Iniekcja sieci wirtualnej w usłudze Azure Chaos Studio
Usługa Azure Virtual Network to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Sieć wirtualna umożliwia wielu typom zasobów platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Sieć wirtualna jest podobna do tradycyjnej sieci działającej we własnym centrum danych. Zapewnia ona inne korzyści z infrastruktury platformy Azure, takie jak skalowanie, dostępność i izolacja.
Iniekcja sieci wirtualnej umożliwia dostawcy zasobów usługi Azure Chaos Studio wstrzykiwanie konteneryzowanych obciążeń do sieci wirtualnej, dzięki czemu zasoby bez publicznych punktów końcowych mogą być dostępne za pośrednictwem prywatnego adresu IP w sieci wirtualnej. Po skonfigurowaniu iniekcji sieci wirtualnej dla zasobu w sieci wirtualnej i włączeniu zasobu jako celu można go użyć w wielu eksperymentach. Eksperyment może dotyczyć kombinacji zasobów prywatnych i nieprivate, jeśli zasoby prywatne są skonfigurowane zgodnie z instrukcjami w tym artykule.
Cieszymy się również, że program Chaos Studio obsługuje uruchamianie eksperymentów opartych na agentach przy użyciu prywatnych punktów końcowych! Usługa Chaos Studio obsługuje teraz usługę Private Link zarówno w przypadku eksperymentów opartych na usłudze, jak i na agentach. Jeśli chcesz używać usługi Private-Link do eksperymentów opartych na agentach, skontaktuj się z CSA lub odwiedź stronę Instrukcje: Konfigurowanie łącza prywatnego na potrzeby eksperymentów opartych na agentach. Aby uzyskać link prywatny dla błędów bezpośrednich usług, zapoznaj się z poniższymi sekcjami, aby uzyskać instrukcje dotyczące sposobu ich używania.
Obsługa typów zasobów
Obecnie można włączyć tylko niektóre typy zasobów dla iniekcji sieci wirtualnej Chaos Studio:
- Cele usługi Azure Kubernetes Service (AKS) można włączyć za pomocą iniekcji sieci wirtualnej za pośrednictwem witryny Azure Portal i interfejsu wiersza polecenia platformy Azure. Można użyć wszystkich błędów usługi AKS Chaos Mesh.
- Cele usługi Azure Key Vault można włączyć za pomocą iniekcji sieci wirtualnej za pośrednictwem witryny Azure Portal i interfejsu wiersza polecenia platformy Azure. Błędy, które mogą być używane z iniekcją sieci wirtualnej, to Wyłącz certyfikat, wersję certyfikatu przyrostowego i Zaktualizuj zasady certyfikatu.
Włączanie iniekcji sieci wirtualnej
Aby korzystać z programu Chaos Studio z iniekcją sieci wirtualnej, należy spełnić następujące wymagania.
- Dostawcy
Microsoft.ContainerInstance
zasobów iMicrosoft.Relay
muszą być zarejestrowani w ramach subskrypcji. - Sieć wirtualna, w której zostaną wprowadzone zasoby programu Chaos Studio, musi mieć dwie podsieci: podsieć kontenera i podsieć przekaźnika. Podsieć kontenera jest używana dla kontenerów programu Chaos Studio, które zostaną wprowadzone do sieci prywatnej. Podsieć przekaźnika służy do przekazywania komunikacji z programu Chaos Studio do kontenerów wewnątrz sieci prywatnej.
- Obie podsieci wymagają co najmniej
/28
rozmiaru przestrzeni adresowej (na przykład jest ona/27
większa niż/28
, na przykład). Przykładem jest prefiks10.0.0.0/28
adresu lub10.0.0.0/24
. - Podsieć kontenera musi być delegowana do .
Microsoft.ContainerInstance/containerGroups
- Podsieci mogą być dowolnie nazwane, ale zalecamy
ChaosStudioContainerSubnet
iChaosStudioRelaySubnet
.
- Obie podsieci wymagają co najmniej
- Po włączeniu żądanego zasobu jako elementu docelowego, aby można było go używać w eksperymentach programu Chaos Studio, należy ustawić następujące właściwości:
- Ustaw
properties.subnets.containerSubnetId
identyfikator dla podsieci kontenera. - Ustaw
properties.subnets.relaySubnetId
identyfikator podsieci przekaźnika.
- Ustaw
Jeśli używasz witryny Azure Portal do włączenia zasobu prywatnego jako obiektu docelowego programu Chaos Studio, program Chaos Studio rozpoznaje obecnie tylko podsieci o nazwach ChaosStudioContainerSubnet
i ChaosStudioRelaySubnet
. Jeśli te podsieci nie istnieją, przepływ pracy portalu może utworzyć je automatycznie.
Jeśli używasz interfejsu wiersza polecenia, podsieci kontenera i przekaźnika mogą mieć dowolną nazwę (z zastrzeżeniem wytycznych dotyczących nazewnictwa zasobów). Określ odpowiednie identyfikatory po włączeniu zasobu jako elementu docelowego.
Przykład: używanie programu Chaos Studio z prywatnym klastrem usługi AKS
W tym przykładzie pokazano, jak skonfigurować prywatny klaster usługi AKS do użycia z programem Chaos Studio. Przyjęto założenie, że masz już prywatny klaster usługi AKS w ramach subskrypcji platformy Azure. Aby go utworzyć, zobacz Tworzenie prywatnego klastra usługi Azure Kubernetes Service.
W witrynie Azure Portal przejdź do pozycji Dostawcy> zasobów subskrypcji w ramach subskrypcji.
Microsoft.ContainerInstance
Zarejestruj dostawców zasobów iMicrosoft.Relay
, jeśli nie są jeszcze zarejestrowani, wybierając dostawcę, a następnie wybierając pozycję Zarejestruj. Ponowne wyrejestrowanie dostawcyMicrosoft.Chaos
zasobów.Przejdź do obszaru Chaos Studio i wybierz pozycję Cele. Znajdź żądany klaster usługi AKS i wybierz pozycję Włącz obiekty docelowe Włącz cele> bezpośrednie usługi.
Wybierz sieć wirtualną klastra. Jeśli sieć wirtualna zawiera już podsieci o nazwie
ChaosStudioContainerSubnet
iChaosStudioRelaySubnet
wybierz je. Jeśli jeszcze nie istnieją, zostaną one utworzone automatycznie.Wybierz pozycję Przejrzyj i włącz opcję Włącz>.
Teraz możesz użyć prywatnego klastra usługi AKS z programem Chaos Studio. Aby dowiedzieć się, jak zainstalować usługę Chaos Mesh i uruchomić eksperyment, zobacz Tworzenie eksperymentu chaosu, który używa błędu usługi Chaos Mesh w witrynie Azure Portal.
Ograniczenia
- Wstrzykiwanie sieci wirtualnej jest obecnie możliwe tylko w subskrypcjach/regionach, w których są dostępne usługi Azure Container Instances i Azure Relay.
- Podczas tworzenia zasobu docelowego włączonego za pomocą iniekcji sieci wirtualnej potrzebny
Microsoft.Network/virtualNetworks/subnets/write
jest dostęp do sieci wirtualnej. Jeśli na przykład klaster usługi AKS jest wdrożony w network_A wirtualnym, musisz mieć uprawnienia do tworzenia podsieci w network_A wirtualnych, aby włączyć iniekcję sieci wirtualnej dla klastra usługi AKS. - Jeśli twoja organizacja ma zasady wymagające tagów zasobów, nie powiedzie się to w przypadku korzystania z programu Chaos Studio z siecią prywatną. Należy wyłączyć te zasady przez pewien czas do momentu wdrożenia naszej poprawki dla tego problemu.
Następne kroki
Teraz, gdy już wiesz, jak można osiągnąć iniekcję sieci wirtualnej dla programu Chaos Studio, możesz przystąpić do wykonywania następujących czynności: