Partager via


Injection de réseau virtuel dans Azure Chaos Studio

Le Réseau virtuel Azure est le bloc de construction fondamental de votre réseau privé dans Azure. Un réseau virtuel permet à de nombreux types de ressources Azure de communiquer de manière sécurisée entre eux, avec Internet et avec des réseaux locaux. Un réseau virtuel est similaire à un réseau traditionnel que vous utilisez dans votre propre centre de données. Cela offre d’autres avantages liés à l’infrastructure d’Azure, comme la mise à l’échelle, la disponibilité et l’isolation.

L’injection de réseau virtuel permet à un fournisseur de ressources Azure Chaos Studio d’injecter des charges de travail conteneurisées dans votre réseau virtuel afin que les ressources sans points de terminaison publics soient accessibles via une adresse IP privée sur le réseau virtuel. Une fois que vous avez configuré l’injection de réseau virtuel pour une ressource dans un réseau virtuel et activé la ressource en tant que cible, vous pouvez l’utiliser dans plusieurs expériences. Une expérience peut cibler un mélange de ressources privées et non privées si les ressources privées sont configurées conformément aux instructions de cet article.

Nous sommes également heureux de partager que Chaos Studio prend en charge l’exécution d’expériences basées sur des agents à l’aide de points de terminaison privés. Chaos Studio prend désormais en charge Private Link pour les expériences directes de service et celles basées sur des agents. Si vous souhaitez utiliser Private Link pour les expériences basées sur des agents, contactez votre CSA ou visitez Aides et astuces : Configuration d’une liaison privée pour des expériences basées sur des agents. Pour obtenir une liaison privée pour les erreurs directes de service, lisez les sections suivantes pour obtenir des instructions sur leur utilisation.

Prise en charge des types de ressources

Actuellement, vous ne pouvez activer que certains types de ressources pour l’injection de réseau virtuel Chaos Studio :

  • Les cibles Azure Kubernetes Service (AKS) peuvent être activées avec l’injection de réseau virtuel via le Portail Azure et Azure CLI. Toutes les erreurs AKS Chaos Mesh peuvent être utilisées.
  • Les cibles Azure Key Vault peuvent être activées avec l’injection de réseau virtuel via Azure CLI. Les erreurs qui peuvent être utilisées avec l’injection de réseau virtuel sont Désactiver le certificat, Incrémenter la version du certificat et Mettre à jour la stratégie de certificat.

Activer l’injection de réseau virtuel

Pour utiliser Chaos Studio avec l’injection de réseau virtuel, vous devez répondre aux exigences suivantes.

  1. Les fournisseurs de ressources Microsoft.ContainerInstance et Microsoft.Relay doivent être inscrits avec votre abonnement.
  2. Le réseau virtuel où les ressources Chaos Studio seront injectées doit avoir deux sous-réseaux : un sous-réseau de conteneur et un sous-réseau de relais. Un sous-réseau de conteneur est utilisé pour les conteneurs Chaos Studio qui seront injectés dans votre réseau privé. Un sous-réseau de relais est utilisé pour transférer la communication de Chaos Studio vers les conteneurs à l’intérieur du réseau privé.
    1. Les deux sous-réseaux ont besoin d’au moins /28 pour la taille de l’espace d’adressage (dans ce cas, /27 est supérieure à /28, par exemple). Par exemple, un préfixe d’adresse de 10.0.0.0/28 ou de 10.0.0.0/24.
    2. Le sous-réseau de conteneur doit être délégué à Microsoft.ContainerInstance/containerGroups.
    3. Les sous-réseaux peuvent être nommés arbitrairement, mais nous vous recommandons ChaosStudioContainerSubnet et ChaosStudioRelaySubnet.
  3. Lorsque vous activez la ressource souhaitée en tant que cible afin de pouvoir l’utiliser dans les expériences Chaos Studio, les propriétés suivantes doivent être définies :
    1. Définissez properties.subnets.containerSubnetId sur l’ID du sous-réseau de conteneur.
    2. Définissez properties.subnets.relaySubnetId sur l’ID du sous-réseau de relais.

Si vous utilisez le Portail Azure pour activer une ressource privée en tant que cible Chaos Studio, Chaos Studio reconnaît actuellement uniquement les sous-réseaux nommés ChaosStudioContainerSubnet et ChaosStudioRelaySubnet. Si ces sous-réseaux n’existent pas, le workflow du portail peut les créer automatiquement.

Si vous utilisez l’interface CLI, les sous-réseaux de conteneur et de relais peuvent avoir n’importe quel nom (soumis aux instructions de nommage des ressources). Spécifiez les ID appropriés lorsque vous activez la ressource en tant que cible.

Exemple : utiliser Chaos Studio avec un cluster AKS privé

Cet exemple montre comment configurer un cluster AKS privé à utiliser avec Chaos Studio. Il part du principe que vous disposez déjà d’un cluster AKS privé au sein de votre abonnement Azure. Pour en créer un, consultez Créer un cluster Azure Kubernetes Service privé.

  1. Dans le Portail Azure, accédez à Abonnements>Fournisseurs de ressources dans votre abonnement.

  2. Enregistrez les fournisseurs de ressources Microsoft.ContainerInstance et Microsoft.Relay, si ce n’est pas déjà fait, en sélectionnant le fournisseur, puis en sélectionnant Enregistrer. Enregistrez à nouveau le fournisseur de ressources Microsoft.Chaos.

    Capture d'écran montrant comment enregistrer un fournisseur de ressources.

  3. Accédez à Chaos Studio et sélectionnez Cibles. Recherchez votre cluster AKS souhaité et sélectionnez Activer les cibles>Activer les cibles directes de service.

    Capture d’écran montrant comment activer des cibles dans Chaos Studio.

  4. Sélectionnez le réseau virtuel du cluster. Si le réseau virtuel inclut déjà des sous-réseaux nommés ChaosStudioContainerSubnet et ChaosStudioRelaySubnet, sélectionnez-les. S’ils n’existent pas, ils sont automatiquement créés pour vous.

    Capture d’écran montrant comment sélectionner le réseau virtuel et les sous-réseaux.

  5. Sélectionnez Vérifier + activer>Activer.

    Capture d’écran montrant comment vérifier l’activation de la cible.

Vous pouvez maintenant utiliser votre cluster AKS privé avec Chaos Studio. Pour découvrir comment installer Chaos Mesh et exécuter l’expérience, consultez Créer une expérience de chaos qui utilise une erreur Chaos Mesh avec le Portail Azure.

Limites

  • L’injection de réseau virtuel n’est actuellement à votre disposition que dans les abonnements/régions où Azure Container Instances et Azure Relay sont disponibles.
  • Lorsque vous créez une ressource cible que vous activez avec l’injection de réseau virtuel, vous avez besoin de l’accès Microsoft.Network/virtualNetworks/subnets/write sur le réseau virtuel. Par exemple, si le cluster AKS est déployé sur un réseau virtuel network_A, vous devez disposer des autorisations nécessaires pour créer des sous-réseaux dans un réseau virtuel network_A afin d’activer l’injection de réseau virtuel pour le cluster AKS.

Étapes suivantes

Une fois que vous avez compris comment effectuer l’injection de réseau virtuel pour Chaos Studio, vous êtes prêt à :