Injeção de rede virtual no Azure Chaos Studio

A Rede Virtual do Azure é o bloco de construção fundamental de sua rede privada no Azure. Uma rede virtual permite que muitos tipos de recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. Ela é semelhante a uma rede tradicional que você opera no seu próprio datacenter. Além disso, ela oferece outros benefícios da infraestrutura do Azure, como escala, disponibilidade e isolamento.

A injeção de rede virtual permite que um provedor de recursos do Azure Chaos Studio injete cargas de trabalho conteinerizadas na rede virtual para que recursos sem pontos de extremidade públicos possam ser acessados ​​por meio de um endereço IP privado nessa rede. Depois de configurar a injeção de rede virtual para um recurso em uma rede virtual e habilitar o recurso como um destino, é possível usá-lo em diversos experimentos. Um experimento poderá ter como destino uma combinação de recursos privados e não privados se os privados forem configurados de acordo com as instruções neste artigo.

Também estamos felizes em compartilhar que o Chaos Studio dá suporte à execução de experimentos baseados em agentes por meio de pontos de extremidade privados. O Chaos Studio agora dá suporte ao Link Privado para os experimentos de serviço direto e baseados em agentes. Para usar o Link Privado em experimentos baseados em agentes, entre em contato com seu CSA ou acesse Como configurar o Link Privado para experimentos baseados em agentes. No caso de Links Privados para falhas de serviço direto, confira as seções a seguir e obtenha instruções sobre como usá-los.

Suporte a tipos de recursos

No momento, só é possível habilitar certos tipos de recursos para a injeção de rede virtual do Chaos Studio:

• Os destinos do AKS (Serviço de Kubernetes do Azure) podem ser habilitados com a injeção de rede virtual por meio do portal e da CLI do Azure. Todas as falhas do Chaos Mesh do AKS podem ser usadas.
• Os destinos do Azure Key Vault podem ser habilitados com a injeção de rede virtual por meio da CLI do Azure. As falhas que podem ser usadas com a injeção de rede virtual são “Desabilitar certificado”, “Incrementar versão do certificado” e “Atualizar política de certificado”.

Habilitar a injeção de rede virtual

Para usar o Chaos Studio com a injeção de rede virtual, você precisa atender aos requisitos a seguir.

1. Os provedores de recursos Microsoft.ContainerInstance e Microsoft.Relay devem ser registrados com sua assinatura.
2. A rede virtual em que os recursos do Chaos Studio serão injetados deve ter duas sub-redes: uma sub-rede de contêineres e uma de retransmissão. Uma sub-rede de contêineres é usada para os contêineres do Chaos Studio que serão injetados na rede privada. Uma sub-rede de retransmissão é usada para encaminhar a comunicação do Chaos Studio para os contêineres na rede privada.
   1. Ambas as sub-redes precisam de pelo menos /28 como tamanho do espaço de endereço (neste caso, /27 é maior que /28, por exemplo). Um exemplo é um prefixo de endereço 10.0.0.0/28 ou 10.0.0.0/24.
   2. A sub-rede de contêineres deve ser delegada a Microsoft.ContainerInstance/containerGroups.
   3. As sub-redes podem ser nomeadas arbitrariamente, mas recomendamos ChaosStudioContainerSubnet e ChaosStudioRelaySubnet.
3. Ao habilitar o recurso pretendido como um destino para usá-lo em experimentos do Chaos Studio, as seguintes propriedades precisam ser definidas:
   1. Defina properties.subnets.containerSubnetId como a ID da sub-rede de contêineres.
   2. Defina properties.subnets.relaySubnetId como a ID da sub-rede de retransmissão.

Se você estiver usando o portal do Azure para habilitar um recurso privado como um destino do Chaos Studio, tenha em mente que o Chaos Studio só reconhece sub-redes denominadas ChaosStudioContainerSubnet e ChaosStudioRelaySubnet no momento. Se essas sub-redes não existirem, o fluxo de trabalho do portal poderá criá-las automaticamente.

Ao usar a CLI, as sub-redes de contêineres e de retransmissão podem ter qualquer nome (sujeito às diretrizes de nomenclatura de recursos). Especifique as IDs apropriadas ao habilitar o recurso como um destino.

Exemplo: usar o Chaos Studio com um cluster privado do AKS

Este exemplo mostra como configurar um cluster privado do AKS para uso com o Chaos Studio. Ele pressupõe que você já tenha um cluster privado do AKS na assinatura do Azure. Se você não tiver, crie um acessando Criar um cluster privado do Serviço de Kubernetes do Azure.

Portal do Azure

1. No portal do Azure, acesse Assinaturas>Provedores de recursos na assinatura.

2. Registre os provedores de recursos Microsoft.ContainerInstance e Microsoft.Relay, se eles ainda não estiverem registrados, selecionando o provedor e clicando em Registrar. Registre novamente o provedor de recursos Microsoft.Chaos.

   

3. Acesse o Chaos Studio e selecione Destinos. Encontre o cluster do AKS desejado e selecione Habilitar destinos>Habilitar destinos de serviço direto.

   

4. Selecione a rede virtual do cluster. Se a rede virtual já incluir sub-redes chamadas ChaosStudioContainerSubnet e ChaosStudioRelaySubnet, selecione-as. Se elas ainda não existirem, serão criadas automaticamente para você.

   

5. Selecione Revisão + Habilitar>Habilitar.

   

Agora é possível usar o cluster privado do AKS com o Chaos Studio. Para saber como instalar o Chaos Mesh e executar o experimento, confira Usar o portal do Azure para criar um experimento do Chaos que usa uma falha do Chaos Mesh.

CLI do Azure

1. Execute os comandos a seguir para registrar os provedores de recursos Microsoft.ContainerInstance e Microsoft.Relay na assinatura. Se ambos já estiverem registrados, ignore esta etapa. Para saber mais, confira as instruções em Registrar provedores de recursos.

   az provider register --namespace 'Microsoft.ContainerInstance' --wait
   

   az provider register --namespace 'Microsoft.Relay' --wait
   

   Verifique o registro executando os seguintes comandos:

   az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
   

   az provider show --namespace 'Microsoft.Relay' | grep registrationState
   

   A saída deve exibir algo semelhante ao seguinte:

   "registrationState": "Registered",
   

2. Registre novamente o provedor de recursos Microsoft.Chaos na assinatura.

   az provider register --namespace 'Microsoft.Chaos' --wait
   

   Verifique o registro executando os seguintes comandos:

   az provider show --namespace 'Microsoft.Chaos' | grep registrationState
   

   A saída deve exibir algo semelhante ao seguinte:

   "registrationState": "Registered",
   

3. Crie duas sub-redes na rede virtual em que você deseja injetar recursos do Chaos Studio (neste caso, a rede virtual do cluster privado do AKS):

   • Sub-rede de contêineres (nome de exemplo: ChaosStudioContainerSubnet)
     • Delegue a sub-rede ao serviço Microsoft.ContainerInstance/containerGroups.
     • Essa sub-rede deve ter pelo menos /28 no espaço de endereço.
   • Sub-rede de retransmissão (nome de exemplo: ChaosStudioRelaySubnet)
     • Essa sub-rede deve ter pelo menos /28 no espaço de endereço.

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
   

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
   

4. Ao habilitar destinos para o cluster do AKS a fim de usá-lo em experimentos do Chaos, defina as propriedades properties.subnets.containerSubnetId e properties.subnets.relaySubnetId usando as novas sub-redes criadas na etapa 3.

   Substitua $SUBSCRIPTION_ID por sua ID da assinatura do Azure. Substitua $RESOURCE_GROUP e $AKS_CLUSTER pelo nome do grupo de recursos e do recurso do cluster do AKS. Além disso, substitua $AKS_INFRA_RESOURCE_GROUP e $AKS_VNET pelo nome do grupo de recursos da infraestrutura do AKS e pelo nome da rede virtual. Substitua $URL pela URL correspondente usada para integrar o recurso de destino. Para localizar essa URL, faça referência à Integração de um recurso como um destino do Chaos Studio.

   CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
   RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
   BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
   az rest --method put --url $URL --body "$BODY"
   

Agora é possível usar o cluster privado do AKS com o Chaos Studio. Para saber como instalar o Chaos Mesh e executar o experimento, confira Usar a CLI do Azure para criar um experimento do Chaos que usa uma falha do Chaos Mesh.

Limitações

• No momento, a injeção de rede virtual só é possível em assinaturas/regiões em que as Instâncias de Contêiner do Azure e a Retransmissão do Azure estão disponíveis.
• Ao criar um recurso de destino a ser habilitado com a injeção de rede virtual, você precisa de acesso Microsoft.Network/virtualNetworks/subnets/write à rede virtual. Por exemplo, se o cluster do AKS for implantado na rede virtual_A, você precisará de permissões para criar sub-redes nessa rede virtual a fim de habilitar a injeção de rede virtual para o cluster do AKS.

Próximas etapas

Agora que você entende como utilizar a injeção de rede virtual no Chaos Studio, você pode fazer o seguinte:

• Criar e executar seu primeiro experimento
• Criar e executar seu primeiro experimento do Serviço de Kubernetes do Azure