バックアップと復元

アップグレードを開始する前に、Kong Gatewayデータをバックアップしてください。 Kongでは、Kong Gatewayエンティティのバックアップとして、データベースネイティブバックアップと宣言型バックアップの2つのバックアップ方法をサポートしています。データベースネイティブバックアップは、Kong Gatewayデータベース全体をバックアップするのに対し、宣言型バックアップは宣言型構成ファイルを管理することで機能します。

復旧の柔軟性を高めるため、両方の方法を使用してデータをバックアップすることをお勧めします。

データベースネイティブツールは、宣言型ツールに比べて堅牢でかつデータを即座に復元できます。
データが破損した場合は、まずデータベースレベルの復元を試みてください。そうでない場合は、新しいデータベースをブートストラップし、宣言型ツールを使用してエンティティデータ内でロードしてください。

キーリングマテリアルとKong Gateway構成ファイルは別々にバックアップする必要があります。詳細については、以下のそれぞれのセクションを参照してください。

このガイドで説明するバックアップおよび復元の方法は、一般的な手順です。インフラ、デプロイメント、ビジネス要件に合わせ、必要に応じて方法を修正してください。

バックアップと復元のための宣言型ツール

Kongには、宣言形式のKong Gatewayエンティティの管理をサポートするdecKとkong config CLIという2つの宣言型バックアップツールが付属しています。

データベースを基盤とするデプロイメント （従来モードおよびハイブリッドモード）では、これらのツールのいずれかを使用して作成されたバックアップは、追加の保護層として機能します。データベースネイティブのバックアップまたは復元によってデータベースが破損した場合は、宣言型ファイルにフォールバックしてデータを復元できます。

どちらのツールでも、データベースがデータのエクスポートとインポートに対応している必要があります。これらのツールを使用してデータをインポートまたはエクスポートするには、ユーザーとパスワードが初期化され、データベースがブートストラップされていることを確認してください。
DBレスのデプロイメント では特別なツールは必要ないため、宣言型のツールサポートはありません。宣言型ファイルを手動でバックアップします。

decKは一般的に、kong構成CLIよりも強力です。より多くの機能があり、キャッシュを自動的に無効化し、LRUキャッシュではなくデータベースからエンティティを取得します。さらに、パッチを適用する代わりにエンティティを上書きするので、指定した構成の正確なコピーがデータベースに保存されます。

ただし、decKには次のような制限もあります。

可用性 ：decKではKong Gatewayがオンラインである必要があります。一方、kong config CLIではオンラインである必要はありません。
パフォーマンス ：decKはエンティティの読み書きにAdmin APIを使用するため、特にエンティティの数が非常に多い場合は、予想以上に時間がかかることがあります。

この問題は、フラグ--parallelismをdeck gateway syncまたはdeck gateway diffに渡してスレッド数を増やすか、またはdecKの分散構成機能を使うことで解決できます。
decKが管理するエンティティ ：decKは、RBACの役割、認証情報、キーリング、ライセンスなどのエンタープライズ専用エンティティを管理しません。これらのセキュリティ関連エンティティは、Admin APIまたはKong Managerを使用して個別に設定してください。全リストについては、decKが管理するエンティティの参考資料を参照してください。

これらの制限があるため、データベースを使用して展開する場合は、データベースネイティブな方法を優先することをお勧めします。

Gatewayエンティティのバックアップ

データベースネイティブバックアップ

Kong Gatewayを新しいバージョンにアップグレードする場合は、kong migrationsユーティリティを使用してデータベースの移行を実行する必要があります。kong migrationsコマンドは元に戻せません。移行で問題が発生した場合に備えて、アップグレードを開始する前はデータをバックアップすることをお勧めします。

データベースでKong Gatewayを実行している場合は、データベースネイティブな方法でデータベースを迅速に復旧できるように、生データのデータベースダンプを実行してください。これが、Kong Gatewayをバックアップするお勧めの方法です。

PostgreSQLでは、ユーティリティpg_dumpを使用して、 テキスト 形式、 tar 形式（圧縮なし）、 またはディレクトリ 形式（圧縮あり）でデータをダンプできます。以下に例を示します。

pg_dump -U kong -d kong -F d -f kongdb_backup_20230816

特に PostgreSQL インスタンスがKong Gateway以外のアプリケーションにもサービスを提供する場合は、CLI オプション-dを使用して、エクスポートするデータベース（たとえば、kong ）を指定します。

宣言型バックアップ

Traditional or hybrid mode - decK

Traditional or hybrid mode - kong config CLI

DB-less mode

データベースを活用するデプロイメントでは、予備のバックアップ方法としてdecKの使用をお勧めします。

この方法で、すべてのKong Gatewayエンティティがバックアップされるわけではありません。この方法をプライマリバックアップとして使用しないでください。

decKでデータをバックアップするため、まずは、Kong Gatewayに正常に接続されているか確認します。
```
deck gateway ping
```
RBACが有効になっている場合は、CLIオプション--headersを使用して管理者トークンを指定します。このトークンは、任意のdecKコマンドで指定できます。
```
deck gateway ping --headers “Kong-Admin-Token: <password id="sl-md0000000">”
```
decKを使用して構成をダンプし、結果のファイルを安全な場所に保存します。特定のワークスペースまたはすべてのワークスペースを一度にバックアップできます。
```
deck gateway dump --all-workspaces -o /path/to/kong_backup.yaml
```
または
```
deck gateway dump --workspace it_dept -o /path/to/kong_backup.yaml
```
結果のファイルを安全な場所に保管します。

データベースバックアップのデプロイにおける最終的なフェイルセーフとして、kong config CLIを使用してデータベースをバックアップすることもできます。

この方法はデータベースの最終状態を正確に表していない可能性があるため、プライマリバックアップとして使用しないでください。

kong config db_export /path/to/kong_backup.yaml

これもプライマリバックアップとしては推奨されませんが、冗長性をさらに高めるために使用できます。

DBレスのデプロイメントをバックアップするには、宣言型構成ファイル（デフォルトではkong.yml ）のコピーを作成し、安全な場所に保存します。

宣言型構成ファイルは、declarative_config ゲートウェイ設定で設定されたパスにあります。

Gatewayエンティティの復元

データベースネイティブの復元

データベースネイティブバックアップからKong Gateway構成データを復元するには、データベースが準備されていることを確認します。

PostgreSQLの場合:

kong.confで、 pg_userパラメータを使用してデータベースユーザーを設定します。
```
pg_user = kong
```
kong.confで、pg_databaseパラメータを使用してデータベース名を設定します。
```
pg_database = kong
```
migrationsコマンドを使用してデータベースエンティティをブートストラップします。詳細については、kong migrations CLIリファレンスを参照してください。
```
kong migrations bootstrap
```
以下のように、ユーティリティpg_restoreを使用してデータを復元できるようになりました。
```
pg_restore -U kong -C -d postgres --if-exists --clean kongdb_backup_20230816/
```

宣言型の復元

ロールバックする必要がある場合は、Kong Gateway インスタンスを元のバージョンに戻してください。宣言的な設定を検証して、それを Kong Gateway インスタンスに適用します。

Traditional or hybrid mode - decK

Traditional or hybrid mode - kong config CLI

DB-less mode

従来モードまたはハイブリッドモードでは、decKを使用してバックアップ状態ファイルから構成を復元します。

Kong Gatewayがオンラインであることを確認します。
```
deck gateway ping
```

宣言型構成を検証します。

deck gateway validate /path/to/kong_backup.yaml [--online] 

確認が完了したら、特定のワークスペースまたはすべてのワークスペースを一度に復元します。
```
deck gateway sync /path/to/kong_backup.yaml --all-workspaces 
```
または
```
deck gateway sync /path/to/kong_backup.yaml --workspace it_dept
```

kong config db_exportを使用してKong Gatewayデータベースをバックアップした場合は、kong構成CLIを使用して、バックアップ宣言型構成ファイルから構成を復元します。

復元する前に、バックアップ構成ファイルを検証します。
```
kong config parse /path/to/kong_backup.yaml
```
エンティティをデータベースにインポートします。
```
kong config db_import /path/to/kong_backup.yaml
```
Kong Gatewayインスタンスを再起動またはリロードします。
```
kong restart
```
または
```
kong reload
```

DBレスモードでは、kong config CLI を使用して、宣言型構成ファイルから構成を復元します。

復元する前に、バックアップ構成ファイルを検証します。
```
kong config parse /path/to/kong_backup.yaml
```

バックアップ構成ファイルを使用して、Kong Gatewayインスタンスを再起動または再読み込みします。

export KONG_DECLARATIVE_CONFIG=/path/to/kong_backup.yaml; kong restart -c /path/to/kong.conf

または

export KONG_DECLARATIVE_CONFIG=/path/to/kong_backup.yaml; kong reload -c /path/to/kong.conf

または、宣言型バックアップファイルを:8001/configエンドポイントに投稿します。

curl -sS http://localhost:8001/config?check_hash=1 \
  -F 'config=@/path/to/kong_backup.yaml' ; echo

キーリング素材のバックアップと復元

キーリングとデータ暗号化を有効にしている場合は、キーリング素材を個別にバックアップおよび復元する必要があります。

注：暗号化キーは必ず安全な場所に保管してください。暗号化キーを紛失すると、暗号化された Kong Gateway 設定データには永久にアクセスできなくなります。他の方法で回復させることはできません。

技術的な詳細については、手動バックアップ方法および自動バックアップ方法を参照してください。

その他のファイル

次のファイルを手動でバックアップします。

Kong Gateway構成ファイルのkong.conf。
キー、証明書、nginx-kong.conf、その他のファイルなど、Kong Gatewayプレフィックス内のファイル。
Kong Gatewayデプロイメント用に作成したその他のファイル。

これらのファイルにはKong Gatewayエンティティが含まれていませんが、これらがないとKong Gatewayを起動できません。

注 : Kong Gatewayがステートレスである商用サービスを構築した場合、つまりAMIコンテナまたはDockerコンテナで構成されるすべてがバージョン管理で定義され、実行中のプラットフォームにプッシュされる場合、Kong Gatewayの構成パラメータを独自の操作方法または安全な方法でバックアップします。