在云原生时代,Kubernetes 已成为容器编排的事实标准,承载着日益增多的关键业务。然而,其分布式和动态的特性也给数据保护带来了新的挑战。本文面向中高级工程师和架构师,旨在深入剖析业界主流的开源工具 Velero。我们将不仅止步于其使用方法,而是层层深入,从 Kubernetes API 机制和存储原理出发,拆解 Velero 的核心工作流、性能权衡与高可用设计,并最终给出一套从零到一的、可落地的企业级集群备份与迁移演进路线。
现象与问题背景
当我们将 Kubernetes 视为数据中心的操作系统时,传统的基于虚拟机或物理机的备份策略便显得力不从心。我们面临的问题场景通常分为以下几类:
- 灾难恢复(Disaster Recovery):整个集群或关键基础设施(如某个云厂商的可用区)发生故障。可能是硬件损坏,也可能是人为误操作,例如执行了 `kubectl delete namespace critical-ns`。我们需要有能力在最短时间内,在另一个集群或区域恢复整个业务应用及其数据。
- 应用与数据迁移:随着业务发展,我们需要将应用从一个集群迁移到另一个。例如,从开发环境迁移到生产环境,或者从一个云服务商(AWS EKS)迁移到另一个(GCP GKE),甚至是迁移到自建机房。这个过程需要保证应用配置、依赖关系和持久化数据的完整一致。
- 开发与测试环境克隆:为了进行性能测试或复现线上问题,我们需要快速克隆一个与生产环境几乎一致的副本,包括其中存储的真实数据。手动导出导入数据库、拷贝文件的方式效率低下且容易出错。
这些场景的共同挑战在于,Kubernetes 中一个“应用”的状态是分散的。其一,是存储在 etcd 中的 API 对象,如 Deployments、Services、ConfigMaps、Secrets 等,它们定义了应用的“形态”。其二,是存储在 持久化卷(Persistent Volumes) 中的业务数据,如数据库文件、用户上传的附件等,它们是应用的“灵魂”。任何只备份其中之一的方案都是不完整的。Velero 的诞生正是为了系统性地解决这一难题。
关键原理拆解
要理解 Velero 的工作方式,我们必须回到 Kubernetes 和现代存储系统的一些基础原理。Velero 并非一个黑魔法盒子,它的实现深度依赖于这些底层机制。
1. Kubernetes API Server 与控制器模式
从计算机科学的角度看,Kubernetes 本身是一个基于声明式 API 和控制器模式(Control Loop)构建的分布式系统。用户通过 `kubectl` 或客户端库向 API Server 提交一个期望状态的“规约”(Specification),例如一个 Deployment 的 YAML 文件。集群中运行的各种控制器(如 Deployment Controller)会持续监听 API Server,当发现资源的“当前状态”与“期望状态”不符时,便会采取行动(如创建、删除 Pod)来使之趋于一致。Velero 巧妙地利用了这一核心机制。它通过安装自定义资源定义(CRDs)如 `Backup`、`Restore`、`Schedule` 等,将备份和恢复操作本身也变成了 Kubernetes 的一等公民。Velero 服务端作为这些 CRD 的控制器,监听这些对象的创建和变化,并触发相应的备份或恢复工作流。这是一种典型的 Operator 模式实现。
2. 持久化卷(PV)与存储快照
对于应用数据的备份,Velero 主要依赖两种技术,这两种技术的选择是工程实践中最重要的权衡点之一。
- 存储提供商快照(Storage Provider Snapshots):这是最高效、最推荐的方式。现代存储系统(如 AWS EBS、GCE PD、Ceph RBD)大多支持块设备的快照功能。其底层原理通常是写时复制(Copy-on-Write, CoW)。当你触发一次快照时,存储系统并不会立即复制所有数据。它只是创建一个指向原始数据块的元数据指针集合。这个过程几乎是瞬时的。当后续有新的写请求要修改某个数据块时,系统才会先将这个“旧”的数据块复制到一个新的位置,让快照指针继续指向这个旧块,然后在新块上执行写操作。这种方式对应用的 I/O 性能影响极小,并且能够提供一个精确到某个时间点的、崩溃一致性(Crash-Consistent)的数据视图。Velero 通过插件机制与底层IaaS平台的API或CSI(Container Storage Interface)规范交互,来调用这种原生的快照能力。
- 文件系统级备份(Filesystem-Level Backup):当底层存储不支持快照,或者卷类型特殊(如 `hostPath`)时,Velero 提供了一个备选方案,集成开源工具 Restic 或 Kopia。该方案会在每个需要备份的 Pod 所在节点上启动一个辅助 Pod(通常通过 DaemonSet 部署),这个 Pod 会挂载目标卷,然后像传统的 `tar` 或 `rsync` 一样,遍历文件系统,将文件逐个读取、打包、加密并上传到对象存储。这个过程涉及大量的文件 I/O 和 CPU 计算(用于压缩和加密),会直接消耗应用所在节点的资源,对正在运行的应用产生性能冲击。它虽然通用,但效率远低于存储快照。
3. 对象存储(S3-Compatible Storage)
Velero 将所有备份数据(包括 Kubernetes 对象元数据的 tarball 和卷快照的元数据)统一存储在对象存储中。这是基于对象存储的几个关键特性:极高的耐用性、几乎无限的扩展性、以及标准化的 HTTP API(以 AWS S3 API 为事实标准)。将备份数据与 Kubernetes 集群本身物理分离,是实现真正灾难恢复的基石。即使整个集群灰飞烟灭,只要对象存储中的数据还在,我们就有重建的一切基础。
系统架构总览
一个典型的 Velero 部署由以下几个核心组件构成,它们协同工作,形成一个完整的数据保护平面:
- Velero Server:以 Deployment 的形式运行在 Kubernetes 集群内部。这是控制平面的核心,包含了处理 `Backup`、`Restore` 等 CRD 的所有控制器逻辑。它负责与 Kubernetes API Server 通信,协调整个备份和恢复流程。
- Custom Resource Definitions (CRDs):
- `Backup`:定义一次性的备份任务,包括要备份哪些资源(通过命名空间、标签选择器等过滤)。
- `Schedule`:定义周期性的备份任务,如“每天凌晨2点备份 production 命名空间”。
- `Restore`:定义一次恢复任务,指定从哪个备份进行恢复,并可以进行命名空间重映射等操作。
- `BackupStorageLocation` (BSL):定义备份数据的存储后端,通常是一个对象存储桶的地址和访问凭证。
- `VolumeSnapshotLocation` (VSL):定义卷快照的存储位置和配置,与特定的存储提供商相关。
- Plugins:Velero 的强大之处在于其可插拔的插件架构。
- 对象存储插件 (Object Store Plugins):负责与具体的对象存储服务(如 AWS S3, MinIO, Azure Blob Storage)进行通信,实现备份数据的上传和下载。
- 卷快照插件 (Volume Snapshotter Plugins):负责调用底层存储平台(如 AWS EBS, GCP PD, vSphere)的 API 来创建和恢复卷快照。CSI 插件是目前的主流,提供了标准化的快照接口。
- Restic/Kopia DaemonSet (可选):如果选择使用文件系统级备份,Velero 会在集群中部署一个 DaemonSet。每个节点上的 Pod 负责处理该节点上需要进行文件级备份的卷。
整个工作流可以概括为:用户通过 `kubectl` 创建一个 `Backup` CR -> Velero Server 监听到该 CR -> Velero Server 调用 API Server 导出指定的 Kubernetes 对象 -> Velero Server 调用相应的卷快照插件为关联的 PV 创建快照 -> Velero Server 将导出的对象和快照元数据打包上传到对象存储。
核心模块设计与实现
让我们以极客工程师的视角,深入到备份和恢复两个核心工作流的内部,并用伪代码展示其关键逻辑。
备份流程(Backup Workflow)
当一个 `Backup` 对象被创建时,Velero 的 `BackupController` 会被唤醒。其内部逻辑大致如下:
// Simplified backup controller logic in Go
func (c *BackupController) processBackup(backup *velerov1.Backup) error {
// 1. 初始化:从对象存储下载元数据,检查冲突等。
log.Info("Starting backup for ", backup.Name)
backup.Status.Phase = velerov1.BackupPhaseInProgress
c.updateBackupStatus(backup)
// 2. 收集资源:根据 Backup Spec 中的选择器(如 includedNamespaces, labelSelector)
// 通过 Kubernetes discovery client 和 dynamic client,获取所有匹配的 API 资源列表。
// 这是一个非常关键的步骤,它决定了哪些东西会被备份。
resourceList, err := c.discoveryHelper.ResourcesToBackup(backup.Spec)
if err != nil { return err }
// 3. 执行备份前钩子(Pre-backup Hooks):
// 如果定义了 hook,比如在 Pod 内执行一个命令来冻结数据库。
// 这是实现应用一致性的关键。
c.executeHooks(backup, "pre")
// 4. 备份 Kubernetes 对象:
// 将步骤2中获取的所有对象序列化为 JSON,并打包成一个 tar.gz 文件。
objectTarball, err := c.resourceArchiver.Archive(resourceList)
err = c.objectStore.PutObject(backup.Name, "resources.tar.gz", objectTarball)
if err != nil { return err }
// 5. 备份持久卷(PV):
// 遍历资源列表,找到所有 PVCs,进而找到它们绑定的 PVs。
// 对每个 PV,调用对应的 Volume Snapshotter 插件。
pvBackups, errs := c.backupVolumes(resourceList)
// 将快照ID等元数据存入一个 JSON 文件并上传。
c.uploadSnapshotMetadata(backup.Name, pvBackups)
// 6. 执行备份后钩子(Post-backup Hooks):
// 例如,解冻数据库。
c.executeHooks(backup, "post")
// 7. 完成:更新 Backup 对象的状态为 Completed 或 Failed。
backup.Status.Phase = velerov1.BackupPhaseCompleted
c.updateBackupStatus(backup)
log.Info("Backup completed for ", backup.Name)
return nil
}
工程坑点:在第2步,Velero 需要正确处理 Kubernetes API 的版本和聚合 API。在第5步,如果一个 Pod 挂载了多个 PV,必须确保所有 PV 都被正确识别和处理。Restic 备份模式下,这里会触发对节点上 DaemonSet 的调用,通信开销和错误处理会更复杂。
恢复流程(Restore Workflow)
恢复流程则是一个逆向操作,但包含更多精细的转换逻辑。
// Simplified restore controller logic in Go
func (c *RestoreController) processRestore(restore *velerov1.Restore) error {
// 1. 初始化:从对象存储下载指定备份的元数据和资源 tarball。
log.Info("Starting restore from backup ", restore.Spec.BackupName)
backupTarball, snapshotMetadata, err := c.downloadBackupArtifacts(restore.Spec.BackupName)
if err != nil { return err }
// 2. 恢复持久卷(PV):这是第一步,因为 Pod 依赖 PVC,PVC 依赖 PV。
// 读取快照元数据,对每个需要恢复的卷,调用 Volume Snapshotter 插件,
// 从快照创建一个新的磁盘/卷。
// 然后,创建一个新的 PV 对象,指向这个新创建的磁盘。
volumeMappings, errs := c.restoreVolumes(snapshotMetadata, restore.Spec)
// 3. 资源预处理和转换:
// 解压资源 tarball,得到一个对象列表。
// 对每个对象执行一系列转换(Transformation):
// - 移除 status 字段,因为这是运行时状态,不能被恢复。
// - 移除 metadata 中的 uid, resourceVersion 等集群特定的标识。
// - 应用命名空间映射(namespace mapping),例如从 'prod' 恢复到 'staging'。
// - 应用存储类映射(storage class mapping)。
restoredObjects, err := c.transformObjects(backupTarball, restore.Spec)
if err != nil { return err }
// 4. 创建 Kubernetes 对象:
// 按照特定顺序将对象提交给 API Server。通常是:
// Namespaces -> CRDs -> PVCs -> Services -> Deployments/StatefulSets ...
// 顺序很重要,可以避免依赖项不存在的错误。
err = c.resourceCreator.Create(restoredObjects)
if err != nil {
// 需要处理 "AlreadyExists" 等错误,并根据恢复策略决定是跳过还是失败。
}
// 5. 完成:更新 Restore 对象状态。
restore.Status.Phase = velerov1.RestorePhaseCompleted
c.updateRestoreStatus(restore)
log.Info("Restore completed for ", restore.Name)
return nil
}
工程坑点:第3步的转换逻辑是恢复成功的关键。例如,一个 Service 的 `clusterIP` 字段必须被移除,否则恢复会失败,因为 `clusterIP` 是由目标集群动态分配的。Velero 内置了大量这类默认的转换规则。第4步的创建顺序也至关重要,错误的顺序会导致应用长时间处于 Pending 状态甚至恢复失败。
性能优化与高可用设计
在生产环境中,备份系统的性能和自身可用性同样重要。
性能与一致性权衡 (Trade-off)
- CSI 快照 vs. Restic:这是最核心的性能权衡。对于 I/O 密集型应用(如大型数据库),使用 Restic 进行文件备份可能会导致应用响应延迟显著增加,甚至超时。备份窗口也会变得很长。原则是:只要条件允许,永远优先使用 CSI 或存储提供商的原生快照功能。Restic 是最后的兜底方案。
- 崩溃一致性 vs. 应用一致性:默认的快照提供的是崩溃一致性,就像服务器突然断电。大多数现代数据库(如 PostgreSQL, MySQL with InnoDB)的日志系统(WAL/Redo Log)能够在这种情况下自动恢复,保证数据完整性。但为了达到最可靠的状态(应用一致性),需要在快照前使用 Velero 的备份钩子(Backup Hooks)。例如,对 MySQL 执行 `FLUSH TABLES WITH READ LOCK`,然后创建快照,最后释放锁。这会换来一个绝对干净的备份,但代价是备份期间数据库会有短暂的写操作“冻结”,可能会影响业务。这个“冻结”时间对于快照来说是毫秒级的,但对于 Restic 备份可能是分钟级,后者对业务的影响是不可接受的。
高可用设计
- Velero 自身高可用:Velero Server 是一个无状态的 Deployment。它的所有状态都持久化在 CRDs(即 etcd)和对象存储中。如果 Velero Pod 挂掉,Kubernetes 会自动拉起一个新的,新的 Pod 会从 API Server 继续监视 CRD,恢复工作。因此,Velero 的可用性等同于 Kubernetes 控制平面的可用性。在大型集群中,可以考虑适当增加 Velero Deployment 的副本数,并配置 Pod 反亲和性,将它们调度到不同的节点上。
- 备份数据的可用性:依赖于对象存储的 SLA。选择支持跨区域复制(Cross-Region Replication)的对象存储服务,可以将备份数据自动同步到另一个地理区域,这是构建异地容灾架构的基础。
- 监控与告警:Velero 通过 `/metrics` 端点暴露了大量 Prometheus 格式的监控指标,如 `velero_backup_success_total`、`velero_backup_failure_total`、`velero_backup_last_successful_timestamp` 等。必须将这些指标接入监控系统,并配置关键告警,例如“连续N次备份失败”或“上一次成功备份距今已超过24小时”,确保备份系统的健康状态始终处于监控之下。
架构演进与落地路径
在企业中引入 Velero,不应一蹴而就,而应分阶段演进,逐步提升数据保护能力。
第一阶段:单集群基础备份与恢复演练
目标是覆盖核心业务,建立基础能力。首先为开发或测试集群部署 Velero,配置好对象存储和卷快照插件。为无状态应用和一些简单的有状态应用(如 Redis)创建每日备份的 `Schedule`。最重要的一步是:定期进行恢复演练。将备份恢复到一个新的命名空间,验证应用是否能正常启动,数据是否完整。通过演练来熟悉恢复流程,并为 RTO(恢复时间目标)和 RPO(恢复点目标)提供基准数据。
第二阶段:生产环境有状态应用与应用一致性
将 Velero 推广到生产集群。识别出所有关键的有状态应用,特别是核心数据库。与应用开发团队或DBA合作,为这些应用设计并实现备份钩子(pre/post hooks),确保应用一致性备份。备份策略需要更加精细,例如,核心数据库可能需要每小时备份一次,而普通应用每天一次。同时,建立完善的监控告警体系。
第三阶段:跨集群迁移与灾备体系建设
利用 Velero 实现跨集群的应用迁移。典型的做法是在两个集群中都部署 Velero,并指向同一个对象存储桶。在目标集群中,将 `BackupStorageLocation` 配置为只读模式(`accessMode: ReadOnly`)。当需要迁移时,在源集群执行备份,然后在目标集群创建 `Restore` 对象,并使用 `namespaceMapping` 和 `storageClassMapping` 等参数来适配新环境。在此基础上,可以构建同城或异地灾备架构。定期将生产集群的备份在灾备集群进行恢复演练,确保灾备方案的有效性。
第四阶段:与 GitOps 和自动化平台集成
将 Velero 的配置(如 `Schedule`, `BSL` 等)也纳入 GitOps 的管理范畴,实现备份策略的版本化和自动化部署。通过 CI/CD 流水线,在新应用上线时自动为其创建默认的备份计划。将 Velero 的恢复能力封装成自动化平台的 API,使得开发者或 SRE 能够通过一键式操作,安全、快速地克隆环境或从故障中恢复,从而将 Velero 真正内化为平台能力的一部分。
通过这四个阶段的演进,Velero 将不再是一个孤立的备份工具,而是深度融入到云原生平台的稳定性保障和高效运维体系之中,为企业在 Kubernetes 上的业务保驾护航。
延伸阅读与相关资源
-
想系统性规划股票、期货、外汇或数字币等多资产的交易系统建设,可以参考我们的
交易系统整体解决方案。 -
如果你正在评估撮合引擎、风控系统、清结算、账户体系等模块的落地方式,可以浏览
产品与服务
中关于交易系统搭建与定制开发的介绍。 -
需要针对现有架构做评估、重构或从零规划,可以通过
联系我们
和架构顾问沟通细节,获取定制化的技术方案建议。