Virtuális hálózat injektálása az Azure Chaos Studióban

Az Azure Virtual Network az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózatok lehetővé teszik, hogy az Azure-erőforrások számos típusa biztonságosan kommunikáljon egymással, az internettel és a helyszíni hálózatokkal. A virtuális hálózatok hasonlóak a saját adatközpontban működő hagyományos hálózatokhoz. Az Azure infrastruktúrájának egyéb előnyeit is biztosítja, például a skálázást, a rendelkezésre állást és az elkülönítést.

A virtuális hálózat injektálása lehetővé teszi, hogy az Azure Chaos Studio erőforrás-szolgáltatója tárolóalapú számítási feladatokat injektáljon a virtuális hálózatba, hogy a nyilvános végpontok nélküli erőforrások a virtuális hálózaton lévő privát IP-címen keresztül érhetők el. Miután konfigurálta a virtuális hálózatban lévő erőforrás virtuális hálózati injektálását, és engedélyezte az erőforrást célként, több kísérletben is használhatja. Egy kísérlet a magán- és nemprivate erőforrások kombinációját célozhatja meg, ha a magánerőforrások a jelen cikkben leírt utasításoknak megfelelően vannak konfigurálva.

Örömmel osztjuk meg azt is, hogy a Chaos Studio támogatja az ügynökalapú kísérletek privát végpontok használatával történő futtatását! A Chaos Studio mostantól szolgáltatás-közvetlen és ügynökalapú kísérletekhez is támogatja a Private Linket. Ha a Private-Linket ügynökalapú kísérletekhez szeretné használni, forduljon a CSA-hoz, vagy keresse fel a How to: Setup private link for agent-based kísérleteket. A közvetlen szolgáltatáshibák privát hivatkozását a következő szakaszokban találja a használatukra vonatkozó utasításokért.

Erőforrástípus támogatása

Jelenleg csak bizonyos erőforrástípusokat engedélyezhet a Chaos Studio virtuális hálózatinjektálásához:

• Az Azure Kubernetes Service-(AKS-) célok virtuális hálózati injektálással engedélyezhetők az Azure Portalon és az Azure CLI-n keresztül. Minden AKS Chaos Mesh-hiba használható.
• Az Azure Key Vault-célok az Azure CLI-vel történő virtuális hálózati injektálással engedélyezhetők. A virtuális hálózat injektálásával használható hibák a tanúsítvány letiltása, a tanúsítványverzió növekménye és a tanúsítványszabályzat frissítése.

Virtuális hálózat injektálásának engedélyezése

A Chaos Studio virtuális hálózati injektálással való használatához meg kell felelnie az alábbi követelményeknek.

1. Microsoft.Relay Az Microsoft.ContainerInstance és az erőforrás-szolgáltatókat regisztrálni kell az előfizetésében.
2. A Chaos Studio-erőforrásokat tartalmazó virtuális hálózatnak két alhálózattal kell rendelkeznie: egy tárolóalhálózattal és egy továbbító alhálózattal. A rendszer tárolóalhálózatot használ a Chaos Studio-tárolókhoz, amelyeket a rendszer a magánhálózatba injektál. A relay alhálózat a Chaos Studióból a magánhálózaton belüli tárolók felé történő kommunikáció továbbítására szolgál.
   1. Mindkét alhálózatnak legalább /28 a címtér méretéhez szükséges (ebben az esetben /27 például nagyobb, mint /28). Ilyen például a címelőtag vagy 10.0.0.0/24a 10.0.0.0/28 .
   2. A tárolóalhálózatot delegálni kell a következőre Microsoft.ContainerInstance/containerGroups: .
   3. Az alhálózatok tetszőlegesen nevezhetők el, de javasoljuk ChaosStudioContainerSubnet és ChaosStudioRelaySubnet.
3. Ha célként engedélyezi a kívánt erőforrást, hogy használni tudja a Chaos Studio-kísérletekben, a következő tulajdonságokat kell beállítania:
   1. Állítsa be properties.subnets.containerSubnetId a tárolóalhálózat azonosítóját.
   2. Állítsa be properties.subnets.relaySubnetId a továbbító alhálózat azonosítóját.

Ha az Azure Portal használatával engedélyezi a magánerőforrást Chaos Studio-célként, a Chaos Studio jelenleg csak a nevesített ChaosStudioContainerSubnet alhálózatokat ismeri fel.ChaosStudioRelaySubnet Ha ezek az alhálózatok nem léteznek, a portál munkafolyamata automatikusan létrehozhatja őket.

Ha a parancssori felületet használja, a tároló és a továbbító alhálózatok bármilyen névvel rendelkezhetnek (az erőforrás-elnevezési irányelvekre is figyelemmel). Adja meg a megfelelő azonosítókat, amikor engedélyezi az erőforrást célként.

Példa: A Chaos Studio használata privát AKS-fürttel

Ez a példa bemutatja, hogyan konfigurálhat egy privát AKS-fürtöt a Chaos Studióval való használatra. Feltételezi, hogy már rendelkezik privát AKS-fürtel az Azure-előfizetésében. A létrehozáshoz lásd : Privát Azure Kubernetes Service-fürt létrehozása.

Azure Portal

1. Az Azure Portalon lépjen az előfizetés előfizetési>erőforrás-szolgáltatóihoz .

2. Ha még nincs regisztrálva, regisztrálja az és az Microsoft.ContainerInstanceMicrosoft.Relay erőforrás-szolgáltatókat a szolgáltató kiválasztásával, majd a Regisztráció lehetőség kiválasztásával. Regisztrálja újra az erőforrás-szolgáltatót Microsoft.Chaos .

   

3. Nyissa meg a Chaos Studiót, és válassza a Célok lehetőséget. Keresse meg a kívánt AKS-fürtöt, és válassza a Célok>engedélyezése szolgáltatás-közvetlen célok engedélyezése lehetőséget.

   

4. Válassza ki a fürt virtuális hálózatát. Ha a virtuális hálózat már tartalmaz elnevezett ChaosStudioContainerSubnetChaosStudioRelaySubnetalhálózatokat, jelölje ki őket. Ha még nem léteznek, automatikusan létrejönnek Önnek.

   

5. Válassza a Véleményezés + Engedélyezés lehetőséget>.

   

Most már használhatja a privát AKS-fürtöt a Chaos Studióval. A Chaos Mesh telepítéséről és a kísérlet futtatásáról az Azure Portalon Chaos Mesh-hibát használó káoszkísérlet létrehozása című témakörben olvashat.

Azure CLI

1. Regisztrálja az és az Microsoft.ContainerInstanceMicrosoft.Relay erőforrás-szolgáltatókat az előfizetésével az alábbi parancsok futtatásával. Ha mindkettő már regisztrálva van, kihagyhatja ezt a lépést. További információkért tekintse meg az erőforrás-szolgáltató regisztrálásával kapcsolatos utasításokat.

   az provider register --namespace 'Microsoft.ContainerInstance' --wait
   

   az provider register --namespace 'Microsoft.Relay' --wait
   

   Ellenőrizze a regisztrációt az alábbi parancsok futtatásával:

   az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
   

   az provider show --namespace 'Microsoft.Relay' | grep registrationState
   

   A kimenetben a következőhöz hasonlót kell látnia:

   "registrationState": "Registered",
   

2. Regisztrálja újra az erőforrás-szolgáltatót Microsoft.Chaos az előfizetésével.

   az provider register --namespace 'Microsoft.Chaos' --wait
   

   Ellenőrizze a regisztrációt a következő parancs futtatásával:

   az provider show --namespace 'Microsoft.Chaos' | grep registrationState
   

   A kimenetben a következőhöz hasonlót kell látnia:

   "registrationState": "Registered",
   

3. Hozzon létre két alhálózatot abban a virtuális hálózatban, amelybe a Chaos Studio-erőforrásokat be szeretné szúrni (ebben az esetben a privát AKS-fürt virtuális hálózatába):

   • Tároló alhálózata (példa neve: ChaosStudioContainerSubnet)
     • Delegálja az alhálózatot a Microsoft.ContainerInstance/containerGroups szolgáltatásnak.
     • Ennek az alhálózatnak legalább /28 a címtérben kell lennie.
   • Relay alhálózat (példa neve: ChaosStudioRelaySubnet)
     • Ennek az alhálózatnak legalább /28 a címtérben kell lennie.

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
   

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
   

4. Ha engedélyezi az AKS-fürt céljait, hogy káoszkísérletekben használhassa, a 3. lépésben létrehozott új alhálózatok használatával állítsa be properties.subnets.containerSubnetId a célokat és properties.subnets.relaySubnetId a tulajdonságokat.

   Cserélje le a $SUBSCRIPTION_ID értékét a saját Azure-előfizetése azonosítójára. Cserélje le $RESOURCE_GROUP az $AKS_CLUSTER erőforráscsoport nevét és az AKS-fürt erőforrásnevét. Cserélje le és $AKS_VNET írja be $AKS_INFRA_RESOURCE_GROUP az AKS-infrastruktúra erőforráscsoportjának nevét és a virtuális hálózat nevét is. Cserélje le $URL a cél előkészítéséhez használt MEGFELELŐ https://management.azure.com/ URL-címet.

   CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
   RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
   BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
   az rest --method put --url $URL --body "$BODY"
   

Most már használhatja a privát AKS-fürtöt a Chaos Studióval. A Chaos Mesh telepítésével és a kísérlet futtatásával kapcsolatos további információkért lásd : Chaos Mesh-hibát használó káoszkísérlet létrehozása az Azure CLI-vel.

Korlátozások

• A virtuális hálózat injektálása jelenleg csak olyan előfizetésekben/régiókban lehetséges, ahol az Azure Container Instances és az Azure Relay elérhető.
• Amikor létrehoz egy célerőforrást, amelyet virtuális hálózatinjektálással engedélyez, hozzá kell Microsoft.Network/virtualNetworks/subnets/write férnie a virtuális hálózathoz. Ha például az AKS-fürt a virtuális network_A van üzembe helyezve, akkor a virtuális network_A alhálózatok létrehozására vonatkozó engedélyekkel kell rendelkeznie az AKS-fürt virtuális hálózati injektálásának engedélyezéséhez.

Következő lépések

Most, hogy megismerte, hogyan lehet virtuális hálózati injektálást elérni a Chaos Studióban, készen áll a következőre:

• Az első kísérlet létrehozása és futtatása
• Az első Azure Kubernetes Service-kísérlet létrehozása és futtatása