Внедрение виртуальной сети в Azure Chaos Studio

Azure виртуальная сеть — это базовый стандартный блок для частной сети в Azure. Виртуальная сеть позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. Виртуальная сеть похожа на традиционную сеть, которая работает в собственном центре обработки данных. Это дает другие преимущества инфраструктуры Azure, такие как масштабирование, доступность и изоляция.

Внедрение виртуальной сети позволяет поставщику ресурсов Azure Chaos Studio внедрять контейнерные рабочие нагрузки в виртуальную сеть, чтобы доступ к ресурсам без общедоступных конечных точек можно было получить через частный IP-адрес в виртуальной сети. После настройки внедрения виртуальной сети для ресурса в виртуальной сети и включения ресурса в качестве целевого объекта его можно использовать в нескольких экспериментах. Эксперимент может использовать сочетание частных и непрививных ресурсов, если частные ресурсы настроены в соответствии с инструкциями в этой статье.

Мы также рады поделиться тем, что Chaos Studio поддерживает запуск экспериментов на основе агента с помощью частных конечных точек! Теперь Chaos Studio поддерживает Приватный канал для экспериментов на основе служб и агентов. Если вы хотите использовать Приватный канал для экспериментов на основе агента, обратитесь к CSA или посетите раздел "Практическое руководство . Настройка приватного канала для экспериментов на основе агента". Для приватного канала для сбоев с прямой службой ознакомьтесь со следующими разделами, чтобы узнать, как использовать их.

Поддержка типов ресурсов

В настоящее время можно включить только определенные типы ресурсов для внедрения виртуальной сети Chaos Studio:

• целевые объекты Служба Azure Kubernetes (AKS) можно включить с внедрением виртуальной сети с помощью портал Azure и Azure CLI. Можно использовать все ошибки сетки хаоса AKS.
• Целевые объекты Azure Key Vault можно включить с внедрением виртуальной сети с помощью Azure CLI. Ошибки, которые можно использовать с внедрением виртуальной сети, — отключить сертификат, версию добавочного сертификата и обновить политику сертификата.

Включение внедрения виртуальной сети

Чтобы использовать Chaos Studio с внедрением виртуальной сети, необходимо выполнить следующие требования.

1. Microsoft.ContainerInstance Microsoft.Relay Поставщики ресурсов должны быть зарегистрированы в вашей подписке.
2. Виртуальная сеть, в которой будут внедряться ресурсы Chaos Studio, должна иметь две подсети: подсеть контейнера и подсеть ретранслятора. Подсеть контейнера используется для контейнеров Chaos Studio, которые будут внедрены в частную сеть. Подсеть ретранслятора используется для пересылки связи из Chaos Studio в контейнеры в частной сети.
   1. Обе подсети должны по крайней мере /28 для размера адресного пространства (например /27 , больше /28). Примером является префикс 10.0.0.0/28 адреса или 10.0.0.0/24.
   2. Подсеть контейнера должна быть делегирована Microsoft.ContainerInstance/containerGroups.
   3. Подсети могут быть произвольно именованы, но рекомендуем ChaosStudioContainerSubnet и ChaosStudioRelaySubnet.
3. Если вы включите требуемый ресурс в качестве целевого объекта, чтобы его можно было использовать в экспериментах Chaos Studio, необходимо задать следующие свойства:
   1. Задайте properties.subnets.containerSubnetId идентификатор для подсети контейнера.
   2. Задайте properties.subnets.relaySubnetId идентификатор для подсети ретранслятора.

Если вы используете портал Azure для включения частного ресурса в качестве целевого объекта Chaos Studio, в настоящее время Chaos Studio распознает только подсети с именем ChaosStudioContainerSubnet иChaosStudioRelaySubnet. Если эти подсети не существуют, рабочий процесс портала может создавать их автоматически.

При использовании интерфейса командной строки контейнер и подсети ретранслятора могут иметь любое имя (в соответствии с рекомендациями по именованию ресурсов). Укажите соответствующие идентификаторы при включении ресурса в качестве целевого объекта.

Пример. Использование Chaos Studio с частным кластером AKS

В этом примере показано, как настроить частный кластер AKS для использования с Chaos Studio. Предполагается, что у вас уже есть частный кластер AKS в подписке Azure. Чтобы создать его, см. раздел "Создание частного Служба Azure Kubernetes кластера".

Портал Azure

1. В портал Azure перейдите к поставщикам ресурсов подписок>в подписке.

2. Microsoft.ContainerInstance Зарегистрируйте поставщиков и Microsoft.Relay поставщиков ресурсов, если они еще не зарегистрированы, выбрав поставщика и выбрав "Зарегистрировать". Повторно зарегистрируйте Microsoft.Chaos поставщика ресурсов.

   

3. Перейдите в Студию Хаоса и выберите "Целевые объекты". Найдите нужный кластер AKS и выберите "Включить целевые объекты> для прямого обслуживания".

   

4. Выберите виртуальную сеть кластера. Если виртуальная сеть уже включает подсети с именем ChaosStudioContainerSubnet и ChaosStudioRelaySubnetвыберите их. Если они еще не существуют, они автоматически создаются для вас.

   

5. Выберите "Рецензирование" и "Включить>".

   

Теперь вы можете использовать частный кластер AKS с Chaos Studio. Чтобы узнать, как установить сетку Хаоса и запустить эксперимент, см. статью "Создание эксперимента хаоса" с ошибкой "Сетка хаоса" с портал Azure.

Azure CLI

1. Microsoft.ContainerInstance Microsoft.Relay Зарегистрируйте поставщиков ресурсов в подписке, выполнив следующие команды. Если они уже зарегистрированы, можно пропустить этот шаг. Дополнительные сведения см. в инструкциях по регистрации поставщика ресурсов.

   az provider register --namespace 'Microsoft.ContainerInstance' --wait
   

   az provider register --namespace 'Microsoft.Relay' --wait
   

   Проверьте регистрацию, выполнив следующие команды:

   az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
   

   az provider show --namespace 'Microsoft.Relay' | grep registrationState
   

   В выходных данных должно появиться примерно следующее:

   "registrationState": "Registered",
   

2. Повторно зарегистрируйте Microsoft.Chaos поставщика ресурсов в подписке.

   az provider register --namespace 'Microsoft.Chaos' --wait
   

   Проверьте регистрацию, выполнив следующую команду:

   az provider show --namespace 'Microsoft.Chaos' | grep registrationState
   

   В выходных данных должно появиться примерно следующее:

   "registrationState": "Registered",
   

3. Создайте две подсети в виртуальной сети, в которую требуется внедрить ресурсы Chaos Studio (в этом случае виртуальная сеть частного кластера AKS):

   • Подсеть контейнера (пример имени: ChaosStudioContainerSubnet)
     • Делегировать подсеть Microsoft.ContainerInstance/containerGroups службе.
     • Эта подсеть должна иметь по крайней мере /28 адресное пространство.
   • Подсеть ретранслятора (пример имени: ChaosStudioRelaySubnet)
     • Эта подсеть должна иметь по крайней мере /28 адресное пространство.

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
   

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
   

4. Если вы включите целевые объекты для кластера AKS, чтобы использовать его в экспериментах хаоса, задайте properties.subnets.containerSubnetId значения и properties.subnets.relaySubnetId свойства с помощью новых подсетей, созданных на шаге 3.

   Замените $SUBSCRIPTION_ID идентификатором своей подписки Azure. $AKS_CLUSTER Замените $RESOURCE_GROUP имя группы ресурсов и имя ресурса кластера AKS. Кроме того, замените $AKS_INFRA_RESOURCE_GROUP имя $AKS_VNET группы ресурсов инфраструктуры AKS и имя виртуальной сети. Замените $URL соответствующим URL-адресом, используемым для подключения целевого ресурса. Чтобы найти этот URL-адрес, найдите ссылку на ресурс в качестве целевого объекта Chaos Studio.

   CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
   RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
   BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
   az rest --method put --url $URL --body "$BODY"
   

Теперь вы можете использовать частный кластер AKS с Chaos Studio. Чтобы узнать, как установить Сетку Хаоса и запустить эксперимент, см. статью "Создание эксперимента хаоса, использующего ошибку "Сетка хаоса" с помощью Azure CLI.

Ограничения

• Внедрение виртуальной сети в настоящее время возможно только в подписках или регионах, где доступны Экземпляры контейнеров Azure и Ретранслятор Azure.
• При создании целевого ресурса, включенного с внедрением виртуальной сети, требуется Microsoft.Network/virtualNetworks/subnets/write доступ к виртуальной сети. Например, если кластер AKS развернут в виртуальной network_A, необходимо иметь разрешения на создание подсетей в виртуальной network_A, чтобы включить внедрение виртуальной сети для кластера AKS.

Следующие шаги

Теперь, когда вы понимаете, как можно реализовать внедрение виртуальной сети для Chaos Studio, вы готовы:

• Создание и запуск первого эксперимента
• Создание и запуск первого эксперимента Служба Azure Kubernetes