حقن الشبكة الظاهرية في Azure Chaos Studio

مقالة
12/09/2023

شبكة Azure الظاهرية هي اللبنة الأساسية لشبكتك الخاصة في Azure. تتيح الشبكة الظاهرية للعديد من أنواع موارد Azure الاتصال بأمان مع بعضها البعض والإنترنت والشبكات المحلية. تشبه الشبكة الظاهرية الشبكة التقليدية التي تعمل بها في مركز البيانات الخاص بك. فهو يجلب فوائد أخرى للبنية الأساسية ل Azure، مثل الحجم والتوافر والعزل.

يسمح حقن الشبكة الظاهرية لموفر موارد Azure Chaos Studio بإدخال أحمال العمل الحاوية في شبكتك الظاهرية بحيث يمكن الوصول إلى الموارد التي لا تحتوي على نقاط نهاية عامة عبر عنوان IP خاص على الشبكة الظاهرية. بعد تكوين حقن الشبكة الظاهرية لمورد في شبكة ظاهرية وتمكين المورد كهدف، يمكنك استخدامه في تجارب متعددة. يمكن أن تستهدف التجربة مزيجا من الموارد الخاصة وغير الخاصة إذا تم تكوين الموارد الخاصة وفقا للإرشادات الواردة في هذه المقالة.

نحن متحمسون الآن أيضا لمشاركة أن Chaos Studio يدعم تشغيل التجارب المستندة إلى الوكيل باستخدام نقاط النهاية الخاصة! يدعم Chaos Studio الآن Private Link لكل من التجارب المباشرة والمستندة إلى الوكيل. إذا كنت ترغب في استخدام Private-Link للتجارب المستندة إلى العامل، فيرجى التواصل مع CSA أو زيارة كيفية: إعداد ارتباط خاص للتجارب المستندة إلى العامل. للحصول على ارتباط خاص للأخطاء المباشرة للخدمة، اقرأ الأقسام التالية للحصول على إرشادات حول كيفية استخدامها.

دعم نوع المورد

حاليا، يمكنك تمكين أنواع موارد معينة فقط لحقن الشبكة الظاهرية Chaos Studio:

يمكن تمكين أهداف خدمة Azure Kubernetes (AKS) من خلال حقن الشبكة الظاهرية من خلال مدخل Azure وAzure CLI. يمكن استخدام جميع أخطاء AKS Chaos Mesh.
يمكن تمكين أهداف Azure Key Vault من خلال حقن الشبكة الظاهرية من خلال Azure CLI. الأخطاء التي يمكن استخدامها مع إدخال الشبكة الظاهرية هي تعطيل الشهادة، زيادة إصدار الشهادة، وتحديث نهج الشهادة.

تمكين حقن الشبكة الظاهرية

لاستخدام Chaos Studio مع حقن الشبكة الظاهرية، يجب أن تفي بالمتطلبات التالية.

Microsoft.ContainerInstance يجب تسجيل موفري الموارد و Microsoft.Relay مع اشتراكك.
يجب أن تحتوي الشبكة الظاهرية حيث سيتم إدخال موارد Chaos Studio على شبكتين فرعيتين: شبكة فرعية للحاوية وشبكة فرعية للترحيل. يتم استخدام شبكة فرعية حاوية لحاويات Chaos Studio التي سيتم حقنها في شبكتك الخاصة. يتم استخدام شبكة فرعية للمرحل لإعادة توجيه الاتصال من Chaos Studio إلى الحاويات داخل الشبكة الخاصة.
1. تحتاج كلتا الشبكتين الفرعيتين على الأقل /28 إلى حجم مساحة العنوان (في هذه الحالة /27 أكبر من /28، على سبيل المثال). مثال على ذلك هو بادئة عنوان أو 10.0.0.0/2810.0.0.0/24.
2. يجب تفويض الشبكة الفرعية للحاوية إلى Microsoft.ContainerInstance/containerGroups.
3. يمكن تسمية الشبكات الفرعية بشكل عشوائي، ولكن نوصي و ChaosStudioContainerSubnetChaosStudioRelaySubnet.
عند تمكين المورد المطلوب كهدف بحيث يمكنك استخدامه في تجارب Chaos Studio، يجب تعيين الخصائص التالية:
1. تعيين properties.subnets.containerSubnetId إلى معرف الشبكة الفرعية للحاوية.
2. تعيين properties.subnets.relaySubnetId إلى معرف الشبكة الفرعية للترحيل.

إذا كنت تستخدم مدخل Microsoft Azure لتمكين مورد خاص كهدف Chaos Studio، فإن Chaos Studio يتعرف حاليا فقط على الشبكات الفرعية المسماة ChaosStudioContainerSubnet و ChaosStudioRelaySubnet. إذا لم تكن هذه الشبكات الفرعية موجودة، يمكن لسير عمل المدخل إنشاؤها تلقائيا.

إذا كنت تستخدم CLI، يمكن أن يكون للحاوية والشبكات الفرعية للترحيل أي اسم (رهنا بإرشادات تسمية المورد). حدد المعرف المناسب عند تمكين المورد كهدف.

مثال: استخدام Chaos Studio مع نظام مجموعة AKS خاص

يوضح هذا المثال كيفية تكوين مجموعة AKS خاصة لاستخدامها مع Chaos Studio. يفترض أن لديك بالفعل مجموعة AKS خاصة ضمن اشتراك Azure الخاص بك. لإنشاء واحد، راجع إنشاء نظام مجموعة خدمة Azure Kubernetes خاص.

مدخل Microsoft Azure
Azure CLI

في مدخل Microsoft Azure، انتقل إلى Subscriptions>Resource providers في اشتراكك.
Microsoft.ContainerInstance قم بتسجيل موفري الموارد وMicrosoft.Relay، إذا لم يكونوا مسجلين بالفعل، عن طريق تحديد الموفر ثم تحديد Register. إعادة تسجيل Microsoft.Chaos موفر الموارد.
انتقل إلى Chaos Studio وحدد Targets. ابحث عن مجموعة AKS المطلوبة وحدد تمكين الأهداف>تمكين الأهداف المباشرة للخدمة.
حدد الشبكة الظاهرية لنظام المجموعة. إذا كانت الشبكة الظاهرية تتضمن بالفعل شبكات فرعية مسماة ChaosStudioContainerSubnet و ChaosStudioRelaySubnet، فحددها. إذا لم تكن موجودة بالفعل، يتم إنشاؤها تلقائيا لك.
حدد Review + Enable>Enable.

الآن يمكنك استخدام مجموعة AKS الخاصة بك مع Chaos Studio. لمعرفة كيفية تثبيت Chaos Mesh وتشغيل التجربة، راجع إنشاء تجربة فوضى تستخدم خطأ Chaos Mesh مع مدخل Microsoft Azure.

Microsoft.ContainerInstance سجل موفري الموارد و Microsoft.Relay مع اشتراكك عن طريق تشغيل الأوامر التالية. إذا كان كلاهما مسجلا بالفعل، يمكنك تخطي هذه الخطوة. لمزيد من المعلومات، راجع إرشادات تسجيل موفر الموارد.
```
az provider register --namespace 'Microsoft.ContainerInstance' --wait
```
```
az provider register --namespace 'Microsoft.Relay' --wait
```
تحقق من التسجيل عن طريق تشغيل الأوامر التالية:
```
az provider show --namespace 'Microsoft.ContainerInstance' | grep registrationState
```
```
az provider show --namespace 'Microsoft.Relay' | grep registrationState
```
في الإخراج، يجب أن ترى شيئا مشابها ل:
```
"registrationState": "Registered",
```
أعد تسجيل Microsoft.Chaos موفر الموارد باشتراكك.
```
az provider register --namespace 'Microsoft.Chaos' --wait
```
تحقق من التسجيل عن طريق تشغيل الأمر التالي:
```
az provider show --namespace 'Microsoft.Chaos' | grep registrationState
```
في الإخراج، يجب أن ترى شيئا مشابها ل:
```
"registrationState": "Registered",
```
إنشاء شبكتين فرعيتين في الشبكة الظاهرية التي تريد إدخال موارد Chaos Studio فيها (في هذه الحالة، الشبكة الظاهرية لمجموعة AKS الخاصة):
- الشبكة الفرعية للحاوية (اسم المثال: ChaosStudioContainerSubnet)
  - تفويض الشبكة الفرعية Microsoft.ContainerInstance/containerGroups إلى الخدمة.
  - يجب أن تحتوي هذه الشبكة الفرعية على الأقل /28 في مساحة العنوان.
- Relay subnet (اسم المثال: ChaosStudioRelaySubnet)
  - يجب أن تحتوي هذه الشبكة الفرعية على الأقل /28 في مساحة العنوان.
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioContainerSubnet --address-prefixes "10.0.0.0/28" --delegations "Microsoft.ContainerInstance/containerGroups"
```
```
az network vnet subnet create -g MyResourceGroup --vnet-name MyVnetName --name ChaosStudioRelaySubnet --address-prefixes "10.0.0.0/28"
```
عند تمكين الأهداف لمجموعة AKS بحيث يمكنك استخدامها في تجارب الفوضى، قم بتعيين properties.subnets.containerSubnetId خصائص و properties.subnets.relaySubnetId باستخدام الشبكات الفرعية الجديدة التي قمت بإنشائها في الخطوة 3.

استبدل $SUBSCRIPTION_ID بمعرف اشتراك Azure الخاص بك. استبدل $RESOURCE_GROUP و $AKS_CLUSTER باسم مجموعة الموارد واسم مورد نظام مجموعة AKS. أيضا، استبدل $AKS_INFRA_RESOURCE_GROUP و $AKS_VNET باسم مجموعة موارد البنية الأساسية AKS واسم الشبكة الظاهرية. استبدل $URL بعنوان URL المقابل https://management.azure.com/ المستخدم لإلحاق الهدف.
```
CONTAINER_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioContainerSubnet
RELAY_SUBNET_ID=/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$AKS_INFRA_RESOURCE_GROUP/providers/Microsoft.Network/virtualNetworks/$AKS_VNET/subnets/ChaosStudioRelaySubnet
BODY="{ \"properties\": { \"subnets\": { \"containerSubnetId\": \"$CONTAINER_SUBNET_ID\", \"relaySubnetId\": \"$RELAY_SUBNET_ID\" } } }"
az rest --method put --url $URL --body "$BODY"
```

الآن يمكنك استخدام مجموعة AKS الخاصة بك مع Chaos Studio. لمعرفة كيفية تثبيت Chaos Mesh وتشغيل التجربة، راجع إنشاء تجربة فوضى تستخدم خطأ Chaos Mesh مع Azure CLI.

القيود

حقن الشبكة الظاهرية ممكن حاليا فقط في الاشتراكات/المناطق التي تتوفر فيها مثيلات حاوية Azure وAzure Relay.
عند إنشاء مورد الهدف الذي تقوم بتمكينه باستخدام حقن الشبكة الظاهرية، تحتاج إلى Microsoft.Network/virtualNetworks/subnets/write الوصول إلى الشبكة الظاهرية. على سبيل المثال، إذا تم نشر نظام مجموعة AKS إلى network_A الظاهرية، فيجب أن يكون لديك أذونات لإنشاء شبكات فرعية في network_A الظاهرية لتمكين حقن الشبكة الظاهرية لنظام مجموعة AKS.

الخطوات التالية

الآن بعد أن فهمت كيف يمكن تحقيق حقن الشبكة الظاهرية ل Chaos Studio، فأنت على استعداد لما يلي:

Share via