容器,作為下一代計算虛擬化的技術,目前已經在很多企業的生產系統裡採用。因此,容器應用的備份也就是如當年虛擬機器備份一樣,火了起來。
報告解讀
最近,GigaOm釋出了2022年版本的K8s資料保護雷達報告,我們就一塊來看看。
Kubernetes 是容器編排的事實標準,它被雲中誕生的初創公司和雲原生企業所使用。2021 年,Kubernetes 已在本地、雲端甚至邊緣用於許多不同型別的應用程式的生產,包括那些最初不是為 Kubernetes 構建的應用程式。
Kubernetes 從未真正為有狀態應用程式構建,預設情況下,它缺乏資料保護功能。然而,我們看到許多組織在 Kubernetes 之上構建和執行他們的有狀態應用程式,這表明 Kubernetes 提供的功能與(企業)市場想要的功能之間存在差距。
不幸的是,現有的資料保護工具,主要是為虛擬機器等遺留技術構建的,不能很好地適應容器正規化。供應商正在調整現有解決方案或從頭開始建立新產品,這些產品通常更符合雲原生和容器正規化。
其中許多資料保護解決方案包括其他資料管理功能,例如資料安全、災難恢復或異構資料遷移功能。雲原生空間中的資料儲存解決方案、資料保護解決方案和資料管理解決方案之間存在一些重疊,每個解決方案都提供一些相鄰的功能。
去年,我們看到了對勒索軟體和其他安全功能的特別關注,供應商開發了針對不同型別攻擊的保護措施,包括勒索軟體、濫用配置錯誤的雲資源等等。關鍵標準配套報告深入探討了我們希望在該領域看到的特性和功能,如圖 1 所示。
圖 1。 雲原生資料儲存、保護、遷移和安全性融合為單一解決方案
雲原生資料保護市場正在迅速增長,市場上的現有供應商和挑戰者都在競爭四個關鍵支柱的功能完整性。可以觀察到針對現有的、更傳統的基礎架構對齊的那些與針對完全雲原生環境的那些之間的差異。
無論如何,我們看到對能夠滿足客戶不斷變化的需求的靈活、適應性解決方案的需求不斷增長。多平臺、多雲、多環境(包括邊緣)、多團隊和自助服務功能正在迅速成為差異化功能,確保成功採用不僅適用於一個用例,而且適用於整個企業不斷變化的用例。
這份報告一共分析了13個容器備份廠商。這些廠商的定位如下:
這些廠商的架構區別如下:
我們看到,提供資料保護同時提供雲原生儲存的有三個廠商:IBM、Portworx和Robin。
這些廠商的關鍵標準對比如下:
各個廠商評估的指標比較如下:
該報告綜合分析了關鍵標準及其對評估指標的影響,為圖 2 中的 GigaOm 雷達圖形提供了參考。生成的圖表是本報告中所有供應商的前瞻性觀點,基於其產品的技術能力和功能集。
我們拿2020年的雷達圖對比一下:
我們發現Dell和Veritas、VMware都是才加入的,而Velero作為一個開源產品,今年就不再評估了。但是入圍的廠商裡面,VMware、Dell和IBM(Red Hat)都是基於Velero實現的容器備份。
下面點評幾個中國常見的廠商:
Dell Technologies(PowerProtect 資料管理器)
Dell PowerProtect 是基於 Velero 構建的容器保護解決方案,使用 PowerProtect DD 系列裝置進行基於裝置的重複資料刪除和壓縮,可以是物理的或虛擬的(在雲物件儲存之上執行)。
基於 VM 的管理器會在受保護的 Kubernetes 叢集上自動部署資料移動器。它還部署為公共雲環境中的 VM,以保護基於雲的 Kubernetes 環境。目前沒有可用的 SaaS 版本,但未來的版本將包括基於運營商的部署,並將透過各種市場提供。
戴爾解決方案可以從單個 Manager 連線到多個本地或基於雲的 Kubernetes 叢集。
PowerProtect 使用 Velero 元件來捕獲 Kubernetes 級別的物件,同時它利用自己的資料移動器(在自己的名稱空間中執行)。備份在名稱空間級別執行。恢復包括重新對映儲存類。
它支援各種基於雲的 Kubernetes 服務,包括 AKS、EKS 和 GKE。在本地環境中,它支援 VMware Tanzu Guest Clusters、Tanzu Kubernetes Grid Integrated Edition、Rancher、OpenShift 和 Diamanti。
PowerProtect 包括靜態和動態加密,以及具有保留鎖的目標不變性。或者,它可以與網路恢復解決方案整合,以實現氣隙和高階機器學習和異常檢測。
PowerProtect 缺乏成熟的 RBAC 和自助服務功能,目前為自助服務使用者提供基於 CLI 的工作流程,以使用基於 YAML 的自定義格式恢復應用程式,但計劃在 2022 年進行改進。
PowerProtect Data Manager 內建對 MySQL、PostgreSQL 和非分片 MongoDB 和 Cassandra 的支援。未來的版本將包括對共享資料庫的支援。目前,PowerProtect 僅支援透過附加產品 Cloud Snapshot Manager 備份 Amazon RDS 等基於雲的資料庫。將來會整合此功能。
PowerProtect Data Manager 包括支援在叢集之間遷移應用程式的工作流,包括跨不同儲存類的底層儲存。
優勢: PowerProtect 保護的不僅僅是容器,當您已經在使用 PowerProtect 時,它是保護基於 Kubernetes 的應用程式的一個很好的解決方案。它提供跨本地環境或雲提供商的 DD 裝置之間的資料高效複製,以實現 DR 目的。
挑戰: PowerProtect 要求將備份儲存在 PowerProtect DD 系列裝置上。雖然透過更有效的壓縮和重複資料刪除來節省成本,但這限制了該解決方案的實際適用性。
IBM(IBM Spectrum Protect Plus)
IBM Spectrum Protect Plus (SPP) 最近增加了保護 Kubernetes 工作負載的能力。該解決方案旨在保護所有現代環境,包括虛擬化基礎架構,並且可供各種規模的組織(包括服務提供商)使用。
SPP 提供原生 Kubernetes CLI 並利用 Kubernetes 編排功能來分配備份作業所需的資源。該產品目前的重點是 Red Hat OpenShift,但很快就會新增對更廣泛的 Kubernetes 發行版的支援。在這方面,SPP 利用基於 Velero 開源技術的 Red Hat OpenShift APIs 進行資料保護 (OADP),而 IBM 直接與 Velero 對接以用於其他 Kubernetes 發行版,從而保持跨發行版的使用者體驗一致。
Kubernetes 的 SPP 元件被部署為 CRD 運算子。管理員和開發人員可以輕鬆搜尋 Kubernetes 清單並手動選擇要保護的應用程式。將來的版本中將新增全面的自動發現機制。應用程式一致性尚不可用,但 IBM 正在努力實施機制以確保其 IBM Cloud Paks、通用資料庫和自定義應用程式的現成應用程式一致性。
IBM SPP 擁有多種許可選項,包括永久許可和訂閱每 TB 受保護的持久儲存。該產品已在 AWS 和 Red Hat 市場上提供,並將很快在其他公共雲中提供。目前,SSP 僅支援本地叢集,計劃在今年年底支援多雲。
優勢:重點關注 Red Hat OpenShift 和 IBM 生態系統 (IBM CloudPaks),同時為傳統和現代工作負載提供保護。
挑戰: SPP 顯示了未來產品釋出的潛力和良好的路線圖,但目前它對複雜的 Kubernetes 環境提出了一些限制。
Veeam 的 Kasten (K10)
Kasten K10 是 Kubernetes 的雲原生資料管理平臺。它包括基於容器的應用程式的備份、恢復、災難恢復和遷移功能。
這是一個自託管的解決方案,旨在在它保護的每個叢集上執行。它透過自動擴充套件元件(如資料移動器)和基於正在執行的作業例項化並行例項來實現對這些叢集的最小資源佔用。它可以透過各種雲和 Kubernetes 市場作為基於 CRD 的安裝到自己的名稱空間中。儘管缺少 SaaS 版本,但 Kasten 搭載了 Veeam 的 VCSP 計劃,該計劃允許雲服務提供商將 Kasten K10 作為服務提供。
Kasten 專注於企業客戶,其主要使用者既是備份管理員,也是自助備份和恢復的開發人員。它非常易於使用,具有高質量的 GUI、一致的 API 和方便的 CLI。Kasten K10 旨在應對大規模環境,但它也可以部署在小型基礎設施中。
K10 在本地和雲端支援各種 Kubernetes 風格,包括 OpenShift、Rancher、Tanzu、EKS、AKS 和 GKE。它與 K3s 和 AWS EKS Anywhere 建立了特殊的合作伙伴關係,以支援邊緣和零售部署,包括新宣佈的與 AWS Containers Anywhere 的合作伙伴關係,旨在實現本地邊緣部署。K10 不支援 VPC 或 IAM 配置等 AWS 資源的備份。
Kasten 的商業模式 100% 基於渠道,包括第三方提供商的 SaaS 產品。Kasten 的許可模式是基於節點的訂閱。沒有基於容量的定價。有一個免費版本,最多 10 個節點,用於小型生產、概念驗證和實驗室。
Kasten K10 使用基於策略的方法來捕獲基於容器的應用程式的動態特性,備份包括 Kubernetes 資源和元資料,例如 Secrets 和 ConfigMaps。K10 還原生髮現資料服務(如 MySQL、MongoDB、PostgreSQL、Amazon RDS、Kafka 和 Cassandra)作為應用程式的一部分,並使用開源資料管理框架 Kanister 自動應用正確的資料管理策略(例如靜默)最初由 Kasten 開發,用於建立狀態資料管理的行業標準。此外,K10 包括一個自動保護任何新的或以前未受保護的應用程式的全面策略,並支援基於標籤和名稱空間分配備份策略。
K10 原生支援 CSI,包括傳統企業儲存陣列和 Amazon EBS、VMware 和容器附加儲存解決方案的快照和備份,但為提供額外功能和備份效能的許多 CSI 提供商提供更深入的 CSI 整合。它包括更改塊跟蹤、快速增量和儲存庫區域之間的傳輸等功能。當它可以使用更最佳化的底層儲存整合(例如 OpenStack、CEPH、vSphere 或公共雲的 API)時,它將直接解除安裝任務,而不是使用 CSI。得益於重複資料刪除和壓縮技術,空間和網路效率得到了保證。
支援的儲存庫包括物件儲存、NFS 共享,甚至現有的 Veeam Backup & Replication 備份儲存庫。對於任何儲存庫,K10 支援靜態資料和動態加密,以及 S3、MinIO、Cloudian 等的不變性,防止在任何密碼鎖嘗試中刪除備份或降低保留策略。
備份資料始終是加密的,無論是靜態的還是動態的。加密金鑰可以儲存在叢集中,也可以使用 HashiCorp Vault 或 AWS KMS 等外部金鑰管理系統。其他安全功能包括影象漏洞掃描。
Kasten 介面支援從單個介面管理多個叢集,並支援 RBAC 和角色/範圍限制,以實現非管理員使用者對特定資源(如單個叢集或名稱空間)的自助訪問。它使用 Kubernetes Roles 和 ClusterRoles,複製叢集中已經定義的角色。Kasten 使管理員能夠將(全域性)策略標準化到租戶叢集,從而允許集中管理策略,但可以跨叢集分佈。此外,本地叢集管理員可以定義本地策略。將來,Veeam Backup 管理員將能夠從 Veeam 控制檯中檢視 Kasten 作業和策略。
應用程式轉換引擎支援應用程式資料和元資料的轉換、遷移和對映,允許使用從簡單的儲存類對映到跨叢集、跨區域和跨可用區、跨分佈和跨雲遷移的用例。它還包括災難恢復功能,以防止叢集和可用區故障,以及本地場景中的儲存系統故障。
Kasten K10 包含一個嵌入式 Prometheus 例項,用於儲存有關備份和系統執行狀態的指標,以及一個帶有各種儀表板的嵌入式 Grafana 例項。
優勢:Kasten 是 Kubernetes 原生的成熟解決方案,非常適合自託管、自管理用例。它的架構擴充套件性很好,特別適合邊緣部署。其 RBAC 功能和集中管理的策略模型非常符合大型企業和自助服務的需求。它的應用程式感知資料管理框架 Kanister 很有前景,並且正在迅速成熟。它對本地儲存庫有很好的支援。
挑戰:Kasten 對雲服務的原生支援有限,沒有利用與 AWS、Azure 或 GCP 的深度整合。它缺乏第一方 SaaS 可能會讓一些客戶感到反感,而且它的每節點訂閱許可可能無法在非常動態的環境中工作。基於備份的災難恢復不提供最快的 RTO 和 RPO。
Veritas (NetBackup)
資料保護行業的知名品牌是 Veritas。在最近的 NetBackup 版本中,它包含了對 Kubernetes 的支援。
NetBackup 的 Kubernetes 支援是常規 NetBackup 產品的擴充套件,需要完整的 NetBackup 安裝。Kubernetes 特定元件透過 Operator 部署到每個叢集,同時 Velero 用於 CSI 功能和元資料訪問。NetBackup 沒有 SaaS 版本。
NetBackup 目前僅支援備份整個名稱空間,並支援使用後續版本中出現的標籤進行更精細的選擇。目前沒有應用程式的自動檢測。
備份作業是基於策略的。儘管 NetBackup 支援的遠不止容器,但到目前為止,還沒有邏輯結構來定義跨 RDS 資料庫、容器和檔案共享等應用程式。不過,作為其 CloudPoint 功能集的一部分,NetBackup 支援建立 Amazon RDS 的備份,該功能集已整合到 NetBackup 中,並可從與其 Kubernetes 資料保護相同的 UI 中使用。
該產品目前支援 Red Hat OpenShift、Google Kubernetes Engine (GKE) 和 VMware Tanzu。控制檯支援保護多個叢集。但是,尚不支援異構恢復,這意味著不支援跨不同發行版的遷移;例如,從本地到雲端。沒有用於災難恢復的內建工作流。
備份目標當前僅包括與 S3 相容的儲存。NetBackup 支援許多其他非 Kubernetes 備份目標,它的目標是在 2022 年將這種支援帶入 Kubernetes 資料保護。目前的支援包括物件鎖定功能。
操作安全性是成熟解決方案所期望的,包括多因素身份驗證、靜態和動態加密以及跨產品的基於角色的訪問控制,而不僅僅是 Kubernetes 的範圍。勒索軟體功能包括異常檢測。
雖然在邊緣沒有對 Kubernetes 的具體支援,但 Veritas 確實有一個針對邊緣用例的物理備份裝置。
優勢:NetBackup 保護的不僅僅是容器,當您已經在使用 NetBackup 時,它是保護基於 Kubernetes 的應用程式的一個很好的解決方案。它廣泛支援雲資料庫、虛擬機器等。它具有成熟的運營安全措施,包括基於角色的訪問控制和 MFA。
挑戰: NetBackup 的 Kubernetes 支援還不成熟。它的路線圖顯示出希望,但需要更多時間來實現。
VMware (Velero)
VMware 於 2018 年收購了 Heptio,以改進其整體 Kubernetes 戰略。Velero 是該交易的開源專案之一,現在它是整合到 VMware 的 Kubernetes 產品組合 Tanzu 中的資料保護層。
此外,Velero 開源專案是其他資料保護供應商(包括 Veritas、Dell 和 Red Hat)使用的核心元件,支援這些解決方案的許多商品特性。在這種情況下,VMware 將 Velero 定位為一個標準的基於 API 的框架,以在後端和前端標準化 Kubernetes 環境中的備份操作,其 API 旨在簡化不同資料保護解決方案、編排器之間的互動、管理控制檯、資料移動器和第三方供應商提供的抽象層。
從 VMware Tanzu 的角度來看,Velero 與 Tanzu 堆疊緊密整合,可以透過 Tanzu Mission Control 管理資料保護操作並利用 VMware 的儲存功能。Tanzu 中包含 Velero 資料保護功能,使用者可以免費訪問它。
Velero 支援主要雲提供商和 vSphere 上託管的 Kubernetes 叢集的快照備份,但由於缺少內部資料移動器,對 CSI 的支援仍然有限,這個問題將在不久的將來解決。該產品還缺少其他一些企業功能,包括多叢集支援、環境意識、強加密、自助服務、資料遷移、多區域 DR 和分析功能。路線圖顯示,其中大部分將在 2022 年新增。
優勢:由 VMware 贊助的開源專案,其他幾家商業資料保護參與者也做出了貢獻。引人注目的路線圖和旨在簡化、標準化和自動化資料保護操作的新專案。包含並與 VMware Tanzu 很好地整合。
挑戰:Velero 作為一個獨立的備份解決方案,目前缺少幾個關鍵功能,如勒索軟體保護、多叢集支援、環境意識、強加密、自助服務、資料遷移、多區域 DR 和分析功能。這些功能需要進一步開發,以使解決方案適合通用用例。
Kubernetes 的資料保護對於幾乎每個在生產中使用基於容器的應用程式的組織來說都是一個非常熱門的話題。事實證明,這些應用程式比“容器是無狀態的”炒作讓我們相信的更有狀態。許多使用者試圖將他們的應用程式轉換為無狀態架構模型,但企業應用程式的技術和組織複雜性使工作陷入困境。
由於 Kubernetes 本身無法處理有狀態應用程式的資料保護,我們看到許多供應商介入並提供了廣泛的解決方案來解決資料保護,以及資料管理問題,從表樁備份和恢復到更復雜的多- 區域災難恢復,甚至針對測試/開發環境的成熟資料複製管理解決方案,以及資料儲存解決方案。
沒有一種解決方案可以完美適用於所有用例。這意味著,如果您正在為 Kubernetes 尋找資料保護解決方案,您需要評估您現有的應用程式和基礎架構情況,考慮現有的資料保護投資,考慮需要跨虛擬機器、容器保護的資料型別、雲資料庫和其他雲服務,然後定義您正在尋找的特定資料保護功能。對您而言,最好的解決方案不是在我們的雷達研究中打勾最多甚至所有框的那個;它是在正確的盒子上打勾的那個,在正確的價格點。
國內情況
該報告裡面的一些容器備份供應商,已經和國內的容器儲存廠商合作,推出了聯合解決方案。比如Commvault和Veeam的官微就宣傳和國內的容器儲存廠商XSKY星辰天合推出聯合解決方案,這裡把它們官微連結也附上,感興趣的可以參考:
而國內的主流備份廠商,暫沒有看到對容器備份的支援,目前西瓜哥只看到一家初創公司利用velero開源產品來做容器備份的,這個公司叫上海驥步科技有限公司,感興趣的可以關注一下。
END
往期推薦
ESG《容器資料保護趨勢和策略》報告解讀
XSKY、Commvault聯合推出K8s/CSI下容器儲存與保護整體解決方案
GigaOm剛出爐的K8s資料保護雷達圖報告解讀
16屆儲存峰會線下來襲,這次我和大家聊聊容器備份
Veeam 1。5億美金巨資收購容器備份公司Kasten,貴嗎?
Pure Storage巨資收購Portworx的目標並不是容器儲存,而是。。。
「報告分享」企業橫向擴充套件檔案系統GigaOm雷達2021。12。22