Virtuele netwerkinjectie in Azure Chaos Studio

Artikel
10/14/2024

Azure Virtual Network is de fundamentele bouwsteen voor uw privénetwerk in Azure. Met een virtueel netwerk kunnen veel soorten Azure-resources veilig met elkaar communiceren, internet en on-premises netwerken. Een virtueel netwerk is vergelijkbaar met een traditioneel netwerk dat u in uw eigen datacenter uitvoert. Het biedt andere voordelen van de infrastructuur van Azure, zoals schaal, beschikbaarheid en isolatie.

Met een virtuele netwerkinjectie kan een Azure Chaos Studio-resourceprovider containerworkloads in uw virtuele netwerk injecteren, zodat resources zonder openbare eindpunten toegankelijk zijn via een privé-IP-adres in het virtuele netwerk. Nadat u de injectie van een virtueel netwerk hebt geconfigureerd voor een resource in een virtueel netwerk en de resource als doel hebt ingeschakeld, kunt u deze in meerdere experimenten gebruiken. Een experiment kan zich richten op een combinatie van privé- en niet-persoonlijke resources als de privé-resources zijn geconfigureerd volgens de instructies in dit artikel.

We zijn nu ook verheugd om te delen dat Chaos Studio ondersteuning biedt voor het uitvoeren van op agents gebaseerde experimenten met behulp van privé-eindpunten. Chaos Studio ondersteunt nu Private Link voor zowel service-directe als op agents gebaseerde experimenten. Als u Private Link wilt gebruiken voor op agents gebaseerde experimenten, neemt u contact op met uw CSA of gaat u naar How to: Setup private link for agent-based experimenten. Lees de volgende secties voor privékoppelingen voor service-directe fouten voor instructies over het gebruik ervan.

Ondersteuning voor resourcetypen

Op dit moment kunt u alleen bepaalde resourcetypen inschakelen voor de injectie van virtuele chaos studio-netwerken:

AKS-doelen (Azure Kubernetes Service) kunnen worden ingeschakeld met virtuele netwerkinjectie via Azure Portal en de Azure CLI. Alle AKS Chaos Mesh-fouten kunnen worden gebruikt.
Azure Key Vault-doelen kunnen worden ingeschakeld met virtuele netwerkinjectie via Azure Portal en de Azure CLI. De fouten die kunnen worden gebruikt met virtuele netwerkinjectie zijn Certificaat uitschakelen, Certificaatversie verhogen en Certificaatbeleid bijwerken.

Virtuele netwerkinjectie inschakelen

Als u Chaos Studio wilt gebruiken met virtuele netwerkinjectie, moet u aan de volgende vereisten voldoen.

De Microsoft.ContainerInstance en Microsoft.Relay resourceproviders moeten worden geregistreerd bij uw abonnement.
Het virtuele netwerk waarin Chaos Studio-resources worden geïnjecteerd, moeten twee subnetten hebben: een containersubnet en een relaysubnet. Een containersubnet wordt gebruikt voor de Chaos Studio-containers die worden geïnjecteerd in uw privénetwerk. Een relaysubnet wordt gebruikt om communicatie van Chaos Studio door te sturen naar de containers in het privénetwerk.
1. Beide subnetten hebben ten minste /28 nodig voor de grootte van de adresruimte (in dit geval /27 groter dan /28bijvoorbeeld). Een voorbeeld is een adresvoorvoegsel van 10.0.0.0/28 of 10.0.0.0/24.
2. Het containersubnet moet worden gedelegeerd aan Microsoft.ContainerInstance/containerGroups.
3. De subnetten kunnen willekeurig worden benoemd, maar we raden ChaosStudioContainerSubnet aan en ChaosStudioRelaySubnet.
Wanneer u de gewenste resource inschakelt als doel, zodat u deze kunt gebruiken in Chaos Studio-experimenten, moeten de volgende eigenschappen worden ingesteld:
1. Ingesteld properties.subnets.containerSubnetId op de id voor het containersubnet.
2. Stel properties.subnets.relaySubnetId deze in op de id voor het relaysubnet.

Als u Azure Portal gebruikt om een privéresource in te schakelen als een Chaos Studio-doel, herkent Chaos Studio momenteel alleen subnetten met de naam ChaosStudioContainerSubnet en ChaosStudioRelaySubnet. Als deze subnetten niet bestaan, kan de portalwerkstroom deze automatisch maken.

Als u de CLI gebruikt, kunnen de container- en relaysubnetten elke naam hebben (afhankelijk van de richtlijnen voor resourcenamen). Geef de juiste id's op wanneer u de resource als doel inschakelt.

Voorbeeld: Chaos Studio gebruiken met een privé-AKS-cluster

In dit voorbeeld ziet u hoe u een privé-AKS-cluster configureert voor gebruik met Chaos Studio. Hierbij wordt ervan uitgegaan dat u al een privé-AKS-cluster in uw Azure-abonnement hebt. Zie Een privé-Azure Kubernetes Service-cluster maken om er een te maken.

Azure-portal
Azure-CLI

Ga in Azure Portal naar Resourceproviders voor abonnementen> in uw abonnement.
Registreer de Microsoft.ContainerInstance en Microsoft.Relay resourceproviders, als ze nog niet zijn geregistreerd, door de provider te selecteren en vervolgens Registreren te selecteren. De resourceprovider opnieuw registreren Microsoft.Chaos .
Ga naar Chaos Studio en selecteer Doelen. Zoek het gewenste AKS-cluster en selecteer Doelen>inschakelen voor service-directe doelen.
Selecteer het virtuele netwerk van het cluster. Als het virtuele netwerk al subnetten bevat met de naam ChaosStudioContainerSubnet en ChaosStudioRelaySubnetselecteert u deze. Als ze nog niet bestaan, worden ze automatisch voor u gemaakt.
Selecteer Controleren en inschakelen>.

U kunt nu uw privé-AKS-cluster gebruiken met Chaos Studio. Voor meer informatie over het installeren van Chaos Mesh en het uitvoeren van het experiment raadpleegt u Een chaos-experiment maken dat gebruikmaakt van een Chaos Mesh-fout met azure Portal.

Registreer de Microsoft.ContainerInstance en Microsoft.Relay resourceproviders bij uw abonnement door de volgende opdrachten uit te voeren. Als ze beide al zijn geregistreerd, kunt u deze stap overslaan. Zie de instructies van de resourceprovider registreren voor meer informatie.
```
az provider register --namespace 'Microsoft.ContainerInstance' --wait
```
```
az provider register --namespace 'Microsoft.Relay' --wait
```
Controleer de registratie door de volgende opdrachten uit te voeren:
```
az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
```
```
az provider show --namespace 'Microsoft.Relay' | grep registrationState
```
In de uitvoer ziet u iets vergelijkbaars met:
```
"registrationState": "Registered",
```
De resourceprovider opnieuw registreren Microsoft.Chaos bij uw abonnement.
```
az provider register --namespace 'Microsoft.Chaos' --wait
```
Controleer de registratie door de volgende opdracht uit te voeren:
```
az provider show --namespace 'Microsoft.Chaos' | grep registrationState
```
In de uitvoer ziet u iets vergelijkbaars met:
```
"registrationState": "Registered",
```
Maak twee subnetten in het virtuele netwerk waarin u Chaos Studio-resources wilt invoegen (in dit geval het virtuele netwerk van het privé-AKS-cluster):
- Containersubnet (voorbeeldnaam: ChaosStudioContainerSubnet)
  - Delegeer het subnet aan de Microsoft.ContainerInstance/containerGroups service.
  - Dit subnet moet ten minste /28 in de adresruimte zijn opgenomen.
- Relay-subnet (voorbeeldnaam: ChaosStudioRelaySubnet)
  - Dit subnet moet ten minste /28 in de adresruimte zijn opgenomen.
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
```
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
```
Wanneer u doelen voor het AKS-cluster inschakelt, zodat u het kunt gebruiken in chaosexperimenten, stelt u de properties.subnets.containerSubnetId en properties.subnets.relaySubnetId eigenschappen in met behulp van de nieuwe subnetten die u in stap 3 hebt gemaakt.

Vervang $SUBSCRIPTION_ID door de id van uw Azure-abonnement. Vervang en vervang $RESOURCE_GROUP door $AKS_CLUSTER de naam van de resourcegroep en de resourcenaam van uw AKS-cluster. Vervang en vervang deze door $AKS_INFRA_RESOURCE_GROUP de naam van $AKS_VNET uw AKS-infrastructuurresourcegroep en de naam van het virtuele netwerk. Vervang $URL door de bijbehorende URL die wordt gebruikt voor het onboarden van de doelresource. Als u deze URL wilt vinden, raadpleegt u Onboarding van een resource als een Chaos Studio-doel.
```
CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
az rest --method put --url $URL --body "$BODY"
```

U kunt nu uw privé-AKS-cluster gebruiken met Chaos Studio. Zie Een chaos-experiment maken dat gebruikmaakt van een Chaos Mesh-fout met de Azure CLI voor meer informatie over het installeren van Chaos Mesh en het uitvoeren van het experiment.

Beperkingen

Virtuele netwerkinjectie is momenteel alleen mogelijk in abonnementen/regio's waar Azure Container Instances en Azure Relay beschikbaar zijn.
Wanneer u een doelresource maakt die u inschakelt met injectie van een virtueel netwerk, hebt u toegang nodig Microsoft.Network/virtualNetworks/subnets/write tot het virtuele netwerk. Als het AKS-cluster bijvoorbeeld wordt geïmplementeerd op virtuele network_A, moet u machtigingen hebben om subnetten te maken in virtuele network_A om virtuele netwerkinjectie in te schakelen voor het AKS-cluster.
Als uw organisatie een beleid heeft waarvoor resourcetags zijn vereist, mislukt dit bij het gebruik van Chaos Studio met Private Networking. U moet dit beleid voorlopig uitschakelen totdat onze oplossing voor dit probleem wordt geïmplementeerd.

Volgende stappen

Nu u begrijpt hoe virtuele netwerkinjectie kan worden bereikt voor Chaos Studio, kunt u het volgende doen:

Delen via