Injektáž virtuální sítě v nástroji Azure Chaos Studio
Azure Virtual Network je základní stavební blok vaší privátní sítě v Azure. Virtuální síť umožňuje mnoha typům prostředků Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Virtuální síť se podobá tradiční síti, kterou provozujete ve vlastním datacentru. Přináší další výhody infrastruktury Azure, jako je škálování, dostupnost a izolace.
Injektáž virtuální sítě umožňuje poskytovateli prostředků Azure Chaos Studio vkládat kontejnerizované úlohy do virtuální sítě, aby k prostředkům bez veřejných koncových bodů bylo možné přistupovat prostřednictvím privátní IP adresy ve virtuální síti. Po nakonfigurování injektáže virtuální sítě pro prostředek ve virtuální síti a povolení prostředku jako cíle ho můžete použít v několika experimentech. Experiment může cílit na kombinaci privátních a neprivate prostředků, pokud jsou soukromé prostředky nakonfigurované podle pokynů v tomto článku.
Jsme také rádi, že Chaos Studio podporuje spouštění experimentů založených na agentech pomocí privátních koncových bodů. Chaos Studio teď podporuje Private Link pro experimenty založené na službách i agentech. Pokud chcete použít private-Link pro experimenty založené na agentech, obraťte se prosím na csA nebo navštivte stránku Postupy: Nastavení privátního propojení pro experimenty založené na agentech. V případě privátního propojení pro chyby přímé služby si přečtěte následující části s pokyny, jak je používat.
Podpora typů prostředků
V současné době můžete povolit pouze určité typy prostředků pro injektáž virtuální sítě Chaos Studio:
- Cíle služby Azure Kubernetes Service (AKS) je možné povolit prostřednictvím injektáže virtuální sítě prostřednictvím webu Azure Portal a Azure CLI. Můžete použít všechny chyby AKS Chaos Mesh.
- Cíle služby Azure Key Vault je možné povolit prostřednictvím injektáže virtuální sítě prostřednictvím Azure CLI. Chyby, které je možné použít s injektáží virtuální sítě, jsou Zakázání certifikátu, zvýšení verze certifikátu a aktualizace zásad certifikátu.
Povolení injektáže virtuální sítě
Pokud chcete použít Chaos Studio s injektáží virtuální sítě, musíte splňovat následující požadavky.
- Poskytovatelé
Microsoft.ContainerInstance
prostředků aMicrosoft.Relay
poskytovatelé prostředků musí být zaregistrovaní ve vašem předplatném. - Virtuální síť, do které budou vloženy prostředky nástroje Chaos Studio, musí mít dvě podsítě: podsíť kontejneru a podsíť předávání. Podsíť kontejneru se používá pro kontejnery Chaos Studio, které se vloží do vaší privátní sítě. Předávací podsíť se používá k předávání komunikace z Chaos Studia do kontejnerů uvnitř privátní sítě.
- Obě podsítě potřebují alespoň
/28
velikost adresního prostoru (v tomto případě/27
je větší než/28
, například). Příkladem je předpona10.0.0.0/28
adresy nebo10.0.0.0/24
. - Podsíť kontejneru musí být delegována na
Microsoft.ContainerInstance/containerGroups
. - Podsítě lze libovolně pojmenovat, ale doporučujeme
ChaosStudioContainerSubnet
aChaosStudioRelaySubnet
.
- Obě podsítě potřebují alespoň
- Když povolíte požadovaný prostředek jako cíl, abyste ho mohli použít v experimentech chaos studia, musí být nastaveny následující vlastnosti:
- Nastavte
properties.subnets.containerSubnetId
na ID podsítě kontejneru. - Nastavte
properties.subnets.relaySubnetId
na ID podsítě přenosu.
- Nastavte
Pokud k povolení privátního prostředku jako cíle chaosového studia používáte Azure Portal, Služba Chaos Studio aktuálně rozpoznává pouze podsítě pojmenované ChaosStudioContainerSubnet
a ChaosStudioRelaySubnet
. Pokud tyto podsítě neexistují, pracovní postup portálu je může vytvořit automaticky.
Pokud používáte rozhraní příkazového řádku, můžou mít podsítě kontejneru a předávání libovolný název (podle pokynů pro pojmenování prostředků). Při povolení prostředku jako cíle zadejte příslušná ID.
Příklad: Použití aplikace Chaos Studio s privátním clusterem AKS
Tento příklad ukazuje, jak nakonfigurovat privátní cluster AKS pro použití s Chaos Studio. Předpokládá se, že už máte privátní cluster AKS v rámci předplatného Azure. Pokud ho chcete vytvořit, přečtěte si téma Vytvoření privátního clusteru Azure Kubernetes Service.
Na webu Azure Portal přejděte do poskytovatelů prostředků předplatných>ve vašem předplatném.
Microsoft.ContainerInstance
Pokud ještě nejsou zaregistrovaní, zaregistrujte poskytovatele prostředkůMicrosoft.Relay
tak, že ho vyberete a pak vyberete Zaregistrovat. Znovu zaregistrujteMicrosoft.Chaos
poskytovatele prostředků.Přejděte do Chaos Studia a vyberte Cíle. Vyhledejte požadovaný cluster AKS a vyberte Povolit cíle Povolit cíle> přímé služby.
Vyberte virtuální síť clusteru. Pokud už virtuální síť obsahuje pojmenované
ChaosStudioContainerSubnet
podsítě,ChaosStudioRelaySubnet
vyberte je. Pokud ještě neexistují, vytvoří se automaticky za vás.Vyberte Zkontrolovat a povolit>povolení.
Teď můžete privátní cluster AKS používat se sadou Chaos Studio. Informace o tom, jak nainstalovat Chaos Mesh a spustit experiment, najdete v tématu Vytvoření chaosového experimentu, který používá chybu Chaos Mesh na webu Azure Portal.
Omezení
- Injektáž virtuální sítě je v současné době možná jenom v předplatných a oblastech, ve kterých jsou dostupné služby Azure Container Instances a Azure Relay.
- Když vytvoříte cílový prostředek, který povolíte pomocí injektáže virtuální sítě, potřebujete
Microsoft.Network/virtualNetworks/subnets/write
přístup k virtuální síti. Pokud je například cluster AKS nasazený na virtuální network_A, musíte mít oprávnění k vytváření podsítí ve virtuálních network_A, aby bylo možné injektáž virtuální sítě pro cluster AKS.
Další kroky
Teď, když rozumíte tomu, jak lze pro Chaos Studio dosáhnout injektáže virtuální sítě, jste připraveni: