GigaOm Kubernetes数据保护Radar报告v3.0
Source: Joep Piscaer, GigaOm Radar for Kubernetes Data Protectionv3.0, Jan 26, 2023
Kubernetes 是容器编排的行业标准,它被云中的初创公司和云原生企业所使用。它部署在于本地、云和边缘,适用于许多不同类型的应用程序,包括一些 Kubernetes 最初不是为其构建的应用程序。
Kubernetes 从来都不是真正用于有状态应用程序,缺省情况下,它缺乏许多数据管理和保护功能。然而,许多行业客户正在 Kubernetes 之上构建和运行他们的有状态应用程序,这表明 Kubernetes 提供的功能与市场想要的功能之间存在差距。
遗憾的是,现有的数据保护工具(主要是为虚拟机等传统技术构建的)并不适合容器模式。但是,厂商们正在调整现有解决方案或从头开始创建新产品,这些产品与云原生和容器环境更加一致。
其中许多解决方案包括数据保护和其他数据管理功能,例如数据完整性和安全性、灾难恢复和异构数据迁移功能。云原生空间中的数据存储解决方案、数据保护解决方案和数据管理解决方案之间存在一些重叠,每个解决方案在功能方面都提供了一些相关的关系。
去年,我们看到勒索病毒和其他数据完整性和安全功能受到特别关注,厂商们开发了针对不同类型攻击的保护措施,包括勒索病毒、滥用配置错误的云资源等。配套的关键标准报告深入探讨了我们希望在这一领域看到的功能,即云原生数据存储、保护、安全性和迁移。
云原生数据保护市场正在迅速增长,现有厂商们和市场上的挑战者都在争夺四个关键支柱的功能完整性。可以观察到针对更传统的基础架构对齐的目标与针对完全云原生环境的目标之间的差异。
我们继续看到在 Kubernetes 上运行的基于容器的工作负载和其他云服务(例如将云原生服务用于存储和数据库)之间的界限变得模糊,这意味着除了 Kubernetes 之外,数据保护解决方案越来越必须支持这些云服务。今年报告中观察到的关键区别在于能够跨技术将应用程序数据作为一个整体备份,包括虚拟机、容器、数据库(在虚拟机、容器中运行或作为云服务运行)和存储(跨各种本地、容器和云技术)。
去年的差异化因素(主要是多平台、多云、多团队、多环境(包括边缘)和自助服务功能)现在已经司空见惯,只有少数例外。
这份 GigaOm Radar报告报告重点介绍了关键的 Kubernetes 数据保护厂商们,并为 IT 决策者提供了选择最适合其业务和场景要求所需的信息。在相应的 GigaOm 报告“评估 Kubernetes 数据保护解决方案的关键标准”中,我们更详细地描述了用于评估该市场中厂商们的关键功能和指标。
GigaOm Radar 报告
GigaOm Radar报告在一系列同心环上绘制了厂商们解决方案,靠近中心的环上的具有更高的整体价值。该图表从两个轴上描述每个厂商们 —— 平衡成熟度与创新以及功能重头戏与平台重头戏 —— 同时提供一个箭头来预测未来 12 到 18 个月内每个解决方案的演变。
正如您在Radar报告图表中看到的那样,该报告显示了新市场的典型特征,许多初创公司处于领先地位,厂商们代表了一系列融合的想法,这些想法在实施上有所不同,但实际上在他们的高层次愿景上是相似的。所有领导者都在创新/平台游戏象限中找到。但是,一些厂商们正在寻求不同的路径和替代解决方案。一些成熟的厂商们仍然远离靶心,但正在迅速努力弥合与领导者的差距。
总的来说,市场非常动态,厂商们正在努力在多个云中构建一致的体验,同时提供高级应用程序和数据移动性。我们在这个市场上看到了不同的方法,从具有出色用户体验的简单 SaaS 到针对大型企业的更复杂和功能完整的解决方案、包括(并且是主存储或辅助存储独有的)一体化解决方案,以及专门集成到某些平台的解决方案。
在这种情况下,许多解决方案都做得很好,包括Kasten,Portworx和Trilio。一些更成熟的传统厂商们,如Commvault,通过有效地结合SaaS应用程序,本地基础架构(基于VM),容器和数据库的解决方案,也做得很好。一些解决方案,例如CloudCasa,为那些寻求具有出色用户体验的SaaS解决方案的买家勾选了所有正确的框。
此外,我们看到一些厂商们将数据保护解决方案与其他功能(如数据存储)相结合。NetApp 和Rakuten Symphony Symworld 云原生存储 (CNS) 会收到一个虚拟星号,因为它们的数据保护功能很棒,但仅限于各自的存储平台。
总而言之,数据保护领域正在迅速发展,并且由于Velero在云原生计算基金会(CNCF)生态系统中作为本Radar报告中讨论的许多解决方案的基础技术的重要性日益增加,进一步加速了这一领域。
厂商洞察
CloudCasa by Catalogic
CloudCasa 是一项 SaaS 服务,使您能够备份、还原、迁移和保护基于 Kubernetes 的应用程序。
其定价模型是基于容量的。免费套餐允许客户将 Kubernetes 资源元数据备份到 CloudCasa,并创建保留期为 30 天的无限本地持久卷 (PV) 快照,并将 100 GB 的备份存储在 CloudCasa 的备份目标存储库中。付费层允许客户使用 CloudCasa 提供的 100 GB 以上的备份目标,并自带存储库(本地或云)。
CloudCasa专注于Kubernetes生态系统,为许多基于Kubernetes的平台提供支持,包括Azure AKS,AWS EKS,GKE和DigitalOcean,但也支持OpenShift,Rancher,Tanzu和其他平台。此外,CloudCasa 还支持 CSI 兼容存储,并在 AWS、Azure(磁盘和文件)和 GCP 中备份云存储服务,以及网络文件系统 (NFS) PV 支持。它还与三个云提供商进行了本机和深度集成,用于备份云数据库(目前为RDS和Aurora),并支持云集群和存储自动发现。但是,它不支持保护在 KubeVirt 中运行的虚拟机。
CloudCasa 支持自带备份存储库(适用于任何与 S3 兼容的目标,包括本地设备),但也具有灵活的 Azure 和 AWS 对象存储位置选择,包括世界不同区域。
CloudCasa 具有成熟的安全功能,包括用于容器、网络、配置和最佳实践基准扫描的功能。这些功能将涵盖 Kubernetes,还可以扫描云服务,检测身份和访问管理、密钥管理、对象存储等方面的错误配置和安全漏洞。其 SaaS 接口满足 AWS 严格的安全性、效率和可靠性要求,包括 MFA、可疑 IP 限制、欺诈和暴力攻击检测以及 SOC2/ISO27001 合规性。它支持静态数据和动态加密,以及勒索病毒保护功能,包括不变性。它还支持连接本地备份目标或源集群以及 CloudCasa 服务的专用连接。但是,它不支持客户提供的加密密钥。
应用程序迁移使用备份和还原工作流在平台之间迁移应用程序或数据服务。支持不同存储类型与集群、不同地域、不同云或云账号之间的异构还原,实现云与云迁移。当数据存储在云备份目标中时,它支持各种灾难恢复方案,包括现场到灾难恢复站点、现场到云和云到云。它能够在恢复端动态创建必要的群集,从而简化恢复操作。CloudCasa 不包含可选的存储层,并且不支持同步复制,因此该解决方案不太适合低恢复点目标 (RPO) 和恢复时间目标 (RTO) 灾难恢复方案。
优势:CloudCasa是一个非常完整的数据保护解决方案。作为 SaaS 解决方案,它易于部署和管理。它具有灵活的备份存储库选项,从CloudCasa提供的备份存储库到自带(本地)。它与 AWS、Azure 和 GCP 的深度集成使云资源(包括数据库)的数据保护变得轻而易举。
挑战:虽然其安全功能已成熟,但仍然不支持客户提供的加密密钥。缺乏 KubeVirt 支持是值得注意的。虽然其迁移能力与竞争对手不相上下,但其灾难恢复能力缺乏复制能力。
Commvault
Commvault Backup & Recovery 是一种备份解决方案,支持多个 Kubernetes 工作负载,适用于跨 Kubernetes、VM 和云服务运行的混合应用程序,在单个平台上整合备份操作。
Commvault 的备份解决方案包括备份和恢复软件以及 Metal SaaS 服务,并且对数据源具有非常广泛的支持,包括 Amazon RDS 等数据库、S3、Azure Blob 和文件、Microsoft 365 等文件和对象存储以及计算实例(包括虚拟机、Amazon EC2 实例和基于 Kubernetes 的容器)。此外,还支持备份 CI/CD 管道,包括 Azure DevOps 和 GitHub 中的代码存储库。其灵活的部署架构和跨多个部署的单一界面意味着该解决方案默认为多集群和多云。
该解决方案与所有CNCF认证的发行版(特别是Tanzu和OpenShift)和云服务(GKE,EKS,AKS和OKE)兼容。它与 CSI 集成,用于基于快照的备份。它可以提供应用程序一致的备份,这要归功于能够在拍摄快照之前使用备份前和备份后执行脚本来静默存储上的数据,从而最大限度地降低数据丢失的风险。包括许多用于MySQL,Cassandra,MongoDB和PostgreSQL的脚本。此外,数据和应用程序可以在备用 Kubernetes 环境中备份和恢复,从而简化迁移和灾难恢复操作。
Commvault 解决方案可在各种云市场中使用。它与专用访问节点(部署为 VM)配合使用,该节点与 Kubernetes API 服务器交互以发现和保护应用程序。数据移动器仅在备份或还原期间部署在群集上,不会在群集上运行备份应用程序的其他部分。
该界面包括 200 多个内置报告和一个自定义报告生成器,并显示需要关注的基础架构和跨集群的恢复就绪状态一目了然。
由于与 Kubernetes RBAC 系统的集成,开发人员可以通过命令中心 UI 获得自助服务功能。使用标签选择器或整个命名空间自动发现应用程序,使用一揽子备份策略覆盖新应用程序。
安全和勒索病毒控制暗示了 Commvault 在数据保护方面的悠久历史。它的接口安全性通过 MFA 支持、数据加密(静态和动态)、自带密钥以及对各种密钥管理系统的支持、气隙备份(可选通过 Commvault 的金属恢复储备存储服务)、备份目标不变性以及对 UI 中操作的异常检测以及对恶意软件检测的存储目标级别的删除和更改的深度支持得到了很好的照顾。备份存储目标包括超大规模设备、金属恢复储备存储服务和对象存储(包括与 S3 兼容的本地、NAS/SAN 和磁带),而功能包括对重复数据删除和压缩的支持。
此外,Commvault 使用机器学习 (ML) 算法来优化操作任务也值得注意。例如,这些算法调整备份操作,以自动将备份保持在设置的服务级别协议 (SLA) 内。
灾难恢复有多种选择,包括集成到 Commvault 的存储系统中,以便跨云区域或本地数据中心进行同步复制和基于快照的灾难恢复。UI 包括用于异构还原(如跨群集或跨云)、资源重新映射和开发/测试预种子设定的成熟工作流。
对于边缘场景,Commvault 有一个基于物理设备的解决方案 HyperScale X,支持 Azure Stack、AWS Outpost、EKS 发行版和 Google Anthos Bare Metal。
Commvault 提供多种购买选项,从传统的永久许可到订阅。许可证可在 VM 和容器之间转移。
Commvault Metal 面向希望摆脱自我管理数据管理平台的行业客户,包括对 Kubernetes 的支持。它与 HyperScale X 集成,可在灾难恢复方案和暗站点部署中使用物理设备提供更快的本地还原。
优势:它在单一平台中广泛支持虚拟机、容器和(云)数据服务和数据库,使其成为混合和复杂应用程序的绝佳选择。它的安全性和勒索病毒控制非常广泛,使其适用于大型企业。
挑战:灵活性带来复杂性。Commvault 的解决方案需要时间和精力才能正确实施,并且不像其他解决方案那样易于实施或维护。
戴尔
戴尔PowerProtect是基于Velero构建的容器保护解决方案,使用PowerProtect DD系列设备进行基于设备的重复数据删除和压缩,这些设备可以是物理的,也可以是虚拟的(在云对象存储上运行)。
基于 VM 的管理器会在受保护的 Kubernetes 集群上自动部署数据移动器。它还在公共云环境中部署为虚拟机,以保护基于云的 Kubernetes 环境。目前没有可用的SaaS版本,但未来的版本将包括基于运营商的部署,并将通过各种市场提供。戴尔解决方案可以从单个管理器连接到多个本地或基于云的 Kubernetes 群集。
PowerProtect 使用 Velero 组件来捕获 Kubernetes 级别的对象,同时利用自己的数据移动器(在自己的命名空间中运行)。备份在命名空间级别运行。还原包括存储类的重新映射。
它支持各种基于云的 Kubernetes 服务,包括 AKS、EKS 和 GKE。在本地环境中,它支持VMware Tanzu Guest Clusters,Tanzu Kubernetes Grid Integrated Edition,Rancher,OpenShift和Diamanti。
PowerProtect 包括静态和动态加密,以及带有保留锁的目标不变性。或者,它可以与戴尔的网络恢复解决方案集成,以实现气隙和高级ML和异常检测,以对抗勒索病毒。
PowerProtect Data Manager内置了对MySQL,PostgreSQL以及非分片MongoDB和Cassandra的支持。它最近还增加了对Oracle的第一代支持。目前,PowerProtect 仅支持通过附加产品 Cloud Snapshot Manager 备份基于云的数据库,如 Amazon RDS。此功能将在将来集成。
PowerProtect 数据管理器包括支持在群集之间迁移应用程序的工作流,包括跨不同存储类的基础存储。
优势:PowerProtect保护的不仅仅是容器,当您已经在使用PowerProtect时,它是一个很好的解决方案来保护基于Kubernetes的应用程序。它提供跨本地环境或云提供商的存储设备之间的高效数据复制,以实现灾难恢复目的。
挑战:PowerProtect要求备份存储在PowerProtect DD系列设备上。虽然通过更高效的压缩和重复数据删除来节省成本,但此要求限制了解决方案对戴尔生态系统中已有解决方案的实际适用性。
Druva
Druva 有一个解决方案,旨在保护 Amazon AWS 中的 Kubernetes 工作负载,包括 EKS(托管)和基于 EC2(自我管理)的集群。该解决方案非常易于设置和使用;它是应用程序感知的,并且还能够保护存储在 RDS 数据库中的数据。Druva 为 AWS 用户提供了一种能够保护利用容器和 AWS 生态系统的复杂应用程序的解决方案。同时,Druva 可以使用必要的机制来保护常见的数据库,如 MySQL、PostgreSQL 和 MongoDB,以确保端到端的应用程序一致性。
该解决方案简单、设计精良且可扩展,核心备份控制器模块作为操作员安装在集群内。每个单独的备份作业都单独实例化,以提高可伸缩性和并行性。
Druva 允许在不同的 AWS 区域中备份和恢复数据以实现灾难恢复和应用程序移动性,并且与 Kubernetes RBAC 的集成允许应用程序所有者使用 CLI 以自助服务方式执行日常操作。
稍后将添加其他云服务和本地 Kubernetes 发行版,使公司能够在多个环境中保护和移动应用程序和数据。
优势:这是一个易于使用且集成良好的 AWS 生态系统解决方案,有可能演变为可靠的多云解决方案。在某些情况下,DRS 数据保护可以显著简化应用程序保护。
挑战:对于大多数在本地和多个云中部署应用程序的 Kubernetes 方案来说,缺乏多云支持是一个障碍。
HYCU
HYCU的Kubernetes解决方案以基于SaaS的Protégé为中心。存储集成不是基于CSI的(短期内也没有任何支持CSI的计划),但HYCU利用原生云API(Google,Azure和AWS)和现有的存储提供商来实现快照功能(Nutanix,VMware)。不支持其他 Kubernetes 发行版或服务。
Kubernetes 应用程序通过 YAML 元数据自动发现。基于策略的备份是使用 Kubernetes 标签分配的。策略包括从单个策略执行快照、完整备份、长期保留和存储分层的选项。此外,出于灾难恢复目的,可以将副本存储在本地区域之外。可以还原到异构环境,包括不同的集群和不同的区域,并具有用于测试/开发的克隆功能。工作流包括用于还原到不同群集配置的成熟重新映射选项。
基于 Web 的界面简单易用,但登录是特定于云提供商的;它会重用部署解决方案的云中处于活动状态的标识提供者。HYCU 的每个实例仅限于在单个云中使用(取决于其部署位置),并且不是本机多云。可根据要求提供“管理者们的管理者”界面,以实现多云功能。UI 包括基于 Kubernetes 原语的自助服务功能。
HYCU 对备份云原生数据库和存储服务(如 Amazon RDS)提供了一些支持。备份目标包括与 S3 兼容的存储服务;本地产品还支持现有的服务器消息块和 NFS 目标。不可变性功能仅在 S3 上受支持。动态和静态数据加密已启用,并包括自带密钥作为选项。
HYCU 对数据管理和应用程序迁移和转换具有基本支持,但需要重用现有的备份和还原工作流。
定价模型基于分配的源容量,但也存在基于 VM 和基于套接字的定价选项。
优势:HYCU与Nutanix和基于VMware的环境的集成使HYCU成为已经在这些平台上运行的客户的强大选择。备份策略和还原工作流非常成熟,支持迁移、转换和灾难恢复。
挑战:该产品在支持其他平台方面还不成熟,在可预见的未来,缺乏CSI支持仍将是一个挑战。多集群支持最少。对 RDS 的有限支持将证明对某些买家来说是一个不合格的因素。
IBM
IBM Spectrum Protect Plus (SPP) 增加了保护 Kubernetes 工作负载的功能。此解决方案旨在保护所有现代环境,包括虚拟化基础架构,可供各种规模的行业客户(包括服务提供商)使用。
SPP 提供原生 Kubernetes CLI,并利用 Kubernetes 编排功能来分配备份作业所需的资源。该产品目前的重点是红帽OpenShift。SPP 利用基于 Velero 开源技术的红帽 OpenShift API 进行数据保护 (OADP),IBM 直接与 Velero 对接其他 Kubernetes 发行版,从而保持不同发行版的用户体验一致。
Kubernetes 的 SPP 组件部署为自定义资源定义 (CRD) 运算符。管理员和开发人员可以轻松搜索 Kubernetes 清单,并手动选择要保护的应用程序。未来版本中将添加全面的自动发现机制。应用程序一致性尚不可用,但 IBM 正在努力实施机制,以确保其 IBM Cloud Paks、通用数据库和自定义应用程序的现成应用程序一致性。
IBM SPP 拥有多种许可选项,包括永久许可证和受保护的每 TB 持久存储订阅。该产品已在各种云市场中提供。与竞争对手相比,勒索病毒保护低于标准,对云数据库和数据存储服务的支持也是如此。
优势:它非常关注红帽OpenShift和IBM生态系统(IBM CloudPaks),同时为传统和现代工作负载提供保护,这是积极的属性。
挑战:IBM 为未来的产品版本制定了很好的路线图,但现在它为复杂的 Kubernetes 环境带来了一些限制。
Kasten by Veeam
Kasten K10 是 Kubernetes 的云原生数据管理平台。它包括基于容器的应用程序的备份、还原、灾难恢复和迁移功能。
它是一个自托管的自动缩放解决方案,旨在在其保护的每个群集上运行。它可以通过各种云和 Kubernetes 市场安装。尽管缺少第一方 SaaS 版本,但 Kasten 通过本地 Veeam VCSP 提供商提供服务。
Kasten 专注于企业客户,其关键用户既是云和 IT 管理员,也是自助备份和还原的开发人员。它非常易于使用,具有高质量的 GUI、一致的 API 和方便的 CLI。Kasten K10 旨在应对大规模环境,但它也可以部署在小型基础设施中。
K10 支持广泛的 Kubernetes 风格,包括 OpenShift、Rancher、Tanzu、EKS、AKS 和 GKE,跨本地和云。它与K3s和AWS EKS Anywhere等各种边缘和零售部署合作伙伴建立了合作伙伴关系。
它支持保护在Red Hat OpenShift Virtualization 或 KubeVirt 中运行的虚拟机。结合 Veeam Backup & Recovery 的新集成(将 Kasten 引入 VBR 界面),它非常适合在大型企业部署中保护跨容器、云原生和基于 VM 的部署的复杂应用。
K10 原生发现数据服务(如 MySQL、MongoDB、PostgreSQL、Amazon RDS、Kafka 和 Cassandra)作为应用程序的一部分,并使用 Kanister(最初由 Kasten 开发的开源数据管理框架)自动应用正确的数据管理策略(用于静默等操作),用于创建有状态数据管理的行业标准。这些蓝图不断更新和扩展,增加了对更多数据库技术的支持并改进了现有集成。但是,K10 不支持备份 AWS 资源,例如虚拟私有云 (VPC) 或身份和访问管理 (IAM) 配置。
K10 原生支持 CSI,包括传统企业存储阵列和 Amazon EBS 和 EFS、Azure 托管磁盘、Google 持久磁盘、VMware 和容器附加存储解决方案的快照和备份,但为许多 CSI 提供商提供了更深入的 CSI 集成,可提供额外的功能和备份性能。它包括更改块跟踪、快速增量和存储库区域之间的传输等功能。当它可以使用更优化的底层存储集成时,例如OpenStack,CEPH,vSphere或公共云的API,它将直接卸载任务,而不是使用CSI。得益于重复数据删除和压缩技术,空间和网络效率得到了保证。
支持的备份存储库包括对象存储、NFS 共享以及现有的 Veeam 备份和复制备份存储库。对于任何存储库,K10 支持静态数据和动态加密,以及 S3、MinIO、Cloudian 等的不变性,防止在任何加密锁尝试中删除备份或放松保留策略。
备份数据始终是加密的,无论是静态数据还是动态数据。加密密钥可以存储在集群中,也可以使用外部密钥管理系统(如 HashiCorp Vault 或 AWS KMS)存储。它还与Kyverno和开放策略代理集成,以确保应用程序符合行业客户数据保护准则。
Kasten 接口支持从单个界面管理多个群集,并支持 RBAC 以及角色和范围限制,以便非管理用户对特定资源(如单个群集或命名空间)进行自助访问。它使用 Kubernetes Roles 和 ClusterRoles,复制集群中已经定义的角色。Kasten 使管理员能够将(全局)策略标准化到租户群集,从而允许集中管理策略,但跨群集分布策略。此外,本地群集管理员可以定义本地策略。
应用转换引擎支持应用数据和元数据转换(包括 KubeVirt 虚拟机)、迁移和映射,支持从简单的存储类映射到跨集群、跨区域和跨可用区 (AZ)、跨分布和跨云迁移的场景。它还包括灾难恢复功能,可防止群集和可用性区域故障,以及本地方案中的存储系统故障。
优点:Kasten是一个成熟的解决方案。其 RBAC 功能和集中管理的策略模型与大型企业和自助服务要求非常一致。其应用程序感知数据管理框架 Kanister 具有 Kasten 和社区提供的蓝图,用于应用程序一致性备份。
挑战:它缺乏第一方SaaS可能会让一些客户感到反感。作为一个非常成熟和完整的解决方案,它的创新步伐开始受到先发制人的劣势。
NetApp
Astra Control 是 NetApp 的数据保护、灾难恢复和移动产品,可作为自托管/托管或 SaaS 解决方案提供。它是多集群感知的。它支持自我管理平台,如OpenShift Container Platform,Rancher Kubernetes Engine和上游Kubernetes,以及公共云中的托管服务(Google Kubernetes Service,Azure Kubernetes Service和Amazon EKS)。
但是,Astra Control 仅支持有限数量的源存储提供程序,包括来自 NetApp 本身的源存储提供程序(ONTAP、Azure NetApp Files、Cloud Volumes Service、Amazon FSx for NetApp ONTAP 和 Cloud Volumes ONTAP),以及云原生块存储服务(Azure Disk、Google Persistent Disk 和 Amazon Elastic Block Storage)。这种与 NetApp 存储紧密耦合的优势在于能够提供基于异步复制的灾难恢复、快照等,从而降低 RTO 和 RPO。缺点是需要在源集群和目标集群上都支持 NetApp 存储。同步复制支持已在路线图上。
Astra Control 支持在 Google、AWS 和 Azure 上存储,支持与 S3 兼容的存储作为备份目标,以及使用 SnapMirror 复制。它支持每个数据存储的静态数据加密和动态数据加密。对目标对象存储的不可变性有基本的支持。Astra Control 不支持云数据库服务作为备份源,而无需额外的执行钩子,但它确实通过 Verda 支持自托管数据库(Cassandra、Elasticsearch、MariaDB、MySQL、MongoDB、PostgreSQL、Redis 和 Kafka),Verda 是 NetApp 的应用程序一致性快照开放计划。
优势:Astra Control 是适用于 NetApp 环境的基本但功能强大的数据保护解决方案,它利用 NetApp 的可信技术进行重复数据删除和内联压缩。NetApp 还支持主要云提供商的数据块存储服务。向非 NetApp(本地)源存储开放支持已列入路线图。
挑战:Astra Control 对 CSI 的能力仅限于 NetApp 存储生态系统。它本身不支持任何云数据库(需要额外的脚本),其数据完整性功能仍在开发中。
Portworx by Pure Storage
Portworx Backup 是 Kubernetes 的数据保护解决方案。它与本地和云中的任何 Kubernetes 集群兼容,包括 OpenShift、Tanzu、EKS、AKS 和 GKE,并与任何与 Kubernetes 兼容的存储提供商配合使用,包括 Portworx Enterprise,Pure 的 Kubernetes 分布式存储解决方案。值得注意的是,它还支持备份和恢复在 KubeVirt 中运行的虚拟机,以及任何以 Kubernetes 操作员身份运行的数据库。
最近,引入了 SaaS 版本的备份,使该解决方案完全托管,以便更轻松地进行载入和生命周期管理。此外,Backup 在 Kubernetes 集群中可作为基于 Helm 的自托管应用程序使用。它也在AWS和IBM云市场中可用。
它是一个多集群解决方案,能够保护本地和云中的任何 Kubernetes 集群。此外,PX Central 是经理中的经理,能够集中管理多个本地备份实例。
对于它保护的每个集群,它都会部署 Stork,从而弥合备份服务器和管理集群之间的差距。备份是基于策略的,应用程序通过命名空间和标签选择器分配给策略。未来的版本还将支持基于 SLA 的策略。
此外,Backup 支持任何与 CSI 兼容的存储,以执行和加速应用程序一致性备份、Amazon EBS 卷、Google 永久磁盘和 Azure 托管磁盘。备份支持 S3(兼容)、Azure Blob 和 Google Cloud Storage 作为备份目标。在最新版本中,它增加了将云提供商快照(如 EBS 快照)复制到 S3 存储桶的支持,包括将该快照存储在不同的区域中。安全性是产品的一个关键方面,静态和传输中的数据都经过加密。Portworx 支持用于勒索病毒防护的不可变备份目标,路线图显示了正在开发的其他数据完整性功能。
备份支持前钩子和后钩子,并且内置了对Cassandra,ElasticSearch,Jenkins,MongoDB,MySQL,PostgreSQL和RabbitMQ的支持。它还支持备份文件共享(从 Pure Storage FlashBlade、Portworx 代理卷、Amazon EFS 或 NFS 导出中预置为文件共享的持久卷)。
它是多租户感知的,具有成熟的 RBAC 功能。它与 Kubernetes RBAC 控件集成,从而遵守 Kubernetes 中设置的范围限制和权限,以便用户只能与自己的命名空间或应用程序进行交互。它还具有特定的备份即服务 (BaaS) 角色,用于管理和委派对备份 SaaS 租户的控制。它最近增加了备份用户与同一租户或实例中的其他用户共享备份(特定时间点备份或属于命名空间的所有备份)的功能。
Portworx 拥有基于 Stork 的成熟数据迁移和转换能力,支持集群之间的应用程序和数据迁移,无论这些集群是在本地还是在云中。但是,这些功能确实要求除了备份之外,还要在源集群和目标集群上安装 Portworx Enterprise。在没有 Portworx Enterprise 的情况下,它支持备份和还原工作流,以将数据迁移到不同的异构群集。它具有用于跨云、跨区域和跨集群迁移的专用工作流。
自上次报告和引入完全托管的 BaaS 以来,它引入了一个功能齐全的“永久免费”层,由 1 TB 的应用程序数据组成。客户在初始 TB 后自动过渡到付费层,该层基于每月保护的应用程序数据。对于自承载版本,存在各种许可选项,包括按群集节点小时或永久许可。
PX-DR是Portworx Enterprise的附加解决方案,专为灾难恢复而设计,依赖于同步,近同步和异步数据复制。但是,备份不包括这些功能,需要使用其数据存储产品Portworx Enterprise。
优势:这是 Kubernetes 数据保护市场中表现最好的公司,具有部署灵活性(自托管或完全托管的 SaaS)。快速入门的免费套餐是另一个强项,对于那些从数据保护到数据存储、数据管理和高级灾难恢复的人来说,成熟的数据迁移功能也是如此。
挑战:对于更高级的灾难恢复功能,例如零 RPO 灾难恢复和跨云区域和可用性区域的近同步灾难恢复,Portworx Backup 需要 Portworx Enterprise 的存储功能。计划在未来版本中支持云数据服务(如 Amazon RDS)和其他数据完整性功能。
Rakuten
Rakuten Symphony Symworld CNS 是一种针对持久、有状态容器应用程序的存储解决方案。该产品包括各种数据保护功能,包括同步和异步存储复制以及快照和备份功能。
CNS可以安装在主要的云提供商和发行版上,包括OpenShift,Rancher,EKS,AKS和GKE,并且可以通过各种应用程序市场获得,包括Google和OpenShift。CNS 具有友好的、基于消费的按节点小时定价,年度订阅的折扣与公共云产品的折扣类似。
某些功能(包括 (a) 同步复制)要求在源群集和目标群集上同时安装存储解决方案,从而降低了数据保护功能的相关性,对于那些不希望将其存储解决方案替换为 CNS 的用户而言。同样,CNS 不保护任何未存储在其存储卷上的数据,包括 RDS 数据库,这限制了其云数据保护功能的适用性。
然而,存储层的一个关键优势是CNS对Kubernetes对象和底层存储的完全控制和可见性。数据保护功能原生整合了 Kubernetes 元数据和配置,以保护和复制所有 Kubernetes 对象和构造。存储层符合CSI标准,因此在备份和快照期间可以轻松静默存储卷,CNS包括用于MongoDB,Cassandra,MSSQL,MySQL,Oracle,DB2和PostgreSQL等流行数据服务的脚本。
CNS 支持快照(本地和远程)、备份到单独的存储库(本地或远程)、存储卷之间的同步复制(使用跨两个可用性区域的延伸群集设置)和多站点异步复制(支持跨多云和可用性区域的复制)。
CNS 大放异彩的一个领域是不同环境之间的迁移方案,包括从本地到云或云到云的迁移。存储层的复制功能对于迁移来说是一个明显的好处,可以轻松地在本地和公共云之间迁移整个应用程序,包括其存储。对于开发/测试方案的克隆应用程序也是如此。这些方案确实需要在目标群集上安装 CNS。同样,备份只能还原到 CNS 存储卷。
GUI 包括一个监控仪表板和快速故障排除所需的工具,为自助服务和多租户提供成熟的基于 Kubernetes 的 RBAC,具有多集群功能。
所有备份都在应用程序级别进行动态和静态加密,并支持外部密钥管理。备份目标包括与 S3 兼容的对象存储平台以及公共云存储服务(如 Google Cloud Storage 和 Microsoft Azure Blob),以及通过 NFS 的本地存储解决方案。
CNS 不包括许多勒索病毒和安全功能。虽然支持在符合 WORM 标准的对象存储上进行不可变备份,但该产品不包括安全扫描功能。
结合其他CNS产品,如Symworld Orchestrator和Symworld Cloud Native Platform,CNS是边缘场景存储和数据保护的有趣多合一选择,例如用于5G一体机场景的气隙(或暗)集群。
优势:CNS 是一种端到端解决方案,具有友好的定价模型,并与 Kubernetes 很好地集成。多集群和自助服务功能非常适合那些认为集成到存储解决方案中的数据保护功能可以接受的大型企业。(a)同步复制功能为需要同步复制功能的应用程序增加了低 RTO 和 RPO 功能。存储层为低停机时间迁移方案增加了灵活性。易于使用的GUI和CLI对于Kubernetes经验有限的用户非常有用。
挑战:数据保护不是独立的产品,而是 CNS 存储解决方案的一部分,因此将数据保护功能的使用限制在 CNS 存储上运行的应用程序。某些功能要求 CNS 在目标群集上运行,从而增加了成本和复杂性,即使定价具有竞争力也是如此。还原仅限于基于 CNS 的卷,并且安全功能有限。
Trilio
TrilioVault for Kubernetes 是 Kubernetes 的数据保护和弹性平台。该解决方案部署为 Kubernetes 运算符或 Helm 图表(可在各种市场中使用),允许您在每个受支持的平台上备份数据和应用程序,并在本地或其他地方还原它们以进行开发、迁移或灾难恢复。Trilio 可以无缝保护通过标签、命名空间或 Helm 图表发现的应用程序,也可以作为操作员无缝保护。它拥有对 Helm 图表的本机支持,其中包括备份其历史记录和上下文,解决在还原时 Helm 图表被默认图表覆盖的特定还原问题。对于暗部署或边缘部署,部署可以是气隙。
TrilioVault 可以很好地集成到红帽 OpenShift 环境中,支持高级集群管理 (ACM),以跨队列应用和管理数据保护策略。它支持AWS(ROSA)和Azure(ARO)以及OpenShift虚拟化(KubeVirt)的OpenShift托管服务。它还支持所有经过认证的Kubernetes发行版和云托管服务,包括Google GKE,Amazon EKS,Azure AKS和Digital Ocean。此外,它还支持 SUSE Rancher、VMware Tanzu 等。此外,该解决方案能够备份MongoDB,PostgreSQL,InfluxDB,MySQL,Redis,etcd,Cassandra和AWS RDS数据库。
多群集支持是通过在 UI 中将多个每个群集部署链接在一起来实现的。TrilioVault 是作为自动扩展应用程序构建的,为每个备份作业临时分配必要的资源,确保各种规模环境的可扩展性和性能。它会在启动正在运行的备份作业时启动其他数据移动器 Pod。
备份目标可以是与 S3 兼容的对象存储、Azure Blob 或 NFS 共享卷,并且该解决方案本机支持用于网络流量优化的数据压缩技术。备份以开放的 QCOW2 格式存储,并使用开源 LUKS 进行静态数据和动态数据加密,基于每个备份文件,而不是基于每个存储库。它还基于每个文件应用不变性,但仅在与 S3 兼容的存储上应用。
管理控制台包括用于灾难恢复计划的工作流和用于将应用程序迁移到不同集群的工作流,以及在还原、转换(如存储类映射)和排除期间用于自定义脚本的还原挂钩,以精细还原数据。连续恢复虽然仍然基于快照,但通过使用内置的复制功能提供了较低的 RTO 和 RPO,使用户能够将数据连续暂存到多个异构云。
Trilio 支持自带密钥进行数据加密,并且可以与 HashiCorp Vault 等第三方密钥管理系统集成。
除了企业订阅(按工作器节点、vCPU 或群集许可)外,该产品还提供 30 天免费试用版,节点数量不受限制。还有一个基本版本,其 vCPU 限制为 160 个,适用于测试、小型行业客户和开发人员。
优势:Trilio 拥有平衡的解决方案,广泛支持托管云解决方案、发行版、主要数据库和应用程序平台,并与 OpenShift 深度集成。灾难恢复功能集非常成熟,并且与存储无关。
挑战:与其他产品相比,可用性有些不足。异常检测和安全扫描等主动安全措施虽然正在积极开发,但尚未成熟。没有SaaS选项使采用对某些人来说稍微麻烦一些。
Veritas
数据保护行业的知名品牌是Veritas,它在最近发布的NetBackup中包含了对Kubernetes的支持。NetBackup 的 Kubernetes 支持是常规 NetBackup 产品的扩展,需要完整的 NetBackup 安装。特定于 Kubernetes 的组件通过操作员部署到每个集群。
NetBackup 目前仅支持备份整个命名空间,并支持使用更高版本中的标签进行更精细的选择。目前没有自动检测应用程序。
备份作业是基于策略的。虽然 NetBackup 支持的不仅仅是容器,但到目前为止,还没有逻辑结构来定义跨 RDS 数据库、容器和文件共享等应用程序。不过,NetBackup 支持创建 Amazon RDS 的备份,作为其 CloudPoint 功能集的一部分,该功能集已集成到 NetBackup 中,可从与其 Kubernetes 数据保护相同的 UI 中使用。
该产品目前支持Red Hat OpenShift,AKS,EKS,GKE和VMware Tanzu。控制台支持保护多个集群。跨不同发行版的迁移支持异构还原。备份目标目前仅包括与 S3 兼容的存储。NetBackup 支持许多其他非 Kubernetes 备份目标,它的目标是在 2023 年将这种支持引入 Kubernetes 数据保护。当前支持包括对象锁定功能。
NetBackup 的运营安全功能(成熟解决方案可以预期的功能)包括多因素身份验证、静态和动态加密以及整个产品的 RBAC,而不仅仅是在 Kubernetes 的范围内。其勒索病毒功能包括异常检测。
虽然在边缘没有对 Kubernetes 的具体支持,但 Veritas 确实有针对边缘场景的物理备份设备。
优势:NetBackup 保护的不仅仅是容器,当您已经在使用 NetBackup 时,它是一个很好的解决方案来保护基于 Kubernetes 的应用程序。它广泛支持云数据库、虚拟机等。它具有成熟的操作安全能力,包括 RBAC 和 MFA。
挑战:NetBackup的Kubernetes支持尚未成熟;其路线图显示出希望,但需要更多时间才能实现。
VMware
VMware是开源Velero项目的管理者,这是一个云原生备份和恢复解决方案。它支撑着VMware自己的Tanzu Mission Control,旨在运营Kubernetes。要使用其数据保护功能,集群必须加入到Tanzu任务控制中心。这使得Tanzu任务控制中心专门用于其数据保护功能变得不那么有趣。相反,Tanzu Mission Control及其伞形产品Tanzu for Kubernetes Operations是更大的平台(包括数据保护),对于那些寻求不仅仅是数据保护的人来说,这是一个不错的选择。
Velero开源项目是其他数据保护厂商们(包括Veritas、Dell、Red Hat和Catalogic)使用的核心组件,支撑着这些解决方案的许多商品功能。在这种情况下,VMware 将 Velero 定位为一个标准的基于 API 的框架,以标准化 Kubernetes 环境中的备份操作,无论是在后端还是在前端,其 API 旨在简化第三方厂商们提供的不同数据保护解决方案、编排器、管理控制台、数据移动器和抽象层之间的交互。
Velero紧密地集成在Tanzu堆栈中。数据保护操作可以通过Tanzu Mission Control进行管理,并利用VMware的云原生存储功能。Velero数据保护包含在Tanzu中,用户可以免费访问它。它具有跨集群和跨云支持,并支持使用标签备份完整集群、单个命名空间或应用程序。
Tanzu Mission Control 支持主要云提供商(支持 AWS 和 Azure)和托管在 vSphere 上的 Kubernetes 集群的快照备份,并通过插件或 restic 和 kopia 与基于 CSI 的存储兼容。
值得注意的是,VMware希望通过其市场向第三方备份解决方案开放Tanzu Kubernetes for Operations。
优势:Tanzu Mission Control 是一个功能完善的 Kubernetes 管理解决方案,包括足够的数据保护功能。它有一个引人注目的路线图和新项目,旨在简化、标准化和自动化数据保护操作。它包含在VMware Tanzu中并与VMware Tanzu很好地集成。
挑战:Tanzu Mission Control 不仅仅是一个数据保护解决方案,对于某些人来说,仅仅采用其数据保护功能有点过分。Velero作为独立的备份解决方案,目前缺少几个关键功能,包括勒索病毒防护、环境意识、强加密、自助服务、成熟的数据迁移、多区域灾难恢复和分析功能。
Zerto
Zerto for Kubernetes是Zerto流行的虚拟环境灾难恢复解决方案的云原生继承者。Zerto for Kubernetes 重用了相同的数据复制技术,具有每秒基于日志的持久卷恢复的优势。
基于 Helm 的安装程序将应用程序作为有状态守护程序集部署到群集中。它支持VMware Tanzu,Red Hat OpenShift和本机Kubernetes。在公共云中,Zerto 支持 Amazon EKS、Azure Kubernetes Service、Google Kubernetes Engine、Oracle Container Engine、HPe Ezmeral 和 IBM Cloud Kubernetes Service。它支持异构、一对多复制。
除了每个集群的组件之外,Zerto for Kubernetes Manager 的实例还必须部署到集群或第三个站点(如单独的 VPC 账户)。它通过自动扩展组件和基于正在运行的作业实例化并行实例,在集群上的资源占用最小。Zerto for Kubernetes 的许可包括永久和订阅选项。
Zerto 的 ZKM-PX 组件位于数据路径中,拦截所有 I/O 操作以进行复制。该产品旨在支持本地备份、远程灾难恢复和 S3 的长期存档存储,但它可以非常有效地简化数据和应用程序迁移以及 CI/CD 过程,方法是在新应用程序版本部署期间向 Zerto 日志添加标签以捕获该时刻。
Zerto for Kubernetes 不包含 UI,但通过 kubectl 的扩展工作。它仅限于保护它部署到的集群,尽管管理中心可以管理多个集群。该产品中包含对基于 SaaS 的 Zerto Analytics 平台的访问,该平台提供了多个部署的一些概述。产品本身没有SaaS GUI,但自从被HPe收购以来,正在考虑将其集成到Greenlake中。
Zerto for Kubernetes能够发现应用程序及其资源,以保护它们作为一个整体,使本地和远程恢复都易于执行。它目前支持通过注释进行备份选择。它不支持 CRD(目前,但它在路线图上)、任何数据库感知处理或外部数据库(如 AWS RDS)。
Zerto for Kubernetes 非常高效,只复制辅助复制 Pod 所需的那些块,辅助复制 Pod 可以在单独的集群中运行以进行灾难恢复,也可以在本地集群中运行以进行备份。基于日志的方法支持每隔几秒钟捕获一次检查点并将其存储长达 30 天的粒度。
检查点可以每天、每周和每月复制到长期保留存储库(例如与 S3 或 Azure Blob 兼容的服务),并包括基于基础存储服务的不可变性功能。它目前没有勒索病毒保护的特定功能,但内联勒索病毒检测将在未来的版本中推出。
使用相同的基于日志的方法,Zerto for Kubernetes 可以用作具有非常短的切换窗口的应用程序迁移工具,包括故障转移和迁移测试、将应用程序部署到临时的新命名空间中以及允许验证。这也是一个建议的工作流,用于在应用程序开发过程中创建用于测试和验证的临时副本。
优势:Zerto for Kubernetes的远程复制功能使用户能够实现非常低的RTO和RPO,为增强数据移动性和简化迁移活动提供了潜力。
挑战:尽管核心技术对于灾难恢复和应用程序迁移方案来说坚如磐石,但该产品在满足数据保护需求的边缘仍然很粗糙。并非所有客户都接受它位于生产工作负载的数据路径中,并且目标站点上的 Zerto 要求可能会将客户锁定为仅一次迁移,即使存在限时迁移许可证也是如此。
分析师观点
对于几乎所有在生产中使用基于容器的应用程序的行业客户来说,Kubernetes 的数据保护都是一个非常热门的话题。事实证明,这些应用程序比“容器是无状态的”炒作让我们相信的更有状态,并且超出了 Kubernetes 可以有效支持的范围。许多用户试图将他们的应用程序转换为无状态架构模型,但企业应用程序的技术和行业客户复杂性使工作陷入困境。
由于 Kubernetes 本身无法处理有状态应用程序的数据保护,许多厂商们已经介入,提供广泛的解决方案来解决数据保护问题,进而解决数据管理问题。其中包括从表权益备份和还原到更复杂的多区域灾难恢复,甚至是用于测试/开发环境的成熟数据复制管理解决方案,以及数据存储解决方案。我们看到对亚马逊RDS等原生云数据库服务的支持有所增加。
没有一个解决方案适用于所有场景。这意味着,如果您正在寻找 Kubernetes 的数据保护解决方案,您需要评估您现有的应用程序和基础架构情况,同时考虑在数据保护方面的现有投资,并考虑您需要跨虚拟机、容器、云数据库和其他云服务保护哪种数据。该清单和分析将允许您定义要查找的特定数据保护功能。对于您的行业客户来说,最好的解决方案不一定是我们对该Radar报告的研究中勾选最多框的解决方案,甚至不一定是所有框框;它是在正确的价格点勾选正确框的那个。
特别是在仍然成熟的有状态 Kubernetes 生态系统中,选择合适的数据保护厂商们是一项艰巨的任务,因为我们在虚拟化或裸机环境中可以使用的许多优化和功能现在才进入基于 Kubernetes 的工作负载的数据保护解决方案,包括存储快照支持和数据优化技术(如重复数据删除)。
我们看到传统解决方案和特定于 Kubernetes 的解决方案之间开始出现功能对等,包括在性能和数据完整性方面,GigaOm 在之前的报告中指出了这两个领域的差异。
这种演变表明,Kubernetes数据保护市场正在成熟,每年的Radar报告显示许多全新的和旧的功能变得司空见惯。2023 年将是超越本报告中概述的赌注和关键标准的差异化之年,厂商们将寻求原生支持更多的云数据库和存储服务,并支持更高级的异构数据复制和迁移场景。