Iniekcja sieci wirtualnej w usłudze Azure Chaos Studio

Artykuł
11/08/2023

Usługa Azure Virtual Network to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Sieć wirtualna umożliwia wielu typom zasobów platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Sieć wirtualna jest podobna do tradycyjnej sieci działającej we własnym centrum danych. Zapewnia ona inne korzyści z infrastruktury platformy Azure, takie jak skalowanie, dostępność i izolacja.

Iniekcja sieci wirtualnej umożliwia dostawcy zasobów usługi Azure Chaos Studio wstrzykiwanie konteneryzowanych obciążeń do sieci wirtualnej, dzięki czemu zasoby bez publicznych punktów końcowych mogą być dostępne za pośrednictwem prywatnego adresu IP w sieci wirtualnej. Po skonfigurowaniu iniekcji sieci wirtualnej dla zasobu w sieci wirtualnej i włączeniu zasobu jako celu można go użyć w wielu eksperymentach. Eksperyment może dotyczyć kombinacji zasobów prywatnych i nieprivate, jeśli zasoby prywatne są skonfigurowane zgodnie z instrukcjami w tym artykule.

Cieszymy się również, że program Chaos Studio obsługuje uruchamianie eksperymentów opartych na agentach przy użyciu prywatnych punktów końcowych! Usługa Chaos Studio obsługuje teraz usługę Private Link zarówno w przypadku eksperymentów opartych na usłudze, jak i na agentach. Jeśli chcesz używać usługi Private-Link do eksperymentów opartych na agentach, skontaktuj się z CSA lub odwiedź stronę Instrukcje: Konfigurowanie łącza prywatnego na potrzeby eksperymentów opartych na agentach. Aby uzyskać link prywatny dla błędów bezpośrednich usług, zapoznaj się z poniższymi sekcjami, aby uzyskać instrukcje dotyczące sposobu ich używania.

Obsługa typów zasobów

Obecnie można włączyć tylko niektóre typy zasobów dla iniekcji sieci wirtualnej Chaos Studio:

Cele usługi Azure Kubernetes Service (AKS) można włączyć za pomocą iniekcji sieci wirtualnej za pośrednictwem witryny Azure Portal i interfejsu wiersza polecenia platformy Azure. Można użyć wszystkich błędów usługi AKS Chaos Mesh.
Cele usługi Azure Key Vault można włączyć za pomocą iniekcji sieci wirtualnej za pośrednictwem interfejsu wiersza polecenia platformy Azure. Błędy, które mogą być używane z iniekcją sieci wirtualnej, to Wyłącz certyfikat, wersję certyfikatu przyrostowego i Zaktualizuj zasady certyfikatu.

Włączanie iniekcji sieci wirtualnej

Aby korzystać z programu Chaos Studio z iniekcją sieci wirtualnej, należy spełnić następujące wymagania.

Dostawcy Microsoft.ContainerInstance zasobów i Microsoft.Relay muszą być zarejestrowani w ramach subskrypcji.
Sieć wirtualna, w której zostaną wprowadzone zasoby programu Chaos Studio, musi mieć dwie podsieci: podsieć kontenera i podsieć przekaźnika. Podsieć kontenera jest używana dla kontenerów programu Chaos Studio, które zostaną wprowadzone do sieci prywatnej. Podsieć przekaźnika służy do przekazywania komunikacji z programu Chaos Studio do kontenerów wewnątrz sieci prywatnej.
1. Obie podsieci wymagają co najmniej /28 rozmiaru przestrzeni adresowej (na przykład jest ona /27 większa niż /28, na przykład). Przykładem jest prefiks 10.0.0.0/28 adresu lub 10.0.0.0/24.
2. Podsieć kontenera musi być delegowana do .Microsoft.ContainerInstance/containerGroups
3. Podsieci mogą być dowolnie nazwane, ale zalecamy ChaosStudioContainerSubnet i ChaosStudioRelaySubnet.
Po włączeniu żądanego zasobu jako elementu docelowego, aby można było go używać w eksperymentach programu Chaos Studio, należy ustawić następujące właściwości:
1. Ustaw properties.subnets.containerSubnetId identyfikator dla podsieci kontenera.
2. Ustaw properties.subnets.relaySubnetId identyfikator podsieci przekaźnika.

Jeśli używasz witryny Azure Portal do włączenia zasobu prywatnego jako obiektu docelowego programu Chaos Studio, program Chaos Studio rozpoznaje obecnie tylko podsieci o nazwach ChaosStudioContainerSubnet i ChaosStudioRelaySubnet. Jeśli te podsieci nie istnieją, przepływ pracy portalu może utworzyć je automatycznie.

Jeśli używasz interfejsu wiersza polecenia, podsieci kontenera i przekaźnika mogą mieć dowolną nazwę (z zastrzeżeniem wytycznych dotyczących nazewnictwa zasobów). Określ odpowiednie identyfikatory po włączeniu zasobu jako elementu docelowego.

Przykład: używanie programu Chaos Studio z prywatnym klastrem usługi AKS

W tym przykładzie pokazano, jak skonfigurować prywatny klaster usługi AKS do użycia z programem Chaos Studio. Przyjęto założenie, że masz już prywatny klaster usługi AKS w ramach subskrypcji platformy Azure. Aby go utworzyć, zobacz Tworzenie prywatnego klastra usługi Azure Kubernetes Service.

Witryna Azure Portal
Interfejs wiersza polecenia platformy Azure

W witrynie Azure Portal przejdź do pozycji Dostawcy> zasobów subskrypcji w ramach subskrypcji.
Microsoft.ContainerInstance Zarejestruj dostawców zasobów iMicrosoft.Relay, jeśli nie są jeszcze zarejestrowani, wybierając dostawcę, a następnie wybierając pozycję Zarejestruj. Ponowne wyrejestrowanie dostawcy Microsoft.Chaos zasobów.
Przejdź do obszaru Chaos Studio i wybierz pozycję Cele. Znajdź żądany klaster usługi AKS i wybierz pozycję Włącz obiekty docelowe Włącz cele> bezpośrednie usługi.
Wybierz sieć wirtualną klastra. Jeśli sieć wirtualna zawiera już podsieci o nazwie ChaosStudioContainerSubnet i ChaosStudioRelaySubnetwybierz je. Jeśli jeszcze nie istnieją, zostaną one utworzone automatycznie.
Wybierz pozycję Przejrzyj i włącz opcję Włącz>.

Teraz możesz użyć prywatnego klastra usługi AKS z programem Chaos Studio. Aby dowiedzieć się, jak zainstalować usługę Chaos Mesh i uruchomić eksperyment, zobacz Tworzenie eksperymentu chaosu, który używa błędu usługi Chaos Mesh w witrynie Azure Portal.

Microsoft.ContainerInstance Zarejestruj dostawców zasobów i Microsoft.Relay w ramach subskrypcji, uruchamiając następujące polecenia. Jeśli oba te elementy zostały już zarejestrowane, możesz pominąć ten krok. Aby uzyskać więcej informacji, zobacz Instrukcje dotyczące rejestrowania dostawcy zasobów.
```
az provider register --namespace 'Microsoft.ContainerInstance' --wait
```
```
az provider register --namespace 'Microsoft.Relay' --wait
```
Sprawdź rejestrację, uruchamiając następujące polecenia:
```
az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
```
```
az provider show --namespace 'Microsoft.Relay' | grep registrationState
```
W danych wyjściowych powinny zostać wyświetlone dane podobne do następujących:
```
"registrationState": "Registered",
```
Ponownie wyrejestruj dostawcę Microsoft.Chaos zasobów przy użyciu subskrypcji.
```
az provider register --namespace 'Microsoft.Chaos' --wait
```
Sprawdź rejestrację, uruchamiając następujące polecenie:
```
az provider show --namespace 'Microsoft.Chaos' | grep registrationState
```
W danych wyjściowych powinny zostać wyświetlone dane podobne do następujących:
```
"registrationState": "Registered",
```
Utwórz dwie podsieci w sieci wirtualnej, do której chcesz wprowadzić zasoby programu Chaos Studio (w tym przypadku prywatna sieć wirtualna klastra usługi AKS):
- Podsieć kontenera (przykładowa nazwa: ChaosStudioContainerSubnet)
  - Delegowanie podsieci Microsoft.ContainerInstance/containerGroups do usługi.
  - Ta podsieć musi znajdować się co najmniej /28 w przestrzeni adresowej.
- Podsieć przekaźnika (przykładowa nazwa: ChaosStudioRelaySubnet)
  - Ta podsieć musi znajdować się co najmniej /28 w przestrzeni adresowej.
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
```
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
```
Po włączeniu obiektów docelowych dla klastra usługi AKS, aby można było go używać w eksperymentach chaosu, ustaw properties.subnets.containerSubnetId właściwości i properties.subnets.relaySubnetId przy użyciu nowych podsieci utworzonych w kroku 3.

Zamień wartość $SUBSCRIPTION_ID na identyfikator swojej subskrypcji platformy Azure. Zastąp $RESOURCE_GROUP wartości i $AKS_CLUSTER nazwą grupy zasobów i nazwą zasobu klastra usługi AKS. Ponadto zastąp $AKS_INFRA_RESOURCE_GROUP wartości i $AKS_VNET nazwą grupy zasobów infrastruktury usługi AKS i nazwą sieci wirtualnej. Zastąp $URL element odpowiednim https://management.azure.com/ adresem URL używanym do dołączania obiektu docelowego.
```
CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
az rest --method put --url $URL --body "$BODY"
```

Teraz możesz użyć prywatnego klastra usługi AKS z programem Chaos Studio. Aby dowiedzieć się, jak zainstalować usługę Chaos Mesh i uruchomić eksperyment, zobacz Tworzenie eksperymentu chaosu korzystającego z błędu usługi Chaos Mesh za pomocą interfejsu wiersza polecenia platformy Azure.

Ograniczenia

Wstrzykiwanie sieci wirtualnej jest obecnie możliwe tylko w subskrypcjach/regionach, w których są dostępne usługi Azure Container Instances i Azure Relay.
Podczas tworzenia zasobu docelowego włączonego za pomocą iniekcji sieci wirtualnej potrzebny Microsoft.Network/virtualNetworks/subnets/write jest dostęp do sieci wirtualnej. Jeśli na przykład klaster usługi AKS jest wdrożony w network_A wirtualnym, musisz mieć uprawnienia do tworzenia podsieci w network_A wirtualnych, aby włączyć iniekcję sieci wirtualnej dla klastra usługi AKS.

Następne kroki

Teraz, gdy już wiesz, jak można osiągnąć iniekcję sieci wirtualnej dla programu Chaos Studio, możesz przystąpić do wykonywania następujących czynności: