Injektáž virtuální sítě v nástroji Azure Chaos Studio

Azure Virtual Network je základní stavební blok vaší privátní sítě v Azure. Virtuální síť umožňuje mnoha typům prostředků Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Virtuální síť se podobá tradiční síti, kterou provozujete ve vlastním datacentru. Přináší další výhody infrastruktury Azure, jako je škálování, dostupnost a izolace.

Injektáž virtuální sítě umožňuje poskytovateli prostředků Azure Chaos Studio vkládat kontejnerizované úlohy do virtuální sítě, aby k prostředkům bez veřejných koncových bodů bylo možné přistupovat prostřednictvím privátní IP adresy ve virtuální síti. Po nakonfigurování injektáže virtuální sítě pro prostředek ve virtuální síti a povolení prostředku jako cíle ho můžete použít v několika experimentech. Experiment může cílit na kombinaci privátních a neprivate prostředků, pokud jsou soukromé prostředky nakonfigurované podle pokynů v tomto článku.

Jsme také rádi, že Chaos Studio podporuje spouštění experimentů založených na agentech pomocí privátních koncových bodů. Chaos Studio teď podporuje Private Link pro experimenty založené na službách i agentech. Pokud chcete použít private-Link pro experimenty založené na agentech, obraťte se prosím na csA nebo navštivte stránku Postupy: Nastavení privátního propojení pro experimenty založené na agentech. V případě privátního propojení pro chyby přímé služby si přečtěte následující části s pokyny, jak je používat.

Podpora typů prostředků

V současné době můžete povolit pouze určité typy prostředků pro injektáž virtuální sítě Chaos Studio:

• Cíle služby Azure Kubernetes Service (AKS) je možné povolit prostřednictvím injektáže virtuální sítě prostřednictvím webu Azure Portal a Azure CLI. Můžete použít všechny chyby AKS Chaos Mesh.
• Cíle služby Azure Key Vault je možné povolit prostřednictvím injektáže virtuální sítě prostřednictvím Azure CLI. Chyby, které je možné použít s injektáží virtuální sítě, jsou Zakázání certifikátu, zvýšení verze certifikátu a aktualizace zásad certifikátu.

Povolení injektáže virtuální sítě

Pokud chcete použít Chaos Studio s injektáží virtuální sítě, musíte splňovat následující požadavky.

1. Poskytovatelé Microsoft.ContainerInstance prostředků a Microsoft.Relay poskytovatelé prostředků musí být zaregistrovaní ve vašem předplatném.
2. Virtuální síť, do které budou vloženy prostředky nástroje Chaos Studio, musí mít dvě podsítě: podsíť kontejneru a podsíť předávání. Podsíť kontejneru se používá pro kontejnery Chaos Studio, které se vloží do vaší privátní sítě. Předávací podsíť se používá k předávání komunikace z Chaos Studia do kontejnerů uvnitř privátní sítě.
   1. Obě podsítě potřebují alespoň /28 velikost adresního prostoru (v tomto případě /27 je větší než /28, například). Příkladem je předpona 10.0.0.0/28 adresy nebo 10.0.0.0/24.
   2. Podsíť kontejneru musí být delegována na Microsoft.ContainerInstance/containerGroups.
   3. Podsítě lze libovolně pojmenovat, ale doporučujeme ChaosStudioContainerSubnet a ChaosStudioRelaySubnet.
3. Když povolíte požadovaný prostředek jako cíl, abyste ho mohli použít v experimentech chaos studia, musí být nastaveny následující vlastnosti:
   1. Nastavte properties.subnets.containerSubnetId na ID podsítě kontejneru.
   2. Nastavte properties.subnets.relaySubnetId na ID podsítě přenosu.

Pokud k povolení privátního prostředku jako cíle chaosového studia používáte Azure Portal, Služba Chaos Studio aktuálně rozpoznává pouze podsítě pojmenované ChaosStudioContainerSubnet a ChaosStudioRelaySubnet. Pokud tyto podsítě neexistují, pracovní postup portálu je může vytvořit automaticky.

Pokud používáte rozhraní příkazového řádku, můžou mít podsítě kontejneru a předávání libovolný název (podle pokynů pro pojmenování prostředků). Při povolení prostředku jako cíle zadejte příslušná ID.

Příklad: Použití aplikace Chaos Studio s privátním clusterem AKS

Tento příklad ukazuje, jak nakonfigurovat privátní cluster AKS pro použití s Chaos Studio. Předpokládá se, že už máte privátní cluster AKS v rámci předplatného Azure. Pokud ho chcete vytvořit, přečtěte si téma Vytvoření privátního clusteru Azure Kubernetes Service.

Azure Portal

1. Na webu Azure Portal přejděte do poskytovatelů prostředků předplatných>ve vašem předplatném.

2. Microsoft.ContainerInstance Pokud ještě nejsou zaregistrovaní, zaregistrujte poskytovatele prostředků Microsoft.Relay tak, že ho vyberete a pak vyberete Zaregistrovat. Znovu zaregistrujte Microsoft.Chaos poskytovatele prostředků.

   

3. Přejděte do Chaos Studia a vyberte Cíle. Vyhledejte požadovaný cluster AKS a vyberte Povolit cíle Povolit cíle> přímé služby.

   

4. Vyberte virtuální síť clusteru. Pokud už virtuální síť obsahuje pojmenované ChaosStudioContainerSubnet podsítě, ChaosStudioRelaySubnetvyberte je. Pokud ještě neexistují, vytvoří se automaticky za vás.

   

5. Vyberte Zkontrolovat a povolit>povolení.

   

Teď můžete privátní cluster AKS používat se sadou Chaos Studio. Informace o tom, jak nainstalovat Chaos Mesh a spustit experiment, najdete v tématu Vytvoření chaosového experimentu, který používá chybu Chaos Mesh na webu Azure Portal.

Azure CLI

1. Microsoft.ContainerInstance Spuštěním následujících příkazů zaregistrujte poskytovatele prostředků a Microsoft.Relay poskytovatele prostředků ve vašem předplatném. Pokud už jsou obě zaregistrované, můžete tento krok přeskočit. Další informace najdete v pokynech pro registraci poskytovatele prostředků.

   az provider register --namespace 'Microsoft.ContainerInstance' --wait
   

   az provider register --namespace 'Microsoft.Relay' --wait
   

   Ověřte registraci spuštěním následujících příkazů:

   az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
   

   az provider show --namespace 'Microsoft.Relay' | grep registrationState
   

   Ve výstupu byste měli vidět něco podobného:

   "registrationState": "Registered",
   

2. Znovu zaregistrujte Microsoft.Chaos poskytovatele prostředků s vaším předplatným.

   az provider register --namespace 'Microsoft.Chaos' --wait
   

   Ověřte registraci spuštěním následujícího příkazu:

   az provider show --namespace 'Microsoft.Chaos' | grep registrationState
   

   Ve výstupu byste měli vidět něco podobného:

   "registrationState": "Registered",
   

3. Ve virtuální síti vytvořte dvě podsítě, do které chcete vložit prostředky Chaos Studia (v tomto případě virtuální síť privátního clusteru AKS):

   • Podsíť kontejneru (příklad názvu: ChaosStudioContainerSubnet)
     • Delegujte podsíť na Microsoft.ContainerInstance/containerGroups službu.
     • Tato podsíť musí mít aspoň /28 v adresní prostoru.
   • Podsíť relay (příklad názvu: ChaosStudioRelaySubnet)
     • Tato podsíť musí mít aspoň /28 v adresní prostoru.

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
   

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
   

4. Když povolíte cíle pro cluster AKS, abyste ho mohli použít v experimentech chaosu, nastavte properties.subnets.containerSubnetId a properties.subnets.relaySubnetId vlastnosti pomocí nových podsítí, které jste vytvořili v kroku 3.

   $SUBSCRIPTION_ID nahraďte ID vašeho předplatného Azure. Nahraďte $RESOURCE_GROUP název $AKS_CLUSTER skupiny prostředků a názvem prostředku clusteru AKS. $AKS_INFRA_RESOURCE_GROUP Nahraďte také $AKS_VNET název skupiny prostředků infrastruktury AKS a názvem virtuální sítě. Nahraďte $URL odpovídající https://management.azure.com/ adresou URL použitou k onboardingu cíle.

   CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
   RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
   BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
   az rest --method put --url $URL --body "$BODY"
   

Teď můžete privátní cluster AKS používat se sadou Chaos Studio. Informace o tom, jak nainstalovat Chaos Mesh a spustit experiment, najdete v tématu Vytvoření chaosového experimentu, který používá chybu Chaos Mesh pomocí Azure CLI.

Omezení

• Injektáž virtuální sítě je v současné době možná jenom v předplatných a oblastech, ve kterých jsou dostupné služby Azure Container Instances a Azure Relay.
• Když vytvoříte cílový prostředek, který povolíte pomocí injektáže virtuální sítě, potřebujete Microsoft.Network/virtualNetworks/subnets/write přístup k virtuální síti. Pokud je například cluster AKS nasazený na virtuální network_A, musíte mít oprávnění k vytváření podsítí ve virtuálních network_A, aby bylo možné injektáž virtuální sítě pro cluster AKS.

Další kroky

Teď, když rozumíte tomu, jak lze pro Chaos Studio dosáhnout injektáže virtuální sítě, jste připraveni:

• Vytvoření a spuštění prvního experimentu
• Vytvoření a spuštění prvního experimentu se službou Azure Kubernetes Service