Compartir vía


Inserción de red virtual en Azure Chaos Studio

Azure Virtual Network es el bloque de creación básico de una red privada en Azure. Una red virtual permite que muchos tipos de recursos de Azure se comuniquen de forma segura entre sí, con Internet y con las redes locales. Una red virtual es similar a una red tradicional con la que trabajaría en su propio centro de datos. Aporta más ventajas de la infraestructura de Azure, como la escala, la disponibilidad y el aislamiento.

La inserción de red virtual permite que un proveedor de recursos de Azure Chaos Studio inserte cargas de trabajo en contenedor en la red virtual para que se pueda acceder a los recursos sin puntos de conexión públicos a través de una dirección IP privada en la red virtual. Una vez configurada la inserción de red virtual para un recurso en una red virtual y habilitado el recurso como destino, puede usarlo en varios experimentos. Un experimento puede tener como destino una combinación de recursos privados y no privados si los recursos privados están configurados según las instrucciones de este artículo.

También nos complace compartir que Chaos Studio admite la ejecución de experimentos basados en agentes mediante puntos de conexión privados. Chaos Studio es ahora compatible con Private Link tanto para experimentos basados en servicios directos como en agentes. Si desea usar Private-Link para experimentos basados en agentes, póngase en contacto con su CSA o visite Cómo configurar un vínculo privado para experimentos basados en agentes. Para el vínculo privado para errores directos del servicio, lea las siguientes secciones para obtener instrucciones sobre cómo usarlos.

Compatibilidad con tipos de recursos

Actualmente, solo puede habilitar determinados tipos de recursos para la inserción de red virtual de Chaos Studio:

  • Los destinos de Azure Kubernetes Service (AKS) se pueden habilitar con la inserción de red virtual a través de Azure Portal y la CLI de Azure. Se pueden usar todos los errores de Chaos Mesh de AKS.
  • Los destinos de Azure Key Vault se pueden habilitar con la inserción de red virtual a través de la CLI de Azure. Los errores que se pueden usar con la inserción de red virtual son Deshabilitar certificado, Incrementar versión de certificado y Actualizar directiva de certificado.

Habilitación de la inserción de red virtual

Para usar Chaos Studio con inserción de red virtual, debe cumplir los siguientes requisitos.

  1. Los proveedores de recursos Microsoft.ContainerInstance y Microsoft.Relay deben registrarse en la suscripción.
  2. La red virtual donde se insertarán los recursos de Chaos Studio debe tener dos subredes: una subred de contenedor y una subred de retransmisión. Una subred de contenedor se usa para los contenedores de Chaos Studio que se insertarán en la red privada. Una subred de retransmisión se usa para reenviar la comunicación de Chaos Studio a los contenedores dentro de la red privada.
    1. Ambas subredes necesitan al menos /28 para el tamaño del espacio de direcciones (en este caso, /27 es mayor que /28, por ejemplo). Un ejemplo es un prefijo de dirección de 10.0.0.0/28 o 10.0.0.0/24.
    2. La subred del contenedor debe delegarse a Microsoft.ContainerInstance/containerGroups.
    3. Las subredes se pueden denominar arbitrariamente, pero se recomienda ChaosStudioContainerSubnet y ChaosStudioRelaySubnet.
  3. Al habilitar el recurso deseado como destino para poder usarlo en experimentos de Chaos Studio, se deben establecer las siguientes propiedades:
    1. Establezca properties.subnets.containerSubnetId en el identificador de la subred del contenedor.
    2. Establezca properties.subnets.relaySubnetId en el identificador de la subred de retransmisión.

Si usa Azure Portal para habilitar un recurso privado como destino de Chaos Studio, Chaos Studio actualmente solo reconoce subredes denominadas ChaosStudioContainerSubnet y ChaosStudioRelaySubnet. Si estas subredes no existen, el flujo de trabajo del portal puede crearlas automáticamente.

Si usa la CLI, las subredes de contenedor y retransmisión pueden tener cualquier nombre (sujeto a las directrices de nomenclatura de recursos). Especifique los identificadores adecuados al habilitar el recurso como destino.

Ejemplo: Uso de Chaos Studio con un clúster de AKS privado

En este ejemplo se muestra cómo configurar un clúster de AKS privado para usarlo con Chaos Studio. Se supone que ya tiene un clúster de AKS privado dentro de la suscripción de Azure. Para crear uno, consulte Creación de un clúster privado de Azure Kubernetes Service.

  1. En Azure Portal, vaya a Suscripciones>Proveedores de recursos en la suscripción.

  2. Registre los proveedores de recursos Microsoft.ContainerInstance y Microsoft.Relay, si aún no están registrados, seleccionando el proveedor y seleccionando Registrar. Vuelva a registrar el proveedor de recursos Microsoft.Chaos.

    Recorte de pantalla que muestra cómo registrar un proveedor de recursos.

  3. Vaya a Chaos Studio y seleccione Destinos. Busque el clúster de AKS deseado y seleccione Habilitar destinos>Habilitar destinos directos de servicio.

    Recorte de pantalla que muestra cómo habilitar destinos en Chaos Studio.

  4. Seleccione la red virtual del clúster. Si la red virtual ya incluye subredes denominadas ChaosStudioContainerSubnet y ChaosStudioRelaySubnet, selecciónelas. Si aún no existen, se crean automáticamente.

    Recorte de pantalla que muestra cómo seleccionar la red virtual y las subredes.

  5. Seleccione Revisar y habilitar>Habilitar.

    Recorte de pantalla que muestra cómo revisar la habilitación de destino.

Ahora puede usar el clúster de AKS privado con Chaos Studio. Para obtener información sobre cómo instalar Chaos Mesh y ejecutar el experimento, consulte Creación de un experimento de caos que use un error de Chaos Mesh con Azure Portal.

Limitaciones

  • En la actualidad, la inyección de red virtual solo será posible en suscripciones o regiones en las que Azure Container Instances y Azure Relay estén disponibles.
  • Al crear un recurso de destino que habilite con la inserción de red virtual, necesita acceso Microsoft.Network/virtualNetworks/subnets/write a la red virtual. Por ejemplo, si el clúster de AKS se implementa en la red virtual A, debe tener permisos para crear subredes en la red virtual A para habilitar la inserción de red virtual para el clúster de AKS.

Pasos siguientes

Ahora que comprende cómo se puede lograr la inserción de red virtual para Chaos Studio, puede: