Private Link configureren voor experimenten op basis van agents (preview)
In dit artikel worden de stappen uitgelegd die nodig zijn voor het configureren van Azure Private Link voor een experiment op basis van een Azure Chaos Studio-agent (preview). De huidige gebruikerservaring is gebaseerd op de ondersteuning voor privé-eindpunten die is ingeschakeld als onderdeel van de openbare preview van de functie voor privé-eindpunten. Verwacht dat deze ervaring zich ontwikkelt met de tijd, omdat de functie wordt uitgebreid tot de kwaliteit van algemene beschikbaarheid (GA). Het is momenteel in preview.
Vereisten
- Een Azure-account met een actief abonnement. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
- Definieer uw experiment op basis van agents door de stappen te volgen in Een chaos-experiment maken dat gebruikmaakt van een fout op basis van een agent met Azure Portal.
Notitie
Als de doelresource is gemaakt met behulp van De Azure-portal, wordt de VM-extensie (Chaos Agent virtual machine) automatisch geïnstalleerd op de host-VM. Als het doel is ingeschakeld met behulp van de Azure CLI, volgt u de Chaos Studio-documentatie om de VM-extensie eerst op de VIRTUELE machine te installeren. Totdat u de installatie van het privé-eindpunt hebt voltooid, rapporteert de VM-extensie een slechte status. Dit gedrag is verwacht.
Beperkingen
- U moet onze REST API voor 2023-10-27-preview gebruiken om alleen Private Link te maken en te gebruiken voor experimenten op basis van agents. Er is geen ondersteuning voor Private Link voor op agents gebaseerde experimenten in onze GA-stabiele REST API tot H1 2024.
- Voor de volledige end-to-end-ervaring voor deze stroom is een bepaald gebruik van de CLI vereist. De huidige end-to-end-ervaring kan niet worden uitgevoerd vanuit Azure Portal.
- Het resourcetype Chaos Studio Private Accesses (CSPA) heeft een strikte 1:1 toewijzing van Chaos Target:CSPA-resource (abstractie voor privé-eindpunt). We staan toe dat er slechts vijf CSPA-resources per abonnement worden gemaakt om de verwachte ervaring voor al onze klanten te behouden.
Een Chaos Studio Private Access-resource maken
Als u privé-eindpunten wilt gebruiken voor chaosexperimenten op basis van agents, moet u een nieuw resourcetype maken met de naam Chaos Studio Private Accesses. CSPA is de resource waarmee de privé-eindpunten worden gemaakt.
Deze resource kan momenteel alleen worden gemaakt vanuit de CLI. Zie de volgende voorbeeldcode voor het maken van dit resourcetype:
az rest --verbose --skip-authorization-header --header "Authorization=Bearer $accessToken" --uri-parameters api-version=2023-10-27-preview --method PUT --uri "https://centraluseuap.management.azure.com/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Chaos/privateAccesses/<CSPAResourceName>?api-version=2023-10-27-preview" --body '
{
"location": "<resourceLocation>",
"properties": {
"id": "<CSPAResourceName>",
"name": "<CSPAResourceName>",
"location": "<resourceLocation>",
"type": "Microsoft.Chaos/privateAccesses",
"resourceId": "subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Chaos/privateAccesses/<CSPAResourceName>"
}
}'
| Naam | Vereist | Type | Description |
|---|---|---|---|
| subscriptionID | Waar | String | GUID die een Azure-abonnements-id vertegenwoordigt. |
| resourceGroupName | Waar | String | Tekenreeks die een Azure-resourcegroep vertegenwoordigt. |
| CSPAResourceName | Waar | String | Tekenreeks die de naam aangeeft die u uw Chaos Studio Private Access-resource wilt geven. |
| resourceLocation | Waar | String | Locatie waar u de resource wilt hosten (moet een ondersteuningsregio zijn van Chaos Studio). |
Uw virtuele netwerk, subnet en privé-eindpunt maken
Stel het gewenste virtuele netwerk, subnet en eindpunt in voor het experiment als u dat nog niet hebt gedaan.
Zorg ervoor dat u deze koppelt aan het virtuele netwerk van dezelfde virtuele machine. Schermopnamen bieden voorbeelden van het maken van het virtuele netwerk, subnet en privé-eindpunt. U moet het resourcetype instellen op Microsoft.Chaos/privateAccesses, zoals te zien is in de schermopname.
De host-VM van de agent toewijzen aan de CSPA-resource
Zoek het doel Resource ID door een GetTarget oproep te doen:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{parentProviderNamespace}/{parentResourceType}/{parentResourceName}/providers/Microsoft.Chaos/targets/{targetName}?api-version=2023-10-27-preview
De GET opdracht retourneert een groot antwoord. Let op dit antwoord. We gebruiken dit antwoord en passen het aan voordat we een PUT Target opdracht uitvoeren om de twee resources toe te wijzen.
Roep een PUT Target opdracht aan met behulp van dit antwoord. U moet nog twee velden toevoegen aan de hoofdtekst van de opdracht voordat u deze PUT uitvoert.
Deze extra velden worden hier weergegeven:
"privateAccessId": "subscriptions/<subID>/...
"allowPublicAccess": false
},
Hier volgt een voorbeeldblok voor hoe de PUT Target opdracht eruit moet zien en de velden die u moet invullen:
Notitie
Kopieer de hoofdtekst van de vorige GET opdracht. U moet de privateAccessID velden allowPublicAccess handmatig toevoegen.
az rest --verbose --skip-authorization-header --header "Authorization=Bearer $accessToken" --uri-parameters api-version=2023-10-27-preview --method PUT --uri "https://management.azure.com/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>/providers/Microsoft.Compute/virtualMachines/<VMSSname>/providers/Microsoft.Chaos/targets/Microsoft-Agent?api-version=2023-10-27-preview " --body ' {
"id": "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/microsoft.compute/virtualmachines/<VMSSName>/providers/Microsoft.Chaos/targets/Microsoft-Agent",
"type": "Microsoft.Chaos/targets",
"name": "Microsoft-Agent",
"location": "<resourceLocation>",
"properties": {
"agentProfileId": "<from target resource>",
"identities": [
{
"type": "AzureManagedIdentity",
"clientId": "<clientID>",
"tenantId": "<tenantID>"
}
],
"agentTenantId": "CHAOSSTUDIO",
"privateAccessId": "subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Chaos/privateAccesses/<CSPAresourceName>",
"allowPublicAccess": false
}} '
Notitie
De PrivateAccessID waarde moet exact overeenkomen met de resourceID waarde die u hebt gebruikt om de CSPA-resource te maken in de eerdere sectie Een Chaos Studio Private Access-resource maken.
Start de Azure Chaos Agent-service opnieuw op de VM
Nadat u alle vereiste wijzigingen in de host hebt aangebracht, start u de Azure Chaos Agent-service opnieuw op de VIRTUELE machine.
Windows
Linux
Voer voor Linux de volgende opdracht uit vanuit de CLI:
Systemctl restart azure-chaos-agent
Uw op agents gebaseerde experiment uitvoeren met behulp van privé-eindpunten
Na het opnieuw opstarten moet de Azure Chaos-agent kunnen communiceren met de agentcommunicatiegegevensvlakservice en moet de agentregistratie voor het gegevensvlak zijn geslaagd. Na een geslaagde registratie kan de agent de status ervan aangeven met een heartbeat. Vervolgens kunt u doorgaan met het uitvoeren van experimenten op basis van de Azure Chaos Agent met behulp van privé-eindpunten.