Einfügung virtueller Netzwerke in Azure Chaos Studio

Artikel
01/20/2024

Azure Virtual Network ist der Grundbaustein für Ihr privates Netzwerk in Azure. Ein virtuelles Netzwerk ermöglicht es vielen Arten von Azure-Ressourcen, sicher miteinander, dem Internet und lokalen Netzwerken zu kommunizieren. Virtuelle Netzwerke ähneln den herkömmlichen Netzwerken, die Sie in Ihrem eigenen Rechenzentrum betreiben. Es bietet weitere Vorteile der Azure-Infrastruktur, z. B. Skalierung, Verfügbarkeit und Isolation.

Die Einfügung virtueller Netzwerke ermöglicht es einem Azure Chaos Studio-Ressourcenanbieter, containerisierte Workloads in Ihr virtuelles Netzwerk einzufügen, sodass Ressourcen ohne öffentliche Endpunkte über eine private IP-Adresse im virtuellen Netzwerk aufgerufen werden können. Nachdem Sie die Virtuelle Netzwerkeinfügung für eine Ressource in einem virtuellen Netzwerk konfiguriert und die Ressource als Ziel aktiviert haben, können Sie sie in mehreren Experimenten verwenden. Ein Experiment kann auf eine Mischung aus privaten und nichtprivaten Ressourcen abzielen, wenn die privaten Ressourcen gemäß den Anweisungen in diesem Artikel konfiguriert sind.

Wir freuen uns jetzt auch, dass Chaos Studio die Ausführung von agentbasierten Experimenten mit privaten Endpunkten unterstützt! Chaos Studio unterstützt jetzt Private Link sowohl für service-direct- als auch agentbasierte Experimente. Wenn Sie Private-Link für agentbasierte Experimente verwenden möchten, wenden Sie sich bitte an Ihre CSA, oder besuchen Sie "How to: Setup private Link" für agentbasierte Experimente. Lesen Sie die folgenden Abschnitte für private Links für Dienst-direkte Fehler, um Anweisungen zur Verwendung zu erhalten.

Ressourcentypunterstützung

Derzeit können Sie nur bestimmte Ressourcentypen für chaos Studio virtual network injection aktivieren:

Azure Kubernetes Service (AKS)-Ziele können über die Azure-Portal und die Azure CLI aktiviert werden. Alle AKS Chaos Mesh-Fehler können verwendet werden.
Azure Key Vault-Ziele können mit der Einfügung des virtuellen Netzwerks über die Azure CLI aktiviert werden. Die Fehler, die mit der Einfügung virtueller Netzwerke verwendet werden können, sind "Zertifikat deaktivieren", "Zertifikatversion inkrementieren" und "Zertifikatrichtlinie aktualisieren".

Aktivieren der Einfügung virtueller Netzwerke

Um Chaos Studio mit virtual network injection zu verwenden, müssen Sie die folgenden Anforderungen erfüllen.

Die Microsoft.ContainerInstance Anbieter und Microsoft.Relay Ressourcenanbieter müssen bei Ihrem Abonnement registriert werden.
Das virtuelle Netzwerk, in das Chaos Studio-Ressourcen eingefügt werden, muss über zwei Subnetze verfügen: ein Container-Subnetz und ein Relay-Subnetz. Ein Container-Subnetz wird für die Chaos Studio-Container verwendet, die in Ihr privates Netzwerk eingefügt werden. Ein Relay-Subnetz wird verwendet, um die Kommunikation von Chaos Studio an die Container im privaten Netzwerk weiterzuleiten.
1. Beide Subnetze benötigen mindestens /28 für die Größe des Adressraums (in diesem Fall /27 ist größer als /28, z. B. ). Ein Beispiel ist ein Adresspräfix von 10.0.0.0/28 oder 10.0.0.0/24.
2. Das Containersubnetz muss an delegiert werden.Microsoft.ContainerInstance/containerGroups
3. Die Subnetze können beliebig benannt werden, aber wir empfehlen ChaosStudioContainerSubnet und ChaosStudioRelaySubnet.
Wenn Sie die gewünschte Ressource als Ziel aktivieren, damit Sie sie in Chaos Studio-Experimenten verwenden können, müssen die folgenden Eigenschaften festgelegt werden:
1. Legen Sie properties.subnets.containerSubnetId die ID für das Containersubnetz fest.
2. Legen Sie properties.subnets.relaySubnetId die ID für das Relay-Subnetz fest.

Wenn Sie die Azure-Portal verwenden, um eine private Ressource als Chaos Studio-Ziel zu aktivieren, erkennt Chaos Studio derzeit nur Subnetze namens ChaosStudioContainerSubnet und ChaosStudioRelaySubnet. Wenn diese Subnetze nicht vorhanden sind, kann der Portalworkflow sie automatisch erstellen.

Wenn Sie die CLI verwenden, kann der Container und das Relay-Subnetz einen beliebigen Namen haben (vorbehaltlich der Richtlinien für die Ressourcenbenennung). Geben Sie die entsprechenden IDs an, wenn Sie die Ressource als Ziel aktivieren.

Beispiel: Verwenden von Chaos Studio mit einem privaten AKS-Cluster

In diesem Beispiel wird gezeigt, wie Sie einen privaten AKS-Cluster für die Verwendung mit Chaos Studio konfigurieren. Es wird davon ausgegangen, dass Sie bereits über einen privaten AKS-Cluster in Ihrem Azure-Abonnement verfügen. Informationen zum Erstellen eines Dienstclusters finden Sie unter Erstellen eines privaten Azure Kubernetes-Dienstclusters.

Azure portal
Azure-Befehlszeilenschnittstelle

Wechseln Sie im Azure-Portal zu "Abonnementsressourcenanbieter>" in Ihrem Abonnement.
Registrieren Sie die Microsoft.ContainerInstance Anbieter und Microsoft.Relay Ressourcenanbieter, sofern sie noch nicht registriert sind, indem Sie den Anbieter auswählen und dann "Registrieren" auswählen. Registrieren Sie den Microsoft.Chaos Ressourcenanbieter erneut.
Wechseln Sie zu Chaos Studio, und wählen Sie "Ziele" aus. Suchen Sie Ihren gewünschten AKS-Cluster, und wählen Sie "Ziele>aktivieren" aus.
Wählen Sie das virtuelle Netzwerk des Clusters aus. Wenn das virtuelle Netzwerk bereits Subnetze mit dem Namen ChaosStudioContainerSubnet enthält, und ChaosStudioRelaySubnetwählen Sie sie aus. Wenn sie noch nicht vorhanden sind, werden sie automatisch für Sie erstellt.
Wählen Sie "Überprüfen" und "Aktivieren" aus>.

Jetzt können Sie Ihren privaten AKS-Cluster mit Chaos Studio verwenden. Informationen zum Installieren von Chaos Mesh und ausführen des Experiments finden Sie unter Erstellen eines Chaos-Experiments, das einen Chaos Mesh-Fehler mit dem Azure-Portal verwendet.

Registrieren Sie die Microsoft.ContainerInstance Anbieter und Microsoft.Relay Ressourcenanbieter für Ihr Abonnement, indem Sie die folgenden Befehle ausführen. Wenn beide bereits registriert sind, können Sie diesen Schritt überspringen. Weitere Informationen finden Sie in den Anweisungen zum Registrieren von Ressourcenanbietern .
```
az provider register --namespace 'Microsoft.ContainerInstance' --wait
```
```
az provider register --namespace 'Microsoft.Relay' --wait
```
Überprüfen Sie die Registrierung, indem Sie die folgenden Befehle ausführen:
```
az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
```
```
az provider show --namespace 'Microsoft.Relay' | grep registrationState
```
In der Ausgabe sollte Folgendes angezeigt werden:
```
"registrationState": "Registered",
```
Registrieren Sie den Microsoft.Chaos Ressourcenanbieter mit Ihrem Abonnement erneut.
```
az provider register --namespace 'Microsoft.Chaos' --wait
```
Überprüfen Sie die Registrierung, indem Sie den folgenden Befehl ausführen:
```
az provider show --namespace 'Microsoft.Chaos' | grep registrationState
```
In der Ausgabe sollte Folgendes angezeigt werden:
```
"registrationState": "Registered",
```
Erstellen Sie zwei Subnetze im virtuellen Netzwerk, in die Sie Chaos Studio-Ressourcen einfügen möchten (in diesem Fall das virtuelle Netzwerk des privaten AKS-Clusters):
- Container-Subnetz (Beispielname: ChaosStudioContainerSubnet)
  - Delegieren Sie das Subnetz an den Microsoft.ContainerInstance/containerGroups Dienst.
  - Dieses Subnetz muss mindestens /28 im Adressraum enthalten sein.
- Relay-Subnetz (Beispielname: ChaosStudioRelaySubnet)
  - Dieses Subnetz muss mindestens /28 im Adressraum enthalten sein.
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
```
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
```
Wenn Sie Ziele für den AKS-Cluster aktivieren, damit Sie es in Chaosexperimenten verwenden können, legen Sie die properties.subnets.containerSubnetId und properties.subnets.relaySubnetId die Eigenschaften mithilfe der neuen Subnetze fest, die Sie in Schritt 3 erstellt haben.

Ersetzen Sie $SUBSCRIPTION_ID durch Ihre Azure-Abonnement-ID. Ersetzen Sie $RESOURCE_GROUP$AKS_CLUSTER den Ressourcengruppennamen und den Namen der AKS-Clusterressource. Ersetzen Sie $AKS_INFRA_RESOURCE_GROUP außerdem den Namen und $AKS_VNET den Namen ihrer AKS-Infrastrukturressourcengruppe und den Namen des virtuellen Netzwerks. Ersetzen Sie durch $URL die entsprechende https://management.azure.com/ URL, die für das Onboarding des Ziels verwendet wird.
```
CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
az rest --method put --url $URL --body "$BODY"
```

Begrenzungen

Das Einfügen virtueller Netzwerke ist derzeit nur in Abonnements/Regionen möglich, in denen Azure-Containerinstanzen und Azure Relay verfügbar sind.
Wenn Sie eine Zielressource erstellen, die Sie mit der Einfügung des virtuellen Netzwerks aktivieren, benötigen Microsoft.Network/virtualNetworks/subnets/write Sie Zugriff auf das virtuelle Netzwerk. Wenn der AKS-Cluster beispielsweise für virtuelle network_A bereitgestellt wird, müssen Sie über Die Berechtigung zum Erstellen von Subnetzen in virtuellen network_A verfügen, um die Einfügung virtueller Netzwerke für den AKS-Cluster zu aktivieren.

Nächste Schritte

Nachdem Sie nun verstehen, wie virtuelle Netzwerkeinfügungen für Chaos Studio erreicht werden können, sind Sie bereit für: