다음을 통해 공유


Azure Chaos Studio에 가상 네트워크 주입

Azure Virtual Network는 Azure의 개인 네트워크의 기본 구성 요소입니다. 가상 네트워크를 사용하면 다양한 종류의 Azure 리소스에서 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다. 가상 네트워크는 사용자 고유의 데이터 센터에서 작동하는 기존 네트워크와 비슷합니다. 이는 크기 조정, 가용성 및 격리와 같은 Azure 인프라의 다른 이점을 제공합니다.

가상 네트워크 주입을 사용하면 Azure Chaos Studio 리소스 공급자가 컨테이너화된 워크로드를 가상 네트워크에 주입하여 퍼블릭 엔드포인트가 없는 리소스에 가상 네트워크의 개인 IP 주소를 통해 액세스할 수 있습니다. 가상 네트워크의 리소스에 대한 가상 네트워크 주입을 구성하고 해당 리소스를 대상으로 사용하도록 설정한 후에는 여러 실험에서 사용할 수 있습니다. 이 문서의 지침에 따라 비공개 리소스가 구성된 경우 실험은 비공개 리소스와 공개 리소스의 혼합을 대상으로 할 수 있습니다.

또한 이제 Chaos Studio가 프라이빗 엔드포인트를 사용하여 에이전트 기반 실험 실행을 지원한다는 소식을 공유하게 되어 기쁩니다! Chaos Studio는 이제 서비스 직접 실험 및 에이전트 기반 실험 모두에 대해 Private Link를 지원합니다. 에이전트 기반 실험에 Private-Link를 사용하려면 CSA에 문의하거나 방법: 에이전트 기반 실험을 위한 프라이빗 링크 설정을 방문하세요. 서비스 직접 오류에 대한 프라이빗 링크의 경우 사용 방법에 대한 지침은 다음 섹션을 참조하세요.

리소스 종류 지원

현재 Chaos Studio 가상 네트워크 주입에 대해 특정 리소스 종류만 사용하도록 설정할 수 있습니다.

  • AKS(Azure Kubernetes Service) 대상은 Azure Portal 및 Azure CLI를 통한 가상 네트워크 주입으로 사용하도록 설정할 수 있습니다. 모든 AKS Chaos Mesh 오류를 사용할 수 있습니다.
  • Azure Key Vault 대상은 Azure CLI를 통한 가상 네트워크 주입으로 사용하도록 설정할 수 있습니다. 가상 네트워크 주입에 사용할 수 있는 오류는 인증서 사용 안 함, 인증서 버전 증가 및 인증서 정책 업데이트입니다.

가상 네트워크 주입 사용

가상 네트워크 주입과 함께 Chaos Studio를 사용하려면 다음 요구 사항을 충족해야 합니다.

  1. Microsoft.ContainerInstanceMicrosoft.Relay 리소스 공급자를 구독에 등록해야 합니다.
  2. Chaos Studio 리소스가 주입될 가상 네트워크에는 컨테이너 서브넷과 릴레이 서브넷이라는 두 개의 서브넷이 있어야 합니다. 컨테이너 서브넷은 개인 네트워크에 주입될 Chaos Studio 컨테이너에 사용됩니다. 릴레이 서브넷은 Chaos Studio에서 개인 네트워크 내부의 컨테이너로 통신을 전달하는 데 사용됩니다.
    1. 두 서브넷 모두 주소 공간 크기에 대해 최소한 /28이 필요합니다(예를 들어 이 경우 /27/28보다 큽니다). 예를 들어 주소 접두사 10.0.0.0/28 또는 10.0.0.0/24가 있습니다.
    2. 컨테이너 서브넷은 Microsoft.ContainerInstance/containerGroups에 위임되어야 합니다.
    3. 서브넷의 이름은 임의로 지정할 수 있지만 ChaosStudioContainerSubnetChaosStudioRelaySubnet을 권장합니다.
  3. Chaos Studio 실험에서 사용할 수 있도록 원하는 리소스를 대상으로 사용하도록 설정하는 경우 다음 속성을 설정해야 합니다.
    1. properties.subnets.containerSubnetId를 컨테이너 서브넷의 ID로 설정합니다.
    2. properties.subnets.relaySubnetId를 릴레이 서브넷의 ID로 설정합니다.

Azure Portal을 사용하여 프라이빗 리소스를 Chaos Studio 대상으로 사용하도록 설정하는 경우 Chaos Studio는 현재 ChaosStudioContainerSubnetChaosStudioRelaySubnet이라는 서브넷만 인식합니다. 이러한 서브넷이 없으면 포털 워크플로에서 자동으로 만들 수 있습니다.

CLI를 사용하는 경우 컨테이너 및 릴레이 서브넷은 모든 이름을 가질 수 있습니다(리소스 명명 지침에 따라 다름). 리소스를 대상으로 사용하도록 설정할 때 적절한 ID를 지정합니다.

예: 프라이빗 AKS 클러스터와 함께 Chaos Studio 사용

이 예제에서는 Chaos Studio와 함께 사용할 프라이빗 AKS 클러스터를 구성하는 방법을 보여 줍니다. Azure 구독 내에 프라이빗 AKS 클러스터가 이미 있다고 가정합니다. 클러스터를 만들려면 프라이빗 Azure Kubernetes Service 클러스터 만들기를 참조하세요.

  1. Azure Portal에서 해당 구독의 구독>리소스 공급자로 이동합니다.

  2. Microsoft.ContainerInstanceMicrosoft.Relay 리소스 공급자가 아직 등록되지 않은 경우 공급자를 선택한 다음, 등록을 선택하여 등록합니다. Microsoft.Chaos 리소스 공급자를 다시 등록합니다.

    리소스 공급자를 등록하는 방법을 보여 주는 스크린샷

  3. Chaos Studio로 이동하여 대상을 선택합니다. 원하는 AKS 클러스터를 찾고 대상 사용>서비스 직접 대상 사용을 선택합니다.

    Chaos Studio에서 대상을 사용하도록 설정하는 방법을 보여 주는 스크린샷.

  4. 클러스터의 가상 네트워크를 선택합니다. 가상 네트워크에 ChaosStudioContainerSubnetChaosStudioRelaySubnet이라는 서브넷이 이미 포함되어 있는 경우 이를 선택합니다. 아직 없는 경우 자동으로 생성됩니다.

    가상 네트워크 및 서브넷을 선택하는 방법을 보여 주는 스크린샷.

  5. 검토 + 사용>사용을 선택합니다.

    대상 사용을 검토하는 방법을 보여 주는 스크린샷.

이제 Chaos Studio에서 프라이빗 AKS 클러스터를 사용할 수 있습니다. Chaos Mesh를 설치하고 실험을 실행하는 방법을 알아보려면 Azure Portal에서 Chaos Mesh 오류를 사용하는 카오스 실험 만들기를 참조하세요.

제한 사항

  • 현재 가상 네트워크 주입은 Azure Container Instances 및 Azure Relay를 사용할 수 있는 구독/지역에서만 가능합니다.
  • 가상 네트워크 주입을 통해 사용하도록 설정하는 대상 리소스를 만드는 경우 가상 네트워크에 대한 Microsoft.Network/virtualNetworks/subnets/write 액세스 권한이 필요합니다. 예를 들어, AKS 클러스터가 VNet_A에 배포된 경우 AKS 클러스터에 대한 가상 네트워크 주입을 사용하도록 설정하려면 VNet_A에 서브넷을 만들 수 있는 권한이 있어야 합니다.

다음 단계

이제 Chaos Studio에서 가상 네트워크 주입을 수행하는 방법을 이해했으므로, 다음을 수행할 준비가 되었습니다.