Injeção de rede virtual no Azure Chaos Studio
A Rede Virtual do Azure é o bloco de construção fundamental para a sua rede privada no Azure. Uma rede virtual permite que muitos tipos de recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. Uma rede virtual é semelhante a uma rede tradicional que você opera em seu próprio datacenter. Ele traz outros benefícios da infraestrutura do Azure, como escala, disponibilidade e isolamento.
A injeção de rede virtual permite que um provedor de recursos do Azure Chaos Studio injete cargas de trabalho em contêineres em sua rede virtual para que recursos sem pontos de extremidade públicos possam ser acessados por meio de um endereço IP privado na rede virtual. Depois de configurar a injeção de rede virtual para um recurso em uma rede virtual e habilitar o recurso como destino, você poderá usá-lo em vários experimentos. Um experimento pode ter como alvo uma combinação de recursos privados e não privados se os recursos privados forem configurados de acordo com as instruções neste artigo.
Também estamos entusiasmados em compartilhar que o Chaos Studio suporta a execução de experimentos baseados em agentes usando endpoints privados! O Chaos Studio agora oferece suporte ao Private Link para experimentos diretos e baseados em agentes. Se você quiser usar o Private-Link para experimentos baseados em agente, entre em contato com seu CSA ou visite Como: Configurar link privado para experimentos baseados em agente. Para obter um link privado para falhas diretas de serviço, leia as seções a seguir para obter instruções sobre como usá-las.
Suporte a tipos de recursos
Atualmente, você só pode habilitar determinados tipos de recursos para a injeção de rede virtual do Chaos Studio:
- Os destinos do Serviço Kubernetes do Azure (AKS) podem ser habilitados com a injeção de rede virtual por meio do portal do Azure e da CLI do Azure. Todas as falhas do AKS Chaos Mesh podem ser usadas.
- Os destinos do Azure Key Vault podem ser habilitados com a injeção de rede virtual por meio do portal do Azure e da CLI do Azure. As falhas que podem ser usadas com a injeção de rede virtual são Desabilitar Certificado, Incrementar Versão do Certificado e Atualizar Diretiva de Certificado.
Habilitar a injeção de rede virtual
Para usar o Chaos Studio com injeção de rede virtual, você deve atender aos seguintes requisitos.
- Os
Microsoft.ContainerInstance
fornecedores de recursos eMicrosoft.Relay
têm de estar registados com a sua subscrição. - A rede virtual onde os recursos do Chaos Studio serão injetados deve ter duas sub-redes: uma sub-rede de contêiner e uma sub-rede de retransmissão. Uma sub-rede de contêiner é usada para os contêineres do Chaos Studio que serão injetados em sua rede privada. Uma sub-rede de retransmissão é usada para encaminhar a comunicação do Chaos Studio para os contêineres dentro da rede privada.
- Ambas as sub-redes precisam de pelo menos
/28
para o tamanho do espaço de endereço (neste caso/27
, é maior do que/28
, por exemplo). Um exemplo é um prefixo de endereço de10.0.0.0/28
ou10.0.0.0/24
. - A sub-rede do contêiner deve ser delegada ao
Microsoft.ContainerInstance/containerGroups
. - As sub-redes podem ser nomeadas arbitrariamente, mas recomendamos
ChaosStudioContainerSubnet
eChaosStudioRelaySubnet
.
- Ambas as sub-redes precisam de pelo menos
- Quando você habilita o recurso desejado como destino para que possa usá-lo em experimentos do Chaos Studio, as seguintes propriedades devem ser definidas:
- Defina
properties.subnets.containerSubnetId
como a ID da sub-rede do contêiner. - Defina
properties.subnets.relaySubnetId
como o ID da sub-rede de retransmissão.
- Defina
Se você estiver usando o portal do Azure para habilitar um recurso privado como um destino do Chaos Studio, o Chaos Studio atualmente só reconhece sub-redes nomeadas ChaosStudioContainerSubnet
e ChaosStudioRelaySubnet
. Se essas sub-redes não existirem, o fluxo de trabalho do portal poderá criá-las automaticamente.
Se você estiver usando a CLI, as sub-redes de contêiner e retransmissão podem ter qualquer nome (sujeito às diretrizes de nomenclatura de recursos). Especifique as IDs apropriadas ao habilitar o recurso como destino.
Exemplo: Usar o Chaos Studio com um cluster AKS privado
Este exemplo mostra como configurar um cluster AKS privado para usar com o Chaos Studio. Ele pressupõe que você já tenha um cluster AKS privado em sua assinatura do Azure. Para criar um, consulte Criar um cluster privado do Serviço Kubernetes do Azure.
No portal do Azure, aceda a Fornecedores de Recursos de>Subscrições na sua subscrição.
Registre os
Microsoft.ContainerInstance
provedores eMicrosoft.Relay
recursos, se eles ainda não estiverem registrados, selecionando o provedor e, em seguida, selecionando Registrar. Registre novamente o provedor deMicrosoft.Chaos
recursos.Vá para Chaos Studio e selecione Targets. Encontre o cluster AKS desejado e selecione Ativar destinos>Ativar destinos diretos de serviço.
Selecione a rede virtual do cluster. Se a rede virtual já incluir sub-redes nomeadas
ChaosStudioContainerSubnet
eChaosStudioRelaySubnet
, selecione-as. Se ainda não existirem, são automaticamente criados para si.Selecione Rever + Ativar>ativar.
Agora você pode usar seu cluster AKS privado com o Chaos Studio. Para saber como instalar o Chaos Mesh e executar o experimento, consulte Criar um experimento de caos que usa uma falha do Chaos Mesh com o portal do Azure.
Limitações
- Atualmente, a injeção de rede virtual só é possível em assinaturas/regiões onde as Instâncias de Contêiner do Azure e o Azure Relay estão disponíveis.
- Ao criar um recurso de destino habilitado com a injeção de rede virtual, você precisa acessar
Microsoft.Network/virtualNetworks/subnets/write
a rede virtual. Por exemplo, se o cluster AKS for implantado no network_A virtual, você deverá ter permissões para criar sub-redes no network_A virtual para habilitar a injeção de rede virtual para o cluster AKS. - Se sua organização tiver uma política que exija tags de recursos, isso falhará ao usar o Chaos Studio com Rede Privada. Você precisará desativar essa política por enquanto até que nossa correção para esse problema seja implementada.
Próximos passos
Agora que você entende como a injeção de rede virtual pode ser alcançada para o Chaos Studio, você está pronto para: