Compartilhar via


Injeção de rede virtual no Azure Chaos Studio

A Rede Virtual do Azure é o bloco de construção fundamental de sua rede privada no Azure. Uma rede virtual permite que muitos tipos de recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. Ela é semelhante a uma rede tradicional que você opera no seu próprio datacenter. Além disso, ela oferece outros benefícios da infraestrutura do Azure, como escala, disponibilidade e isolamento.

A injeção de rede virtual permite que um provedor de recursos do Azure Chaos Studio injete cargas de trabalho conteinerizadas na rede virtual para que recursos sem pontos de extremidade públicos possam ser acessados ​​por meio de um endereço IP privado nessa rede. Depois de configurar a injeção de rede virtual para um recurso em uma rede virtual e habilitar o recurso como um destino, é possível usá-lo em diversos experimentos. Um experimento poderá ter como destino uma combinação de recursos privados e não privados se os privados forem configurados de acordo com as instruções neste artigo.

Também estamos felizes em compartilhar que o Chaos Studio dá suporte à execução de experimentos baseados em agentes por meio de pontos de extremidade privados. O Chaos Studio agora dá suporte ao Link Privado para os experimentos de serviço direto e baseados em agentes. Para usar o Link Privado em experimentos baseados em agentes, entre em contato com seu CSA ou acesse Como configurar o Link Privado para experimentos baseados em agentes. No caso de Links Privados para falhas de serviço direto, confira as seções a seguir e obtenha instruções sobre como usá-los.

Suporte a tipos de recursos

No momento, só é possível habilitar certos tipos de recursos para a injeção de rede virtual do Chaos Studio:

  • Os destinos do AKS (Serviço de Kubernetes do Azure) podem ser habilitados com a injeção de rede virtual por meio do portal e da CLI do Azure. Todas as falhas do Chaos Mesh do AKS podem ser usadas.
  • Os destinos do Azure Key Vault podem ser habilitados com a injeção de rede virtual por meio do portal do Azure e da CLI do Azure. As falhas que podem ser usadas com a injeção de rede virtual são “Desabilitar certificado”, “Incrementar versão do certificado” e “Atualizar política de certificado”.

Habilitar a injeção de rede virtual

Para usar o Chaos Studio com a injeção de rede virtual, você precisa atender aos requisitos a seguir.

  1. Os provedores de recursos Microsoft.ContainerInstance e Microsoft.Relay devem ser registrados com sua assinatura.
  2. A rede virtual em que os recursos do Chaos Studio serão injetados deve ter duas sub-redes: uma sub-rede de contêineres e uma de retransmissão. Uma sub-rede de contêineres é usada para os contêineres do Chaos Studio que serão injetados na rede privada. Uma sub-rede de retransmissão é usada para encaminhar a comunicação do Chaos Studio para os contêineres na rede privada.
    1. Ambas as sub-redes precisam de pelo menos /28 como tamanho do espaço de endereço (neste caso, /27 é maior que /28, por exemplo). Um exemplo é um prefixo de endereço 10.0.0.0/28 ou 10.0.0.0/24.
    2. A sub-rede de contêineres deve ser delegada a Microsoft.ContainerInstance/containerGroups.
    3. As sub-redes podem ser nomeadas arbitrariamente, mas recomendamos ChaosStudioContainerSubnet e ChaosStudioRelaySubnet.
  3. Ao habilitar o recurso pretendido como um destino para usá-lo em experimentos do Chaos Studio, as seguintes propriedades precisam ser definidas:
    1. Defina properties.subnets.containerSubnetId como a ID da sub-rede de contêineres.
    2. Defina properties.subnets.relaySubnetId como a ID da sub-rede de retransmissão.

Se você estiver usando o portal do Azure para habilitar um recurso privado como um destino do Chaos Studio, tenha em mente que o Chaos Studio só reconhece sub-redes denominadas ChaosStudioContainerSubnet e ChaosStudioRelaySubnet no momento. Se essas sub-redes não existirem, o fluxo de trabalho do portal poderá criá-las automaticamente.

Ao usar a CLI, as sub-redes de contêineres e de retransmissão podem ter qualquer nome (sujeito às diretrizes de nomenclatura de recursos). Especifique as IDs apropriadas ao habilitar o recurso como um destino.

Exemplo: usar o Chaos Studio com um cluster privado do AKS

Este exemplo mostra como configurar um cluster privado do AKS para uso com o Chaos Studio. Ele pressupõe que você já tenha um cluster privado do AKS na assinatura do Azure. Se você não tiver, crie um acessando Criar um cluster privado do Serviço de Kubernetes do Azure.

  1. No portal do Azure, acesse Assinaturas>Provedores de recursos na assinatura.

  2. Registre os provedores de recursos Microsoft.ContainerInstance e Microsoft.Relay, se eles ainda não estiverem registrados, selecionando o provedor e clicando em Registrar. Registre novamente o provedor de recursos Microsoft.Chaos.

    Captura de tela que mostra como registrar o provedor de recursos.

  3. Acesse o Chaos Studio e selecione Destinos. Encontre o cluster do AKS desejado e selecione Habilitar destinos>Habilitar destinos de serviço direto.

    Captura de tela que mostra como habilitar destinos no Chaos Studio.

  4. Selecione a rede virtual do cluster. Se a rede virtual já incluir sub-redes chamadas ChaosStudioContainerSubnet e ChaosStudioRelaySubnet, selecione-as. Se elas ainda não existirem, serão criadas automaticamente para você.

    Captura de tela que mostra como selecionar a rede virtual e as sub-redes.

  5. Selecione Revisão + Habilitar>Habilitar.

    Captura de tela que mostra como analisar a habilitação do destino.

Agora é possível usar o cluster privado do AKS com o Chaos Studio. Para saber como instalar o Chaos Mesh e executar o experimento, confira Usar o portal do Azure para criar um experimento do Chaos que usa uma falha do Chaos Mesh.

Limitações

  • No momento, a injeção de rede virtual só é possível em assinaturas/regiões em que as Instâncias de Contêiner do Azure e a Retransmissão do Azure estão disponíveis.
  • Ao criar um recurso de destino a ser habilitado com a injeção de rede virtual, você precisa de acesso Microsoft.Network/virtualNetworks/subnets/write à rede virtual. Por exemplo, se o cluster do AKS for implantado na rede virtual_A, você precisará de permissões para criar sub-redes nessa rede virtual a fim de habilitar a injeção de rede virtual para o cluster do AKS.
  • Se sua organização tiver uma política que exija marcas de recurso, isso falhará ao usar o Chaos Studio com Rede Privada. Você precisará desabilitar essa política por enquanto até que nossa correção para esse problema seja implementada.

Próximas etapas

Agora que você entende como utilizar a injeção de rede virtual no Chaos Studio, você pode fazer o seguinte: