Injection de réseau virtuel dans Azure Chaos Studio

Article
11/08/2023

Le Réseau virtuel Azure est le bloc de construction fondamental de votre réseau privé dans Azure. Un réseau virtuel permet à de nombreux types de ressources Azure de communiquer en toute sécurité entre elles, internet et réseaux locaux. Un réseau virtuel est similaire à un réseau traditionnel que vous utilisez dans votre propre centre de données. Elle offre d’autres avantages de l’infrastructure d’Azure, telles que la mise à l’échelle, la disponibilité et l’isolation.

L’injection de réseau virtuel permet à un fournisseur de ressources Azure Chaos Studio d’injecter des charges de travail conteneurisées dans votre réseau virtuel afin que les ressources sans points de terminaison publics soient accessibles via une adresse IP privée sur le réseau virtuel. Une fois que vous avez configuré l’injection de réseau virtuel pour une ressource dans un réseau virtuel et activé la ressource en tant que cible, vous pouvez l’utiliser dans plusieurs expériences. Une expérience peut cibler un mélange de ressources privées et non privées si les ressources privées sont configurées conformément aux instructions de cet article.

Nous sommes également heureux de partager que Chaos Studio prend en charge l’exécution d’expériences basées sur des agents à l’aide de points de terminaison privés ! Chaos Studio prend désormais en charge Private Link pour les expériences basées sur les services et les agents. Si vous souhaitez utiliser Private-Link pour les expériences basées sur des agents, contactez votre CSA ou visitez how to : Setup private link for agent-based experiments. Pour obtenir une liaison privée pour les erreurs directes de service, lisez les sections suivantes pour obtenir des instructions sur leur utilisation.

Prise en charge des types de ressources

Actuellement, vous pouvez uniquement activer certains types de ressources pour l’injection de réseau virtuel Chaos Studio :

Les cibles Azure Kubernetes Service (AKS) peuvent être activées avec l’injection de réseau virtuel via les Portail Azure et Azure CLI. Toutes les erreurs AKS Chaos Mesh peuvent être utilisées.
Les cibles Azure Key Vault peuvent être activées avec l’injection de réseau virtuel via Azure CLI. Les erreurs qui peuvent être utilisées avec l’injection de réseau virtuel sont Désactiver le certificat, incrémenter la version du certificat et mettre à jour la stratégie de certificat.

Activer l’injection de réseau virtuel

Pour utiliser Chaos Studio avec l’injection de réseau virtuel, vous devez répondre aux exigences suivantes.

Les Microsoft.ContainerInstance fournisseurs de ressources doivent Microsoft.Relay être inscrits auprès de votre abonnement.
Le réseau virtuel où les ressources Chaos Studio seront injectées doit avoir deux sous-réseaux : un sous-réseau de conteneur et un sous-réseau de relais. Un sous-réseau de conteneur est utilisé pour les conteneurs Chaos Studio qui seront injectés dans votre réseau privé. Un sous-réseau de relais est utilisé pour transférer la communication de Chaos Studio vers les conteneurs à l’intérieur du réseau privé.
1. Les deux sous-réseaux ont besoin au moins /28 de la taille de l’espace d’adressage (dans ce cas /27 est supérieur /28à , par exemple). Un exemple est un préfixe d’adresse de 10.0.0.0/28 ou 10.0.0.0/24.
2. Le sous-réseau de conteneur doit être délégué à Microsoft.ContainerInstance/containerGroups.
3. Les sous-réseaux peuvent être nommés arbitrairement, mais nous vous recommandons ChaosStudioContainerSubnet et ChaosStudioRelaySubnet.
Lorsque vous activez la ressource souhaitée en tant que cible afin de pouvoir l’utiliser dans les expériences Chaos Studio, les propriétés suivantes doivent être définies :
1. Défini properties.subnets.containerSubnetId sur l’ID du sous-réseau de conteneur.
2. Défini properties.subnets.relaySubnetId sur l’ID du sous-réseau de relais.

Si vous utilisez le Portail Azure pour activer une ressource privée en tant que cible Chaos Studio, Chaos Studio reconnaît actuellement uniquement les sous-réseaux nommés ChaosStudioContainerSubnet et ChaosStudioRelaySubnet. Si ces sous-réseaux n’existent pas, le flux de travail du portail peut les créer automatiquement.

Si vous utilisez l’interface CLI, les sous-réseaux de conteneur et de relais peuvent avoir n’importe quel nom (soumis aux instructions de nommage des ressources). Spécifiez les ID appropriés lorsque vous activez la ressource en tant que cible.

Exemple : Utiliser Chaos Studio avec un cluster AKS privé

Cet exemple montre comment configurer un cluster AKS privé à utiliser avec Chaos Studio. Il part du principe que vous disposez déjà d’un cluster AKS privé au sein de votre abonnement Azure. Pour en créer un, consultez Créer un cluster Azure Kubernetes Service privé.

Azure portal
Azure CLI

Dans le Portail Azure, accédez aux fournisseurs de ressources d’abonnements>dans votre abonnement.
Inscrivez les Microsoft.ContainerInstance fournisseurs et Microsoft.Relay les fournisseurs de ressources, s’ils ne sont pas déjà inscrits, en sélectionnant le fournisseur, puis en sélectionnant Inscrire. Réinscrire le Microsoft.Chaos fournisseur de ressources.
Accédez à Chaos Studio et sélectionnez Cibles. Recherchez votre cluster AKS souhaité et sélectionnez Activer les cibles Activer les cibles> directes de service.
Sélectionnez le réseau virtuel du cluster. Si le réseau virtuel inclut déjà des sous-réseaux nommés ChaosStudioContainerSubnet et ChaosStudioRelaySubnet, sélectionnez-les. S’ils n’existent pas déjà, ils sont automatiquement créés pour vous.
Sélectionnez Vérifier + Activer>.

Vous pouvez maintenant utiliser votre cluster AKS privé avec Chaos Studio. Pour savoir comment installer Chaos Mesh et exécuter l’expérience, consultez Créer une expérience de chaos qui utilise une erreur Chaos Mesh avec la Portail Azure.

Inscrivez les Microsoft.ContainerInstance fournisseurs de ressources et Microsoft.Relay les fournisseurs de ressources auprès de votre abonnement en exécutant les commandes suivantes. S’ils sont déjà inscrits, vous pouvez ignorer cette étape. Pour plus d’informations, consultez les instructions du fournisseur de ressources Register.
```
az provider register --namespace 'Microsoft.ContainerInstance' --wait
```
```
az provider register --namespace 'Microsoft.Relay' --wait
```
Vérifiez l’inscription en exécutant les commandes suivantes :
```
az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
```
```
az provider show --namespace 'Microsoft.Relay' | grep registrationState
```
Dans la sortie, vous devez voir quelque chose de similaire à :
```
"registrationState": "Registered",
```
Réinscrivez le Microsoft.Chaos fournisseur de ressources avec votre abonnement.
```
az provider register --namespace 'Microsoft.Chaos' --wait
```
Vérifiez l’inscription en exécutant la commande suivante :
```
az provider show --namespace 'Microsoft.Chaos' | grep registrationState
```
Dans la sortie, vous devez voir quelque chose de similaire à :
```
"registrationState": "Registered",
```
Créez deux sous-réseaux dans le réseau virtuel dans lequel vous souhaitez injecter des ressources Chaos Studio (dans ce cas, le réseau virtuel du cluster AKS privé) :
- Sous-réseau de conteneur (exemple de nom : ChaosStudioContainerSubnet)
  - Déléguer le sous-réseau au Microsoft.ContainerInstance/containerGroups service.
  - Ce sous-réseau doit avoir au moins /28 dans l’espace d’adressage.
- Sous-réseau de relais (exemple de nom : ChaosStudioRelaySubnet)
  - Ce sous-réseau doit avoir au moins /28 dans l’espace d’adressage.
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
```
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
```
Lorsque vous activez des cibles pour le cluster AKS afin de pouvoir l’utiliser dans les expériences de chaos, définissez les propriétés et properties.subnets.relaySubnetId les properties.subnets.containerSubnetId propriétés à l’aide des nouveaux sous-réseaux que vous avez créés à l’étape 3.

Remplacez $SUBSCRIPTION_ID par l’identifiant de votre abonnement Azure. Remplacez et $AKS_CLUSTER utilisez $RESOURCE_GROUP le nom du groupe de ressources et le nom de votre ressource de cluster AKS. Remplacez et $AKS_VNET remplacez $AKS_INFRA_RESOURCE_GROUP également le nom de votre groupe de ressources d’infrastructure AKS et le nom du réseau virtuel. Remplacez $URL l’URL correspondante https://management.azure.com/ utilisée pour l’intégration de la cible.
```
CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
az rest --method put --url $URL --body "$BODY"
```

Limites

L’injection de réseau virtuel n’est actuellement possible que dans les abonnements/régions où Azure Container Instances et Azure Relay sont disponibles.
Lorsque vous créez une ressource cible que vous activez avec l’injection de réseau virtuel, vous devez Microsoft.Network/virtualNetworks/subnets/write accéder au réseau virtuel. Par exemple, si le cluster AKS est déployé sur des network_A virtuels, vous devez disposer des autorisations nécessaires pour créer des sous-réseaux dans des network_A virtuels afin d’activer l’injection de réseau virtuel pour le cluster AKS.

Étapes suivantes

Maintenant que vous comprenez comment l’injection de réseau virtuel peut être obtenue pour Chaos Studio, vous êtes prêt à :

Partager via