la date d’expiration.
Remarque : Vérifiez que l’horloge du serveur principal NetBackup et l’horloge

de l’opérateur NetBackup Kubernetes sont synchronisées. Pour plus de détails
sur les erreurs CheckClockSkew, consultez la section Implication du décalage
d’horaire sur la validité du certificat du Guide de sécurité et de chiffrement
NetBackup™.
Suppression du certificat du serveur principal de

l’opérateur Kubernetes
Vous pouvez supprimer un certificat d’un serveur principal si le serveur n’est pas
utilisé pour exécuter les opérations de sauvegarde et de restauration.
Pour supprimer le certificat du serveur principal de l’opérateur Kubernetes
1 Connectez-vous à l’interface utilisateur Web NetBackup et obtenez un ID d’hôte
pour le certificat à supprimer.
Pour obtenir l’ID d’hôte pour le certificat, consultez la section Affichage des
détails de certificat basé sur l’ID d’hôte du Guide de sécurité et de chiffrement
NetBackup™.
2 Créez un backupservercert avec une opération de suppression.
Le fichier nbca-remove-backupservercert.yaml ressemble à l’exemple
suivant :
metadata:
name: backupserver-nbca-domain.com
namespace: kops-ns
spec:
certificateOperation: Remove
nbcaAttributes:
nbcaRemoveOptions:
hostID: nbcahostID
■ Copiez le texte du fichier nbca-remove-backupservercert.yaml.

accessibles.
3 Pour créer le fichier nbca-remove-backupservercert.yaml, exécutez la

nbca-remove-backupservercert.yaml
4 Pour révoquer le certificat, consultez la section Révocation d’un certificat basé

sur l’ID d’hôte du Guide de sécurité et de chiffrement NetBackup™.
Remarque : Une fois que la commande nbca-remove-backupservercert.yaml

est appliquée, le certificat est supprimé du magasin de certificats local de
l’opérateur Kubernetes, mais reste présent et valide dans la base de données
NetBackup. Le certificat doit donc être révoqué.
Mise à jour des certificats du serveur principal

Le scénario suivant décrit une situation qui pourrait impliquer la mise à jour des
certificats, en supposant qu’ils soient lisibles et présents dans l’opérateur
Kubernetes :
Lorsque les certificats présents sur l’opérateur NetBackup Kubernetes sont
révoqués, ils peuvent être renouvelés par le biais d’une opération de mise à jour.
Pour résoudre ce problème, vous pouvez mettre à jour ou supprimer le certificat
du serveur, puis en créer un nouveau.
Remarque : Si l’opération de mise à jour du certificat échoue, vous devez d’abord

supprimer le certificat, puis en créer un nouveau.
Pour mettre à jour un certificat du serveur principal sur l’opérateur

Kubernetes :
1 Créez un objet backupservercert avec l’opération de mise à jour :
Le fichier nbca-update-backupservercert.yaml ressemble à l’exemple
suivant :
metadata:
name: backupserver-nbca-update
namespace:kops-ns
spec:
certificateOperation: Update
nbcaAttributes:
nbcaUpdateOptions:
secretName: "Name of secret containing
token and fingerprint"
force: true
■ Copiez le texte du fichier nbca-update-backupservercert.yaml.

accessibles.
2 Pour créer le fichier nbca-update-backupservercert.yaml, exécutez la

nbca-update-backupservercert.yaml
3 Une fois l’objet backupservercert créé, vérifiez l’état de la ressource

personnalisée.
Exécution d’opérations de certificat d’autorité de

certification externe
Avant d’effectuer des opérations de création, de mise à jour et de suppression
d’autorité de certification externe (ECA), vous devez configurer le serveur de
sauvegarde en mode ECA.
Pour vérifier que le mode ECA est activé, exécutez la commande suivante :
/usr/openv/netbackup/bin/nbcertcmd -getSecConfig -caUsage
NBCA: ON
ECA: ON
Pour configurer le serveur de sauvegarde en mode ECA, consultez la section À

propos de la prise en charge d’une autorité de certification externe dans NetBackup
du Guide de sécurité et de chiffrement NetBackup™
La spécification du certificat d’autorité de certification externe ressemble à l’exemple
suivant :
metadata:
name: backupservercert-sample-eca
namespace: kops-ns
spec:
backupServer: primaryserver.sample.domain.com
certificateType: ECA
ecaAttributes:
ecaCreateOptions:
ecaSecretName: "Secret name consists of cert, key, passphrase, cacert"
copyCertsFromSecret: true | false
isKeyEncrypted: true | false
ecaUpdateOptions:
ecaCrlRefreshHours: range[0,4380]
Tableau 3-2 Opérations de certificat d’autorité de certification externe
Créer ■ secretName : nom du secret qui contient le certificat, la clé,

la phrase de passe et le fichier cacert.
■ copyCertsFromSecret : les valeurs possibles sont true et
false. Cette option est ajoutée, car l’autorité de certification
externe est commune à tous les serveurs principaux. Les
mêmes certificats peuvent être inscrits sur l’opérateur
Kubernetes pour tous les serveurs principaux.
Il n’est donc pas nécessaire de copier les certificats et les
clés à chaque fois. Cette option permet de contrôler la copie
des certificats et des clés.
Si ECAHealthCheck échoue en raison d’un problème lié
aux certificats et aux clés, les certificats doivent être à
nouveau copiés.
■ isKeyEncrypted : si la clé privée est chiffrée, définissez ce
champ sur true, sinon définissez-le sur false.
Supprimer N/A
Mettre à jour ■ ecaCrlCheck : permet de spécifier le niveau de contrôle de

la révocation pour les certificats externes.
Les valeurs possibles sont DISABLE, LEAF et CHAIN.
■ L’option ecaCrlRefreshHours spécifie l’intervalle de temps
en heures pour le téléchargement des listes de révocation
des certifications.
Plage de valeurs possibles : 0–4380
Création d’un certificat signé par une autorité de

NetBackup prend en charge une l’utilisation d’une autorité de certification externe
enregistrée auprès de l’opérateur Kubernetes par plusieurs serveurs principaux.
Si l’autorité de certification externe est commune aux serveurs principaux, l’utilisation
du point de distribution de la liste de révocation des certifications est obligatoire
pour récupérer la liste dynamiquement pendant la communication.
Pour créer un certificat signé par une autorité de certification externe
1 Pour récupérer la liste de révocation des certifications, utilisez son point de
distribution.
2 Conservez la chaîne de certification signée par une autorité de certification
externe, la clé privée et la phrase de passe (si nécessaire) dans votre répertoire
d’origine.
3 Identifiez les différents formats (par exemple, DER, PEM, etc.) pris en charge
pour chacun des fichiers mentionnés à l’étape 2. Pour plus d’informations,
consultez la section des Options de configuration pour les certificats signés
par une autorité de certification externe du Guide de sécurité et de chiffrement
NetBackup™.
4 Créez un secret à l’aide des fichiers mentionnés à l’étape 3.
■ Pour créer un secret si la clé privée n’est pas chiffrée, exécutez la
commande suivante : kubectl create secret generic <Name of
secret>
--from-file=cert_chain=<File path to ECA signed certificate
chain> --from-file=key=<File path to private key>
--from-file=cacert=<File path to External CA certificate> -n
<Namespace where kops is deployed>
■ Pour créer un secret si la clé privée est chiffrée, exécutez la commande

suivante : kubectl create secret generic <Name of secret>
--from-file=cert_chain=<File path to ECA signed certificate
chain> --from-file=key=<File path to private key>
--from-file=cacert=<File path to External CA certificate>
--from-file=passphrase=<File path to passphrase
of encrypted private key> -n <Namespace where kops is deployed>
La structure de répertoires ressemble à l’exemple suivant :
├── cert_chain.pem
├── private
| |___key.pem
| |___passphrase.txt
|___trusted
|__cacerts.pem
cert_chain.pem est une chaîne de certification signée par une autorité de

private/key.pem est une clé privée
private/passphrase.txt est la phrase de passe pour la clé privée
trusted/cacerts.pem est un certificat d’autorité de certification externe
■ Pour créer un secret nommé eca-secret si la clé privée n’est pas chiffrée,
exécutez la commande suivante :
kubectl create secret generic
eca-secret--from-file=cert_chain=cert_chain.pem
--from-file=key=private/key.pem
--from-file=cacert=trusted/cacerts.pem -n kops-ns
■ Pour créer un secret nommé eca-secret si la clé privée est chiffrée, exécutez
la commande suivante :
kubectl create secret generic eca-secret
--from-file=cert_chain=cert_chain.pem
--from-file=key=private/key.pem
--from-file=cacert=trusted/cacerts.pem
--from- file=passphrase=private/passphrase.txt
-n kops-ns
5 Une fois le secret créé, créez une ressource personnalisée d’objet

backupservercert.
Le fichier eca-create-backupservercert.yaml ressemble à l’exemple suivant :
metadata:
name: backupservercert-eca-create
namespace: kops-ns
spec:
certificateOperation: Create
ecaAttributes:
ecaCreateOptions:
ecaSecretName: eca-secret
copyCertsFromSecret: true
isKeyEncrypted: false
■ Copiez le texte du fichier eca-create-backupservercert.yaml.

accessibles.
6 Pour copier le certificat et les clés sur l’opérateur Kubernetes, effectuez l’une
des opérations suivantes :
■ Définissez copyCertsFromSecret sur true.
■ Définissez copyCertsFromSecret sur false pour éviter de copier les

certificats et les clés existants sur l’opérateur Kubernetes.
Remarque : L’autorité de certification externe est commune à tous les serveurs

principaux. L’opérateur Kubernetes requiert donc un ensemble de certificats
et de clés pouvant être inscrits auprès de tous les serveurs principaux en
fonction des besoins. Il n’est pas nécessaire de copier les certificats et les clés
à chaque fois, sauf en cas de problème avec les certificats et clés copiés
précédemment.
Remarque : Si ecaHealthCheck échoue pour une raison quelconque liée aux

certificats et aux clés (autorité de certification externe endommagée, arrivée
à expiration ou modifiée), identifiez la raison de l’échec et effectuez une copie
d’un certificat valide à l’aide d’un indicateur.
7 Si la clé privée est chiffrée, définissez l’indicateur isKeyEncrypted sur true ou

false pour la clé non chiffrée. Assurez-vous que la phrase de passe est fournie
dans le secret si la clé privée est chiffrée.
8 Définissez ecaSecretName avec le nom du secret créé dans le fichier
backupservercert.yaml à l’étape 5.
9 Pour créer le fichier eca-create-backupservercert.yaml, exécutez la

eca-create-backupservercert.yaml
10 Une fois la ressource personnalisée backupservercert créée, vérifiez son

état.
11 Pour afficher les détails des certificats externes dans l’interface utilisateur Web
NetBackup, consultez la section Affichage des informations de certificats
externes pour les hôtes NetBackup dans le domaine du Guide de
l’administrateur de l’interface utilisateur Web NetBackup™.
Suppression d’un certificat signé par une autorité de

Vous pouvez supprimer le certificat signé par une autorité de certification externe
du serveur principal.
Pour supprimer un certificat signé par une autorité de certification externe
1 Créez un backupservercert avec une opération de suppression et en
définissant un certificat de type ECA.
Le fichier eca-remove-backupservercert.yaml ressemble à l’exemple suivant :
metadata:
name: backupservercert-eca-remove
namespace: kops-ns
spec:
certificateOperation: Remove
■ Copiez le texte du fichier eca-remove-backupservercert.yaml.

accessibles.
2 Pour créer le fichier eca-remove-backupservercert.yaml, exécutez la

eca-remove-backupservercert.yaml
3 Une fois l’objet créé, vérifiez l’état de la ressource personnalisée. En cas

d’échec, vous pouvez prendre les mesures nécessaires.
Cette procédure supprime du magasin de certificats local les informations du
certificat externe relatives au serveur principal spécifié. Le certificat n’est supprimé
ni du système ni de la base de données NetBackup.
Pour désactiver une autorité de certification externe, consultez la section
Désactivation d’une autorité de certification externe dans un domaine NetBackup
du Guide de sécurité et de chiffrement NetBackup™.
Si vous avez inscrit une autorité de certification externe sur l’opérateur Kubernetes
pour un serveur de sauvegarde, puis réinstallé le serveur de sauvegarde qui prend
uniquement en charge l’autorité de certification NetBackup, vous devez supprimer
l’inscription de l’autorité de certification externe à partir de l’opérateur Kubernetes,
car il est possible que la prise en charge de l’autorité de certification soit vérifiée
et qu’une erreur se produise en cas d’incohérence lors de la communication entre
nbcertcmd et le serveur de sauvegarde.
Mise à jour d’un certificat signé par une autorité de

Certaines options peuvent être configurées dans l’autorité de certification externe.
Vous pouvez configurer ces options à l’aide des opérations de mise à jour.
Pour mettre à jour un certificat signé par une autorité de certification externe
1 Créez un objet backupservercert avec une opération de type mise à jour.
Le fichier eca-update-backupservercert.yaml ressemble à l’exemple suivant :
metadata:
name: backupservercert-eca-update
namespace: kops-ns
spec:
certificateOperation: Update
ecaAttributes:
ecaUpdateOptions:
ecaCrlRefreshHours: [0,4380]
■ Copiez le texte du fichier eca-update-backupservercert.yaml.

accessibles.
2 Pour créer le fichier eca-update-backupservercert.yaml, exécutez la

eca-update-backupservercert.yaml
3 L’option ECA_CRL_CHECK permet de spécifier le niveau de contrôle de

révocation pour les certificats externes de l’hôte. Elle permet également de
désactiver le contrôle de révocation des certificats externes. En fonction du
contrôle, l’état de révocation du certificat est validé à l’aide de la liste de
révocation des certifications (CRL) pendant la communication avec l’hôte. Pour
plus d’informations, consultez la section ECA_CRL_CHECK pour les serveurs
et les clients NetBackup du Guide de sécurité et de chiffrement NetBackup™.
4 L’option ECA_CRL_REFRESH_HOURS spécifie l’intervalle de temps en heures
pour le téléchargement des listes CRL à partir des URL spécifiées dans les
points de distribution des listes de révocation des certifications (CDP) du
certificat de l’hôte homologue. Pour plus d’informations, consultez la section
ECA_CRL_REFRESH_HOURS pour les serveurs et les clients NetBackup du
Guide de sécurité et de chiffrement NetBackup™.
Identification des types de certificats

NetBackup vous permet d’identifier les types de certificats inscrits sur l’opérateur
Kubernetes.
Pour identifier le type de certificat
1 Pour répertorier les pods de l’opérateur Kubernetes, exécutez la commande
suivante : kubectl get pods -n <namespace of Kubernetes operator>
2 Connectez-vous à l’opérateur Kubernetes avec des droits d’administrateur et
exécutez la commande suivante :
kubectl exec pod/nbu-controller-manager-7c99fb8474-hzrsl -n
<namespace of Kubernetes operator> -c netbackupkops -it -- bash
3 Pour répertorier les serveurs de sauvegarde disposant d’un certificat de

l’autorité de certification NetBackup pour Kubernetes, exécutez la commande
suivante :
/nbcertcmdtool/nbcertcmdtool -atLibPath/nbcertcmdtool/
-standalone -installDir "/usr/openv" -listCertDetails -NBCA
Master Server : masterserver.sample.domain.com

Host ID : b06738f0-a8c1-47bf-8d95-3b9a41b7bb0a
Issued By : /CN=broker/OU=NBCANBKOps
Serial Number : 0x508cdf4500000008
Expiry Date : Dec 22 05:46:32 2022 GMT
SHA-1 Fingerprint : 4D:7A:D9:B9:61:4E:93:29:B8:93:0B:E0:
07:0A:28:16:46:F6:39:C6
SHA-256 Fingerprint : C2:FA:AC:B5:21:6B:63:49:30:AC:4D:5E:
61:09:9A:8C:C6:40:4A:44:B6:39:7E:2B:B3:36:DE:D8:F5:D1:3D:EF
Key Strength : 2048
Subject Key Identifier : AC:C4:EF:40:7D:8D:45:B4:F1:89:DA:FB:
E7:FD:0F:FD:EC:61:12:C6
Authority Key Identifier : 01:08:CA:40:15:81:75:7B:37:9F:51:78:
B2:6A:89:A1:44:2D:82:2B
4 Pour répertorier les serveurs de sauvegarde disposant d’un certificat d’une

autorité de certification externe pour Kubernetes, exécutez la commande
suivante :
/nbcertcmdtool/nbcertcmdtool -atLibPath/nbcertcmdtool/
-standalone -installDir"/usr/openv" -listCertDetails -ECA
Subject Name : CN=ECA-KOPS,O=Veritas,OU=ECANBKOps

Issued By : CN=ICA-2,O=Veritas,OU=ECANBKOps
Serial Number : 0x56cf16040258d3654339b7f39817de89240d58
Expiry Date : Dec 16 05:48:16 2022 GMT
SHA-1 Fingerprint : 70:DE:46:72:57:56:4E:47:DB:82:8B:8D:A3:
4B:BB:F9:8D:2C:B7:8E
SHA-256 Fingerprint : E0:69:5F:79:A6:60:DB:7B:69:76:D3:A8:
E6:E1:F2:0D:8C:6C:E6:4E:C4:5D:A4:77:17:5A:C2:42:89:74:15:7D
Key Strength : 2048
Subject Key Identifier : F0:E7:1F:8C:50:FD:4D:25:40:69:77:6C:
2A:35:72:B6:1D:8E:E5:17
Authority Key Identifier : D7:53:57:C7:A6:72:E3:CB:73:BD:48:51:
2F:CB:98:A3:0B:8B:BA:5C
Master Server : masterserver.sample.domain.com
Host ID : b85ba9bf-02a8-439e-b787-ed52589c37d1
Chapitre 4
Gestion des biens
Kubernetes
■ Ajout d’un cluster Kubernetes
■ Définition des paramètres
■ Ajout de biens à un plan de protection
Ajout d’un cluster Kubernetes

Avant d’ajouter un cluster Kubernetes dans NetBackup, vous devez installer et
configurer l’opérateur Kubernetes dans le cluster. Sinon, la validation du cluster
échoue, ce qui entraîne l’échec de l’opération d’ajout de cluster.
Une fois l’opérateur Kubernetes configuré, vous pourrez ajouter des clusters
Kubernetes dans NetBackup et découvrir automatiquement tous les biens présents
dans le cluster.
Pour ajouter un cluster
1 Dans la partie gauche, cliquez sur Kubernetes, sous Charges de travail.
2 Cliquez sur l’onglet Clusters Kubernetes, puis sur Ajouter.
3 Sur la page Ajouter un cluster Kubernetes, entrez ce qui suit :
■ Nom du cluster : entrez un nom pour le cluster. Il doit s’agit d’une
valeur DNS pouvant être résolue ou d’une adresse IP. Exemple :
cluster.sample.domain.com.
■ Port : entrez le numéro de port du serveur d’API Kubernetes.
Gestion des biens Kubernetes 68
Ajout d’un cluster Kubernetes
■ Espace de noms du contrôleur : entrez l’espace de noms dans lequel

l’opérateur Kubernetes NetBackup est déployé dans le cluster Kubernetes.
Exemple : kops-ns.
4 Cliquez sur Suivant. Sur la page Gérer les informations d’authentification,

vous pouvez ajouter des informations d’authentification au cluster.
■ Pour utiliser des informations d’authentification existantes, choisissez
Sélectionner parmi les informations d’authentification existantes et
cliquez sur Suivant. Sur la page suivante, sélectionnez les informations
d’authentification requises, puis cliquez sur Suivant.
■ Pour créer des informations d’authentification, cliquez sur Ajouter des
informations d’authentification et cliquez sur Suivant. Sur la page Gérer
les informations d’authentification, entrez ce qui suit :
■ Nom des informations d’authentification : entrez un nom pour les
informations d’authentification.
■ Étiquette : entrez une étiquette à associer aux informations
d’authentification.
■ Description : entrez une description des informations d’authentification.
■ Pour ajouter des clusters Kubernetes dans NetBackup, vous devez
disposer d’un certificat de l’autorité de certification et d’un jeton. Le
certificat de l’autorité de certification et un jeton du compte de service
de sauvegarde sont requis pour l’autorisation et l’authentification du
cluster Kubernetes. Pour obtenir le certificat de l’autorité de certification
et le jeton, exécutez la commande suivante dans le cluster Kubernetes :
kubectl get secret <[namespace-name]-backup-server-secret>
-n <namespace name> -o yaml..
■ Jeton : entrez la valeur du jeton d’authentification codée au format

Base64.
■ Certificat de l’autorité de certification : entrez le contenu du fichier
de certificats de l’autorité de certification.
5 Cliquez sur Suivant.

Les informations d’authentification sont validées et, une fois la validation
réussie, le cluster est ajouté. Après l’ajout du cluster, la découverte automatique
s’exécute pour découvrir les biens disponibles dans le cluster.
Remarque : Dans NetBackup Kubernetes version 10.1, l’opération de modification

du cluster échoue et un message d’erreur s’affiche. Pour résoudre ce problème, il
est recommandé de supprimer le cluster, puis de l’ajouter à nouveau.
Définition des paramètres

Les paramètres Kubernetes permettent de configurer les différents aspects du
déploiement de Kubernetes.
Modification des limites de ressource pour les types de

ressources Kubernetes
À propos des paramètres de limite de ressource
Ce paramètre permet de contrôler le nombre de sauvegardes qui peuvent être
effectuées simultanément sur des clusters Kubernetes. Kubernetes comprend deux
valeurs par défaut différentes pour exécuter les travaux de snapshot et de
sauvegarde à partir d’un snapshot : 1 et 4 respectivement.
Exemples :
Dans le cadre de l’exécution d’un travail de sauvegarde à partir d’un snapshot
uniquement, si vous protégez 20 biens et que cette limite est définie sur 5, seuls
5 biens peuvent être sauvegardés simultanément. Les 15 autres sont placés en
file d’attente. Dès que la sauvegarde de l’un des 5 premiers biens se termine, un
autre bien de la file d’attente est sauvegardé.
Pour exécuter un travail de snapshot, la valeur par défaut de cette limite de
ressource est 1, ce qui signifie qu’un seul travail de sauvegarde par cluster peut
être en cours et que les autres biens sont mis en file d’attente.
Ce paramètre est recommandé pour optimiser l’utilisation de vos ressources réseau
et système. Les paramètres s’appliquent à toutes les sauvegardes Kubernetes pour
le serveur principal sélectionné.
Pour définir la limite de ressource
1 Dans la partie gauche, cliquez sur Charges de travail > Kubernetes.
2 Dans la partie supérieure droite, cliquez sur Paramètres Kubernetes > Limites
des ressources.
3 Effectuez l’une des opérations suivantes pour définir les limites de ressource :
■ Cliquez sur Modifier, près de Travaux de sauvegarde par cluster
Kubernetes. La limite par défaut est de 1.
Par défaut, la limite de ressource est de 1 travail de sauvegarde par cluster.
■ Cliquez sur Modifier, en regard de Travaux de sauvegarde à partir d’un
snapshot par cluster Kubernetes.
Par défaut, la limite de ressource est de 4 travaux de sauvegarde à partir

d’un snapshot par cluster.
4 Dans la boîte de dialogue Modifier le cluster Kubernetes :

■ Saisissez une valeur dans le champ Global pour définir la limite globale
de tous les clusters. Cette limite définit le nombre de travaux de sauvegarde
et de sauvegarde à partir d’un snapshot qui peuvent s’exécuter
simultanément sur un cluster.
■ Vous pouvez ajouter des limites spécifiques à un cluster afin de remplacer
sa limite globale. Pour définir des limites individuelles, cliquez sur Ajouter.
■ Vous pouvez sélectionner le cluster disponible dans la liste, puis saisir une
valeur de limite pour le cluster sélectionné. Vous pouvez ajouter des limites
pour chaque cluster disponible dans votre déploiement.
■ Cliquez sur Enregistrer pour conserver les modifications.
Remarque : Dans NetBackup 10.0, les pods du datamover dépassent les limites
de ressource Kubernetes définies.
Se reporter à "Pods du datamover dépassant la limite de ressource Kubernetes "
à la page 118.
Configuration de la fréquence de découverte automatique

La découverte automatique permet de comptabiliser les biens protégés par
NetBackup sur vos clusters. Ce paramètre permet de définir la fréquence à laquelle
NetBackup exécute la découverte automatique pour localiser les nouveaux biens
de vos clusters. Nombre de biens retirés ou supprimés des clusters.
Les valeurs possibles vont de 5 minutes à 1 an. La valeur par défaut est de
30 minutes.
Pour définir la fréquence de découverte automatique
1 Sur la gauche, cliquez sur Charges de travail > Kubernetes.
2 En haut à droite, cliquez sur Paramètres Kubernetes > Découverte
automatique.
3 Cliquez sur Modifier, près de Fréquence.
4 Entrez le nombre d’heures d’intervalle de découverte automatique de
NetBackup. Cliquez sur Enregistrer.
Ajout de biens à un plan de protection
Exécution d’une découverte complète et incrémentielle

Une fois le cluster Kubernetes ajouté, le cycle de découverte automatique est
déclenché pour découvrir tous les biens disponibles sur le cluster Kubernetes. La
première découverte automatique du jour est une découverte complète et les
découvertes automatiques suivantes sont incrémentielles.
Pour exécuter une découverte
1 Sur la gauche, cliquez sur Charges de travail > Kubernetes.
2 Dans la liste de clusters Kubernetes, recherchez le nom du cluster. Cliquez
ensuite sur Actions > Découvrir maintenant.
Ici, la découverte incrémentielle récupère uniquement les biens NetBackup modifiés
dans le cluster depuis la dernière découverte. Par conséquent, la première
découverte est complète et les découvertes suivantes sont incrémentielles.
Configuration des autorisations

Les autorisations de gestion permettent d’assigner différents privilèges d’accès aux
rôles d’utilisateur. Pour plus d’informations, consultez le chapitre Gestion du contrôle
d’accès basé sur les rôles du Guide de l’administrateur de l’interface utilisateur
Web NetBackup.

L’onglet Espaces de noms (Charges de travail > Kubernetes) permet de surveiller
les biens de vos clusters Kubernetes, de vérifier leur état de protection et de protéger
facilement les biens qui ne le sont pas encore. Vous pouvez également réaliser
une sauvegarde rapide du bien grâce à la fonction Sauvegarder maintenant. Cette
fonction crée une sauvegarde ponctuelle du bien sélectionné sans affecter les
sauvegardes planifiées.
L’onglet Espaces de noms affiche tous les biens Kubernetes découverts et importés
qui peuvent être protégés par NetBackup. Cet onglet affiche les informations
suivantes :
■ Espaces de noms : nom affiché du bien.
■ Cluster : cluster auquel le bien appartient.
■ Protégé par : nom du plan de protection appliqué au bien.
■ Dernière sauvegarde réussie : date et heure de la dernière sauvegarde réussie
du bien.
Vous pouvez exécuter l’action suivante dans l’onglet Espaces de noms.
Pour protéger un bien non protégé

2 Sélectionnez cette option dans la ligne correspondant au bien. Cliquez sur
Ajouter la protection en haut à droite. Vous pouvez également cliquer sur le
menu Actions dans la ligne du bien et sélectionner Ajouter la protection.
3 Sélectionnez un plan de protection dans la liste, puis cliquez sur Suivant. Sur
la page suivante, cliquez sur Protéger.
Pour sauvegarder rapidement un bien
1 Sélectionnez l’option dans la ligne correspondant au bien, puis cliquez sur
Sauvegarder maintenant en haut à droite. Vous pouvez également cliquer
sur le menu Actions dans la ligne du bien, puis sur Sauvegarder maintenant.
2 Sur la page suivante,
■ Si vous sauvegardez un bien déjà protégé, sélectionnez un plan de
protection dans la liste des plans auxquels le bien est déjà abonné, puis
cliquez sur Démarrer la sauvegarde.
■ Si vous sauvegardez un bien qui n’est pas protégé, sélectionnez un plan
de protection dans la liste des plans disponibles pour ce bien, puis cliquez
sur Démarrer la sauvegarde.
Chapitre 5
Gestion des groupes
intelligents Kubernetes
■ À propos des groupes intelligents
■ Création d’un groupe intelligent
■ Suppression d'un groupe intelligent
■ Modification d’un groupe intelligent
À propos des groupes intelligents

Vous pouvez créer et protéger un groupe dynamique de biens en définissant des
groupes de biens intelligents à partir d'un ensemble de filtres appelés « requêtes ».
NetBackup sélectionne les espaces de noms Kubernetes en fonction des requêtes
et les ajoute au groupe. Un groupe intelligent reflète automatiquement les
modifications apportées dans l'environnement des biens, ce qui vous évite d'avoir
à vérifier manuellement la liste des biens du groupe lorsque des biens sont ajoutés
ou supprimés dans l'environnement.
Lorsque vous appliquez un plan de protection à un groupe intelligent, tous les biens
correspondant à la requête sont automatiquement protégés.
Remarque : Vous ne pouvez créer, mettre à jour ou supprimer des groupes

intelligents que si votre rôle dispose des autorisations RBAC nécessaires pour les
biens à gérer. L’administrateur de sécurité NetBackup peut vous accorder l’accès
à un type de bien (clusters, espaces de noms et groupes de machines virtuelles).
Consultez le guide de l'administrateur de l'interface utilisateur Web NetBackup.
Gestion des groupes intelligents Kubernetes 74
Création d’un groupe intelligent

Pour créer un groupe intelligent
1 Sur la gauche, cliquez sur Kubernetes, sous Charges de travail.
2 Cliquez sur l’onglet Groupes intelligents, puis cliquez sur + Ajouter.
3 Entrez un nom et une description pour le groupe.
4 Sous Clusters, cliquez sur Ajouter des clusters.
5 Dans la fenêtre Ajouter des clusters, sélectionnez un ou plusieurs clusters
dans la liste et cliquez sur Sélectionner. Les clusters sélectionnés sont ajoutés
au groupe intelligent.
Remarque : Un groupe intelligent peut être créé sur plusieurs clusters.

Assurez-vous de disposer des autorisations requises pour ajouter des clusters
au groupe. Pour afficher et gérer le groupe, l’administrateur de groupe doit
disposer des autorisations d’affichage et de gestion pour les clusters et les
groupes sélectionnés.
6 Dans la section Sélectionner des biens, effectuez l’une des actions suivantes :
■ Sélectionnez Inclure tous les biens.
Cette option utilise une requête par défaut pour sélectionner tous les biens
à sauvegarder lorsque le plan de protection s’exécute.
■ Pour sélectionner uniquement les biens qui répondent à des conditions
spécifiques, créez votre propre requête. Pour cela, cliquez sur Ajouter une
condition.
■ Pour ajouter des conditions d’étiquette pour les biens, cliquez sur Ajouter
une condition d’étiquette.
7 Pour ajouter une condition, utilisez les listes déroulantes afin de sélectionner
un mot-clé et un opérateur, puis entrez une valeur.
Pour modifier l’effet de la requête, cliquez sur + Condition et sur ET ou OU,
puis sélectionnez le mot-clé, l’opérateur et la valeur à utiliser dans la condition.
Remarque : Pour ajouter des conditions d’étiquettes, cliquez sur Ajouter une
condition d’étiquette et entrez la clé et la valeur de l’étiquette.
Remarque : Vous pouvez choisir de n’avoir qu’une clé d’étiquette dans cette
condition, et aucune valeur d’étiquette. La valeur est un paramètre facultatif
lors de l’ajout d’une condition d’étiquette.
Remarque : Pour ajouter une sous-requête, cliquez sur Ajouter une

sous-requête. Vous pouvez ajouter plusieurs sous-requêtes de niveau.
8 Pour tester la requête, cliquez sur Aperçu.

Le processus de sélection par requête est dynamique. Les modifications
apportées au cluster Kubernetes peuvent affecter les biens sélectionnés par
la requête lors de l’exécution du plan de protection. Par conséquent, les biens
que la requête sélectionne ultérieurement, lors de l’exécution du plan de
protection, peuvent différer de ceux qui figurent dans l’aperçu.
Remarque : Lorsque vous utilisez des requêtes dans les groupes intelligents,
l’interface utilisateur Web NetBackup risque de ne pas renvoyer la liste exacte
des biens correspondant à la requête si la condition indiquée comporte des
caractères n’appartenant pas à l’alphabet latin.
L’utilisation de la condition de filtre not equals sur l’un des attributs renvoie
les biens, y compris ceux qui n’ont aucune valeur (null) pour l’attribut.
Remarque : Lorsque vous cliquez sur Aperçu ou que vous enregistrez le

groupe, les options de requête sont traitées comme étant sensibles à la casse
quand les biens sont sélectionnés pour le groupe.
9 Pour enregistrer le groupe sans l’ajouter à un plan de protection, cliquez sur

Ajouter.
Suppression d'un groupe intelligent
10 Pour enregistrer le groupe et l’ajouter à un plan de protection, cliquez sur

Ajouter et protéger.
11 Pour abonner le groupe à un plan de protection, cliquez sur Ajouter une
protection.
Sélectionnez le groupe, puis appliquez-lui un plan de protection en cliquant
sur Protéger.
Le groupe de biens sélectionné est ainsi abonné au plan de protection.
Limitations lors de l’ajout de conditions d’étiquette aux

biens
En cas de combinaison de conditions et d’étiquettes, vous devez d’abord définir
une condition d’espace de noms, puis une condition d’étiquette.
Remarque : Pour les conditions, seule une valeur d’espace de noms est autorisée.
Suppression d'un groupe intelligent

Pour supprimer un groupe intelligent
2 Recherchez le groupe dans l’onglet Groupes intelligents.
3 Si le groupe n’est pas protégé, sélectionnez-le et cliquez sur Supprimer.
4 Si le groupe est protégé, sélectionnez-le, puis cliquez sur Supprimer la
protection pour supprimer tous les plans de protection.
5 Sélectionnez ensuite ce groupe dans l'onglet Groupes intelligents, puis cliquez
sur Supprimer.
Modification d’un groupe intelligent

Vous pouvez modifier le nom et la description d’un groupe intelligent. Vous pouvez
modifier certains paramètres d'un plan de protection, notamment les fenêtres de
sauvegarde de planifications et d'autres options.
Pour modifier un groupe intelligent
2 Dans l’onglet Groupes intelligents, cliquez sur le groupe dont vous souhaitez
modifier la protection.
3 Effectuez l'une des opérations suivantes :
Modification d’un groupe intelligent
■ Cliquez sur Modifier le nom et la description pour modifier le nom et la

description du groupe sélectionné, puis cliquez sur Enregistrer.
■ Dans l’onglet Biens, cliquez sur Modifier pour ajouter ou supprimer le
cluster. Vous pouvez mettre à jour la condition de requête pour le bien
sélectionné, puis cliquer sur Enregistrer.
Vous pouvez modifier la liste de clusters dans le groupe et supprimer les
clusters du groupe. Vous pouvez également modifier la condition de requête
pour le groupe de biens sélectionné.
■ Dans l’onglet Autorisations, cliquez sur Ajouter pour mettre à jour les
autorisations pour les rôles disponibles, puis cliquez sur Enregistrer.
Chapitre 6
Protection des biens
Kubernetes
■ Protection d'un groupe intelligent
■ Suppression de la protection d'un groupe intelligent
■ Configuration d’une planification de sauvegarde
■ Configuration des options de sauvegardes
■ Configuration des sauvegardes
■ Configuration d’AIR (Auto Image Replication) et de la duplication
■ Configuration des unités de stockage
■ Prise en charge du mode volume
■ Configuration d’une sauvegarde cohérente au niveau application
Protection d'un groupe intelligent

Vous pouvez créer les plans de protection spécifiques à Kubernetes pour vos
charges de travail Kubernetes. Vous pouvez ensuite abonner un groupe intelligent
à un plan de protection.
Utilisez la procédure suivante pour abonner un groupe intelligent à un plan de
protection.
Remarque : Le rôle RBAC qui vous est assigné doit vous permettre d’accéder aux
groupes intelligents à gérer et aux plans de protection à utiliser.
Protection des biens Kubernetes 79
Suppression de la protection d'un groupe intelligent
Pour protéger un groupe intelligent

1 Dans la partie gauche, cliquez sur Kubernetes.
2 Dans l'onglet Groupes intelligents, cochez la case des groupes, puis cliquez
sur Ajouter la protection.
3 Sélectionnez un plan de protection, puis cliquez sur Suivant.
4 Sélectionnez un groupe et cliquez sur Protéger pour l'abonner à un plan de
protection.
Option « Sauvegarder maintenant » pour la protection

immédiate
Outre les plans de protection planifiés, vous pouvez utiliser l'option Sauvegarder
maintenant pour sauvegarder immédiatement un groupe et le protéger contre toute
circonstance imprévue.
Suppression de la protection d'un groupe

intelligent
Vous pouvez désabonner un groupe intelligent d'un plan de protection. Lorsqu'un
groupe intelligent est désabonné d'un plan de protection, les sauvegardes ne sont
plus effectuées.
Pour supprimer la protection d'un groupe intelligent
2 Dans l’onglet Groupes intelligents, cliquez sur le groupe dont vous souhaitez
supprimer la protection.
3 Cliquez sur Supprimer la protection > Oui.
Configuration d’une planification de sauvegarde

Vous pouvez ajouter une planification de sauvegarde dans l’onglet Attributs de la
boîte de dialogue Ajouter une planification de sauvegarde lors de la création
d’un plan de protection pour les charges de travail Kubernetes.
Consultez la section Gestion des plans de protection du Guide de l’administrateur
de l’interface utilisateur Web NetBackup pour plus de détails sur la création d’un
plan de protection.
Configuration d’une planification de sauvegarde
Pour ajouter une planification de sauvegarde pour le travail de sauvegarde

Kubernetes
1 Sur la gauche, cliquez sur Protection > Plans de protection, puis sur Ajouter.
2 Dans Propriétés de base, entrez un nom et une description, puis sélectionnez
Kubernetes dans la liste déroulante charge de travail.
3 Cliquez sur Suivant. Dans Planifications, cliquez sur Ajouter une
planification.
Dans l'onglet Ajouter une planification de sauvegarde, vous pouvez
configurer les options de conservation de la sauvegarde et du snapshot.
4 Dans la liste déroulante Récurrence, spécifiez la fréquence de la sauvegarde.
5 Dans les options Copie de snapshot et de sauvegarde, effectuez l’une des
actions suivantes :
■ Sélectionnez l’option Créer une sauvegarde à partir du snapshot pour
configurer la sauvegarde à partir du snapshot pour le plan de protection.
Spécifiez la période de conservation de la sauvegarde à l’aide de la liste
déroulante Conserver la sauvegarde pendant.
Remarque : Seules les planifications de sauvegardes complètes sont prises

en charge sur les charges de travail Kubernetes. Vous pouvez définir la
durée de conservation des sauvegarde en heures, jours, semaines, mois
et années.
Par défaut, la durée de conservation des sauvegardes est de quatre
semaines.
Remarque : Vous devez sélectionner l’option Créer une sauvegarde à

partir du snapshot pour activer les options de réplication et de duplication
pour la copie de sauvegarde.
■ Si vous ne sélectionnez pas l’option Créer une sauvegarde à partir du

snapshot, la sauvegarde Stockage de snapshot uniquement sera
configurée par défaut pour exécuter les travaux de sauvegarde.
■ Sélectionnez l’option Créer une copie de réplique
(Auto Image Replication) de la sauvegarde à partir du snapshot pour
créer une copie de réplique de la sauvegarde.
■ Sélectionnez l’option Créer une copie dupliquée de la sauvegarde à
partir du snapshot pour créer une copie dupliquée de la sauvegarde.
Configuration des options de sauvegardes
6 Poursuivez la création de la planification dans l’onglet Fenêtre de démarrage,

comme décrit dans la section Gestion des plans de protection du Guide de
l’administrateur de l’interface utilisateur Web NetBackup.
7 Poursuivez la configuration des options de stockage pour la sauvegarde à
partir d’un snapshot, comme décrit dans la section Gestion des plans de
protection du Guide de l’administrateur de l’interface utilisateur Web NetBackup.
Configuration des options de sauvegardes

Vous pouvez configurer des options de sauvegarde pour un plan de protection.
Consultez la section Gestion des plans de protection du Guide de l’administrateur
de l’interface utilisateur Web NetBackup pour plus de détails sur la création d’un
plan de protection.
Pour configurer les options de sauvegarde lors de la configuration d’un plan
de protection
1 Sur la page Options de sauvegarde, sous la section Sélection du type de
ressource,
■ Par défaut, l’option Inclure tous les types de ressources dans la
sauvegarde est sélectionnée afin d’inclure tous les types de ressource
pour le travail de sauvegarde.
■ Sélectionnez l’option Exclure les types de ressources suivants de la
sauvegarde pour exclure les types de ressources du travail de sauvegarde.
Cliquez sur Sélectionner pour choisir les types de ressources dans la liste
statique. Les types de ressources sélectionnés sont affichés dans le champ
de texte, mais vous pouvez également entrer manuellement la définition
de ressource personnalisée (CRD) au format approprié (type.group). Vous
pouvez supprimer les types de ressources sélectionnés de la liste
d’exclusion.
Dans ce cas, si les définitions de types de ressources personnalisées ne
figurent pas dans la liste statique, vous pouvez entrer manuellement une
définition de ressource personnalisée (CRD). Par exemple : demo.nbu.com.
Remarque : La liste d’exclusion de types de ressources est prioritaire en ce

qui concerne le mappage des ressources avec les étiquettes sélectionnées
pour la sauvegarde.
2 Dans la section Sélection des étiquettes, cliquez sur Ajouter pour ajouter
les étiquettes afin de mapper les ressources associées pour la sauvegarde.
Entrez ensuite le préfixe et la clé d’étiquette, puis sélectionnez un opérateur.
Configuration des sauvegardes
Toutes les ressources associées des étiquettes incluses sont mappées pour
le travail de sauvegarde.
Les quatre opérateurs que vous pouvez ajouter à une étiquette sont les
suivants :
■ Entrez une clé d’étiquette correspondant à une valeur.
■ Entrez une clé d’étiquette existante, sans aucune valeur.
■ Entrez une clé d’étiquette qui se trouve dans un ensemble de valeurs.
■ Entrez une clé d’étiquette qui ne se trouve pas dans un ensemble de
valeurs.
Vous pouvez ajouter plusieurs valeurs pour les opérateurs appartenant ou non
à un ensemble de valeurs, en les séparant par des virgules.
Remarque : L’application des conditions nécessite la présence des étiquettes

sélectionnées lors de la sauvegarde.
Remarque : N’importe quel type de ressource peut être sélectionné lors de la

sélection d’étiquette, sous réserve que cela n’entraîne aucun conflit entre
plusieurs conditions d’étiquettes.
La page de vérification affiche la liste des types de ressources exclus, les étiquettes
sélectionnées pour les inclusions et les unités de stockage sélectionnées.
Remarque : Vous pouvez modifier ou supprimer le plan de protection créé pour

les charges de travail Kubernetes.
Vous ne pouvez pas personnaliser le plan de protection créé pour les charges de
travail Kubernetes.

NetBackup vous permet d’exécuter deux types de travaux de sauvegarde dans la
charge de travail Kubernetes : snapshots uniquement et sauvegarde à partir d’un
snapshot. Pour configurer un travail de sauvegarde pour l’opérateur Kubernetes,
procédez comme suit.
Pour effectuer une sauvegarde sur la charge de travail Kubernetes

1 Sur la gauche, cliquez sur Protection > Plans de protection, puis sur Ajouter.
2 Dans Propriétés de base, entrez un nom et une description, puis sélectionnez
Kubernetes dans la liste déroulante charge de travail.
3 Cliquez sur Suivant. Dans Planifications, cliquez sur Ajouter une
planification.
Dans l’onglet Ajouter une planification de sauvegarde, vous pouvez
configurer les options de conservation de la sauvegarde et du snapshot.
4 Dans la liste déroulante Récurrence, spécifiez la fréquence de la sauvegarde.
5 Dans les options Copie de snapshot et de sauvegarde, effectuez l’une des
actions suivantes :
■ Sélectionnez l’option Créer une sauvegarde à partir du snapshot pour
configurer la sauvegarde à partir du snapshot pour le plan de protection.
Spécifiez la période de conservation de la sauvegarde à partir d’un snapshot
à l’aide de la liste déroulante Conserver la sauvegarde pendant.
Remarque : Seules les planifications de sauvegardes complètes sont prises

en charge sur les charges de travail Kubernetes. Vous pouvez définir la
durée de conservation des sauvegarde en heures, jours, semaines, mois
et années. Par défaut, la durée de conservation des sauvegardes est de
quatre semaines.
Remarque : Vous devez sélectionner l’option Créer une sauvegarde à

partir du snapshot pour activer les options de réplication et de duplication
pour la copie de sauvegarde.
■ Si vous ne sélectionnez pas l’option Créer une sauvegarde à partir du

snapshot, la sauvegarde Stockage de snapshot uniquement est
configurée par défaut pour exécuter les travaux de sauvegarde.
■ Sélectionnez l’option Créer une copie de réplique (Auto Image
Replication) de la sauvegarde à partir du snapshot pour créer une copie
de réplique de la sauvegarde.
■ Sélectionnez l’option Créer une copie dupliquée de la sauvegarde à
partir du snapshot pour créer une copie dupliquée de la sauvegarde.
Configuration d’AIR (Auto Image Replication) et de la duplication

7 Poursuivez la configuration des options de stockage pour la sauvegarde à
partir d’un snapshot, comme décrit dans la section Gestion des plans de
protection du Guide de l’administrateur de l’interface utilisateur Web NetBackup.
■ Lors de la sélection d’un stockage pour l’option Sauvegarde depuis
snapshot, les serveurs de médias de l’unité de stockage sélectionnée
doivent exécuter NetBackup 10.0 ou une version ultérieure.
■ Le serveur de médias gérant le stockage doit avoir accès aux clusters
Kubernetes sélectionnés.
■ Le serveur de médias doit pouvoir se connecter au serveur d’API. Le port
correspondant au serveur d’API doit être ouvert pour la connexion sortante
à partir du serveur de médias. Le pod du datamover doit pouvoir se
connecter au serveur de médias.
Configuration d’AIR (Auto Image Replication) et

de la duplication
Les sauvegardes générées dans un domaine NetBackup peuvent être répliquées
dans le stockage appartenant à un ou plusieurs domaines cibles NetBackup. Ce
processus est appelé Auto Image Replication (AIR).
NetBackup Kubernetes prend en charge Auto Image Replication (AIR) à partir d’un
pool de déduplication du serveur de médias (MSDP) dans un domaine NetBackup
et à destination d’un pool de déduplication du serveur de médias appartenant à un
autre domaine. NetBackup utilise des politiques de cycle de vie du stockage (SLP)
dans le domaine source et le domaine cible pour gérer les opérations AIR.
Pour plus d’informations sur la configuration d’Auto Image Replication, consultez
le chapitre À propos de la réplication NetBackup dans le Guide de l’administrateur
NetBackup, Volume I.
Remarque : La configuration AIR pour Kubernetes requiert que le serveur principal

et les serveurs de médias NetBackup exécutent la version 10.0.1 ou une version
ultérieure.
Pour configurer AIR (Auto Image Replication) et la duplication pour les

sauvegardes Kubernetes
1 Configurez Auto Image Replication entre deux serveurs principaux NetBackup.
■ Établissez la relation de confiance entre deux serveurs principaux pour des

opérations interdomaines.
■ Connectez-vous au serveur principal source, à gauche, cliquez sur
Hôtes > Propriétés de l’hôte pour établir une connexion entre le serveur
principal source et le serveur principal cible.
■ Sélectionnez un serveur principal source. Le cas échéant, cliquez sur
Connecter. Puis, cliquez sur Modifier le serveur principal.
■ Cliquez sur Serveurs. Dans l’onglet Serveurs principaux approuvés,
cliquez sur Ajouter pour ajouter un serveur source.
■ Cliquez sur Valider l’autorité de certification, puis sur Suivant
pour procéder à la validation de l’autorité de certification.
■ Pour créer un serveur principal approuvé, sélectionnez l’une des
options suivantes :
■ Sélectionnez Spécifier le jeton d’authentification du serveur
principal approuvé pour ajouter un jeton existant ou créez un
jeton pour le serveur principal source.
■ Sélectionnez Spécifier les informations d’authentification du
serveur principal approuvé pour ajouter les informations
d’authentification utilisateur du serveur principal source.
■ Cliquez sur Créer une approbation.

La base de données pour les propriétés d’hôte est mise à jour.
■ Cliquez sur Enregistrer.
2 Configurez un stockage de pool de déduplication de serveurs de médias

(MSDP) dans le serveur principal source et ajoutez une cible de réplication
dans le pool de disques MSDP.
■ Sur le côté gauche, cliquez sur Stockage > Stockage sur disque.
■ Ajoutez un stockage et un pool de disques MSDP.
■ Cliquez sur l’onglet Pool de disques, puis sur Ajouter.
■ Sélectionnez un serveur principal approuvé et un serveur de stockage
cible.
■ Ajoutez les informations d’authentification de l’utilisateur pour le serveur
cible de réplication dans les champs Nom d’utilisateur et Mot de passe.
■ Cliquez sur Ajouter.
3 Créez une SLP avec l’opération Importer sur le serveur principal cible.
■ Sur la gauche, cliquez sur Stockage > Politiques de cycle de vie du

stockage. Puis, cliquez sur Ajouter.
■ Dans le champ Nom de la politique de cycle de vie du stockage, entrez
le nom de la politique, puis cliquez sur Ajouter.
■ Dans la liste Opération, sélectionnez Importer.
■ Dans la liste Stockage cible, sélectionnez une unité de stockage MSDP.
■ Cliquez sur Créer.
4 Créez un plan de protection Kubernetes avec l’option Créer une sauvegarde

à partir du snapshot pour activer l’option de réplication de copie.
Sur la gauche, cliquez sur Protection > Plans de protection. Dans l’onglet
Planifications, cliquez sur Ajouter une planification.
5 Dans la section des options de copie Options de snapshot et de sauvegarde,
sélectionnez l’option Créer une sauvegarde à partir du snapshot pour activer
les options de copie de réplication et de duplication.
6 Sélectionnez l’option Créer une copie de réplique (Auto Image Replication)
de la sauvegarde à partir du snapshot et spécifiez la durée de conservation
de la réplique.
Remarque : L’option Auto Image Replication ne peut être créée que sur les
serveurs principaux NetBackup approuvés.
7 Sélectionnez l’option Create a duplicate copy of the backup from snapshot

(Créer une copie de duplication de la sauvegarde à partir du snapshot) et
spécifiez la durée de conservation de la réplique.
8 Cliquez sur Ajouter.
Configuration des unités de stockage
11 Dans l’onglet Options de stockage, sélectionnez les unités de stockage pour

lesquelles créer des snapshots de sauvegarde, répliquer ou dupliquer les
données.
Remarque : Pour la sauvegarde à partir d’un snapshot et la duplication, vous

pouvez ajouter des unités de stockage simples. En revanche, pour la réplication,
vous devez ajouter une unité de stockage approuvée avec une politique de
cycle de vie du stockage d’importation (SLP).
12 À droite des options de sauvegarde sélectionnées, cliquez sur Modifier pour

modifier les unités de stockage sélectionnées à sauvegarder.
■ Pour l’option de copie de réplique, sélectionnez le serveur principal pour
la copie de réplication. Puis, cliquez sur Suivant.
■ Sélectionnez une politique de cycle de vie du stockage d’importation définie
sur le serveur approuvé, puis cliquez sur Utiliser la cible de réplication
sélectionnée.
13 Poursuivez les étapes de l’assistant.
Configuration des unités de stockage

Vous pouvez configurer tous les types d’unités de stockage pour les sauvegardes
dans un plan de protection.
Remarque : Tous les types de stockage pris en charge dans la politique de cycle
de vie du stockage (SLP) sont pris en charge pour les travaux de sauvegarde.
Pour configurer une unité de stockage pour les sauvegardes

1 Sur le côté gauche, cliquez sur Stockage > Unités de stockage.
2 Cliquez sur l’onglet Unités de stockage, puis sur Ajouter pour ajouter une
configuration d’unité de stockage.
3 Sélectionnez le type de stockage dans la liste.
4 Sélectionnez une catégorie, puis cliquez sur Démarrer.
5 Entrez le nom de l’unité de stockage dans le champ Nom.
6 Dans le champ Nombre maximal de travaux simultanés, choisissez le nombre
maximal de travaux de sauvegarde.
7 Dans le champ Taille maximale de fragment, choisissez la taille maximale
de fragment d’unité de stockage, puis cliquez sur Suivant.
Prise en charge du mode volume
8 Dans Pool de disques, sélectionnez le pool de disques à utiliser dans l’unité

de stockage, puis cliquez sur Suivant.
9 La colonne À la demande uniquement indique si l’unité de stockage est
exclusivement disponible à la demande. Une politique ou une planification doit
être explicitement configurée pour utiliser cette unité de stockage.
10 Dans l’onglet Serveur de médias, sélectionnez les serveurs de médias à
utiliser, puis cliquez sur Suivant. Vous pouvez faire en sorte que NetBackup
sélectionne votre serveur de médias automatiquement ou sélectionner ces
derniers manuellement à l’aide des boutons radio.
■ Tous les serveurs de médias doivent disposer de NetBackup 10.0 ou d’une
version ultérieure.
■ Tous les serveurs de médias gérant le stockage doivent avoir accès aux
clusters Kubernetes sélectionnés.
■ Le serveur de médias doit pouvoir se connecter au serveur d’API. Le port
correspondant au serveur d’API doit être ouvert pour la connexion sortante
à partir du serveur de médias. Le pod du datamover doit pouvoir se
connecter au serveur de médias.
11 Vérifiez la configuration de l’unité de stockage, puis cliquez sur Enregistrer.

12 Pour vérifier les détails d’une sauvegarde planifiée ou à exécution immédiate,
ouvrez l’onglet Moniteur d’activité et cliquez sur l’ID de travail pour afficher
les détails du travail de sauvegarde. En mode fichier, vous pouvez consulter
le nombre total de fichiers sauvegardés pour chaque image dans la section
Détails du travail.
Prise en charge du mode volume

NetBackup Kubernetes prend en charge les fonctions suivantes :
■ Sauvegarde et restauration des demandes de volume persistant (PVC) du
système de fichiers de mode et/ou du bloc pour les fournisseurs de CSI
(Container Storage Interface) qui prennent en charge les fonctions suivantes :
■ Fonction de snapshot de PVC
■ Provisionnement de volume PVC basé sur le système de fichiers réseau
(NFS) ou sur un autre stockage sans bloc
■ Provisionnement de volume PVC basé sur le stockage de bloc
Configuration d’une sauvegarde cohérente au niveau application
Remarque : La sauvegarde et la restauration d’un espace de noms avec des

volumes mixtes (VolumeMode : système de fichiers et bloc) sont désormais prises
en charge à partir de NetBackup 10.3.
Configuration d’une sauvegarde cohérente au

niveau application
Certains pods qui exécutent des applications, comme les bases de données,
nécessitent des procédures supplémentaires pour l’obtention de sauvegardes
cohérentes au niveau application.
Les sauvegardes cohérentes au niveau application requièrent un mécanisme pour
comprendre les métadonnées de l’application, leur état dans la mémoire et les
données persistantes qui résident sur le stockage persistant. Pour préserver
l’intégrité du système lors de la restauration, une sauvegarde cohérente au niveau
application de toutes ces ressources Kubernetes permet de rationaliser le processus
de récupération. Ces procédures ne sont pas requises si seule une sauvegarde
en mode cohérence d’incident est requise.
L’application comporte des étapes documentées par le fournisseur pour suspendre
les opérations d’entrée et de sortie (E/S) afin de créer un snapshot cohérent au
niveau application. Il est important de personnaliser ces procédures, car elles varient
d’une application à l’autre. Le contenu des procédures relève de la responsabilité
du client.
Pour protéger les charges de travail Kubernetes avec NetBackup, vous devez
appliquer des annotations de pod d’application utilisant des hooks de sauvegarde
pour obtenir des snapshots cohérents au niveau application. Les annotations
Kubernetes sont simplement des métadonnées qui peuvent être appliquées à toutes
les ressources Kubernetes. Les hooks Kubernetes sont des actions définies par
l’utilisateur qui peuvent correspondre à une ou plusieurs commandes. Dans votre
infrastructure Kubernetes, appliquez ces annotations et ces hooks à un pod
d’application à suspendre.
Les hooks de sauvegarde sont utilisés pour les traitements intervenant avant et
après la création d’un snapshot. Dans le contexte de la protection des données,
cela signifie généralement qu’un hook de présauvegarde NetBackup appelle une
procédure ou une commande de suspension, et que le hook de postsauvegarde
NetBackup appelle une procédure ou une commande de réactivation. Chaque jeu
de hooks spécifie la commande et le conteneur auxquels il est appliqué. Notez que
les commandes ne sont pas exécutées dans un shell sur les conteneurs. Les
exemples donnés utilisent donc une chaîne de commande complète avec le
répertoire.
Identifiez les applications qui nécessitent des sauvegardes cohérentes au niveau

application et appliquez l’annotation avec un jeu de hooks de sauvegarde lors de
la configuration de la protection des données Kubernetes.
Pour ajouter une annotation à un pod, utilisez l’interface utilisateur Kubernetes.
Vous pouvez également utiliser la fonction d’annotation kubectl sur la console du
cluster Kubernetes pour un pod ou une étiquette spécifique. Les méthodes
d’application des annotations peuvent varier selon la distribution. Les exemples
suivants s’appliquent à la commande kubectl, en fonction de sa disponibilité
étendue dans la plupart des distributions.
Il est également possible d’ajouter des annotations aux objets Kubernetes de base,
tels que les ressources de déploiement ou de jeu de répliques, pour garantir que
les annotations sont incluses dans tous les nouveaux pods déployés.
L’administrateur Kubernetes peut mettre à jour les annotations de façon dynamique.
Les étiquettes sont des paires clé-valeur liées aux objets Kubernetes tels que des
pods ou des services. Des étiquettes sont utilisées comme attributs pour les objets
importants et utiles pour l’utilisateur. Il est possible d’associer des étiquettes aux
objets lors de leur création et de les ajouter ou de les modifier par la suite à tout
moment. Kubernetes offre une prise en charge intégrée de ces étiquettes pour
interroger des objets et effectuer des opérations en blocs sur les sous-ensembles
sélectionnés. Chaque objet peut avoir un ensemble d’étiquettes valeur-clé définies.
Chaque clé doit être unique pour un objet donné.
Un exemple de formatage et de syntaxe des métadonnées d’étiquette est présenté
ci-dessous :
"metadata": {"labels": {"key1":"value1","key2":"value2"}}
Spécifiez le nom du pod ou bien une étiquette qui s’applique au groupe de pods
souhaité. Si plusieurs arguments d’annotation sont utilisés, spécifiez le format JSON
approprié (tableau JSON, par exemple) : ["item1","item2","itemn"]# kubectl
annotate pod [ {pod_name} | -l {label=value}] -n
{the-pods-namespace_name} [annotation syntax - see following]
Cette méthode peut être combinée à && pour associer plusieurs commandes si
certaines applications nécessitent plusieurs commandes pour obtenir le résultat
souhaité. Les commandes spécifiées ne sont pas fournies par Veritas et l’utilisateur
doit personnaliser manuellement le pod d’application. Remplacez {values} par les
noms utilisés dans votre environnement.
Remarque : Toutes les commandes kubectl doivent être définies sur une seule
ligne. Faites preuve de vigilance lorsque vous copiez ou collez les exemples
suivants.
Après la mise à niveau vers NetBackup 10.2, mettez à jour les annotations vers
ces nouveaux hooks de présauvegarde et de postsauvegarde NetBackup qui
incluent désormais le préfixe « netbackup » :
netbackup-pre.hook.back.velero.io/command
netbackup-pre.hook.backup.velero.io/container
netbackup-post.hook.back.velero.io/command
netbackup-post.hook.backup.velero.io/container
Exemple d’utilisation du nom de pod avec MongoDB

Les commandes suivantes permettent de verrouiller et déverrouiller une base de
données MongoDB 4.2.23 :
# mongo --eval "db. fsyncLock ()"
# mongo --eval "db.fsyncUnlock()"
Elles peuvent être intégrées à la commande unique suivante pour définir les hooks
de présauvegarde et de postsauvegarde pour MongoDB. Notez la syntaxe spéciale
pour l’échappement des caractères spéciaux, ainsi que les crochets ([]), les
guillemets simples et doubles et les virgules (,) utilisés dans le format JSON :
# kubectl annotate pod {mongodb-pod-name} -n {mongodb namespace}
netbackup-pre.hook.back.velero.io/command='["/bin/bash", "-c", "mongo
--eval \"db.fsyncLock()\""]'
netbackup-pre.hook.backup.velero.io/container={mongodb-pod-name}
netbackup-post.hook.backup.velero.io/command='["/bin/bash","-c","mongo
--eval \"db.fsyncUnlock()\""]'
netbackup-post.hook.backup.velero.io/container={mongodb-pod-name}
Exemple d’utilisation des étiquettes avec MySQL

Les commandes suivantes permettent de suspendre et de réactiver la base de
données MySQL :
# mysql -uroot -ppassword -e "flush tables with read lock"
# mysql -uroot -ppassword -e "unlock tables"
de présauvegarde et de postsauvegarde pour MySQL. Dans cet exemple, nous
avons utilisé une étiquette au lieu d’un nom de pod. L’étiquette peut ainsi annoter
plusieurs pods à la fois. Notez la syntaxe spéciale pour l’échappement des
caractères spéciaux, ainsi que les crochets ([]), les guillemets simples et doubles
et les virgules (,) utilisés dans le format JSON :
# kubectl annotate pod -l label=value -n {mysql namespace}
netbackup-pre.hook.backup.velero.io/command='["/bin/bash", "-c",
"mysql -uroot -ppassword -e \"flush tables with read lock\""]'

netbackup-pre.hook.backup.velero.io/container={mysql container name}
netbackup-post.hook.backup.velero.io/command='["/bin/bash", "-c",
"mysql -uroot -ppassword -e \"unlock tables\""]'
netbackup-post.hook.backup.velero.io/container={mysql container name}
Exemple d’utilisation d’étiquettes dans Postgres

données PostgreSQL :
# Psql -U postgres -c "SELECT pg_start_backup('tagvalue');"
# psql -U postgres -c \"SELECT pg_stop_backup();"
de présauvegarde et de postsauvegarde pour Postgres. Dans cet exemple, nous
avons utilisé une étiquette au lieu d’un nom de pod. L’étiquette peut ainsi annoter
plusieurs pods correspondants à la fois. Les étiquettes peuvent être appliquées à
n’importe quel objet Kubernetes. Dans ce cas, nous les utilisons pour modifier un
conteneur spécifique et sélectionner uniquement certains pods d’une façon
différente. Notez la syntaxe spéciale pour l’échappement des caractères spéciaux,
ainsi que les crochets ([]), les guillemets simples et doubles et les virgules (,) utilisés
dans le format JSON :
# kubectl annotate pod -l app=app-postgresql -n {postgres namespace}
"psql -U postgres -c \"SELECT
pg_start_backup(quote_literal($EPOCHSECONDS));\""]'
netbackup-pre.hook.backup.velero.io/container={postgres container
name} netbackup-post.hook.backup.velero.io/command='["/bin/bash",
"-c", "psql -U postgres -c \"SELECT pg_stop_backup();\""]'
netbackup-post.hook.backup.velero.io/container={postgres container
name}
Exemple d’application NGINX sans hook de conteneur

Les commandes suivantes permettent de suspendre et de réactiver l’application
Nginx :
# /sbin/fsfreeze --freeze /var/log/nginx
# /sbin/fsfreeze --unfreeze /var/log/nginx
de présauvegarde et de postsauvegarde pour NGINX. Dans cet exemple, les hooks
de conteneur sont omis, ce qui modifie le premier conteneur correspondant par
défaut au nom de pod. Notez la syntaxe spéciale pour l’échappement des caractères
spéciaux, ainsi que les crochets ([]), les guillemets simples et doubles et les virgules
(,) utilisés dans le format JSON :
# kubectl annotate pod {nginx-pod-name} -n {nginx namespace}
netbackup-pre.hook.backup.velero.io/command='["/sbin/fsfreeze",
"--freeze", "/var/log/nginx"]'
netbackup-post.hook.backup.velero.io/command='["/sbin/fsfreeze",
"--unfreeze", "/var/log/nginx"]'
Exemple avec Cassandra

données Cassandra :
# nodetool flush
# nodetool verify
de présauvegarde et de postsauvegarde pour Cassandra. Notez la syntaxe spéciale
pour l’échappement des caractères spéciaux, ainsi que les crochets ([]), les
guillemets simples (‘’) et doubles (“”) et les virgules (,) utilisés dans le format JSON :
# kubectl annotate pod {cassandra-pod} -n {Cassandra namespace}
"nodetool flush"]'
netbackup-pre.hook.backup.velero.io/container={cassandra-pod}
netbackup-post.hook.backup.velero.io/command='["/bin/bash", "-c",
"nodetool verify"]'
netbackup-post.hook.backup.velero.io/container={cassandra-pod}
Remarque : Les exemples sont fournis uniquement à titre indicatif, et les conditions
spécifiques à chaque charge de travail doivent inclure la collaboration entre les
administrateurs de sauvegardes, de charges de travail et les administrateurs
Kubernetes.
Actuellement, Kubernetes ne prend pas en charge les hooks d’erreur. Si la
commande spécifiée par l’utilisateur échoue, le snapshot de sauvegarde est
interrompu.
Le délai d’expiration par défaut après lequel la commande renvoie un état de sortie
est de 30 secondes. Vous pouvez modifier cette valeur en ajoutant les hooks
suivants comme annotations aux pods :
netbackup-pre.hook.backup.velero.io/timeout=#in-seconds#
netbackup-post.hook.backup.velero.io/timeout=#in-seconds#
Chapitre 7
Gestion des groupes
d’images
■ À propos des groupes d’images
À propos des groupes d’images

Pour chaque point de récupération Kubernetes, un groupe d’images est créé. Un
groupe d’images peut comprendre plusieurs images, selon le nombre de
revendications de volumes persistants éligibles dans un espace de noms.
Une image distincte est créée pour les métadonnées et une autre est créée pour
chaque revendication de volume persistant.
L’API de détails sur les points de récupération est utilisée pour obtenir des détails
sur tous les ID de sauvegarde, noms de ressource et états d’achèvement de copie
d’un groupe d’images.
Pour que l’opération de sauvegarde à partir d’un snapshot soit prise en charge sur
la charge de travail Kubernetes, plusieurs images de sauvegarde sont créées pour
exécuter la sauvegarde à partir d’un snapshot d’un seul espace de noms.
Pour l’opération de sauvegarde Kubernetes, une image de sauvegarde distincte
est créée pour chaque volume persistant. Certaines opérations (restauration,
suppression, importation, par exemple) nécessitent que toutes les images créées
soient regroupées.
Expiration d’image
Pour récupérer l’espace de stockage occupé par les images arrivées à expiration,
vous devez supprimer ces images.
Gestion des groupes d’images 95
Les points importants à connaître concernant l’expiration des images sont présentés
ci-dessous.
Pour un point de récupération composé de plusieurs images :
■ Le fait de faire expirer une image d’un groupe d’images n’entraîne pas
nécessairement l’expiration automatique des images restantes. Vous devez
explicitement faire expirer toutes les images du groupe d’images.
■ Si vous avez fait expirer plusieurs images, le point de récupération sera
incomplet. L’opération de restauration n’est pas prise en charge pour les points
de récupération incomplets.
■ Si vous avez modifié le délai d’expiration de l’une des images, le délai
d’expiration des images restantes doit être modifié. Sinon, le délai d’expiration
des images correspondant au point de récupération est faussé et le point de
récupération sera incomplet à un moment donné.
Importation d'image
Le point de récupération Kubernetes peut être composé de plusieurs images. Pour
que l’opération de restauration soit possible, toutes les images correspondant au
point de récupération doivent être importées. Dans le cas contraire, le point de
récupération est marqué comme incomplet et la restauration n’est pas effectuée.
Pour plus d’informations, consultez la section À propos de l’importation d’images
de sauvegarde du Guide de l’administrateur NetBackup™, volume I.
Copie d’image
Vous pouvez créer une copie d’image avec deux types d’opérations de sauvegarde :
1. Le snapshot est la copie par défaut et est marqué comme copie n° 1.
2. La sauvegarde à partir d’un snapshot est marquée comme copie n° 2.
Chaque fois qu’une opération de sauvegarde immédiate ou une sauvegarde planifiée
se déclenche, un snapshot est effectué. Cependant, la sauvegarde à partir d’un
snapshot est facultative, car elle dépend de la sélection ou non de l’option
Sauvegarder à partir du snapshot lors de la création d’un plan de protection.
Un groupe d’images se compose des images d’un bien pour les métadonnées et
les revendications de volume persistant (PVC). Chaque copie a une image pour
l’espace de noms et une image pour chaque PVC présente dans l’espace de noms.
L’API de détail des points de récupération est utilisée pour identifier l’état
d’achèvement de copie d’une image. Cette API détaille également tous les ID de
sauvegarde et noms de ressources présents dans la copie correspondante. L’état
complet ou incomplet de la copie d’image permet de restaurer la fonctionnalité, car
Gestion des groupes d’images 96
une erreur se produit en cas de tentative de restauration du bien à partir d’une

copie d’image incomplète.
Copie d’image incomplète

Une image est considérée comme incomplète dans les situations suivantes :
1. Lorsque le travail de snapshot ou de sauvegarde à partir d’un snapshot est en
cours, la copie correspondante est affichée comme incomplète.
2. Si l’activité de sauvegarde d’une PVC échoue, la copie est marquée comme
incomplète.
3. Si l’image enfant d’une copie expire (avec plus d’un enfant), la copie est
marquée comme incomplète.
Chapitre 8
Protection des clusters
gérés par Rancher dans
NetBackup
■ Ajout d’un cluster RKE géré par Rancher dans NetBackup à l’aide de la
configuration automatisée
■ Ajout manuel d'un cluster RKE géré par Rancher dans NetBackup
Ajout d’un cluster RKE géré par Rancher dans

NetBackup à l’aide de la configuration
automatisée
Pour ajouter un cluster RKE géré par Rancher dans NetBackup à l’aide de la
configuration automatisée, procédez comme suit.
Pour ajouter un cluster RKE géré par Rancher dans NetBackup à l’aide de la
configuration automatisée
Remarque : Extrayez le certificat du serveur Global Rancher Management. Il peut

s’agir du certificat de l’autorité de certification généré par défaut par Rancher ou
configuré à l’aide d’une autorité de certification différente/externe lors de la création
des serveurs de gestion.
Protection des clusters gérés par Rancher dans NetBackup 98
Ajout d’un cluster RKE géré par Rancher dans NetBackup à l’aide de la configuration automatisée
1 Pour extraire le certificat de l’autorité de certification, accédez à l’interface

utilisateur du serveur de gestion Rancher, ouvrez le volet gauche Global
Settings et sous CA Certs, cliquez sur le bouton Show CA Certs. Extrayez
la valeur complète du certificat d’autorité de certification dans un fichier
temporaire.
Remarque : lors de l’extraction de la valeur, veillez à inclure les lignes de

début et de fin.
2 La valeur du certificat d’autorité de certification est ajoutée dans le secret créé

avant l’installation de Helm avec les opérateurs Kubernetes.
3 Pour extraire le jeton, accédez à l’interface utilisateur du serveur de gestion
Rancher, ouvrez le volet gauche, puis sous la section Explore Cluster,
accédez au cluster à protéger et cliquez sur l’icône Download KubeConfig
dans le coin supérieur droit.
4 Téléchargez le fichier KubeConfig du cluster à l’aide de cette icône. Le champ
du jeton sera inclus dans le fichier.
5 Extrayez le jeton sans les guillemets doubles (" ") à partir de ce fichier
Kubeconfig téléchargé.
6 Ce processus de configuration repose sur un secret avec le modèle de
nommage suivant (<kops-espace-noms>-nb-config-deploy-secret).
Le secret présente les valeurs qui sont extraites dans les étapes 1 et 3.
Ajout d’un cluster RKE géré par Rancher dans NetBackup à l’aide de la configuration automatisée
7 Créez un fichier yaml nb-config-deploy-secret.yaml avec le format suivant

et entrez les valeurs dans tous les champs.
apiVersion: v1
kind: secret
metadata:
name: <kops-namespce>-nb-config-deploy-secret
namespace: <kops-namespace>
type: Opaque
stringData:
#All the 3 fields are mandatory here to add a Rancher managed RKF2 cluster
apikey: A_YoUkgYQwPLUkmyj9Q6A1-6RX8RNY-PtYX0SukbqCwIK-osPz8qVm9zCL9ph
k8stoken: kubeconfig-user-mvvgcm8sq8:nrscvn8hj46t24r2tjrxd2kn8tzo2bg4
k8scacert: |
-------BEGIN CERTIFICATE-----
MIIDDDCCAfSgAwIBAgIBATANBgkqhkiG9w0BAQwIgYDVQQDDBtpbmdy
ZXNzLW9wZXJhdG9yQDE2ODc1MzY4NjgWHhcNMjMwNjIzMTYxNDI3WhcNMjUwNjIy
XtXqbaBGrXIuCCo90mxv4g==
-------END CERTIFICATE------
8 Exécutez la commande : kubectl apply -f nb-config-deploy-secret.

yaml
9 Pour les entrées restantes dans le fichier values.yaml de Helm Chart, consultez
la section Configuration automatique du Guide de démarrage rapide Kubernetes
et entrez toutes les valeurs requises pour une configuration complète.
10 Exécutez la commande Helm install sur le Helm Chart de l’opérateur NetBackup
Kubernetes si toutes les entrées d’installation simplifiée nécessaires sont
ajoutées au fichier values.yaml ; le pod de configuration automatisé
<kops-espace-noms>-netbackup-config-deploy doit alors démarrer.
11 Consultez les journaux <kops-espace-noms>-netbackup-config-deploy
pour vérifier si la valeur du secret mise à jour est récupérée par le pod
config-deploy.
12 Lorsque le pod config-deploy effectue ses tâches, le cluster est correctement
ajouté à NetBackup et une demande de découverte est en cours ou terminée.
Exécutez une autre validation des informations d’authentification et une
découverte manuelle à partir de l’interface utilisateur Web NetBackup pour
vous assurer que le processus fonctionne correctement.
Ajout manuel d'un cluster RKE géré par Rancher

dans NetBackup
Pour ajouter manuellement un cluster RKE géré par Rancher dans NetBackup,
procédez comme suit.
Création d’informations d’authentification Kubernetes pour NetBackup
Accédez à l’interface utilisateur Web NetBackup > Gestion des informations
d’authentification > Informations d’authentification nommées > Ajouter >
Ajouter des informations d’authentification > sélectionnez le magasin
d’informations d’authentification NetBackup > sélectionnez Kubernetes dans le
champ Catégorie, entrez le jeton et le certificat de l’autorité de certification extraits
précédemment de l’interface utilisateur de la plate-forme globale de gestion Rancher,
puis enregistrez ces informations d’authentification.
Pour ajouter manuellement un cluster RKE géré par Rancher dans NetBackup
1 Certificat d’autorité de certification externe : le certificat de l’autorité de
certification externe est requis pour permettre à NetBackup de communiquer
avec le cluster, s’il existe une autre autorité de certification (AC) utilisée pour
configurer les certificats à des fins d’accès externe.
■ Accédez à l’interface utilisateur du serveur de gestion Rancher, ouvrez
le volet gauche Global Settings et sous cacerts, cliquez sur le bouton
showcacerts.
Extrayez la valeur complète de ce certificat d’autorité de certification dans
un fichier temporaire.
■ Par exemple, <fichier-valeur-cert-ac>
2 Certificat de l’autorité de certification du compte de service :
Remarque : Appliquez la procédure suivante, car l’AC configurée pour l’accès

externe du serveur d’API Kubernetes est différente de celle du certificat de
l’AC du compte de service disponible dans le cluster. Par conséquent, ces
deux certificats d’AC doivent être combinés.
Pour obtenir le certificat de l’autorité de certification du compte de service,

exécutez les commandes suivantes sur l’hôte de cluster Linux.
■ Obtenez le nom secret du compte de service disponible sur l’espace de
noms de l’opérateur Kubernetes à l’aide de la commande suivante :
kubectl describe serviceaccount <kopsnamespace>-backup-server
-n <kopsnamespace> | grep Tokens | cut -d ":" -f 2
■ Obtenez le certificat de l’autorité de certification au format décodé base64

à partir de ce secret de compte de service à l’aide de la commande
suivante :
kubectl get secret <output-from-previous-command> -n
<kopsnamespace> -o jsonpath='{. data.ca\.crt}' | base64 -d
La sortie complète de cette commande doit être ajoutée au fichier temporaire
que nous avons créé à l’étape 1.
3 Ajoutez la sortie générée après l’étape 2 à la fin du fichier

<fichier-valeur-cert-ac> . Les valeurs de certificat d’AC externe et interne
nécessaires ont été extraites et sont disponibles dans le fichier
<fichier-valeur-cert-ac> . Les valeurs de certificat d’AC sont codées au format
base64, que vous devez coder à nouveau lors de la création des informations
d’authentification sur NetBackup.
4 Jeton : dans l’interface utilisateur du serveur de gestion Rancher, ouvrez le
volet gauche, puis sous la section EXPLORE CLUSTER, accédez au cluster
à protéger et cliquez sur l’icône Kubeconfig dans le coin supérieur droit.
■ Extrayez le jeton sans les guillemets doubles (" ") du fichier Kubeconfig
téléchargé (en cliquant sur l’icône Download KubeConfig) dans un fichier
temporaire <token-value-file>.
■ Ces deux champs token et cacert doivent être au format base64 pour
l’ajout des informations d’authentification NetBackup pour Kubernetes.
■ Pour obtenir la version encodée base64 de ces deux valeurs extraites,
utilisez la commande base64 suivante :
#Utilisez une machine virtuelle Linux pour coder les valeurs à cette étape
#Remarque : l’indicateur -w0 indique le chiffre zéro, non le symbole 0.
#Pour le certificat de l’autorité de certification :
Cat <fichier-valeur-cert-ac>| base64 -w0
Collez cette sortie dans le champ Certificat de l’autorité de certification de
la page de création des informations d’authentification NetBackup.
#Pour le jeton :
Collez cette sortie dans le champ Jeton de la page de création des
informations d’authentification NetBackup.
■ Utilisez ces valeurs dans l’interface utilisateur Web NetBackup > Gestion
des informations d’authentification > Informations d’authentification
nommées > Ajouter pour ajouter des informations d’authentification
Rancher valides dans NetBackup.
■ Une fois les informations d’authentification créées, ajoutez le cluster
Kubernetes dans NetBackup à l’aide du nom affiché dans la sortie
cluster-info suivante.
Pour obtenir la sortie d’informations du cluster, exécutez les commandes

suivantes :
1 La sortie info du cluster doit présenter le format suivant : [root@master-0~]
# kubectl cluster-info
2 Le panneau de contrôle Kubernetes s’exécute sur

https://<nom-hôte-rancher>/k8s/clusters/c-m-zjrfft56
3 CoreDNS s’exécute sur
https://<rancher-hostname>/k8s/clusters/c-m-zjrfft56/api/v1/
namespaces/kube-system/services/rke2-coredns-rke2-coredns:udp-53/proxy
4 Extrayez le terminal client du serveur d’API complet (https:// inclus) à partir de
la sortie mentionnée, qui doit présenter le modèle suivant :
https://<nom-hôte-rancher>/k8s/clusters/c-m-zjrfft56
5 Ajoutez le nom complet du cluster Rancher dans l’interface utilisateur Web
NetBackup > Charges de travail > Kubernetes > Clusters Kubernetes >
Ajouter.
6 Sur la page Ajouter un cluster Kubernetes, sélectionnez une option associée
à l’URL ou aux terminaux clients pour autoriser l’ajout de clusters en fonction
des terminaux clients contenant https://.
Remarque : Vous ne pouvez pas modifier les noms de cluster ajoutés à l’aide
de la méthode basée sur le terminal client. Vous pouvez seulement supprimer
et rajouter ces noms de cluster.
7 Entrez les informations sur le cluster extraites à l’étape ci-dessus dans le champ
de saisie de l’interface utilisateur Web NetBackup (terminal client ou URL).
8 Passez à la sélection ou à la création des informations d’authentification
préparées aux étapes 1 à 4.
9 Une fois les informations d’authentification validées, le cluster est ajouté. Une
validation et une découverte automatisées sont alors déclenchées.
10 Après une découverte automatique réussie, l’utilisateur doit tenter d’exécuter
une validation et une découverte manuelles des informations d’authentification
pour s’assurer que tout fonctionne correctement.
11 Ajoutez un cluster géré par Rancher dans NetBackup.

12 Créez le secret du certificat du serveur de sauvegarde et le ConfigMap du
système de déplacement des données pour configurer la fonction Sauvegarde
depuis le snapshot.
Passez ensuite aux étapes de configuration suivantes conformément au guide
de configuration recommandé.
Chapitre 9
Récupération des biens
Kubernetes
■ Exploration et validation des points de récupération
■ Restauration à partir d’un snapshot
■ Restauration à partir d’une copie de sauvegarde
Exploration et validation des points de

récupération
NetBackup 10.0 et les versions ultérieures prennent en charge la récupération de
biens Kubernetes à l’aide des opérations de restauration à partir d’un snapshot et
de restauration à partir d’une copie de sauvegarde.
Remarque : Après la récupération, de nouveaux UID générés par le système sont

attribués aux espaces de noms, aux volumes persistants et aux autres ressources
qui viennent d’être créés.
NetBackup vous permet d’exécuter la validation d’image de sauvegarde via l’état

complet ou incomplet de la copie de sauvegarde dans la charge de travail
Kubernetes. NetBackup ne vous permet pas d’exécuter une opération de
restauration à partir d’une copie de sauvegarde incomplète.
Le point de récupération correspondant à l’espace de noms Kubernetes se compose
de plusieurs images. Le point de récupération peut être incomplet si la copie de
certaines images est indisponible. Ces points de récupération sont marqués comme
incomplets.
Récupération des biens Kubernetes 105
Restauration à partir d’un snapshot
Pour exécuter la validation d’un point de récupération

2 Dans l’onglet Espaces de noms, cliquez sur l’espace de noms du bien à
récupérer.
3 Cliquez sur l’onglet Points de récupération.
4 L’onglet Points de récupération affiche tous les points de récupération, ainsi
que la date, l’heure et les copies de la sauvegarde.
Cliquez sur le bouton de nombre de copies en regard du point de récupération
pour afficher l’emplacement, la copie par défaut, le type de copie et l’état
complet.
L’état complet vous permet de valider le point de récupération sélectionné pour
exécuter l’opération de restauration.
Plusieurs raisons peuvent expliquer une copie de sauvegarde incomplète, une
sauvegarde en cours, une expiration d’image, une défaillance matérielle ou
des problèmes de communication réseau.

NetBackup comprend une fonction de restauration à partir d’un snapshot qui vous
permet de restaurer toutes les images de sauvegarde d’un point de récupération
à l’aide d’un seul travail de restauration. Vous pouvez afficher la restauration à
partir du travail de snapshot dans le moniteur d’activité.
Pour restaurer à partir d’un snapshot
2 Dans l’onglet Espace de noms, cliquez sur l’espace de noms du bien à
récupérer.
3 Cliquez sur l’onglet Points de récupération.
L’onglet Points de récupération affiche tous les points de récupération, ainsi
que la date, l’heure et les copies de la sauvegarde. Vous pouvez définir des
filtres pour les points de récupération affichés. Cliquez sur la date dans la
colonne Date pour afficher les détails du point de récupération. La boîte de
dialogue Détails des points de récupération affiche les ressources qui ont
été sauvegardées, comme ConfigMaps, les secrets, les volumes persistants
ou encore les pods. Pour plus d’informations sur ces ressources, consultez la
page https://kubernetes.io/docs/reference/kubernetes-api/.
4 Recherchez le point de récupération à restaurer.
5 Dans la colonne Copies, cliquez sur le bouton Nombre de copies. Par

exemple, s’il y a deux copies, le bouton affiche 2 copies.
6 Dans la liste des copies, recherchez la copie Snapshot. Puis, cliquez sur
Actions > Restauration.
7 Dans la page Cible de la récupération, le cluster cible est rempli
automatiquement.
Remarque : La restauration sur un autre cluster n’est pas prise en charge pour
la copie de snapshot.
8 Sous Spécifier un espace de noms cible, sélectionnez l’une des options

suivantes pour la restauration :
■ Utiliser l’espace de noms d’origine pour utiliser l’espace de noms d’origine
sauvegardé pour la restauration. Cette option est sélectionnée par défaut.
■ Utiliser un autre espace de noms pour utiliser un autre espace de noms
pour la restauration, puis cliquez sur Suivant.
9 Sous Sélectionner les types de ressource à récupérer, sélectionnez l’un

des types de ressources suivants à restaurer :
■ Tous les types de ressources pour récupérer tous les types de ressources.
Cette option est sélectionnée par défaut.
■ Récupérer les types de ressource sélectionnés pour récupérer
uniquement les types de ressources sélectionnés.
Remarque : L’option Sélectionner des types de ressource à récupérer est

destinée aux utilisateurs avancés. Si vous ne sélectionnez pas les ressources
à restaurer avec précaution, l’espace de noms obtenu après la restauration
risque de ne pas être entièrement opérationnel.
10 Sous Sélectionner les revendications de volume persistant à récupérer,

sélectionnez l’une des revendications de volume persistant à récupérer
suivantes :
■ Toutes les revendications de volume persistant pour récupérer toutes
les revendications de volume persistant. Cette option est sélectionnée par
défaut.
■ Récupérer les revendications de volume persistant sélectionnées pour
récupérer les revendications de volume persistant sélectionnées.
Remarque : Si vous ne sélectionnez aucune option dans le volet Récupérer

les types de ressource sélectionnés, l’option d’inclusion de revendications
de volume persistant vides est sélectionnée et aucune revendication de volume
persistant n’est restaurée.
Si vous ne sélectionnez aucune option dans le volet Récupérer les
revendications de volume persistant sélectionnées , la section Options
de récupération inclut des revendications de volume persistant vides et aucune
revendication de volume persistant n’est restaurée.
Remarque : L’option Restaurer uniquement les volumes persistants permet

de choisir de ne restaurer que les volumes persistants parmi les revendications
de volume persistant sélectionnées. Ce paramètre ne crée aucune revendication
de volume persistant correspondante.
11 Cliquez sur la section Stratégie d’échec pour afficher les options de stratégie
d’échec pour la récupération.
12 Sous Sélectionner une stratégie d’échec pour la récupération, sélectionnez
l’une des stratégies d’échec suivantes pour la récupération :
Remarque : Si un échec se produit au cours de la restauration de métadonnées

ou de demandes PVC, le travail de restauration s’exécute selon la stratégie
d’échec sélectionnée.
■ Echec accéléré pour arrêter la restauration en cas d’échec.

■ Poursuivre pour continuer la restauration de la demande PVC suivante.
Si la restauration de l’image parente (première image) échoue, le travail
de restauration s’arrête.
■ Réessayer pour spécifier un nombre de nouvelles tentatives de restauration
des métadonnées ou des demandes PVC. Si la restauration échoue y
compris après de nouvelles tentatives, le travail de restauration s’arrête.
Remarque : La stratégie d’échec sélectionnée s’affiche sur le moniteur

d’activité.

Restauration à partir d’une copie de sauvegarde
14 Sur la page Options de récupération, cliquez sur Lancer la récupération

pour envoyer l’entrée de récupération.
15 Dans Moniteur d’activité, cliquez sur ID du travail pour afficher les détails
du travail de restauration.
Remarque : La restauration NetBackup Kubernetes utilise un seul travail pour

restaurer toutes les revendications de volume persistant et un espace de noms.
Vous pouvez afficher les journaux dans le moniteur d’activité pour suivre la
restauration de volumes persistants, les revendications portant sur ces volumes
ou les métadonnées.

La restauration NetBackup à partir d’une sauvegarde s’exécute en parallèle si
l’espace de noms sélectionné contient plusieurs demandes PVC. Démarrer une
restauration à partir d’un travail de sauvegarde entraîne la création d’une hiérarchie
parent-enfant (si l’espace de noms contient au moins une PVC à restaurer), où le
parent agit en tant qu’orchestrateur et surveille l’état des travaux enfants. Le premier
travail enfant restaure les métadonnées, puis les PVC sont restaurées en parallèle.
Remarque : Si la restauration des métadonnées échoue, aucun autre travail n’est

soumis à la restauration. Lorsque la restauration des métadonnées réussit, les PVC
sont restaurées en parallèle par lots.
Vous pouvez suivre la même procédure que pour une restauration à partir d’un
snapshot, en sélectionnant le type de copie Sauvegarde. Vous pouvez également
effectuer une restauration sur un autre cluster cible.
Pour effectuer une restauration à partir d’une copie de sauvegarde
2 Dans l’onglet Espace de noms, cliquez sur l’espace de noms du bien à
récupérer. Cliquez sur l’onglet Points de récupération.
3 L’onglet Points de récupération affiche tous les points de récupération, ainsi
que la date, l’heure et les copies de la sauvegarde. Vous pouvez définir des
filtres pour les points de récupération affichés. Cliquez sur la date dans la
colonne Date pour afficher les détails du point de récupération. La boîte de
dialogue Détails des points de récupération affiche les ressources qui ont
été sauvegardées, comme ConfigMaps, les secrets, les volumes persistants
ou encore les pods. Pour plus de détails sur ces ressources, consultez la page
https://kubernetes.io/docs/reference.
4 Recherchez le point de récupération à restaurer.

5 Dans la colonne Copies, cliquez sur le bouton Nombre de copies. Par
exemple, en présence de deux copies, le bouton affiche 2 copies.
6 Dans la liste des copies, recherchez la copie Sauvegarde. Puis, cliquez sur
Actions > Restauration.
7 Sur la page Cible de récupération, récupérez le bien dans le cluster source
renseigné automatiquement, Cliquez sur Suivant.
8 Sous Spécifier un espace de noms cible, sélectionnez l’une des options
suivantes pour la restauration :
■ Utiliser l’espace de noms d’origine pour utiliser l’espace de noms
d’origine. Cette option est sélectionnée par défaut.
■ Utiliser un autre espace de noms, entrez son nom et cliquez sur Suivant.
9 Sous Sélectionner les types de ressource à récupérer, sélectionnez l’un

des types de ressources suivants à restaurer :
■ Tous les types de ressources pour récupérer tous les types de ressources.
Cette option est sélectionnée par défaut.
■ Récupérer les types de ressource sélectionnés pour récupérer
uniquement les types de ressources sélectionnés.
10 Sous Sélectionner les revendications de volume persistant à récupérer,

sélectionnez l’une des revendications de volume persistant à récupérer
suivantes :
■ Toutes les revendications de volume persistant pour récupérer toutes
les revendications de volume persistant. Cette option est sélectionnée par
défaut.
■ Récupérer les revendications de volume persistant sélectionnées pour
récupérer les revendications de volume persistant sélectionnées.
Remarque : Si vous ne sélectionnez aucune option dans le volet Récupérer

les revendications de volume persistant sélectionnées et que vous cliquez
sur Suivant, la section Options de récupération inclut des revendications de
volume persistant vides et aucune revendication de volume persistant n’est
restaurée.
Si vous ne sélectionnez aucune option dans le volet Récupérer les
revendications de volume persistant sélectionnées, la section Options de
récupération inclut des revendications de volume persistant vides et aucune
revendication de volume persistant n’est restaurée.
Remarque : l’option Restaurer uniquement les volumes persistants permet

de choisir de ne restaurer que les volumes persistants parmi les revendications
de volume persistant sélectionnées. Ce paramètre ne crée aucune revendication
de volume persistant correspondante.
11 Cliquez sur la section Stratégie d’échec pour afficher les options de stratégie
d’échec pour la récupération.
12 Sous Sélectionner une stratégie d’échec pour la récupération, sélectionnez
l’une des stratégies d’échec suivantes pour la récupération :
Remarque : En cas d’échec lors de la restauration de métadonnées ou de

demandes PVC, un travail de restauration s’exécute selon la stratégie d’échec
sélectionnée.
■ Echec accéléré pour arrêter la restauration en cas d’échec.

■ Cette stratégie en cas d’échec de restauration vous permet de mettre
fin au travail de restauration lorsque la première défaillance se produit.
■ Tous les autres travaux de restauration actifs dans le lot actuel peuvent
se terminer et aucun autre lot n’est soumis à la restauration.
■ Poursuivre pour continuer la restauration de la demande PVC suivante.

Si la restauration de l’image parente (première image) échoue, le travail
de restauration s’arrête.
■ Cette stratégie permet de procéder à la restauration des PVC restantes,
si la restauration de l’une des PVC échoue pour le lot en cours.
■ Si la restauration des métadonnées échoue, le dernier travail est marqué
comme ayant échoué et aucune PVC n’est soumise à la restauration.
■ Dans ce cas, l’état du dernier travail marqué comme réussite partielle
et une liste des PVC avec un état d’échec apparaît dans l’onglet
Moniteur d’activité du travail parent.
■ Réessayer pour spécifier un nombre de nouvelles tentatives de restauration

des métadonnées ou des demandes PVC. Si la restauration échoue y
compris après de nouvelles tentatives, le travail de restauration s’arrête.
■ Cette stratégie en cas d’échec vous permet de relancer le travail de
restauration des PVC/métadonnées ayant échoué et est configurable
au début de l’opération.
■ Si le travail de restauration échoue après le nombre maximal de

tentatives, ni le travail marqué comme ayant échoué, ni aucun autre lot
ne sera soumis à la restauration.
Remarque : La stratégie d’échec sélectionnée s’affiche sur le moniteur

d’activité.
■ Cliquez sur Suivant.
13 Cliquez sur Lancer la récupération pour envoyer l’entrée de récupération.

14 Dans Moniteur d’activité, cliquez sur ID du travail pour afficher les détails
du travail de restauration.
15 Sur la page Détails du travail, cliquez sur l’onglet Détails. La séquence du
travail de restauration (prérestauration, transfert de données, puis travail de
post-restauration) s’affiche.
Remarque : Vous pouvez annuler le travail parent pour annuler l’opération de

restauration. Le travail parent arrêtera tous les travaux de restauration enfants
actifs.
Modification de la configuration
La taille de lot pour la restauration parallèle de PVC est configurable dans le fichier
bp.conf. L’utilisateur peut ajouter la clé
KUBERNETES_RESTORE_FROM_BACKUP_COPY_PARALLEL_RESTORE_BATCH_SIZE
dans le fichier bp.conf pour définir la taille du lot désirée. Il s’agit d’une clé facultative,
définie sur la valeur 5 par défaut.
La valeur minimale de taille de lot est de 1 et la valeur maximale de 100.
Vous pouvez utiliser la commande bpsetconfig sur le serveur principal NetBackup
pour mettre à jour la taille d’un lot.
Chapitre 10
Activation du mode FIPS
dans Kubernetes
■ Activer le mode FIPS (Federal Information Processing Standards) dans

Kubernetes
Activer le mode FIPS (Federal Information

Processing Standards) dans Kubernetes
NetBackup Kubernetes 10.3 fournit la prise en charge de FIPS pour les déploiements
NetBackup basés sur RedHat. Tous les composants de charge de travail Kubernetes
intégrés à NetBackup, l’opérateur Kubernetes et le système de déplacement des
données doivent s’exécuter en mode FIPS. Pour assurer la prise en charge de
FIPS, certaines conditions doivent être satisfaites pour l’ensemble de ces
composants.
Configuration requise
Voici la configuration requise pour la prise en charge de FIPS dans la charge de
travail NetBackup Kubernetes.
Activation du mode FIPS dans Kubernetes 113
Activer le mode FIPS (Federal Information Processing Standards) dans Kubernetes
Nom Paramètres
Serveur principal et de ■ Les serveurs principal et de médias doivent être déployés

médias NetBackup sur NetBackup 10.2.1 avec le système RHEL 8 sous-jacent
doté du mode FIPS.
■ La version du système d’exploitation RHEL doit être ultérieure
à la 8.
■ Vous pouvez vérifier la version de l’ordinateur RedHat à
l’aide de la commande suivante :
cat /etc/Redhat-release
■ Vous pouvez vérifier si le mode FIPS est activé dans le
système sous-jacent à l’aide de la commande suivante :
FIPS-MODE-SETUP--CHECK
■ Pour plus de détails, vous pouvez vérifier manuellement
l’entrée de page de la commande suivante :
fips-mode-setup
Cluster Kubernetes ■ Le cluster Kubernetes doit être déployé avec activation du

mode FIPS.
■ Le processus de déploiement du cluster Kubernetes en mode
FIPS dépend du fournisseur.
■ Par exemple, déploiement d’Openshift avec activation de
FIPS
Paramètres de configuration
Voici les paramètres de configuration du mode FIPS dans la charge de travail
Configuration Paramètres
Serveur principal et de médias NetBackup Activation du processus NetBackup pour

s’exécuter en mode FIPS :
■ Mettez à jour
<emplacement-installation-NetBackup>/netbackup/bp.conf
avec la clé suivante :
NB_FIPS_MODE = ENABLE
■ Pour plus d’informations sur NetBackup
en mode FIPS, consultez la section
Configurer le mode FIPS dans votre
domaine NetBackup dans le Guide de
sécurité et de chiffrement NetBackup™.
Activation du mode FIPS dans Kubernetes 114
Activer le mode FIPS (Federal Information Processing Standards) dans Kubernetes
Configuration Paramètres
Opérateur NetBackup Kubernetes Effectuez l’une des opérations suivantes pour

activer le mode FIPS :
■ Mettez à jour la valeur du paramètre

fipsMode sur ENABLE dans le fichier
values.yaml de Helm Chart.
■ Mettez à jour la valeur du paramètre
NB_FIPS_MODE sur ENABLE dans
backup-operator.
Remarque : Assurez-vous que tous les systèmes sur lesquels la charge de travail
NetBackup Kubernetes s’exécute sont conformes à la norme FIPS.
Dépannage de FIPS
Impact sur l’opération AIR (Automated Image Replication) :
■ Pour AIR dans un environnement avec activation de FIPS, vous devez effectuer
une configuration supplémentaire.
■ Mettez à jour <KB-Article> sur le site de support.
■ Exécutez les commandes suivantes dans l’interface de ligne de commande
(CLI) :
/usr/openv/java/jre/bin/keytool/keytool -storetype BCFKS
-providerpath
/usr/openv/wmc/webserver/lib/ccj-3.0.1.jar -providerclass
com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider
-importcert -trustcacerts -file <target CA certificate file (pem
encoded)> -keystore
NB_INSTALL_DIR/var/global/wsl/credentials/cacerts.bcfks -storepass
<password from the /usr/openv/var/global/jkskey file>
-alias <alias name of the trusted certificate entry to be added>
Chapitre 11
Résolution des problèmes
liés à Kubernetes
■ Erreur lors de la mise à niveau du serveur principal : échec de NBCheck
■ Erreur lors de la restauration d’une image ancienne : l’opération échoue
■ Erreur de l’API de récupération de volume persistant
■ Erreur lors de la restauration : l’état final du travail affiche un échec partiel
■ Erreur lors de la restauration sur le même espace de noms
■ Pods du datamover dépassant la limite de ressource Kubernetes
■ Erreur lors de la restauration : le travail échoue sur le cluster hautement chargé
■ Le rôle Kubernetes personnalisé créé pour des clusters spécifiques ne peut pas
afficher les travaux
■ Openshift crée des PVC vides non sélectionnés lors de la restauration des
applications installées à partir d’OperatorHub
■ L’opérateur NetBackup Kubernetes ne répond plus si la limite de PID est

dépassée sur le nœud Kubernetes
■ Échec lors de la modification du cluster dans NetBackup Kubernetes 10.1
■ Échec de la restauration à partir d’un snapshot pour les demandes PVC

volumineuses
■ Échec partiel de la restauration des PVC de mode fichier de l’espace de noms

sur un système de fichiers différent
Résolution des problèmes liés à Kubernetes 116
Erreur lors de la mise à niveau du serveur principal : échec de NBCheck
■ Échec de la restauration à partir de la copie de sauvegarde avec une erreur

d’incohérence d’image
■ Vérifications de connectivité entre les serveurs principal/de médias NetBackup

et les serveurs Kubernetes
Erreur lors de la mise à niveau du serveur

principal : échec de NBCheck
La mise à niveau du serveur principal NetBackup de la version 9.1 vers la
version 10.0 échoue avec une erreur NBCheck non critique.
Message d’erreur : Le test a trouvé {{nombre de politiques}} politiques Kubernetes
actives. Ce test échoue si l’instance NetBackup comporte au moins une politique
Kubernetes active.
Action recommandée : désactivez toutes les politiques Kubernetes actives sur le
serveur principal avant de mettre à niveau NetBackup vers la version 10.0.
Pour plus de détails, consultez la page https://www.veritas.com/content/support
Erreur lors de la restauration d’une image

ancienne : l’opération échoue
L’opération de restauration Kubernetes échoue pour les images anciennes créées
à l’aide de NetBackup 9.1.
Message d’erreur : La restauration n’est pas prise en charge sur les images de
sauvegarde des versions de NetBackup antérieures à la version 10.0.
Action recommandée : restaurez l’image ancienne à l’aide des commandes Velero.
Velero est un outil open source permettant d’effectuer des sauvegardes, des
restaurations ou des reprises après incident et de migrer des ressources de cluster
ou des volumes persistants Kubernetes en toute sécurité. Par conséquent, pour
restaurer une ancienne image à partir de Velero, l’installation est une condition
requise sur le cluster.
Obtenez le nom/l’ID de sauvegarde depuis l’interface utilisateur Web de
l’administrateur NetBackup et utilisez-le dans les commandes Velero pour le
restaurer.
Erreur de l’API de récupération de volume persistant
Erreur de l’API de récupération de volume

persistant
Sur l’opérateur NetBackup Kubernetes 10.0, l’API de récupération de volume
persistant a été supprimée et n’est pas prise en charge. Sur les anciennes versions
de NetBackup, cette API était utilisée pour restaurer les volumes persistants. Ainsi,
si vous avez effectué une mise à niveau vers NetBackup 10.0 et que vous utilisez
l’API de récupération de volume persistant pour la restauration, l’opération de
restauration échouera.
Message d’erreur : L’API de récupération de volume persistant Kubernetes n’est
plus utilisée et a été retirée du produit en raison d’une refonte du processus de
récupération NetBackup Kubernetes.
Action recommandée : dans la version 10.0 de l’opérateur NetBackup Kubernetes,
NetBackup est mis à niveau pour récupérer les ressources sélectionnées à partir
de sauvegardes. Ainsi, si vous souhaitez récupérer des volumes persistants ou
des revendications de volume persistant, vous pouvez sélectionner les volumes
persistants à partir de NetBackup et les récupérer sur l’espace de noms cible.
Erreur lors de la restauration : l’état final du travail

affiche un échec partiel
L’état final du travail de restauration affiche un échec partiel et plusieurs
avertissements concernant les ressources RoleBinding.
Les avertissements affichés concernent les ressources RoleBinding pour les groupes
d’API groupauthorization.openshift.io et
rbac.authorization.Kubernetes.io. Les ressources RoleBinding sont gérées
automatiquement à l’aide du contrôleur et sont créées lorsqu’un nouvel espace de
noms est créé.
Action recommandée : vous pouvez exclure de la restauration les ressources
RoleBinding concernées ou ignorer les avertissements créés.
Erreur lors de la restauration sur le même espace

de noms
La restauration des PVC sur l’espace de noms d’origine peut échouer si les PVC
sélectionnées existent déjà dans l’espace de noms.
Actions recommandées :
■ Effectuez une restauration sur un espace de noms différent.
■ Dans Option de récupération, sélectionnez les PVC qui ne se chevauchent
pas avec les PVC existantes lors de l’exécution de l’opération de restauration.
Pods du datamover dépassant la limite de

ressource Kubernetes
NetBackup contrôle le nombre total de travaux de sauvegarde en cours sur la
charge de travail Kubernetes à l’aide des deux propriétés de limite de ressource.
Dans NetBackup 10.0, les pods du datamover dépassent les limites de ressource
de Sauvegarde et de Sauvegarde à partir d’un snapshot définies par cluster
Kubernetes.
Voici un exemple de problème de limite de ressource

Scénario n° 1
La limite de ressource pour les travaux de sauvegarde à partir d’un snapshot par
cluster Kubernetes est définie sur 1.
Les ID de travail 3020 et 3021 correspondent aux travaux parents de la sauvegarde
à partir d’un snapshot. La création du pod du datamover et son processus de
nettoyage font partie du cycle de vie du travail de sauvegarde.
L’ID de travail 3022 correspond au travail enfant dans le cadre duquel les données
sont transférées du cluster vers l’unité de stockage.
En fonction du paramètre de limite de ressource, l’ID de travail 3021 reste en file

d’attente alors que l’ID de travail 3022 est en cours d’exécution. Une fois l’ID de
travail de sauvegarde 3022 terminé, l’ID de travail parent 3021 démarre.
Notez que l’ID de travail 3020 est toujours en cours, car le nettoyage du pod du
datamover et le cycle de vie de l’ID de travail parent 3020 sont toujours en cours.
Scénario 2
À ce stade, il se peut que deux pods du datamover s’exécutent simultanément dans

l’espace de noms de déploiement de l’opérateur NetBackup Kubernetes. En effet,
le nettoyage du pod du datamover créé durant le travail ID 3020 n’est pas encore
terminé, alors que le pod de datamover associé au travail ID 3021 a commencé à
être créé.
Dans un environnement très actif où plusieurs travaux de sauvegarde à partir d’un
snapshot sont déclenchés, la définition d’une valeur de limite de ressource faible
peut conduire à une situation dans laquelle les travaux de sauvegarde restent en
file d’attente la plupart du temps.
En définissant une valeur de limite de ressource plus élevée, il peut arriver que les
pods du datamover dépassent la limite de ressource spécifiée. Cela peut entraîner
une pénurie de ressources dans le cluster Kubernetes.
Les opérations de nettoyage sont traitées de façon séquentielle, parallèlement à
l’exécution du travail de déplacement de données tel que l’ID de travail 3022. À
cela, il faut ajouter le temps nécessaire au nettoyage de la ressource du datamover,
si cela représente mieux le temps nécessaire à la sauvegarde des données
des PVC/de l’espace de noms, ce qui retarde davantage l’achèvement des travaux.
Si la durée combinée du transfert de données et du nettoyage des ressources
correspond à la durée du travail de sauvegarde, le travail de sauvegarde du volume
Erreur lors de la restauration : le travail échoue sur le cluster hautement chargé
persistant ou des données de l’espace de noms peut retarder l’achèvement du

travail.
Action recommandée : vérifiez les ressources et les performances du système,
et définissez la valeur de la limite de ressource en conséquence. Vous obtiendrez
ainsi de meilleures performances pour tous les travaux de sauvegarde.
Erreur lors de la restauration : le travail échoue

sur le cluster hautement chargé
Les travaux de restauration échouent sur le cluster Kubernetes hautement chargé.
Messages d’erreur : ERR - Impossible d’initialiser VxMS, Impossible d’écrire les
données sur le socket, Connexion réinitialisée par le pair.
Erreur bpbrm (pid=712755) du client cluster.sample.domain.com : ERR - Impossible
d’initialiser VxMS.
Erreur bptm (pid=712795) Impossible d’écrire les données sur le socket, Connexion
réinitialisée par le pair.
Action recommandée : si vous rencontrez ce problème pendant l’opération de
restauration, exécutez-la sur un cluster moins chargé ou lorsque le cluster est
inactif.
Le rôle Kubernetes personnalisé créé pour des

clusters spécifiques ne peut pas afficher les
travaux
Lorsqu’un rôle RBAC personnalisé est créé pour une charge de travail Kubernetes
avec des clusters Kubernetes spécifiques, l’administrateur système doit explicitement
fournir les autorisations d’affichage des travaux Kubernetes. Dans le cas contraire,
tous les travaux spécifiques à Kubernetes ne seront pas visibles.
Si l’administrateur système ne fournit pas l’autorisation d’afficher les travaux
Kubernetes, l’utilisateur peut afficher les travaux suivants :
■ Uniquement les travaux de restauration dans la vue Hiérarchie.
■ Uniquement les travaux de snapshot et de restauration dans la vue Liste.
Si un rôle personnalisé Kubernetes créé ne peut pas afficher de travaux pour des
clusters Kubernetes spécifiques, procédez comme suit pour fournir les autorisations
d’affichage.
Openshift crée des PVC vides non sélectionnés lors de la restauration des applications installées à partir
d’OperatorHub
Pour fournir des autorisations d’affichage

2 Sur la droite, cliquez sur Paramètres Kubernetes > Gérer les autorisations.
3 Cliquez sur les trois points verticaux en regard du rôle correspondant et
sélectionnez Modifier.
4 Dans la section Modifier les autorisations, sélectionnez les autorisations
Modifier et Afficher les travaux pour le rôle, puis cliquez sur Enregistrer.
L’utilisateur du rôle personnalisé Kubernetes pourra afficher les travaux de
sauvegarde, de snapshot et de restauration et de sauvegarde à partir d’un
snapshot dans la vue Hiérarchie et la vue Liste.
Hypothèses :
■ Si l’installation est mise à niveau, l’utilisateur peut afficher les éléments suivant :
■ Uniquement les travaux de restauration existants dans la vue Hiérarchie.
■ Uniquement les travaux de snapshot et de restauration existants dans la
vue Liste.
■ Si un rôle personnalisé pour Kubernetes est créé avec des autorisations pour
les clusters Kubernetes sélectionnés, l’utilisateur peut annuler et redémarrer
des opérations uniquement pour les travaux de snapshot.
Openshift crée des PVC vides non sélectionnés

lors de la restauration des applications installées
à partir d’OperatorHub
Dans un environnement Openshift, dans lequel une application est installée via
des sources de catalogue OperatorExec, si un utilisateur tente d’effectuer une
restauration PVC sélective à partir de la sauvegarde de l’espace de nom de cette
application, tous les PVC sont créés.
Ce problème se produit parce qu’un environnement Openshift fournit les PVC non
sélectionnés avec la taille requise dans l’espace de nom cible.
Remarque : Pour ces applications, les PVC sont fournis automatiquement selon
les configurations de déploiement même si un utilisateur ne les sélectionne pas
pour la restauration.
L’opérateur NetBackup Kubernetes ne répond plus si la limite de PID est dépassée sur le nœud Kubernetes
L’opérateur NetBackup Kubernetes ne répond

plus si la limite de PID est dépassée sur le nœud
Kubernetes
Les systèmes Linux comportent un processus initd ou système en cours d’exécution
en tant que PID 1 pour récolter des processus zombies. Les conteneurs qui n’ont
pas de processus initd continuent à générer des processus zombies.
Après une certaine période, ces processus zombies s’accumulent, puis atteignent
la limite maximale de PID définie sur le nœud Kubernetes.
Dans l’opérateur NetBackup Kubernetes, nbcertcmdtool engendre des processus
enfants pour effectuer des opérations liées aux certificats. Lorsque l’opération est
terminée, les processus deviennent orphelins et ne sont pas récoltés. Par la suite,
la limite maximale de PID est atteinte et l’opérateur NetBackup Kubernetes ne
répond plus.
Error message: login pod/nbukops-controller-manager-67f5498bbb-gn9zw -c
netbackupkops -n nbukops ERRO[0005] exec failed: container_linux.go:380: starting
container process caused: read init-p: connection reset by peer a command that is
terminated with exit code 1.
Actions recommandées :
■ Pour résoudre le problème de dépassement de limite de PID, vous pouvez
utiliser le script Initd. Le script Initd est utilisé en tant que processus parent ou
script de point d’entrée sur le pod de contrôleur.
En tant que processus parent, il s’attache le processus zombie une fois le
processus enfant terminé pour mettre fin au processus zombie persistant. Il
permet également d’arrêter le conteneur normalement. Le script Initd est
disponible dans la version 10.0.1 de NBUKOPs.
■ Utilisez les étapes suivantes pour supprimer les processus zombies
nbcertcmdtool existants :
1. Décrivez le pod de l’opérateur NetBackup et recherchez le nœud Kubernetes
sur lequel le pod de contrôleur s’exécute. Exécutez la commande suivante :
kubectl describe -c netbackupkops <NB k8s operator pod name> -n
<namespace>
2. Connectez-vous au nœud Kubernetes, exécutez la commande suivante :

kubectl debug node/nodename
3. Terminez les processus zombies nbcertcmdtool, exécutez la commande

suivante :
Échec lors de la modification du cluster dans NetBackup Kubernetes 10.1
ps -ef | grep "\[nbcertcmdtool\] <defunct>” | awk '{print $3}' |

xargs kill -9
Remarque : Ces étapes mettent fin à tous les processus zombies pour ce nœud
de travail. Mais il ne résout le problème que temporairement. Pour une solution
permanente, vous devez déployer une nouvelle build KOps avec le script Initd.
Échec lors de la modification du cluster dans

NetBackup Kubernetes 10.1
L’opération de modification du cluster Kubernetes rencontre un problème et ne
fonctionne pas avec NetBackup Kubernetes 10.1.
Opération recommandée : pour modifier le cluster Kubernetes, vous devez d’abord
le supprimer du plan de protection, puis l’ajouter à nouveau.
Échec de la restauration à partir d’un snapshot

pour les demandes PVC volumineuses
Pour les demandes PVC volumineuses, la sauvegarde à partir d’un snapshot et la
restauration à partir d’un snapshot/d’une sauvegarde échoue lorsque la demande
PVC n’est pas liée dans le délai d’interrogation configuré. Ce problème survient,
car l’hydratation des snapshots de volume de grande taille prend plus de temps
que le délai par défaut de 15 minutes.
Échec de la restauration à partir d’un snapshot pour les demandes PVC
volumineuses (exemple : 100 Go) avec code d’erreur 5
Error messages: nbcs (pid=29228) timeout occurred while waiting for the persistent
volume claim pvc-sample status to be in the bound phase
Opération recommandée : augmentez le délai d’interrogation dans le configmap
de l’opérateur de sauvegarde.
■ Nom configmap : <kops-name>-backup-operator-configuration
■ Clé à mettre à jour : pollingTimeoutInMinutes
Échec partiel de la restauration des PVC de mode fichier de l’espace de noms sur un système de fichiers
différent
Échec partiel de la restauration des PVC de mode

fichier de l’espace de noms sur un système de
fichiers différent
La restauration des PVC de mode de fichier de l’espace de noms sur un système
de fichiers différent entraîne la réussite partielle des volumes d’espace de noms.
Dans ce cas, la restauration d’objets d’un système de fichiers (fichier/répertoire)
sur un système de fichiers autre que le système de fichiers source entraîne l’échec
de la restauration des métadonnées incompatibles. Par conséquent, cette opération
s’affiche comme une restauration partiellement réussie.
Error message: 7:38:57 AM - Error bpbrm (pid=30171) client restore EXIT STATUS
1: the requested operation was partially successful.
Opération recommandée : examinez le système de fichiers cible qui indique que
les fichiers sont en place. Au fur et à mesure que les fichiers sont restaurés, il n’y
a aucun problème avec les données. Cette défaillance partielle est signalée comme
un avis indiquant qu’il y a des problèmes avec la restauration des métadonnées et
que l’opérateur doit être informé.
Échec de la restauration à partir de la copie de

sauvegarde avec une erreur d’incohérence
d’image
La restauration à partir d’une copie de sauvegarde échoue avec une erreur
d’incohérence d’image lorsqu’une version plus ancienne du serveur de médias est
utilisée pour le stockage. Par exemple, un serveur de médias antérieur à la
version 10.1.1 pour le stockage et NetBackup version 10.1.1 utilisé pour la
restauration à partir de la copie de sauvegarde.
Error message: Sep 22, 2022 3:12:55 PM - Info tar (pid=1459) done. status: 229:
events out of sequence - image inconsistency Sep 22, 2022 3:12:55 PM - Error
bpbrm (pid=16523) client restore EXIT STATUS 229: events out of sequence -
image inconsistency
Action recommandée : vous devez toujours utiliser la version 10.1.1 des opérateurs
principal, de médias et NetBackup Kubernetes pour les sauvegardes basées sur
le système de fichiers Kubernetes avec tous les workflows Kubernetes.
Vérifications de connectivité entre les serveurs principal/de médias NetBackup et les serveurs Kubernetes
Vérifications de connectivité entre les serveurs

principal/de médias NetBackup et les serveurs
Kubernetes
Pour vérifier la connectivité entre le serveur principal NetBackup et d’autres hôtes,
vous pouvez utiliser les commandes suivantes.
■ Une fois les ports requis ouverts pour faciliter la communication avec le serveur
principal NetBackup, vous pouvez exécuter les commandes suivantes.
■ Pour vérifier la connectivité entre les serveurs principal/de médias NetBackup
et le cluster Kubernetes, exécutez la commande suivante sur le pod de
l’opérateur Kubernetes.
curl -v telnet://<netbackup-server-host>:<port-no>
■ Pour vérifier la connectivité entre le serveurs principal NetBackup et le cluster

Kubernetes, exécutez la commande suivante sur l’hôte principal NetBackup.
curl -v telnet://<kubernetes-api-server-host>:<port-no>
Remarque : Les réponses à ces deux commandes doivent indiquer qu’une

connexion est correctement établie.

WebUIGuide KubernetesAdmin

Transféré par

Droits d'auteur :

Formats disponibles

WebUIGuide KubernetesAdmin

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

WebUIGuide KubernetesAdmin

Transféré par

Droits d'auteur :

Formats disponibles

Guide de l'administrateur

Kubernetes sur l'interface

LA DOCUMENTATION EST FOURNIE "EN L’ÉTAT" ET L’ENTREPRISE N’ASSUME AUCUNE

Le logiciel et la documentation sous licence sont assimilables à un logiciel commercial selon

Veritas Technologies LLC

Monde (sauf Japon) CustomerCare@veritas.com

Commentaires sur la documentation

Veritas Services and Operations Readiness Tools (SORT)

Chapitre 1 Présentation de NetBackup pour Kubernetes

Chapitre 2 Déploiement et configuration de l’opérateur

Chapitre 3 Déploiement de certificats sur l’opérateur

Chapitre 4 Gestion des biens Kubernetes ...................................... 67

Ajout d’un cluster Kubernetes ......................................................... 67

Chapitre 5 Gestion des groupes intelligents Kubernetes

À propos des groupes intelligents .................................................... 73

Chapitre 6 Protection des biens Kubernetes .................................. 78

Chapitre 7 Gestion des groupes d’images ...................................... 94

Chapitre 8 Protection des clusters gérés par Rancher dans

Chapitre 9 Récupération des biens Kubernetes .......................... 104

Chapitre 10 Activation du mode FIPS dans Kubernetes ............. 112

Chapitre 11 Résolution des problèmes liés à Kubernetes .......... 115

Échec partiel de la restauration des PVC de mode fichier de l’espace

■ Fonctions de prise en charge de NetBackup pour Kubernetes

■ Restaurez les espaces de noms et les volumes persistants sur un cluster

Fonctions de prise en charge de NetBackup pour

Gestion des licences Licences basées sur la capacité.

Plans de protection Les avantages suivants sont inclus :

■ Utilisez un plan de protection unique pour protéger plusieurs espaces de nom

Fonctions de sauvegarde Les fonctions suivantes sont disponibles pour la sauvegarde :

Fonctions de Les fonctions suivantes sont disponibles pour la restauration :

■ Fonction de snapshot de PVC

Vérification : NetBackup peut vérifier le contenu d’une sauvegarde en comparant son

■ Conditions préalables au déploiement de l’opérateur NetBackup Kubernetes

■ Déploiement du package de service sur l’opérateur NetBackup Kubernetes

■ Spécifications de port pour le déploiement de l’opérateur Kubernetes

■ Mise à niveau de l’opérateur NetBackup Kubernetes

■ Suppression de l’opérateur NetBackup Kubernetes

■ Configuration du système de déplacement des données NetBackup Kubernetes

■ Configuration automatisée de la protection NetBackup pour Kubernetes

■ Configuration des paramètres pour l’opération de snapshot NetBackup

■ Dépannage des serveurs NetBackup avec des noms courts

■ Prise en charge du mécanisme de planification des pods du système de

Conditions préalables au déploiement de

2. $ chmod 700 get_helm.sh

Pour installer un nouveau Helm Chart

2 Pour désinstaller un ancien plug-in, exécutez la commande suivante :

3 Pour installer un nouveau plug-in, exécutez la commande suivante :

Voici la structure du Helm Chart et de l’arborescence.

tar --list -f netbackupkops-10.3.tar.gz

Déploiement du package de service sur

Remarque : Avant d’installer un nouveau plug-in, vous devez désinstaller l’ancien

Pour déployer l’opérateur NetBackup Kubernetes :

3 Pour obtenir la liste des contextes de cluster, exécutez la commande : kubectl

4 Pour sélectionner le cluster dans lequel vous souhaitez déployer le service

5 Pour remplacer le répertoire actuel par votre répertoire d’origine, exécutez la

■ Pour créer un secret nommé netbackupkops-docker-cred dans l’espace

■ Pour charger l’image dans le cache Docker et la transférer vers le référentiel

■ Étiquetez l’image Docker chargée selon vos besoins.

■ Transférez l’image vers un référentiel à partir duquel Kubernetes pourra