Azure Chaos Studio 中的虛擬網路插入

Azure 虛擬網路是私人網路在 Azure 中的基本建置組塊。 虛擬網路可讓許多類型的 Azure 資源安全地彼此通訊、因特網和內部部署網路。 虛擬網路類似於您在自己的數據中心運作的傳統網路。 它帶來 Azure 基礎結構的其他優點，例如調整、可用性和隔離。

虛擬網路插入可讓 Azure Chaos Studio 資源提供者將容器化工作負載插入您的虛擬網路，讓沒有公用端點的資源可以透過虛擬網路上的私人 IP 位址存取。 在您為虛擬網路中的資源設定虛擬網路插入並啟用資源作為目標之後，即可在多個實驗中使用。 如果私人資源已根據本文中的指示進行設定，實驗就可以將私人和非私人資源混合在一起。

我們現在也很高興分享 Chaos Studio 支援使用私人端點執行 代理程式型實驗 ！ Chaos Studio 現在同時支援服務導向和代理程式型實驗的 Private Link。 如果您想要針對代理程式型實驗使用 Private-Link，請連絡您的 CSA，或造訪 如何：設定代理程式型實驗的私人連結。 如需服務直接錯誤的私人連結，請閱讀下列各節，以取得如何使用它們的說明。

資源類型支援

目前，您只能啟用 Chaos Studio 虛擬網路插入的特定資源類型：

• Azure Kubernetes Service （AKS） 目標可透過 Azure 入口網站 和 Azure CLI 來啟用虛擬網路插入。 所有 AKS 混亂網格錯誤都可以使用。
• Azure 金鑰保存庫 目標可透過 Azure CLI 透過虛擬網路插入來啟用。 可用於虛擬網路插入的錯誤為 [停用憑證]、[遞增憑證版本] 和 [更新憑證原則]。

啟用虛擬網路插入

若要搭配虛擬網路插入使用 Chaos Studio，您必須符合下列需求。

1. Microsoft.ContainerInstance和 Microsoft.Relay 資源提供者必須向您的訂用帳戶註冊。
2. 將插入 Chaos Studio 資源的虛擬網路必須有兩個子網：容器子網和轉接子網。 容器子網會用於將插入專用網的 Chaos Studio 容器。 轉送子網可用來將來自 Chaos Studio 的通訊轉送至專用網內的容器。
   1. 這兩個子網至少 /28 需要位址空間的大小（在此案例 /27 中大於 /28，例如）。 例如 或10.0.0.0/24的10.0.0.0/28位址前置詞。
   2. 容器子網必須委派給 Microsoft.ContainerInstance/containerGroups。
   3. 子網可以任意命名，但我們建議 ChaosStudioContainerSubnet 和 ChaosStudioRelaySubnet。
3. 當您以目標身分啟用所需的資源，以便在 Chaos Studio 實驗中使用它時，必須設定下列屬性：
   1. 設定 properties.subnets.containerSubnetId 為容器子網的標識碼。
   2. 設定 properties.subnets.relaySubnetId 為轉寄子網的標識碼。

如果您使用 Azure 入口網站 啟用私人資源作為 Chaos Studio 目標，Chaos Studio 目前只會辨識名為 ChaosStudioContainerSubnet 和 ChaosStudioRelaySubnet的子網。 如果這些子網不存在，入口網站工作流程可以自動建立它們。

如果您使用 CLI，容器和轉接子網可以具有任何名稱（受限於資源命名指導方針）。 當您將資源啟用為目標時，請指定適當的識別碼。

範例：搭配私人 AKS 叢集使用 Chaos Studio

此範例示範如何設定私人 AKS 叢集以搭配 Chaos Studio 使用。 它假設您在 Azure 訂用帳戶內已經有私人 AKS 叢集。 若要建立一個，請參閱 建立私人 Azure Kubernetes Service 叢集。

Azure 入口網站

1. 在 Azure 入口網站 中，移至>訂用帳戶中的訂用帳戶資源提供者。

2. Microsoft.ContainerInstance如果尚未註冊和Microsoft.Relay資源提供者，請選取提供者，然後選取 [註冊]。 重新註冊 Microsoft.Chaos 資源提供者。

   

3. 移至 Chaos Studio，然後選取 [ 目標]。 尋找您想要的 AKS 叢集，然後選取 [啟用>目標啟用服務導向目標]。

   

4. 選取叢集的虛擬網路。 如果虛擬網路已經包含名為 ChaosStudioContainerSubnet 和 ChaosStudioRelaySubnet的子網，請加以選取。 如果它們還不存在，系統會自動為您建立它們。

   

5. 選取 [檢閱 + 啟用]。>

   

現在您可以使用私人 AKS 叢集搭配 Chaos Studio。 若要瞭解如何安裝 Chaos Mesh 並執行實驗，請參閱建立混亂實驗，以搭配 Azure 入口網站 使用 Chaos Mesh 錯誤。

Azure CLI

1. Microsoft.ContainerInstance執行下列命令，向訂用帳戶註冊 和 Microsoft.Relay 資源提供者。 如果兩者都已註冊，您可以略過此步驟。 如需詳細資訊，請參閱 註冊資源提供者 指示。

   az provider register --namespace 'Microsoft.ContainerInstance' --wait
   

   az provider register --namespace 'Microsoft.Relay' --wait
   

   執行下列命令來確認註冊：

   az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
   

   az provider show --namespace 'Microsoft.Relay' | grep registrationState
   

   在輸出中，您應該會看到類似如下的內容：

   "registrationState": "Registered",
   

2. 使用您的訂用帳戶重新註冊 Microsoft.Chaos 資源提供者。

   az provider register --namespace 'Microsoft.Chaos' --wait
   

   執行下列命令來確認註冊：

   az provider show --namespace 'Microsoft.Chaos' | grep registrationState
   

   在輸出中，您應該會看到類似如下的內容：

   "registrationState": "Registered",
   

3. 在您想要將 Chaos Studio 資源插入的虛擬網路中建立兩個子網（在此案例中為私人 AKS 叢集的虛擬網路）：

   • 容器子網 （範例名稱： ChaosStudioContainerSubnet）
     • 將子網委派給 Microsoft.ContainerInstance/containerGroups 服務。
     • 此子網在位址空間中必須至少有 /28 。
   • 轉接子網 （範例名稱： ChaosStudioRelaySubnet）
     • 此子網在位址空間中必須至少有 /28 。

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
   

   az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
   

4. 當您啟用 AKS 叢集的目標，以便在混亂實驗中使用時，請使用您在步驟 3 中建立的新子網來設定 properties.subnets.containerSubnetId 和 properties.subnets.relaySubnetId 屬性。

   將取代 $SUBSCRIPTION_ID 為您的 Azure 訂用帳戶標識碼。 將和 $AKS_CLUSTER 取代$RESOURCE_GROUP為資源組名和您的 AKS 叢集資源名稱。 此外，請將 和 $AKS_VNET 取代$AKS_INFRA_RESOURCE_GROUP為您的 AKS 基礎結構資源組名和虛擬網路名稱。 將取代 $URL 為用於上線目標的對應 https://management.azure.com/ URL。

   CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
   RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
   BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
   az rest --method put --url $URL --body "$BODY"
   

現在您可以使用私人 AKS 叢集搭配 Chaos Studio。 若要瞭解如何安裝 Chaos Mesh 並執行實驗，請參閱 使用 Chaos Mesh 錯誤與 Azure CLI 建立混亂實驗。

限制

• 虛擬網路插入目前只能在 Azure 容器執行個體 和 Azure 轉播的訂用帳戶/區域中使用。
• 當您建立以虛擬網路插入啟用的目標資源時，您需要 Microsoft.Network/virtualNetworks/subnets/write 存取虛擬網路。 例如，如果 AKS 叢集部署至虛擬network_A，則必須具有在虛擬network_A中建立子網的許可權，才能啟用 AKS 叢集的虛擬網路插入。

下一步

現在您已瞭解如何為 Chaos Studio 實現虛擬網路插入，接下來您已準備好：

• 建立並執行您的第一個實驗
• 建立並執行您的第一個 Azure Kubernetes Service 實驗