Injeksi jaringan virtual di Azure Chaos Studio

Azure Virtual Network adalah blok penyusun dasar untuk jaringan privat Anda di Azure. Jaringan virtual memungkinkan banyak jenis sumber daya Azure untuk berkomunikasi satu sama lain dengan aman, internet, dan jaringan lokal. Jaringan virtual mirip dengan jaringan tradisional yang Anda operasikan di pusat data Anda sendiri. Ini membawa manfaat lain dari infrastruktur Azure, seperti skala, ketersediaan, dan isolasi.

Injeksi jaringan virtual memungkinkan penyedia sumber daya Azure Chaos Studio untuk menyuntikkan beban kerja kontainer ke jaringan virtual Anda sehingga sumber daya tanpa titik akhir publik dapat diakses melalui alamat IP privat di jaringan virtual. Setelah mengonfigurasi injeksi jaringan virtual untuk sumber daya di jaringan virtual dan mengaktifkan sumber daya sebagai target, Anda dapat menggunakannya dalam beberapa eksperimen. Eksperimen dapat menargetkan campuran sumber daya privat dan nonprivat jika sumber daya privat dikonfigurasi sesuai dengan instruksi dalam artikel ini.

Kami juga sekarang bersemangat untuk berbagi bahwa Chaos Studio mendukung eksperimen berbasis agen yang berjalan menggunakan Titik Akhir Privat! Chaos Studio sekarang mendukung Private Link untuk eksperimen langsung layanan dan berbasis agen. Jika Anda ingin menggunakan Private-Link untuk eksperimen berbasis agen, silakan hubungi CSA Anda atau kunjungi Cara: Menyiapkan tautan privat untuk eksperimen berbasis agen. Untuk tautan privat untuk kesalahan langsung layanan, baca bagian berikut untuk petunjuk tentang cara menggunakannya.

Dukungan jenis sumber daya

Saat ini, Anda hanya dapat mengaktifkan jenis sumber daya tertentu untuk injeksi jaringan virtual Chaos Studio:

• Target Azure Kubernetes Service (AKS) dapat diaktifkan dengan injeksi jaringan virtual melalui portal Azure dan Azure CLI. Semua kesalahan AKS Chaos Mesh dapat digunakan.
• Target Azure Key Vault dapat diaktifkan dengan injeksi jaringan virtual melalui Azure CLI. Kesalahan yang dapat digunakan dengan injeksi jaringan virtual adalah Nonaktifkan Sertifikat, Versi Sertifikat Tahapan, dan Perbarui Kebijakan Sertifikat.

Aktifkan injeksi jaringan virtual

Untuk menggunakan Chaos Studio dengan injeksi jaringan virtual, Anda harus memenuhi persyaratan berikut.

1. Penyedia Microsoft.ContainerInstance sumber daya dan Microsoft.Relay harus terdaftar dengan langganan Anda.
2. Jaringan virtual tempat sumber daya Chaos Studio akan disuntikkan harus memiliki dua subnet: subnet kontainer dan subnet relai. Subnet kontainer digunakan untuk kontainer Chaos Studio yang akan disuntikkan ke jaringan privat Anda. Subnet relai digunakan untuk meneruskan komunikasi dari Chaos Studio ke kontainer di dalam jaringan privat.
   1. Kedua subnet membutuhkan setidaknya /28 untuk ukuran ruang alamat (dalam hal /27 ini lebih besar dari /28, misalnya). Contohnya adalah awalan 10.0.0.0/28 alamat atau 10.0.0.0/24.
   2. Subnet kontainer harus didelegasikan ke Microsoft.ContainerInstance/containerGroups.
   3. Subnet dapat diberi nama sewenang-wenang, tetapi kami merekomendasikan ChaosStudioContainerSubnet dan ChaosStudioRelaySubnet.
3. Saat Anda mengaktifkan sumber daya yang diinginkan sebagai target sehingga Anda dapat menggunakannya di eksperimen Chaos Studio, properti berikut harus diatur:
   1. Atur properties.subnets.containerSubnetId ke ID untuk subnet kontainer.
   2. Atur properties.subnets.relaySubnetId ke ID untuk subnet relai.

Jika Anda menggunakan portal Azure untuk mengaktifkan sumber daya privat sebagai target Chaos Studio, Chaos Studio saat ini hanya mengenali subnet bernama ChaosStudioContainerSubnet dan ChaosStudioRelaySubnet. Jika subnet ini tidak ada, alur kerja portal dapat membuatnya secara otomatis.

Jika Anda menggunakan CLI, subnet kontainer dan relai dapat memiliki nama apa pun (tunduk pada pedoman penamaan sumber daya). Tentukan ID yang sesuai saat Anda mengaktifkan sumber daya sebagai target.

Contoh: Gunakan Chaos Studio dengan kluster AKS privat

Contoh ini menunjukkan cara mengonfigurasi kluster AKS privat untuk digunakan dengan Chaos Studio. Ini mengasumsikan Anda sudah memiliki kluster AKS privat dalam langganan Azure Anda. Untuk membuatnya, lihat Membuat kluster Azure Kubernetes Service privat.

Portal Azure

1. Di portal Azure, buka Penyedia sumber daya Langganan>di langganan Anda.

2. Microsoft.ContainerInstance Daftarkan penyedia sumber daya danMicrosoft.Relay, jika belum terdaftar, dengan memilih penyedia lalu pilih Daftar. Daftarkan ulang Microsoft.Chaos penyedia sumber daya.

   

3. Buka Chaos Studio dan pilih Target. Temukan kluster AKS yang Anda inginkan dan pilih Aktifkan target>Aktifkan target langsung layanan.

   

4. Pilih jaringan virtual kluster. Jika jaringan virtual sudah menyertakan subnet bernama ChaosStudioContainerSubnet dan ChaosStudioRelaySubnet, pilih subnet tersebut. Jika belum ada, mereka secara otomatis dibuat untuk Anda.

   

5. Pilih Tinjau + Aktifkan Aktifkan>.

   

Sekarang Anda dapat menggunakan kluster AKS privat Anda dengan Chaos Studio. Untuk mempelajari cara menginstal Chaos Mesh dan menjalankan eksperimen, lihat Membuat eksperimen chaos yang menggunakan kesalahan Chaos Mesh dengan portal Azure.

Azure CLI

1. Microsoft.ContainerInstance Daftarkan penyedia sumber daya dan Microsoft.Relay dengan langganan Anda dengan menjalankan perintah berikut. Jika keduanya sudah terdaftar, Anda dapat melewati langkah ini. Untuk informasi selengkapnya, lihat instruksi Daftarkan penyedia sumber daya.

   az provider register --namespace 'Microsoft.ContainerInstance' --wait
   

   az provider register --namespace 'Microsoft.Relay' --wait
   

   Verifikasi pendaftaran dengan menjalankan perintah berikut:

   az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
   

   az provider show --namespace 'Microsoft.Relay' | grep registrationState
   

   Dalam output, Anda akan melihat sesuatu yang mirip dengan:

   "registrationState": "Registered",
   

2. Daftarkan ulang Microsoft.Chaos penyedia sumber daya dengan langganan Anda.

   az provider register --namespace 'Microsoft.Chaos' --wait
   

   Verifikasi pendaftaran dengan menjalankan perintah berikut:

   az provider show --namespace 'Microsoft.Chaos' | grep registrationState
   

   Dalam output, Anda akan melihat sesuatu yang mirip dengan:

   "registrationState": "Registered",
   

3. Buat dua subnet di jaringan virtual yang ingin Anda masukkan sumber daya Chaos Studio ke dalamnya (dalam hal ini, jaringan virtual kluster AKS privat):

   • Subnet kontainer (nama contoh: ChaosStudioContainerSubnet)
     • Mendelegasikan subnet ke Microsoft.ContainerInstance/containerGroups layanan.
     • Subnet ini harus memiliki setidaknya /28 di ruang alamat.
   • Subnet relai (nama contoh: ChaosStudioRelaySubnet)
     • Subnet ini harus memiliki setidaknya /28 di ruang alamat.

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
   

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
   

4. Saat Anda mengaktifkan target untuk kluster AKS sehingga Anda dapat menggunakannya dalam eksperimen chaos, atur properties.subnets.containerSubnetId properti dan properties.subnets.relaySubnetId dengan menggunakan subnet baru yang Anda buat di langkah 3.

   Ganti $SUBSCRIPTION_ID dengan ID langganan Azure Anda. Ganti $RESOURCE_GROUP dan $AKS_CLUSTER dengan nama grup sumber daya dan nama sumber daya kluster AKS Anda. Selain itu, ganti $AKS_INFRA_RESOURCE_GROUP dan $AKS_VNET dengan nama grup sumber daya infrastruktur AKS dan nama jaringan virtual Anda. Ganti $URL dengan URL terkait https://management.azure.com/ yang digunakan untuk onboarding target.

   CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
   RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
   BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
   az rest --method put --url $URL --body "$BODY"
   

Sekarang Anda dapat menggunakan kluster AKS privat Anda dengan Chaos Studio. Untuk mempelajari cara menginstal Chaos Mesh dan menjalankan eksperimen, lihat Membuat eksperimen chaos yang menggunakan kesalahan Chaos Mesh dengan Azure CLI.

Pembatasan

• Injeksi jaringan virtual saat ini hanya dimungkinkan di langganan/wilayah tempat Azure Container Instances dan Azure Relay tersedia.
• Saat Anda membuat sumber daya Target yang Anda aktifkan dengan injeksi jaringan virtual, Anda memerlukan Microsoft.Network/virtualNetworks/subnets/write akses ke jaringan virtual. Misalnya, jika kluster AKS disebarkan ke network_A virtual, maka Anda harus memiliki izin untuk membuat subnet di network_A virtual untuk mengaktifkan injeksi jaringan virtual untuk kluster AKS.

Langkah berikutnya

Sekarang setelah Anda memahami bagaimana injeksi jaringan virtual dapat dicapai untuk Chaos Studio, Anda siap untuk:

• Membuat dan menjalankan eksperimen pertama Anda
• Membuat dan menjalankan eksperimen Azure Kubernetes Service pertama Anda