Внедрение виртуальной сети в Azure Chaos Studio

Azure виртуальная сеть — это базовый стандартный блок для частной сети в Azure. Виртуальная сеть позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. Виртуальная сеть похожа на традиционную сеть, которая работает в собственном центре обработки данных. Это дает другие преимущества инфраструктуры Azure, такие как масштабирование, доступность и изоляция.

Внедрение виртуальной сети позволяет поставщику ресурсов Azure Chaos Studio внедрять контейнерные рабочие нагрузки в виртуальную сеть, чтобы доступ к ресурсам без общедоступных конечных точек можно было получить через частный IP-адрес в виртуальной сети. После настройки внедрения виртуальной сети для ресурса в виртуальной сети и включения ресурса в качестве целевого объекта его можно использовать в нескольких экспериментах. Эксперимент может использовать сочетание частных и непрививных ресурсов, если частные ресурсы настроены в соответствии с инструкциями в этой статье.

Мы также рады поделиться тем, что Chaos Studio поддерживает запуск экспериментов на основе агента с помощью частных конечных точек! Теперь Chaos Studio поддерживает Приватный канал для экспериментов на основе служб и агентов. Если вы хотите использовать Приватный канал для экспериментов на основе агента, обратитесь к CSA или посетите раздел "Практическое руководство . Настройка приватного канала для экспериментов на основе агента". Для приватного канала для сбоев с прямой службой ознакомьтесь со следующими разделами, чтобы узнать, как использовать их.

Поддержка типов ресурсов

В настоящее время можно включить только определенные типы ресурсов для внедрения виртуальной сети Chaos Studio:

• целевые объекты Служба Azure Kubernetes (AKS) можно включить с внедрением виртуальной сети с помощью портал Azure и Azure CLI. Можно использовать все ошибки сетки хаоса AKS.
• Целевые объекты Azure Key Vault можно включить с внедрением виртуальной сети с помощью портал Azure и Azure CLI. Ошибки, которые можно использовать с внедрением виртуальной сети, — отключить сертификат, версию добавочного сертификата и обновить политику сертификата.

Включение внедрения виртуальной сети

Чтобы использовать Chaos Studio с внедрением виртуальной сети, необходимо выполнить следующие требования.

1. Microsoft.ContainerInstance Microsoft.Relay Поставщики ресурсов должны быть зарегистрированы в вашей подписке.
2. Виртуальная сеть, в которой будут внедряться ресурсы Chaos Studio, должна иметь две подсети: подсеть контейнера и подсеть ретранслятора. Подсеть контейнера используется для контейнеров Chaos Studio, которые будут внедрены в частную сеть. Подсеть ретранслятора используется для пересылки связи из Chaos Studio в контейнеры в частной сети.
   1. Обе подсети должны по крайней мере /28 для размера адресного пространства (например /27 , больше /28). Примером является префикс 10.0.0.0/28 адреса или 10.0.0.0/24.
   2. Подсеть контейнера должна быть делегирована Microsoft.ContainerInstance/containerGroups.
   3. Подсети могут быть произвольно именованы, но рекомендуем ChaosStudioContainerSubnet и ChaosStudioRelaySubnet.
3. Если вы включите требуемый ресурс в качестве целевого объекта, чтобы его можно было использовать в экспериментах Chaos Studio, необходимо задать следующие свойства:
   1. Задайте properties.subnets.containerSubnetId идентификатор для подсети контейнера.
   2. Задайте properties.subnets.relaySubnetId идентификатор для подсети ретранслятора.

Если вы используете портал Azure для включения частного ресурса в качестве целевого объекта Chaos Studio, в настоящее время Chaos Studio распознает только подсети с именем ChaosStudioContainerSubnet иChaosStudioRelaySubnet. Если эти подсети не существуют, рабочий процесс портала может создавать их автоматически.

При использовании интерфейса командной строки контейнер и подсети ретранслятора могут иметь любое имя (в соответствии с рекомендациями по именованию ресурсов). Укажите соответствующие идентификаторы при включении ресурса в качестве целевого объекта.

Пример. Использование Chaos Studio с частным кластером AKS

В этом примере показано, как настроить частный кластер AKS для использования с Chaos Studio. Предполагается, что у вас уже есть частный кластер AKS в подписке Azure. Чтобы создать его, см. раздел "Создание частного Служба Azure Kubernetes кластера".

Портал Azure

1. В портал Azure перейдите к поставщикам ресурсов подписок>в подписке.

2. Microsoft.ContainerInstance Зарегистрируйте поставщиков и Microsoft.Relay поставщиков ресурсов, если они еще не зарегистрированы, выбрав поставщика и выбрав "Зарегистрировать". Повторно зарегистрируйте Microsoft.Chaos поставщика ресурсов.

   

3. Перейдите в Студию Хаоса и выберите "Целевые объекты". Найдите нужный кластер AKS и выберите "Включить целевые объекты> для прямого обслуживания".

   

4. Выберите виртуальную сеть кластера. Если виртуальная сеть уже включает подсети с именем ChaosStudioContainerSubnet и ChaosStudioRelaySubnetвыберите их. Если они еще не существуют, они автоматически создаются для вас.

   

5. Выберите "Рецензирование" и "Включить>".

   

Теперь вы можете использовать частный кластер AKS с Chaos Studio. Чтобы узнать, как установить сетку Хаоса и запустить эксперимент, см. статью "Создание эксперимента хаоса" с ошибкой "Сетка хаоса" с портал Azure.

Azure CLI

1. Microsoft.ContainerInstance Microsoft.Relay Зарегистрируйте поставщиков ресурсов в подписке, выполнив следующие команды. Если они уже зарегистрированы, можно пропустить этот шаг. Дополнительные сведения см. в инструкциях по регистрации поставщика ресурсов.

   az provider register --namespace 'Microsoft.ContainerInstance' --wait
   

   az provider register --namespace 'Microsoft.Relay' --wait
   

   Проверьте регистрацию, выполнив следующие команды:

   az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
   

   az provider show --namespace 'Microsoft.Relay' | grep registrationState
   

   В выходных данных должно появиться примерно следующее:

   "registrationState": "Registered",
   

2. Повторно зарегистрируйте Microsoft.Chaos поставщика ресурсов в подписке.

   az provider register --namespace 'Microsoft.Chaos' --wait
   

   Проверьте регистрацию, выполнив следующую команду:

   az provider show --namespace 'Microsoft.Chaos' | grep registrationState
   

   В выходных данных должно появиться примерно следующее:

   "registrationState": "Registered",
   

3. Создайте две подсети в виртуальной сети, в которую требуется внедрить ресурсы Chaos Studio (в этом случае виртуальная сеть частного кластера AKS):

   • Подсеть контейнера (пример имени: ChaosStudioContainerSubnet)
     • Делегировать подсеть Microsoft.ContainerInstance/containerGroups службе.
     • Эта подсеть должна иметь по крайней мере /28 адресное пространство.
   • Подсеть ретранслятора (пример имени: ChaosStudioRelaySubnet)
     • Эта подсеть должна иметь по крайней мере /28 адресное пространство.

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
   

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
   

4. Если вы включите целевые объекты для кластера AKS, чтобы использовать его в экспериментах хаоса, задайте properties.subnets.containerSubnetId значения и properties.subnets.relaySubnetId свойства с помощью новых подсетей, созданных на шаге 3.

   Замените $SUBSCRIPTION_ID идентификатором своей подписки Azure. $AKS_CLUSTER Замените $RESOURCE_GROUP имя группы ресурсов и имя ресурса кластера AKS. Кроме того, замените $AKS_INFRA_RESOURCE_GROUP имя $AKS_VNET группы ресурсов инфраструктуры AKS и имя виртуальной сети. Замените $URL соответствующим URL-адресом, используемым для подключения целевого ресурса. Чтобы найти этот URL-адрес, найдите ссылку на ресурс в качестве целевого объекта Chaos Studio.

   CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
   RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
   BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
   az rest --method put --url $URL --body "$BODY"
   

Теперь вы можете использовать частный кластер AKS с Chaos Studio. Чтобы узнать, как установить Сетку Хаоса и запустить эксперимент, см. статью "Создание эксперимента хаоса, использующего ошибку "Сетка хаоса" с помощью Azure CLI.

Ограничения

• Внедрение виртуальной сети в настоящее время возможно только в подписках или регионах, где доступны Экземпляры контейнеров Azure и Ретранслятор Azure.
• При создании целевого ресурса, включенного с внедрением виртуальной сети, требуется Microsoft.Network/virtualNetworks/subnets/write доступ к виртуальной сети. Например, если кластер AKS развернут в виртуальной network_A, необходимо иметь разрешения на создание подсетей в виртуальной network_A, чтобы включить внедрение виртуальной сети для кластера AKS.
• Если у вашей организации есть политика, требующая тегов ресурсов, это приведет к сбою при использовании Chaos Studio с частными сетями. Эту политику необходимо отключить до тех пор, пока не будет развернуто исправление этой проблемы.

Следующие шаги

Теперь, когда вы понимаете, как можно реализовать внедрение виртуальной сети для Chaos Studio, вы готовы:

• Создание и запуск первого эксперимента
• Создание и запуск первого эксперимента Служба Azure Kubernetes