Inserimento della rete virtuale in Azure Chaos Studio

Articolo
10/14/2024

La rete virtuale di Azure è il blocco predefinito fondamentale per la rete privata in Azure. La rete virtuale consente a numerosi tipi di risorse di Azure di comunicare in modo sicuro tra loro, con Internet e con le reti locali. Una rete virtuale è simile a una rete tradizionale che viene gestita nel proprio data center. Offre altri vantaggi dell'infrastruttura di Azure, ad esempio scalabilità, disponibilità e isolamento.

L'inserimento della rete virtuale consente a un provider di risorse di Azure Chaos Studio di inserire carichi di lavoro in contenitori nella rete virtuale, in modo che le risorse senza endpoint pubblici possano essere accessibili tramite un indirizzo IP privato nella rete virtuale. Dopo aver configurato l'inserimento della rete virtuale per una risorsa in una rete virtuale e aver abilitato la risorsa come destinazione, è possibile usarla in più esperimenti. Un esperimento può avere come destinazione una combinazione di risorse private e non private se le risorse private sono configurate in base alle istruzioni riportate in questo articolo.

Siamo anche lieti di condividere che Chaos Studio adesso supporta l'esecuzione degli esperimenti basati su agente attraverso gli endpoint privati! Chaos Studio supporta ora il collegamento privato per esperimenti sia basati su servizi che su agenti. Se si vuole usare Il collegamento privato per gli esperimenti basati su agenti, contattare il proprio CSA o visitare la pagina Procedura: Configurare il collegamento privato per gli esperimenti basati su agente. Per il collegamento privato per gli errori diretti dal servizio, leggere le sezioni seguenti per istruzioni sull'utilizzo.

Supporto del tipo di risorsa

Attualmente, è possibile abilitare solo determinati tipi di risorse per l'inserimento della rete virtuale di Chaos Studio:

Le destinazioni del servizio Azure Kubernetes (AKS) possono essere abilitate con l'inserimento della rete virtuale tramite il portale di Azure e l'interfaccia della riga di comando di Azure. È possibile usare tutti gli errori di Chaos Mesh del servizio Azure Kubernetes.
Le destinazioni di Azure Key Vault possono essere abilitate con l'inserimento della rete virtuale tramite l'interfaccia della riga di comando di Azure. Gli errori che possono essere usati con l'inserimento della rete virtuale sono Disabilita certificato, Incrementa versione certificato e Aggiorna criteri certificato.

Abilitare l'inserimento della rete virtuale

Per usare Chaos Studio con l'inserimento di reti virtuali, è necessario soddisfare i requisiti seguenti.

I provider di risorse Microsoft.ContainerInstance e Microsoft.Relay devono essere registrati nella sottoscrizione.
La rete virtuale in cui verranno inserite le risorse di Chaos Studio deve avere due subnet: una subnet del contenitore e una subnet di inoltro. La subnet del contenitore viene usata per i contenitori di Chaos Studio che verranno inseriti nella rete privata. La subnet di inoltro viene usata per inoltrare la comunicazione da Chaos Studio ai contenitori all'interno della rete privata.
1. Entrambe le subnet richiedono almeno /28 di dimensioni dello spazio indirizzi (in questo caso /27 è maggiore di /28, ad esempio). Un esempio è un prefisso di indirizzo di 10.0.0.0/28 o 10.0.0.0/24.
2. La subnet del contenitore deve essere delegata a Microsoft.ContainerInstance/containerGroups.
3. Le subnet possono essere denominate in modo arbitrario, ma sono consigliabili ChaosStudioContainerSubnet e ChaosStudioRelaySubnet.
Quando si abilita la risorsa desiderata come destinazione in modo che sia possibile usarla negli esperimenti di Chaos Studio, è necessario impostare le proprietà seguenti:
1. Impostare properties.subnets.containerSubnetId sull'ID per la subnet del contenitore.
2. Impostare properties.subnets.relaySubnetId sull'ID per la subnet di inoltro.

Se si usa il portale di Azure per abilitare una risorsa privata come destinazione Chaos Studio, Chaos Studio attualmente riconosce solo le subnet denominate ChaosStudioContainerSubnet e ChaosStudioRelaySubnet. Se queste subnet non esistono, il flusso di lavoro del portale può crearli automaticamente.

Se si usa l'interfaccia della riga di comando, le subnet del contenitore e di inoltro possono avere qualsiasi nome (soggetto alle linee guida per la denominazione delle risorse). Specificare gli ID appropriati quando si abilita la risorsa come destinazione.

Esempio: Usare Chaos Studio con un cluster del servizio Azure Kubernetes privato

Questo esempio illustra come configurare un cluster del servizio Azure Kubernetes privato da usare con Chaos Studio. Si presuppone che sia già presente un cluster del servizio Azure Kubernetes privato all'interno della sottoscrizione di Azure. Per crearne uno, vedere Creare un cluster del servizio Azure Kubernetes privato.

Azure portal
Interfaccia della riga di comando di Azure

Nel portale di Azure, andare a Sottoscrizioni>Provider di risorse nella propria sottoscrizione.
Registrare i provider di risorse Microsoft.ContainerInstance e Microsoft.Relay, se non sono già registrati, selezionando il provider e selezionando Registra. Registrare nuovamente il provider di risorse Microsoft.Chaos.
Andare a Chaos Studio e selezionare Destinazioni. Trovare il cluster del servizio Azure Kubernetes desiderato e selezionare Abilita destinazioni>Abilita destinazioni dirette al servizio.
Selezionare la rete virtuale del cluster. Se la rete virtuale include già subnet denominate ChaosStudioContainerSubnet e ChaosStudioRelaySubnet, selezionarle. Se non esistono già, vengono create automaticamente.
Selezionare Rivedi e abilita>Abilita.

È ora possibile usare il cluster del servizio Azure Kubernetes privato con Chaos Studio. Per informazioni su come installare Chaos Mesh ed eseguire l'esperimento, vedere Creare un esperimento Chaos che usa un errore Chaos Mesh con il portale di Azure.

Registrare i provider di risorse Microsoft.ContainerInstance e Microsoft.Relay con la sottoscrizione eseguendo i comandi seguenti. Se entrambi sono già registrati, è possibile ignorare questo passaggio. Per altre informazioni, vedere le istruzioni Registrare il provider di risorse.
```
az provider register --namespace 'Microsoft.ContainerInstance' --wait
```
```
az provider register --namespace 'Microsoft.Relay' --wait
```
Verificare la registrazione eseguendo i comandi seguenti:
```
az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
```
```
az provider show --namespace 'Microsoft.Relay' | grep registrationState
```
Nell'output dovrebbe essere visualizzato un contenuto simile al seguente:
```
"registrationState": "Registered",
```
Registrare nuovamente il provider di risorse Microsoft.Chaos con la propria sottoscrizione.
```
az provider register --namespace 'Microsoft.Chaos' --wait
```
Verificare la registrazione eseguendo il comando seguente:
```
az provider show --namespace 'Microsoft.Chaos' | grep registrationState
```
Nell'output dovrebbe essere visualizzato un contenuto simile al seguente:
```
"registrationState": "Registered",
```
Creare due subnet nella rete virtuale in cui inserire le risorse di Chaos Studio (in questo caso, la rete virtuale del cluster del servizio Azure Kubernetes privato):
- Subnet del contenitore (nome di esempio: ChaosStudioContainerSubnet)
  - Delegare la subnet al servizio Microsoft.ContainerInstance/containerGroups.
  - Questa subnet deve avere almeno /28 nello spazio indirizzi.
- Subnet di inoltro (nome di esempio: ChaosStudioRelaySubnet)
  - Questa subnet deve avere almeno /28 nello spazio indirizzi.
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
```
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
```
Quando si abilitano le destinazioni per il cluster del servizio Azure Kubernetes in modo che sia possibile usarlo negli esperimenti Chaos, impostare le proprietà properties.subnets.containerSubnetId e properties.subnets.relaySubnetId usando le nuove subnet create nel passaggio 3.

Sostituire $SUBSCRIPTION_ID con l'ID della sottoscrizione di Azure. Sostituire $RESOURCE_GROUP e $AKS_CLUSTER con il nome del gruppo di risorse e il nome della risorsa del cluster del servizio Azure Kubernetes. Sostituire $AKS_INFRA_RESOURCE_GROUP e $AKS_VNET con il nome del gruppo di risorse dell'infrastruttura del servizio Azure Kubernetes e il nome della rete virtuale. Sostituire $URL con l'URL corrispondente usato per l'onboarding della risorsa di destinazione. Per trovare questo URL, fare riferimento all'onboarding di una risorsa come destinazione di Chaos Studio.
```
CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
az rest --method put --url $URL --body "$BODY"
```

Limiti

L'inserimento della rete virtuale è attualmente possibile solo nelle sottoscrizioni/aree in cui sono disponibili Istanze di Azure Container e Inoltro di Azure.
Quando si crea una risorsa di destinazione abilitata per l'inserimento della rete virtuale, è necessario l'accesso Microsoft.Network/virtualNetworks/subnets/write alla rete virtuale. Ad esempio, se il cluster del servizio Azure Kubernetes viene distribuito in rete virtuale_A, è necessario disporre delle autorizzazioni per creare le subnet nella rete virtuale_A per abilitare l'inserimento della rete virtuale per il cluster del servizio Azure Kubernetes.

Passaggi successivi

Ora che si è appreso come è possibile realizzare l'inserimento della rete virtuale per Chaos Studio, è possibile:

Condividi tramite