データの心配は無用、一発で学習：CKA 認定に不可欠な etcd のバックアップと復元のヒントをマスターしましょう。

etcd は、すべての Kubernetes クラスター データのバックエンド データベースとして使用される、一貫性があり可用性の高いキー値ストアです。非常に重要なコンポーネントですので、将来的に問題が発生した場合にできるだけ早く復元できるようにバックアップする必要があります。

1.etcdの基本的な使い方

以下はKubernetes実践環境Killercoda[1]を使用した実践例です。 GitHub アカウントを使用して、現在最新バージョンの Kubernetes を使用している Killercoda プラットフォームにログインします。

キラーコーダプラットフォーム

etcd cli クライアントもシステムにインストールされます。インストールされていない場合は、次のコマンドを実行してインストールできます。

 apt install etcd-client

etcdcli クライアントは証明書を使用して etcd と通信します。 kubeadm モードでデプロイされた Kubernetes は、yaml ファイルを通じて etcd 証明書パスを表示できます。

etcd コンポーネント yaml

--initial-advertise-peer-urls: クラスターは相互に通知します。これはアナウンスメント アドレスであり、ノード ポートを宣言します。 2380 はクラスターで使用され、2379 はクライアントによって使用されます。

または、kubectl get pods etcd-controlplane -o yaml -n kube-system を使用して証明書パス情報を表示します。以下のように表示されます。

etcd コンポーネント yaml

2. Nginxを作成する

複数のレプリカを持つ nginx デプロイメントを作成するには、次のコマンドを使用します。これらのレプリカは、etcd データの回復を確認するために使用されます。

 kubectl create deployment nginx \ --image=nginx \ --replicas=3

新しくデプロイされた Pod が実行されていることを確認します。

ポッドのステータスを表示

3. Etcdデータのバックアップ

etcd バックアップ用のバックアップ ディレクトリ mkdir etcd-backup を作成し、次のコマンドを実行して etcd をバックアップします。

 export ETCDCTL_API=3 etcdctl \ --endpoints=https://127.0.0.1:2379 \ --cacert=/etc/kubernetes/pki/etcd/ca.crt \ --cert=/etc/kubernetes/pki/etcd/server.crt \ --key=/etc/kubernetes/pki/etcd/server.key \ snapshot save ./etcd-backup/etcdbackup.db

実行後、次の図が表示されます。

etcdのバックアップ

4. バックアップデータの検証

次のコマンドを実行して、新しいバックアップ データからキー リストと詳細を取得します。

 etcdctl --write-out=table snapshot status ./etcd-backup/etcdbackup.db

コマンドを実行すると、次の図が表示されます。

5. バックアップをクラスターに復元する

（1）ここでは、以前に作成したnginxデプロイメントを削除し、バックアップを復元してnginxデプロイメントを復元します。

 controlplane $ kubectl delete deployments.apps nginx deployment.apps "nginx" deleted

（2）バックアップからデータを復元し、以下のコマンドを実行します。

 controlplane $ export ETCDCTL_API=3 controlplane $ mkdir -p /var/lib/restore controlplane $ etcdctl snapshot restore etcd-backup/etcdbackup.db --data-dir=/var/lib/restore

--data-dir: データが復元されるディレクトリを指定します。

上記のコマンドを実行すると、以下に示すように、指定されたディレクトリに etcd データ ファイルが生成されます。

バックアップの復元

（3）etcdデータを更新するために、実行中のKubernetesコンポーネントをすべて停止する必要があります。これを実現するために、Kubernetes コンポーネントのマニフェスト ファイルを /etc/kubernetes/manifests/ フォルダーに配置しました。このファイルを一時的にこのパスから移動し、kubelet によってこれらのポッドが自動的に削除されます。

 mkdir tmp mv /etc/kubernetes/manifests/* tmp/

/etc/kubernetes/manifests/ ディレクトリ内のコンポーネント yaml ファイルを削除し、コンテナを削除した後に削除を開始します。 crictl ps -a で表示できます。

（4）コンポーネントコンテナが削除されるのを待った後、etcd.yamlコンポーネントのetcd-data内のhostPathパスパラメータを変更する必要があります。

 ...省略... volumes: -hostPath: path:/etc/kubernetes/pki/etcd type:DirectoryOrCreate name:etcd-certs -hostPath: path:/var/lib/restore type:DirectoryOrCreate name:etcd-data status:{}

/var/lib/restore はデータ復元用のパスです。

（５）k8sクラスタが正常かどうかを確認する

controlplane $ kubectl get cs Warning: v1 ComponentStatus is deprecated in v1.19+ NAME STATUS MESSAGE ERROR controller-manager Healthy ok scheduler Healthy ok etcd-0 Healthy ok controlplane $ kubectl get pod NAME READY STATUS RESTARTS AGE nginx-7854ff8877-6t6dl 1/1 Running 0 46m nginx-7854ff8877-l6dq8 1/1 Running 0 46m nginx-7854ff8877-pbkq9 1/1 Running 0 46m

6. CKA本試験解説

CKA 実問題 - etcd のバックアップと復元

中国の分析：

このプロジェクトでは構成環境を変更する必要はありませんが、このプロジェクトを実行する前に、最初のノードに戻っていることを確認してください。 etcdの問題は実際の試験では問4になります。使用するクラスターは実際の試験の前問のクラスター、つまり問題3のmk8sなので、クラスターを切り替える必要はありません。

タスク \

(1) まず、https://127.0.0.1:2379 で実行されている既存の etcd インスタンスのスナップショットを作成し、そのスナップショットを /srv/data/etcd-snapshot.db ファイルに保存します。

（2）特定のインスタンスのスナップショットの作成は、数秒以内に完了すると予想されます。操作がハングしているように見える場合、コマンドに問題がある可能性があります。 CTRL + C を使用して操作をキャンセルし、再試行してください。

（3）次に、/var/lib/backup/etcd-snapshot-previous.dbにある既存の以前のスナップショットを復元します。

（4）etcdctl経由でサーバーに接続するために、次のTLS証明書とキーが提供されます。

• CA 証明書: /opt/KUIN00601/ca.crt
• クライアント証明書: /opt/KUIN00601/etcd-client.crt
• クライアントキー: /opt/KUIN00601/etcd-client.key

etcdのバックアップと復元の公式ドキュメント[2]

（１）バックアップ

export ETCDCTL_API=3 を使用せずに ETCDCTL_API=3 を使用する場合は、以下の各 etcdctl コマンドの前に ETCDCTL_API=3 を追加します。

コマンドプロンプトに「アクセスが拒否されました」と表示される場合は、十分な権限がないことを意味します。コマンドの先頭に sudo を追加するだけです。

 export ETCDCTL_API=3

まず、テスト環境に質問に記載されているディレクトリ /srv/data/ があるかどうかを確認します。そうでない場合は、自分で作成する必要があります。

 mkdir -p /srv/data

バックアップする場合、etcdctl クライアントはタイトルに示されている 3 つの証明書を使用して証明書を取得する必要があります。

 etcdctl --endpoints=https://127.0.0.1:2379 \ --cacert=/opt/KUIN00601/ca.crt --cert=/opt/KUIN00601/etcd-client.crt --key=/opt/KUIN00601/etcd-client.key save /srv/data/etcd-snapshot.db

バックアップされたデータを確認するには、etcdctl --write-out=table snapshot status /srv/data/etcd-snapshot.db を使用できます。

（２）復旧作業

まず、復元したデータを保存するディレクトリを作成します。

 mkdir -p /var/lib/restore

復元操作を実行し、復元データの保存ディレクトリを指定します。

 etcdctl --endpoints=https://127.0.0.1:2379 \ --cacert=/opt/KUIN00601/ca.crt --cert=/opt/KUIN00601/etcd-client.crt --key=/opt/KUIN00601/etcd-client.key snapshot restore /var/lib/backup/etcd-snapshot-previous.db \ --data-dir=/var/lib/restore

/etc/kubernetes/manifests/ を一時ディレクトリ tmp に移動します。

 mkdir -p /home/tmp mv /etc/kubernetes/manifests/*.yaml /home/tmp

/home/tmp ディレクトリの etcd.yaml ファイルを編集し、etcd-data の hostPath を /var/lib/restore に変更します。

 volumes: -hostPath: path:/etc/kubernetes/pki/etcd type:DirectoryOrCreate name:etcd-certs -hostPath: path:/var/lib/restore type:DirectoryOrCreate name:etcd-data status:{}

/home/tmp ディレクトリ内のコンポーネント ファイルを /etc/kubernetes/manifests/ に移動します。

 mv /home/tmp/*.yaml /etc/kubernetes/manifests/

（３）検証作業

k8s クラスターが正常であることを確認します。

 controlplane $ kubectl get cs Warning: v1 ComponentStatus is deprecated in v1.19+ NAME STATUS MESSAGE ERROR controller-manager Healthy ok etcd-0 Healthy ok scheduler Healthy ok

この時点で、etcd のバックアップと復元操作全体が完了します。

参考文献:

• [1]キラーコーダ: https://killercoda.com/playgrounds/scenario/kubernetes
• [2] etcdのバックアップと復元の公式ドキュメント: https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/configure-upgrade-etcd/#backing-up-an-etcd-cluster