Velero恢复演练的目标不是证明“备份任务运行成功”,而是证明在指定故障场景下,Kubernetes 对象、PV 数据、配置密钥、入口规则和应用依赖可以按预期恢复。Velero 官方文档说明,它可以备份和恢复 Kubernetes 集群资源,并可结合存储快照或文件系统备份处理持久化数据[1]。
因此,演练验收不能停在 Backup Completed 或 Restore Completed。更重要的是:恢复到哪里、恢复后是否隔离、数据是否一致、入口是否可访问、外部依赖是否安全替换。
如果你还在设计整体备份策略,可以先阅读 Kubernetes自动化运维专题 明确 RPO、RTO 和范围;多集群灾备也应结合 集群管理工具怎么选 评估跨集群恢复能力。
图1:Velero 恢复演练用风险边界目标矩阵区分误删恢复、应
图型选择说明:本文重点是恢复演练目标分型,优先用目标矩阵呈现不同恢复范围的验收边界,而不是使用通用最佳实践检查清单。
先选演练类型:误删、单应用还是跨集群
不同故障目标对应不同演练方式。误删 ConfigMap、恢复单个应用、还原整个命名空间和跨集群灾备,风险和成功标准完全不同。
| 演练类型 | 目标 | 成功标准 |
|---|---|---|
| 误删对象恢复 | 快速找回单个资源 | 对象恢复且不覆盖其他资源 |
| 单应用恢复 | 恢复一个业务服务 | Pod、Service、PVC、Secret、接口探测通过 |
| 命名空间恢复 | 恢复一组应用 | 依赖关系、入口和权限一致 |
| 跨集群恢复 | 验证灾备迁移 | 存储类、镜像、域名和外部依赖可替换 |
| 有状态恢复 | 验证数据可用 | 数据一致性和读写测试通过 |
演练目标决定验收口径
如果目标只是误删恢复,资源对象存在可能就足够;如果目标是应用级灾备,就必须验证 PVC、数据库一致性、配置密钥、入口和外部依赖。不要用“备份状态 Completed”替代恢复成功。
恢复前检查:备份范围是否真的包含目标
Velero 的 Backup 和 Restore 资源会记录状态、错误、警告和包含范围。恢复演练前要先确认目标对象、CRD、Namespace、Secret 和 PV 数据是否包含在备份里。
建议先检查:
- Backup 是否 Completed,是否有 warning 或 error。
- include/exclude namespace 和 resources 是否覆盖目标。
- CRD 与自定义资源是否都在备份范围。
- PV 数据使用的是存储快照、CSI 还是文件系统备份。
- Restore 是否需要命名空间映射或资源过滤。
Velero Restore 相关命令和恢复行为应以官方 Restore Reference 为准[3],下面只展示演练中常见的只读检查和恢复任务创建方式。
velero backup get
velero backup describe app-daily-20260520 --details
velero restore create app-drill-20260520 --from-backup app-daily-20260520
velero restore describe app-drill-20260520 --details命令中的恢复目标应优先指向测试集群或隔离命名空间。涉及生产恢复时,需要明确影响范围、回滚方式和验证步骤。
图2:Velero 从备份清单、恢复任务到业务验证的演练流程
PV 数据验证:把“卷已绑定”推进到“业务可读写”
Kubernetes 对象恢复成功后,应用仍可能因为 PVC 数据缺失、快照不可用、StorageClass 不匹配、权限错误或数据库状态不一致而无法启动。Velero 对持久化数据的支持依赖存储快照能力、CSI 集成或文件系统备份方式,具体能力需要以 Velero 和存储插件文档为准[2]。
PV 数据验证建议分四层:
- 卷绑定:PVC 是否 Bound,PV 是否创建并绑定到正确 StorageClass。
- 数据存在:关键目录、文件数量、数据库元数据是否符合预期。
- 权限正确:挂载用户、fsGroup、只读/读写模式是否正常。
- 业务可用:服务能启动,读写探测或一致性校验通过。
只看 Deployment、Service 和 ConfigMap 恢复,会漏掉最关键的数据恢复能力。对有状态应用,最终标准应是业务读写和数据一致性。
隔离环境:避免演练污染生产
恢复演练如果直接在生产命名空间执行,可能覆盖已有对象、触发旧版本应用启动、写入真实队列或连接生产数据库。更稳妥的方式是使用测试集群、隔离命名空间、禁用外部写入或替换敏感配置。
隔离演练检查清单:
- 恢复命名空间与生产命名空间隔离。
- Ingress、Job、CronJob、外部回调默认不接入真实流量。
- Secret 中生产凭据替换为演练凭据。
- 恢复后不会自动消费生产队列或写入真实数据库。
- 演练完成后有明确清理清单。
图3:Velero 恢复演练通过隔离命名空间和替换外部依赖降低
复盘清单:把失败点反向修正到备份策略
恢复演练的价值在于发现盲区。每次演练都应记录哪些资源没备份、哪些对象恢复失败、哪些外部依赖需要替换、哪些步骤仍然依赖人工经验。
复盘至少回答:
- 本次恢复是否达到预设 RTO 和 RPO。
- 是否有资源被跳过或恢复到错误命名空间。
- PV 数据是否完整、可读写、一致。
- 哪些 Secret、Ingress、Job 或外部连接需要特殊处理。
- 下次备份范围、脚本或权限要如何调整。
小结
Velero恢复演练应该围绕恢复目标来设计:误删恢复、单应用恢复、跨集群恢复和灾难恢复需要不同的范围、命令和验收标准。
真正可用的备份,必须能在演练中恢复对象、数据、配置、入口和依赖,并通过业务验证。一次失败的恢复演练,如果能修正备份范围和流程,比一次只看 Completed 的演练更有价值。
参考资料
常见问题
1. Velero恢复演练多久做一次合适?
关键业务建议按季度或重大变更后演练;普通业务可以按半年或版本发布节奏演练。存储插件、集群版本、备份范围或业务架构变化后,也应重新验证恢复能力。
2. Backup Completed 是否代表一定能恢复?
不代表。Completed 只说明备份任务完成,不保证目标对象完整、PV 数据可用、恢复命名空间可运行或应用依赖可连接。必须通过 Restore 和业务验证确认。
3. 可以直接在生产命名空间做恢复演练吗?
一般不建议。生产命名空间恢复可能覆盖资源、触发旧任务或连接真实依赖。更稳妥的方式是在测试集群或隔离命名空间恢复,并替换外部凭据和入口配置。
4. 有状态应用恢复失败优先看什么?
优先看 PVC 是否 Bound、PV 数据是否存在、StorageClass 是否匹配、挂载权限是否正确、应用日志是否报数据目录或权限错误。随后再检查数据库一致性和外部依赖。
5. 跨集群恢复最容易遗漏什么?
常见遗漏包括 StorageClass 名称差异、镜像仓库访问权限、Ingress 域名、Secret 凭据、CRD 版本和外部依赖地址。跨集群演练应把这些替换项提前列成清单。
