Delen via

Private Link configureren voor experimenten op basis van agents (preview)

  • Artikel

In dit artikel worden de stappen uitgelegd die nodig zijn voor het configureren van Azure Private Link voor een experiment op basis van een Azure Chaos Studio-agent (preview). De huidige gebruikerservaring is gebaseerd op de ondersteuning voor privé-eindpunten die is ingeschakeld als onderdeel van de openbare preview van de functie voor privé-eindpunten. Verwacht dat deze ervaring zich ontwikkelt met de tijd, omdat de functie wordt uitgebreid tot de kwaliteit van algemene beschikbaarheid (GA). Het is momenteel in preview.

Vereisten

Notitie

Als de doelresource is gemaakt met behulp van De Azure-portal, wordt de VM-extensie (Chaos Agent virtual machine) automatisch geïnstalleerd op de host-VM. Als het doel is ingeschakeld met behulp van de Azure CLI, volgt u de Chaos Studio-documentatie om de VM-extensie eerst op de VIRTUELE machine te installeren. Totdat u de installatie van het privé-eindpunt hebt voltooid, rapporteert de VM-extensie een slechte status. Dit gedrag is verwacht.


Beperkingen

  • U moet onze REST API voor 2023-10-27-preview gebruiken om alleen Private Link te maken en te gebruiken voor experimenten op basis van agents. Er is geen ondersteuning voor Private Link voor op agents gebaseerde experimenten in onze GA-stabiele REST API tot H1 2024.
  • Voor de volledige end-to-end-ervaring voor deze stroom is een bepaald gebruik van de CLI vereist. De huidige end-to-end-ervaring kan niet worden uitgevoerd vanuit Azure Portal.
  • Het resourcetype Chaos Studio Private Accesses (CSPA) heeft een strikte 1:1 toewijzing van Chaos Target:CSPA-resource (abstractie voor privé-eindpunt). We staan toe dat er slechts vijf CSPA-resources per abonnement worden gemaakt om de verwachte ervaring voor al onze klanten te behouden.

Een Chaos Studio Private Access-resource maken

Als u privé-eindpunten wilt gebruiken voor chaosexperimenten op basis van agents, moet u een nieuw resourcetype maken met de naam Chaos Studio Private Accesses. CSPA is de resource waarmee de privé-eindpunten worden gemaakt.

Deze resource kan momenteel alleen worden gemaakt vanuit de CLI. Zie de volgende voorbeeldcode voor het maken van dit resourcetype:

az rest --verbose --skip-authorization-header --header "Authorization=Bearer $accessToken" --method PUT --uri "https://centraluseuap.management.azure.com/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Chaos/privateAccesses/<CSPAResourceName>?api-version=2023-10-27-preview" --body ' 

{ 

   "location": "<resourceLocation>", 

   "properties": { 

       "id": "<CSPAResourceName>", 

       "name": "<CSPAResourceName>", 

       "location": "<resourceLocation>", 

       "type": "Microsoft.Chaos/privateAccesses", 

       "resourceId": "subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Chaos/privateAccesses/<CSPAResourceName>" 

   } 

}'
Naam Vereist Type Description
subscriptionID Waar String GUID die een Azure-abonnements-id vertegenwoordigt.
resourceGroupName Waar String Tekenreeks die een Azure-resourcegroep vertegenwoordigt.
CSPAResourceName Waar String Tekenreeks die de naam aangeeft die u uw Chaos Studio Private Access-resource wilt geven.
resourceLocation Waar String Locatie waar u de resource wilt hosten (moet een ondersteuningsregio zijn van Chaos Studio).

Uw virtuele netwerk, subnet en privé-eindpunt maken

Stel het gewenste virtuele netwerk, subnet en eindpunt in voor het experiment als u dat nog niet hebt gedaan.

Zorg ervoor dat u deze koppelt aan het virtuele netwerk van dezelfde virtuele machine. Schermopnamen bieden voorbeelden van het maken van het virtuele netwerk, subnet en privé-eindpunt. U moet het resourcetype instellen op Microsoft.Chaos/privateAccesses, zoals te zien is in de schermopname.

Schermopname van het tabblad Resource van het maken van privé-eindpunten.

Schermopname van het tabblad Virtueel netwerk van het maken van privé-eindpunten.

De host-VM van de agent toewijzen aan de CSPA-resource

Zoek het doel Resource ID door een GetTarget oproep te doen:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{parentProviderNamespace}/{parentResourceType}/{parentResourceName}/providers/Microsoft.Chaos/targets/{targetName}?api-version=2023-10-27-preview

De GET opdracht retourneert een groot antwoord. Let op dit antwoord. We gebruiken dit antwoord en passen het aan voordat we een PUT Target opdracht uitvoeren om de twee resources toe te wijzen.


Roep een PUT Target opdracht aan met behulp van dit antwoord. U moet nog twee velden toevoegen aan de hoofdtekst van de opdracht voordat u deze PUT uitvoert.

Deze extra velden worden hier weergegeven:

"privateAccessId": "subscriptions/<subID>/...
"allowPublicAccess": false

},

Hier volgt een voorbeeldblok voor hoe de PUT Target opdracht eruit moet zien en de velden die u moet invullen:

Notitie

Kopieer de hoofdtekst van de vorige GET opdracht. U moet de privateAccessID velden allowPublicAccess handmatig toevoegen.


az rest --verbose --skip-authorization-header --header "Authorization=Bearer $accessToken" --method PUT --uri "https://management.azure.com/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>/providers/Microsoft.Compute/virtualMachines/<VMSSname>/providers/Microsoft.Chaos/targets/Microsoft-Agent?api-version=2023-10-27-preview " --body ' {
    "id": "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/microsoft.compute/virtualmachines/<VMSSName>/providers/Microsoft.Chaos/targets/Microsoft-Agent",
    "type": "Microsoft.Chaos/targets",
    "name": "Microsoft-Agent",
    "location": "<resourceLocation>",
    "properties": {
        "agentProfileId": "<from target resource>",
        "identities": [
            {
                "type": "AzureManagedIdentity",
                "clientId": "<clientID>",
                "tenantId": "<tenantID>"
            }
        ],
        "agentTenantId": "CHAOSSTUDIO",
        "privateAccessId": "subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Chaos/privateAccesses/<CSPAresourceName>",
        "allowPublicAccess": false
    }} '

Notitie

De PrivateAccessID waarde moet exact overeenkomen met de resourceID waarde die u hebt gebruikt om de CSPA-resource te maken in de eerdere sectie Een Chaos Studio Private Access-resource maken.

Start de Azure Chaos Agent-service opnieuw op de VM

Nadat u alle vereiste wijzigingen in de host hebt aangebracht, start u de Azure Chaos Agent-service opnieuw op de VIRTUELE machine.

Windows

Schermopname van het opnieuw opstarten van de Windows-VM.

Linux

Voer voor Linux de volgende opdracht uit vanuit de CLI:

Systemctl restart azure-chaos-agent

Schermopname van het opnieuw opstarten van de Virtuele Linux-machine.

Uw op agents gebaseerde experiment uitvoeren met behulp van privé-eindpunten

Na het opnieuw opstarten moet de Azure Chaos-agent kunnen communiceren met de agentcommunicatiegegevensvlakservice en moet de agentregistratie voor het gegevensvlak zijn geslaagd. Na een geslaagde registratie kan de agent de status ervan aangeven met een heartbeat. Vervolgens kunt u doorgaan met het uitvoeren van experimenten op basis van de Azure Chaos Agent met behulp van privé-eindpunten.