Einfügung virtueller Netzwerke in Azure Chaos Studio

Artikel
10/14/2024

Azure Virtual Network ist der Grundbaustein für Ihr privates Netzwerk in Azure. Virtual Network ermöglicht zahlreichen Azure-Ressourcen die sichere Kommunikation mit dem Internet und lokalen Netzwerken sowie eine sichere Kommunikation der Ressourcen untereinander. Virtuelle Netzwerke ähneln den herkömmlichen Netzwerken, die Sie in Ihrem eigenen Rechenzentrum betreiben. Sie profitieren aber von mehr Vorteilen der Infrastruktur von Azure, z. B. Skalierung, Verfügbarkeit und Isolation.

Die virtuelle Netzwerkeinführung ermöglicht es einem Azure Chaos Studio-Ressourcenanbieter, containerisierte Workloads in Ihr virtuelles Netzwerk einzuführen, so dass auf Ressourcen ohne öffentliche Endpunkte über eine private IP-Adresse im virtuellen Netzwerk zugegriffen werden kann. Nachdem Sie die Virtuelle Netzwerkeinfügung für eine Ressource in einem virtuellen Netzwerk konfiguriert und die Ressource als Ziel aktiviert haben, können Sie sie in mehreren Experimenten verwenden. Ein Experiment kann auf eine Mischung aus privaten und nichtprivaten Ressourcen abzielen, wenn die privaten Ressourcen gemäß den Anweisungen in diesem Artikel konfiguriert sind.

Wir freuen uns auch, dass Chaos Studio agentbasierte Experimente mit privaten Endpunkten unterstützt! Chaos Studio unterstützt jetzt Private Link sowohl für service-direkte als auch für agentenbasierte Experimente. Wenn Sie Private Link für agentbasierte Experimente verwenden möchten, wenden Sie sich bitte an Ihre CSA, oder besuchen Sie Einleitung: Einrichtung von Private Link für agentbasierte Experimente. Lesen Sie die folgenden Abschnitte für Private Link für service-direkte Fehler, um Anweisungen zur Verwendung zu erhalten.

Ressourcentyp-Support

Derzeit können Sie nur bestimmte Ressourcentypen für die virtuelle Netzwerkeinführung von Chaos Studio aktivieren:

Azure Kubernetes Service (AKS) Ziele können mit virtueller Netzwerkeinführung über das Azure-Portal und die Azure CLI aktiviert werden. Alle AKS Chaos Mesh-Fehler können verwendet werden.
Azure Key Vault-Ziele können mit virtueller Netzwerkeinführung über das Azure-Portal und die Azure CLI aktiviert werden. Die Fehler, die bei der virtuellen Netzwerkeinführung verwendet werden können, sind „Zertifikat deaktivieren“, „Zertifikatsversion erhöhen“ und „Zertifikatsrichtlinie aktualisieren“.

Aktivieren der virtuellen Netzwerkeinführung

Um Chaos Studio mit virtueller Netzwerkeinführung zu verwenden, müssen Sie die folgenden Voraussetzungen erfüllen.

Die Microsoft.ContainerInstance- und Microsoft.Relay-Ressourcenanbieter müssen für Ihr Abonnement registriert sein.
Das virtuelle Netzwerk, in das Chaos Studio-Ressourcen eingefügt werden, muss über zwei Subnetze verfügen: ein Container-Subnetz und ein Relay-Subnetz. Ein Container-Subnetz wird für die Chaos Studio-Container verwendet, die in Ihr privates Netzwerk eingefügt werden. Ein Relay-Subnetz wird verwendet, um die Kommunikation von Chaos Studio an die Container im privaten Netzwerk weiterzuleiten.
1. Beide Subnetze benötigen mindestens /28 für die Größe des Adressraums (in diesem Fall ist /27 beispielsweise größer als /28). Ein Beispiel ist ein Adresspräfix von 10.0.0.0/28 oder 10.0.0.0/24.
2. Das Containersubnetz muss an Microsoft.ContainerInstance/containerGroups delegiert werden.
3. Die Subnetze können beliebig benannt werden, es wird jedoch ChaosStudioContainerSubnet und ChaosStudioRelaySubnet empfohlen.
Wenn Sie die gewünschte Ressource als Ziel aktivieren, damit Sie sie in Chaos Studio-Experimenten verwenden können, müssen die folgenden Eigenschaften festgelegt werden:
1. Legen Sie properties.subnets.containerSubnetId auf die ID für das Containersubnetz fest.
2. Legen Sie properties.subnets.relaySubnetId auf die ID für das Relay-Subnetz fest.

Wenn Sie das Azure-Portal verwenden, um eine private Ressource als Chaos Studio-Ziel zu aktivieren, erkennt Chaos Studio derzeit nur Subnetze mit dem Namen ChaosStudioContainerSubnet und ChaosStudioRelaySubnet. Wenn diese Subnetze nicht vorhanden sind, kann der Portalworkflow sie automatisch erstellen.

Wenn Sie die CLI verwenden, kann der Container und das Relay-Subnetz einen beliebigen Namen haben (vorbehaltlich der Richtlinien für die Ressourcenbenennung). Geben Sie die entsprechenden IDs an, wenn Sie die Ressource als Ziel aktivieren.

Beispiel: Verwenden von Chaos Studio mit einem privaten AKS-Cluster

In diesem Beispiel wird gezeigt, wie Sie einen privaten AKS-Cluster für die Verwendung mit Chaos Studio konfigurieren. Es wird davon ausgegangen, dass Sie bereits über einen privaten AKS-Cluster in Ihrem Azure-Abonnement verfügen. Informationen zum Erstellen finden Sie unter Erstellen eines privaten Azure Kubernetes Service Clusters.

Azure portal
Azure-Befehlszeilenschnittstelle

Wechseln Sie im Azure-Portal zu Abonnements>Ressourcenanbieter in Ihrem Abonnement.
Registrieren Sie die Microsoft.ContainerInstance und Microsoft.Relay Ressourcenanbieter, sofern sie noch nicht registriert sind, indem Sie den Anbieter auswählen und dann Registrieren auswählen. Registrieren Sie den Ressourcenanbieter Microsoft.Chaos.
Wechseln Sie zu Chaos Studio, und wählen Sie Ziele aus. Suchen Sie den gewünschten AKS-Cluster und wählen Sie Ziele aktivieren> service-direkte Ziele aktivieren.
Wählen Sie das virtuelle Netzwerk des Clusters aus. Wenn das virtuelle Netzwerk bereits Subnetze mit dem Namen ChaosStudioContainerSubnet und ChaosStudioRelaySubnet enthält, wählen Sie sie aus. Wenn sie noch nicht vorhanden sind, werden sie automatisch für Sie erstellt.
Wählen Sie Überprüfen und aktivieren>Aktivieren aus.

Jetzt können Sie Ihren privaten AKS-Cluster mit Chaos Studio verwenden. Informationen zum Installieren von Chaos Mesh und ausführen des Experiments finden Sie unter Erstellen eines Chaos-Experiments, das einen Chaos Mesh-Fehler mit dem Azure-Portal verwendet.

Registrieren Sie die Microsoft.ContainerInstance und Microsoft.Relay Ressourcenanbieter bei Ihrem Abonnement, indem Sie die folgenden Befehle ausführen. Wenn beide bereits registriert sind, können Sie diesen Schritt überspringen. Weitere Informationen finden Sie in den Anweisungen zum Registrieren von Ressourcenanbietern.
```
az provider register --namespace 'Microsoft.ContainerInstance' --wait
```
```
az provider register --namespace 'Microsoft.Relay' --wait
```
Überprüfen Sie die Registrierung, indem Sie die folgenden Befehle ausführen:
```
az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
```
```
az provider show --namespace 'Microsoft.Relay' | grep registrationState
```
In der Ausgabe sollte Folgendes angezeigt werden:
```
"registrationState": "Registered",
```
Registrieren Sie den Ressourcenanbieters Microsoft.Chaos erneut für Ihr Abonnement.
```
az provider register --namespace 'Microsoft.Chaos' --wait
```
Überprüfen Sie die Registrierung, indem Sie den folgenden Befehl ausführen:
```
az provider show --namespace 'Microsoft.Chaos' | grep registrationState
```
In der Ausgabe sollte Folgendes angezeigt werden:
```
"registrationState": "Registered",
```
Erstellen Sie zwei Subnetze im virtuellen Netzwerk, in die Sie Chaos Studio-Ressourcen einfügen möchten (in diesem Fall das virtuelle Netzwerk des privaten AKS-Clusters):
- Containersubnetz (Beispielname: ChaosStudioContainerSubnet)
  - Delegieren Sie das Subnetz an den Microsoft.ContainerInstance/containerGroups Dienst.
  - Dieses Subnetz muss mindestens /28 im Adressraum aufweisen.
- Relay-Subnetz (Beispielname: ChaosStudioRelaySubnet)
  - Dieses Subnetz muss mindestens /28 im Adressraum aufweisen.
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
```
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
```
Wenn Sie Ziele für den AKS-Cluster aktivieren, damit Sie es in Chaosexperimenten verwenden können, legen Sie die Eigenschaften properties.subnets.containerSubnetId und properties.subnets.relaySubnetId mithilfe der neuen Subnetze fest, die Sie in Schritt 3 erstellt haben.

Ersetzen Sie $SUBSCRIPTION_ID durch Ihre Azure-Abonnement-ID. Ersetzen Sie $RESOURCE_GROUP und $AKS_CLUSTER durch den Ressourcengruppennamen und ihren AKS-Clusterressourcennamen. Ersetzen Sie außerdem $AKS_INFRA_RESOURCE_GROUP und $AKS_VNET durch den Namen der Ressourcengruppe der AKS-Infrastruktur und den Namen des virtuellen Netzwerks. Ersetzen Sie $URL durch die entsprechende URL, die für das Onboarding der Zielressource verwendet wird. Weitere Informationen zum Ermitteln dieser URL finden Sie unter Onboarding einer Ressource als Chaos Studio-Ziel.
```
CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
az rest --method put --url $URL --body "$BODY"
```

Begrenzungen

Die virtuelle Netzwerkeeinführung ist derzeit nur in Abonnements/Regionen möglich, in denen Azure-Containerinstanzen und Azure Relay verfügbar sind.
Wenn Sie eine Zielressource erstellen, die Sie mit der Einfügung des virtuellen Netzwerks aktivieren, benötigen Sie Microsoft.Network/virtualNetworks/subnets/write Zugriff auf das virtuelle Netzwerk. Wenn der AKS-Cluster beispielsweise für virtual network_A bereitgestellt wird, müssen Sie über die Berechtigung zum Erstellen von Subnetzen in virtual network_A verfügen, um die virtuelle Netzwerkeinführung für den AKS-Cluster zu aktivieren.
Wenn Ihre Organisation über eine Richtlinie verfügt, die Ressourcentags erfordert, schlägt dies fehl, wenn Chaos Studio mit privatem Netzwerk verwendet wird. Sie müssen diese Richtlinie vorerst deaktivieren, bis unsere Lösung für dieses Problem eingeführt wird.

Nächste Schritte

Nachdem Sie nun verstehen, wie virtuelle Netzwerkeinführungen für Chaos Studio erstellt werden können, sind Sie bereit für:

Freigeben über