Virtuell nätverksinmatning i Azure Chaos Studio

Azure Virtual Network är den grundläggande byggstenen för ditt privata nätverk i Azure. Med ett virtuellt nätverk kan många typer av Azure-resurser kommunicera säkert med varandra, Internet och lokala nätverk. Ett virtuellt nätverk liknar ett traditionellt nätverk som du arbetar i ditt eget datacenter. Det medför andra fördelar med Azures infrastruktur, till exempel skalning, tillgänglighet och isolering.

Med en virtuell nätverksinmatning kan en Azure Chaos Studio-resursprovider mata in containerbaserade arbetsbelastningar i ditt virtuella nätverk så att resurser utan offentliga slutpunkter kan nås via en privat IP-adress i det virtuella nätverket. När du har konfigurerat en virtuell nätverksinmatning för en resurs i ett virtuellt nätverk och aktiverat resursen som mål kan du använda den i flera experiment. Ett experiment kan rikta in sig på en blandning av privata och icke-privata resurser om de privata resurserna konfigureras enligt anvisningarna i den här artikeln.

Nu är vi också glada över att kunna dela med oss av att Chaos Studio har stöd för att köra agentbaserade experiment med hjälp av privata slutpunkter! Chaos Studio har nu stöd för Private Link för både tjänstdirigerings- och agentbaserade experiment. Om du vill använda Private-Link för agentbaserade experiment kan du kontakta din CSA eller gå till Så här: Konfigurera privat länk för agentbaserade experiment. För privat länk för tjänstdirigeringsfel läser du följande avsnitt för instruktioner om hur du använder dem.

Stöd för resurstyp

För närvarande kan du bara aktivera vissa resurstyper för den virtuella Chaos Studio-nätverksinmatningen:

• Azure Kubernetes Service-mål (AKS) kan aktiveras med virtuell nätverksinmatning via Azure-portalen och Azure CLI. Alla AKS Chaos Mesh-fel kan användas.
• Azure Key Vault-mål kan aktiveras med virtuell nätverksinmatning via Azure CLI. De fel som kan användas med virtuell nätverksinmatning är Inaktivera certifikat, Öka certifikatversion och Uppdatera certifikatprincip.

Aktivera virtuell nätverksinmatning

Om du vill använda Chaos Studio med virtuell nätverksinmatning måste du uppfylla följande krav.

1. Resursprovidrar Microsoft.ContainerInstance och Microsoft.Relay måste registreras med din prenumeration.
2. Det virtuella nätverk där Chaos Studio-resurser matas in måste ha två undernät: ett containerundernät och ett reläundernät. Ett containerundernät används för Chaos Studio-containrar som ska matas in i ditt privata nätverk. Ett reläundernät används för att vidarebefordra kommunikation från Chaos Studio till containrarna i det privata nätverket.
   1. Båda undernäten behöver minst /28 för storleken på adressutrymmet (i det här fallet /27 är större än /28, till exempel). Ett exempel är ett adressprefix för 10.0.0.0/28 eller 10.0.0.0/24.
   2. Containerundernätet måste delegeras till Microsoft.ContainerInstance/containerGroups.
   3. Undernäten kan namnges godtyckligt, men vi rekommenderar ChaosStudioContainerSubnet och ChaosStudioRelaySubnet.
3. När du aktiverar den önskade resursen som mål så att du kan använda den i Chaos Studio-experiment måste följande egenskaper anges:
   1. Ange properties.subnets.containerSubnetId till ID för containerundernätet.
   2. Ange properties.subnets.relaySubnetId till ID för reläundernätet.

Om du använder Azure-portalen för att aktivera en privat resurs som ett Chaos Studio-mål identifierar Chaos Studio för närvarande endast undernät med namnet ChaosStudioContainerSubnet och ChaosStudioRelaySubnet. Om dessa undernät inte finns kan portalarbetsflödet skapa dem automatiskt.

Om du använder CLI kan container- och reläundernäten ha valfritt namn (med förbehåll för riktlinjerna för resursnamngivning). Ange lämpliga ID:er när du aktiverar resursen som mål.

Exempel: Använda Chaos Studio med ett privat AKS-kluster

Det här exemplet visar hur du konfigurerar ett privat AKS-kluster som ska användas med Chaos Studio. Det förutsätter att du redan har ett privat AKS-kluster i din Azure-prenumeration. Information om hur du skapar ett finns i Skapa ett privat Azure Kubernetes Service-kluster.

Azure-portalen

1. I Azure-portalen går du till Prenumerationer>Resursprovidrar i din prenumeration.

2. Microsoft.ContainerInstance Registrera resursprovidrar och Microsoft.Relay om de inte redan är registrerade genom att välja providern och sedan välja Registrera. Registrera resursprovidern igen Microsoft.Chaos .

   

3. Gå till Chaos Studio och välj Mål. Hitta önskat AKS-kluster och välj Aktivera mål>Aktivera tjänstdirigeringsmål.

   

4. Välj klustrets virtuella nätverk. Om det virtuella nätverket redan innehåller undernät med namnet ChaosStudioContainerSubnet och ChaosStudioRelaySubnetväljer du dem. Om de inte redan finns skapas de automatiskt åt dig.

   

5. Välj Granska + aktivera>Aktivera.

   

Nu kan du använda ditt privata AKS-kluster med Chaos Studio. Information om hur du installerar Chaos Mesh och kör experimentet finns i Skapa ett kaosexperiment som använder ett Chaos Mesh-fel med Azure-portalen.

Azure CLI

1. Microsoft.ContainerInstance Registrera resursprovidrar och Microsoft.Relay med din prenumeration genom att köra följande kommandon. Om båda är redan registrerade kan du hoppa över det här steget. Mer information finns i anvisningarna för Registrera resursprovider .

   az provider register --namespace 'Microsoft.ContainerInstance' --wait
   

   az provider register --namespace 'Microsoft.Relay' --wait
   

   Verifiera registreringen genom att köra följande kommandon:

   az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
   

   az provider show --namespace 'Microsoft.Relay' | grep registrationState
   

   I utdata bör du se något som liknar:

   "registrationState": "Registered",
   

2. Microsoft.Chaos Registrera om resursprovidern med din prenumeration.

   az provider register --namespace 'Microsoft.Chaos' --wait
   

   Verifiera registreringen genom att köra följande kommando:

   az provider show --namespace 'Microsoft.Chaos' | grep registrationState
   

   I utdata bör du se något som liknar:

   "registrationState": "Registered",
   

3. Skapa två undernät i det virtuella nätverk som du vill mata in Chaos Studio-resurser i (i det här fallet det privata AKS-klustrets virtuella nätverk):

   • Containerundernät (exempelnamn: ChaosStudioContainerSubnet)
     • Delegera undernätet till tjänsten Microsoft.ContainerInstance/containerGroups .
     • Det här undernätet måste ha minst /28 i adressutrymmet.
   • Relay-undernät (exempelnamn: ChaosStudioRelaySubnet)
     • Det här undernätet måste ha minst /28 i adressutrymmet.

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
   

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
   

4. När du aktiverar mål för AKS-klustret så att du kan använda det i kaosexperiment anger properties.subnets.containerSubnetId du egenskaperna och properties.subnets.relaySubnetId med hjälp av de nya undernät som du skapade i steg 3.

   Ersätt $SUBSCRIPTION_ID med ditt Azure-prenumerations-ID. Ersätt $RESOURCE_GROUP och $AKS_CLUSTER med resursgruppens namn och ditt AKS-klusterresursnamn. $AKS_INFRA_RESOURCE_GROUP Ersätt och med resursgruppens namn och $AKS_VNET namn på det virtuella nätverket i AKS-infrastrukturen. Ersätt $URL med motsvarande https://management.azure.com/ URL som används för att registrera målet.

   CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
   RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
   BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
   az rest --method put --url $URL --body "$BODY"
   

Nu kan du använda ditt privata AKS-kluster med Chaos Studio. Information om hur du installerar Chaos Mesh och kör experimentet finns i Skapa ett kaosexperiment som använder ett Chaos Mesh-fel med Azure CLI.

Begränsningar

• Virtuell nätverksinmatning är för närvarande endast möjlig i prenumerationer/regioner där Azure Container Instances och Azure Relay är tillgängliga.
• När du skapar en målresurs som du aktiverar med virtuell nätverksinmatning behöver Microsoft.Network/virtualNetworks/subnets/write du åtkomst till det virtuella nätverket. Om AKS-klustret till exempel distribueras till virtuella network_A måste du ha behörighet att skapa undernät i virtuella network_A för att aktivera virtuell nätverksinmatning för AKS-klustret.

Nästa steg

Nu när du förstår hur virtuell nätverksinmatning kan uppnås för Chaos Studio är du redo att:

• Skapa och kör ditt första experiment
• Skapa och kör ditt första Azure Kubernetes Service-experiment