Injeção de rede virtual no Azure Chaos Studio

A Rede Virtual do Azure é o bloco de construção fundamental de sua rede privada no Azure. Uma rede virtual permite que muitos tipos de recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. Uma rede virtual é semelhante a uma rede tradicional que você opera em seu próprio datacenter. Ele traz outros benefícios da infraestrutura do Azure, como escala, disponibilidade e isolamento.

A injeção de rede virtual permite que um provedor de recursos do Azure Chaos Studio injete cargas de trabalho em contêineres em sua rede virtual para que recursos sem pontos de extremidade públicos possam ser acessados por meio de um endereço IP privado na rede virtual. Depois de configurar a injeção de rede virtual para um recurso em uma rede virtual e habilitar o recurso como destino, você poderá usá-lo em vários experimentos. Um experimento pode ter como alvo uma combinação de recursos privados e não privados se os recursos privados estiverem configurados de acordo com as instruções neste artigo.

Agora também estamos entusiasmados em compartilhar que o Chaos Studio oferece suporte à execução de experimentos baseados em agentes usando Endpoints Privados! O Chaos Studio agora oferece suporte ao Private Link para experimentos diretos de serviço e baseados em agentes. Se você quiser usar o Private-Link para experimentos baseados em agente, entre em contato com seu CSA ou visite Como: Configurar link privado para experimentos baseados em agente. Para obter links privados para falhas diretas de serviço, leia as seções a seguir para obter instruções sobre como usá-las.

Suporte a tipos de recursos

Atualmente, você só pode habilitar determinados tipos de recursos para injeção de rede virtual do Chaos Studio:

• Os destinos do Serviço de Kubernetes do Azure (AKS) podem ser habilitados com injeção de rede virtual por meio do portal do Azure e da CLI do Azure. Todas as falhas do AKS Chaos Mesh podem ser usadas.
• Os destinos do Cofre de Chaves do Azure podem ser habilitados com injeção de rede virtual por meio da CLI do Azure. As falhas que podem ser usadas com a injeção de rede virtual são Desabilitar Certificado, Incrementar Versão do Certificado e Atualizar Diretiva de Certificado.

Habilitar injeção de rede virtual

Para usar o Chaos Studio com injeção de rede virtual, você deve atender aos seguintes requisitos.

1. Os Microsoft.ContainerInstance provedores de recursos e Microsoft.Relay devem ser registrados com sua assinatura.
2. A rede virtual onde os recursos do Chaos Studio serão injetados deve ter duas sub-redes: uma sub-rede de contêiner e uma sub-rede de retransmissão. Uma sub-rede de contêiner é usada para os contêineres do Chaos Studio que serão injetados em sua rede privada. Uma sub-rede de retransmissão é usada para encaminhar a comunicação do Chaos Studio para os contêineres dentro da rede privada.
   1. Ambas as sub-redes precisam pelo menos /28 para o tamanho do espaço de endereçamento (neste caso /27 , é maior do que /28, por exemplo). Um exemplo é um prefixo de endereço de 10.0.0.0/28 ou 10.0.0.0/24.
   2. A sub-rede do contêiner deve ser delegada ao Microsoft.ContainerInstance/containerGroups.
   3. As sub-redes podem ser nomeadas arbitrariamente, mas recomendamos ChaosStudioContainerSubnet e ChaosStudioRelaySubnet.
3. Quando você habilita o recurso desejado como um destino para que você possa usá-lo em experimentos do Chaos Studio, as seguintes propriedades devem ser definidas:
   1. Defina properties.subnets.containerSubnetId como a ID da sub-rede do contêiner.
   2. Defina properties.subnets.relaySubnetId como a ID da sub-rede de retransmissão.

Se você estiver usando o portal do Azure para habilitar um recurso privado como um destino do Chaos Studio, o Chaos Studio atualmente só reconhece sub-redes chamadas ChaosStudioContainerSubnet e ChaosStudioRelaySubnet. Se essas sub-redes não existirem, o fluxo de trabalho do portal poderá criá-las automaticamente.

Se você estiver usando a CLI, o contêiner e as sub-redes de retransmissão poderão ter qualquer nome (sujeito às diretrizes de nomenclatura de recursos). Especifique as IDs apropriadas ao habilitar o recurso como destino.

Exemplo: Usar o Chaos Studio com um cluster AKS privado

Este exemplo mostra como configurar um cluster AKS privado para usar com o Chaos Studio. Ele pressupõe que você já tenha um cluster AKS privado em sua assinatura do Azure. Para criar um, consulte Criar um cluster privado do Serviço Kubernetes do Azure.

Portal do Azure

1. No portal do Azure, vá para Provedores de Recursos de>Assinaturas em sua assinatura.

2. Registre os Microsoft.ContainerInstance provedores de recursos Microsoft.Relay , se ainda não estiverem registrados, selecionando o provedor e, em seguida, selecionando Registrar. Registre novamente o provedor de Microsoft.Chaos recursos.

   

3. Vá para Chaos Studio e selecione Targets. Encontre o cluster AKS desejado e selecione Habilitar destinos Habilitar destinos> diretos de serviço.

   

4. Selecione a rede virtual do cluster. Se a rede virtual já incluir sub-redes nomeadas ChaosStudioContainerSubnet e ChaosStudioRelaySubnet, selecione-as. Se eles ainda não existirem, eles serão criados automaticamente para você.

   

5. Selecione Revisar + Habilitar>ativar.

   

Agora você pode usar seu cluster AKS privado com o Chaos Studio. Para saber como instalar o Chaos Mesh e executar o experimento, consulte Criar um experimento de caos que usa uma falha do Chaos Mesh com o portal do Azure.

CLI do Azure

1. Registre os provedores de recursos e Microsoft.Relay com sua assinatura executando os Microsoft.ContainerInstance comandos a seguir. Se ambos já estiverem registrados, você pode pular esta etapa. Para obter mais informações, consulte as instruções do provedor de recursos de registro.

   az provider register --namespace 'Microsoft.ContainerInstance' --wait
   

   az provider register --namespace 'Microsoft.Relay' --wait
   

   Verifique o registro executando os seguintes comandos:

   az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
   

   az provider show --namespace 'Microsoft.Relay' | grep registrationState
   

   Na saída, você deve ver algo semelhante a:

   "registrationState": "Registered",
   

2. Registre novamente o Microsoft.Chaos provedor de recursos com sua assinatura.

   az provider register --namespace 'Microsoft.Chaos' --wait
   

   Verifique o registro executando os seguintes comandos:

   az provider show --namespace 'Microsoft.Chaos' | grep registrationState
   

   Na saída, você deve ver algo semelhante a:

   "registrationState": "Registered",
   

3. Crie duas sub-redes na rede virtual na qual você deseja injetar recursos do Chaos Studio (neste caso, a rede virtual do cluster AKS privado):

   • Sub-rede de contêiner (nome de exemplo: ChaosStudioContainerSubnet)
     • Delegue a sub-rede ao Microsoft.ContainerInstance/containerGroups serviço.
     • Essa sub-rede deve ter pelo menos /28 no espaço de endereço.
   • Sub-rede de retransmissão (nome de exemplo: ChaosStudioRelaySubnet)
     • Essa sub-rede deve ter pelo menos /28 no espaço de endereço.

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
   

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
   

4. Quando você habilitar destinos para o cluster AKS para que possa usá-lo em experimentos de caos, defina as propriedades e properties.subnets.relaySubnetId usando as properties.subnets.containerSubnetId novas sub-redes criadas na etapa 3.

   Substitua $SUBSCRIPTION_ID por sua ID da assinatura do Azure. Substitua $RESOURCE_GROUP e pelo nome do grupo de recursos e $AKS_CLUSTER pelo nome do recurso do cluster AKS. Além disso, substitua $AKS_INFRA_RESOURCE_GROUP e pelo nome do grupo de recursos de infraestrutura AKS e $AKS_VNET pelo nome da rede virtual. Substitua pela $URL URL correspondente https://management.azure.com/ usada para integrar o destino.

   CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
   RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
   BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
   az rest --method put --url $URL --body "$BODY"
   

Agora você pode usar seu cluster AKS privado com o Chaos Studio. Para saber como instalar o Chaos Mesh e executar o experimento, consulte Criar um experimento de caos que usa uma falha do Chaos Mesh com a CLI do Azure.

Limitações

• No momento, a injeção de rede virtual só é possível em assinaturas/regiões onde as Instâncias de Contêiner do Azure e a Retransmissão do Azure estão disponíveis.
• Ao criar um recurso de destino habilitado com injeção de rede virtual, você precisa acessar Microsoft.Network/virtualNetworks/subnets/write a rede virtual. Por exemplo, se o cluster AKS for implantado em network_A virtuais, você deverá ter permissões para criar sub-redes em network_A virtuais para habilitar a injeção de rede virtual para o cluster AKS.

Próximas etapas

Agora que você entende como a injeção de rede virtual pode ser alcançada para o Chaos Studio, está pronto para:

• Criar e executar seu primeiro experimento
• Criar e executar seu primeiro experimento do Serviço de Kubernetes do Azure