Inserción de red virtual en Azure Chaos Studio

Azure Virtual Network es el bloque de creación básico de una red privada en Azure. Una red virtual permite que muchos tipos de recursos de Azure se comuniquen de forma segura entre sí, Internet y redes locales. Una red virtual es similar a una red tradicional con la que trabajaría en su propio centro de datos. Aporta otras ventajas de la infraestructura de Azure, como la escala, la disponibilidad y el aislamiento.

La inserción de red virtual permite que un proveedor de recursos de Azure Chaos Studio inserte cargas de trabajo en contenedor en la red virtual para que se pueda acceder a los recursos sin puntos de conexión públicos a través de una dirección IP privada en la red virtual. Después de configurar la inserción de red virtual para un recurso en una red virtual y habilitar el recurso como destino, puede usarlo en varios experimentos. Un experimento puede tener como destino una combinación de recursos privados y no privados si los recursos privados están configurados según las instrucciones de este artículo.

Ahora también nos complace compartir que Chaos Studio admite la ejecución de experimentos basados en agentes mediante puntos de conexión privados. Chaos Studio ahora admite Private Link para experimentos basados en agente y directos de servicio. Si desea usar Private-Link para experimentos basados en agentes, póngase en contacto con su CSA o visite How to: Setup private link for agent-based experiments (Cómo: Configurar private link para experimentos basados en agentes). Para el vínculo privado para errores directos del servicio, lea las secciones siguientes para obtener instrucciones sobre cómo usarlas.

Compatibilidad con tipos de recursos

Actualmente, solo puede habilitar determinados tipos de recursos para la inyección de red virtual de Chaos Studio:

• Los destinos de Azure Kubernetes Service (AKS) se pueden habilitar con la inserción de red virtual a través de Azure Portal y la CLI de Azure. Se pueden usar todos los errores de Chaos Mesh de AKS.
• Los destinos de Azure Key Vault se pueden habilitar con la inyección de red virtual a través de la CLI de Azure. Los errores que se pueden usar con la inyección de red virtual son Deshabilitar certificado, Incrementar versión de certificado y Actualizar directiva de certificado.

Habilitación de la inserción de red virtual

Para usar Chaos Studio con inyección de red virtual, debe cumplir los siguientes requisitos.

1. Los Microsoft.ContainerInstance proveedores de recursos y Microsoft.Relay deben registrarse en la suscripción.
2. La red virtual donde se insertarán los recursos de Chaos Studio debe tener dos subredes: una subred de contenedor y una subred de retransmisión. Una subred de contenedor se usa para los contenedores de Chaos Studio que se insertarán en la red privada. Una subred de retransmisión se usa para reenviar la comunicación de Chaos Studio a los contenedores dentro de la red privada.
   1. Ambas subredes necesitan al menos /28 para el tamaño del espacio de direcciones (en este caso /27 es mayor que /28, por ejemplo). Un ejemplo es un prefijo de dirección de 10.0.0.0/28 o 10.0.0.0/24.
   2. La subred del contenedor debe delegarse en Microsoft.ContainerInstance/containerGroups.
   3. Las subredes se pueden denominar arbitrariamente, pero se recomienda ChaosStudioContainerSubnet y ChaosStudioRelaySubnet.
3. Al habilitar el recurso deseado como destino para poder usarlo en experimentos de Chaos Studio, se deben establecer las siguientes propiedades:
   1. Establezca properties.subnets.containerSubnetId en el identificador de la subred del contenedor.
   2. Establezca properties.subnets.relaySubnetId en el identificador de la subred de retransmisión.

Si usa Azure Portal para habilitar un recurso privado como destino de Chaos Studio, Chaos Studio actualmente solo reconoce subredes denominadas ChaosStudioContainerSubnet y ChaosStudioRelaySubnet. Si estas subredes no existen, el flujo de trabajo del portal puede crearlas automáticamente.

Si usa la CLI, las subredes de contenedor y retransmisión pueden tener cualquier nombre (sujeto a las directrices de nomenclatura de recursos). Especifique los identificadores adecuados al habilitar el recurso como destino.

Ejemplo: Uso de Chaos Studio con un clúster de AKS privado

En este ejemplo se muestra cómo configurar un clúster de AKS privado para usarlo con Chaos Studio. Se supone que ya tiene un clúster de AKS privado dentro de la suscripción de Azure. Para crear uno, consulte Creación de un clúster privado de Azure Kubernetes Service.

Azure Portal

1. En Azure Portal, vaya a Suscripciones>Proveedores de recursos de su suscripción.

2. Registre los Microsoft.ContainerInstance proveedores de recursos y Microsoft.Relay , si aún no están registrados, seleccionando el proveedor y seleccionando Registrar. Vuelva a registrar el Microsoft.Chaos proveedor de recursos.

   

3. Vaya a Chaos Studio y seleccione Destinos. Busque el clúster de AKS deseado y seleccione Habilitar destinos>Habilitar destinos directos de servicio.

   

4. Seleccione la red virtual del clúster. Si la red virtual ya incluye subredes denominadas ChaosStudioContainerSubnet y ChaosStudioRelaySubnet, selecciónelas. Si aún no existen, se crean automáticamente automáticamente.

   

5. Seleccione Revisar y habilitar habilitar>.

   

Ahora puede usar el clúster de AKS privado con Chaos Studio. Para obtener información sobre cómo instalar Chaos Mesh y ejecutar el experimento, consulte Creación de un experimento de caos que use un error de Chaos Mesh con Azure Portal.

CLI de Azure

1. Registre los Microsoft.ContainerInstance proveedores de recursos y Microsoft.Relay con su suscripción mediante la ejecución de los siguientes comandos. Si ya están registrados, puede omitir este paso. Para más información, consulte las instrucciones del proveedor de recursos de registro.

   az provider register --namespace 'Microsoft.ContainerInstance' --wait
   

   az provider register --namespace 'Microsoft.Relay' --wait
   

   Para comprobar el registro, ejecute los siguientes comandos:

   az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
   

   az provider show --namespace 'Microsoft.Relay' | grep registrationState
   

   En la salida, debería ver algo similar a:

   "registrationState": "Registered",
   

2. Vuelva a registrar el Microsoft.Chaos proveedor de recursos con la suscripción.

   az provider register --namespace 'Microsoft.Chaos' --wait
   

   Para comprobar el registro, ejecute el siguiente comando:

   az provider show --namespace 'Microsoft.Chaos' | grep registrationState
   

   En la salida, debería ver algo similar a:

   "registrationState": "Registered",
   

3. Cree dos subredes en la red virtual en la que desea insertar recursos de Chaos Studio (en este caso, la red virtual del clúster de AKS privado):

   • Subred del contenedor (nombre de ejemplo: ChaosStudioContainerSubnet)
     • Delegue la subred al Microsoft.ContainerInstance/containerGroups servicio.
     • Esta subred debe tener al menos /28 en el espacio de direcciones.
   • Subred de relay (nombre de ejemplo: ChaosStudioRelaySubnet)
     • Esta subred debe tener al menos /28 en el espacio de direcciones.

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
   

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
   

4. Al habilitar destinos para el clúster de AKS para que pueda usarlo en experimentos de caos, establezca las properties.subnets.containerSubnetId propiedades y properties.subnets.relaySubnetId mediante las nuevas subredes que creó en el paso 3.

   Reemplace $SUBSCRIPTION_ID con la identificación de su suscripción de Azure. Reemplace $RESOURCE_GROUP y $AKS_CLUSTER por el nombre del grupo de recursos y el nombre del recurso del clúster de AKS. Además, reemplace $AKS_INFRA_RESOURCE_GROUP y $AKS_VNET por el nombre del grupo de recursos de infraestructura de AKS y el nombre de la red virtual. Reemplace por $URL la dirección URL correspondiente https://management.azure.com/ que se usa para incorporar el destino.

   CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
   RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
   BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
   az rest --method put --url $URL --body "$BODY"
   

Ahora puede usar el clúster de AKS privado con Chaos Studio. Para obtener información sobre cómo instalar Chaos Mesh y ejecutar el experimento, consulte Creación de un experimento de caos que use un error de Chaos Mesh con la CLI de Azure.

Limitaciones

• La inserción de red virtual solo es posible actualmente en suscripciones o regiones en las que Azure Container Instances y Azure Relay están disponibles.
• Al crear un recurso de destino que habilite con la inyección de red virtual, necesita Microsoft.Network/virtualNetworks/subnets/write acceso a la red virtual. Por ejemplo, si el clúster de AKS se implementa en network_A virtual, debe tener permisos para crear subredes en network_A virtuales para habilitar la inserción de red virtual para el clúster de AKS.

Pasos siguientes

Ahora que comprende cómo se puede lograr la inyección de red virtual para Chaos Studio, está listo para:

• Crear y ejecutar tu primer experimento
• Crear y ejecutar su primer experimento de Azure Kubernetes Service