Injektáž virtuální sítě v nástroji Azure Chaos Studio

Azure Virtual Network je základní stavební blok vaší privátní sítě v Azure. Virtuální síť umožňuje mnoha typům prostředků Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Virtuální síť se podobá tradiční síti, kterou provozujete ve vlastním datacentru. Přináší další výhody infrastruktury Azure, jako je škálování, dostupnost a izolace.

Injektáž virtuální sítě umožňuje poskytovateli prostředků Azure Chaos Studio vkládat kontejnerizované úlohy do virtuální sítě, aby k prostředkům bez veřejných koncových bodů bylo možné přistupovat prostřednictvím privátní IP adresy ve virtuální síti. Po nakonfigurování injektáže virtuální sítě pro prostředek ve virtuální síti a povolení prostředku jako cíle ho můžete použít v několika experimentech. Experiment může cílit na kombinaci privátních a neprivate prostředků, pokud jsou soukromé prostředky nakonfigurované podle pokynů v tomto článku.

Jsme také rádi, že Chaos Studio podporuje spouštění experimentů založených na agentech pomocí privátních koncových bodů. Chaos Studio teď podporuje Private Link pro experimenty založené na službách i agentech. Pokud chcete použít private-Link pro experimenty založené na agentech, obraťte se prosím na csA nebo navštivte stránku Postupy: Nastavení privátního propojení pro experimenty založené na agentech. V případě privátního propojení pro chyby přímé služby si přečtěte následující části s pokyny, jak je používat.

Podpora typů prostředků

V současné době můžete povolit pouze určité typy prostředků pro injektáž virtuální sítě Chaos Studio:

• Cíle služby Azure Kubernetes Service (AKS) je možné povolit prostřednictvím injektáže virtuální sítě prostřednictvím webu Azure Portal a Azure CLI. Můžete použít všechny chyby AKS Chaos Mesh.
• Cíle služby Azure Key Vault je možné povolit prostřednictvím injektáže virtuální sítě prostřednictvím webu Azure Portal a Azure CLI. Chyby, které je možné použít s injektáží virtuální sítě, jsou Zakázání certifikátu, zvýšení verze certifikátu a aktualizace zásad certifikátu.

Povolení injektáže virtuální sítě

Pokud chcete použít Chaos Studio s injektáží virtuální sítě, musíte splňovat následující požadavky.

1. Poskytovatelé Microsoft.ContainerInstance prostředků a Microsoft.Relay poskytovatelé prostředků musí být zaregistrovaní ve vašem předplatném.
2. Virtuální síť, do které budou vloženy prostředky nástroje Chaos Studio, musí mít dvě podsítě: podsíť kontejneru a podsíť předávání. Podsíť kontejneru se používá pro kontejnery Chaos Studio, které se vloží do vaší privátní sítě. Předávací podsíť se používá k předávání komunikace z Chaos Studia do kontejnerů uvnitř privátní sítě.
   1. Obě podsítě potřebují alespoň /28 velikost adresního prostoru (v tomto případě /27 je větší než /28, například). Příkladem je předpona 10.0.0.0/28 adresy nebo 10.0.0.0/24.
   2. Podsíť kontejneru musí být delegována na Microsoft.ContainerInstance/containerGroups.
   3. Podsítě lze libovolně pojmenovat, ale doporučujeme ChaosStudioContainerSubnet a ChaosStudioRelaySubnet.
3. Když povolíte požadovaný prostředek jako cíl, abyste ho mohli použít v experimentech chaos studia, musí být nastaveny následující vlastnosti:
   1. Nastavte properties.subnets.containerSubnetId na ID podsítě kontejneru.
   2. Nastavte properties.subnets.relaySubnetId na ID podsítě přenosu.

Pokud k povolení privátního prostředku jako cíle chaosového studia používáte Azure Portal, Služba Chaos Studio aktuálně rozpoznává pouze podsítě pojmenované ChaosStudioContainerSubnet a ChaosStudioRelaySubnet. Pokud tyto podsítě neexistují, pracovní postup portálu je může vytvořit automaticky.

Pokud používáte rozhraní příkazového řádku, můžou mít podsítě kontejneru a předávání libovolný název (podle pokynů pro pojmenování prostředků). Při povolení prostředku jako cíle zadejte příslušná ID.

Příklad: Použití aplikace Chaos Studio s privátním clusterem AKS

Tento příklad ukazuje, jak nakonfigurovat privátní cluster AKS pro použití s Chaos Studio. Předpokládá se, že už máte privátní cluster AKS v rámci předplatného Azure. Pokud ho chcete vytvořit, přečtěte si téma Vytvoření privátního clusteru Azure Kubernetes Service.

Azure Portal

1. Na webu Azure Portal přejděte do poskytovatelů prostředků předplatných>ve vašem předplatném.

2. Microsoft.ContainerInstance Pokud ještě nejsou zaregistrovaní, zaregistrujte poskytovatele prostředků Microsoft.Relay tak, že ho vyberete a pak vyberete Zaregistrovat. Znovu zaregistrujte Microsoft.Chaos poskytovatele prostředků.

   

3. Přejděte do Chaos Studia a vyberte Cíle. Vyhledejte požadovaný cluster AKS a vyberte Povolit cíle Povolit cíle> přímé služby.

   

4. Vyberte virtuální síť clusteru. Pokud už virtuální síť obsahuje pojmenované ChaosStudioContainerSubnet podsítě, ChaosStudioRelaySubnetvyberte je. Pokud ještě neexistují, vytvoří se automaticky za vás.

   

5. Vyberte Zkontrolovat a povolit>povolení.

   

Teď můžete privátní cluster AKS používat se sadou Chaos Studio. Informace o tom, jak nainstalovat Chaos Mesh a spustit experiment, najdete v tématu Vytvoření chaosového experimentu, který používá chybu Chaos Mesh na webu Azure Portal.

Azure CLI

1. Microsoft.ContainerInstance Spuštěním následujících příkazů zaregistrujte poskytovatele prostředků a Microsoft.Relay poskytovatele prostředků ve vašem předplatném. Pokud už jsou obě zaregistrované, můžete tento krok přeskočit. Další informace najdete v pokynech pro registraci poskytovatele prostředků.

   az provider register --namespace 'Microsoft.ContainerInstance' --wait
   

   az provider register --namespace 'Microsoft.Relay' --wait
   

   Ověřte registraci spuštěním následujících příkazů:

   az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
   

   az provider show --namespace 'Microsoft.Relay' | grep registrationState
   

   Ve výstupu byste měli vidět něco podobného:

   "registrationState": "Registered",
   

2. Znovu zaregistrujte Microsoft.Chaos poskytovatele prostředků s vaším předplatným.

   az provider register --namespace 'Microsoft.Chaos' --wait
   

   Ověřte registraci spuštěním následujícího příkazu:

   az provider show --namespace 'Microsoft.Chaos' | grep registrationState
   

   Ve výstupu byste měli vidět něco podobného:

   "registrationState": "Registered",
   

3. Ve virtuální síti vytvořte dvě podsítě, do které chcete vložit prostředky Chaos Studia (v tomto případě virtuální síť privátního clusteru AKS):

   • Podsíť kontejneru (příklad názvu: ChaosStudioContainerSubnet)
     • Delegujte podsíť na Microsoft.ContainerInstance/containerGroups službu.
     • Tato podsíť musí mít aspoň /28 v adresní prostoru.
   • Podsíť relay (příklad názvu: ChaosStudioRelaySubnet)
     • Tato podsíť musí mít aspoň /28 v adresní prostoru.

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
   

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
   

4. Když povolíte cíle pro cluster AKS, abyste ho mohli použít v experimentech chaosu, nastavte properties.subnets.containerSubnetId a properties.subnets.relaySubnetId vlastnosti pomocí nových podsítí, které jste vytvořili v kroku 3.

   $SUBSCRIPTION_ID nahraďte ID vašeho předplatného Azure. Nahraďte $RESOURCE_GROUP název $AKS_CLUSTER skupiny prostředků a názvem prostředku clusteru AKS. $AKS_INFRA_RESOURCE_GROUP Nahraďte také $AKS_VNET název skupiny prostředků infrastruktury AKS a názvem virtuální sítě. Nahraďte $URL odpovídající adresou URL použitou k onboardingu cílového prostředku. Pokud chcete tuto adresu URL najít, odkazujte na onboarding prostředku jako cíl aplikace Chaos Studio.

   CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
   RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
   BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
   az rest --method put --url $URL --body "$BODY"
   

Teď můžete privátní cluster AKS používat se sadou Chaos Studio. Informace o tom, jak nainstalovat Chaos Mesh a spustit experiment, najdete v tématu Vytvoření chaosového experimentu, který používá chybu Chaos Mesh pomocí Azure CLI.

Omezení

• Injektáž virtuální sítě je v současné době možná jenom v předplatných a oblastech, ve kterých jsou dostupné služby Azure Container Instances a Azure Relay.
• Když vytvoříte cílový prostředek, který povolíte pomocí injektáže virtuální sítě, potřebujete Microsoft.Network/virtualNetworks/subnets/write přístup k virtuální síti. Pokud je například cluster AKS nasazený na virtuální network_A, musíte mít oprávnění k vytváření podsítí ve virtuálních network_A, aby bylo možné injektáž virtuální sítě pro cluster AKS.
• Pokud má vaše organizace zásadu vyžadující značky prostředků, při použití aplikace Chaos Studio s privátními sítěmi to selže. Tuto zásadu budete muset prozatím zakázat, dokud nebudeme tento problém opravovat.

Další kroky

Teď, když rozumíte tomu, jak lze pro Chaos Studio dosáhnout injektáže virtuální sítě, jste připraveni:

• Vytvoření a spuštění prvního experimentu
• Vytvoření a spuštění prvního experimentu se službou Azure Kubernetes Service