Spouštění runbooků Automation v hybridním pracovním procesu runbooku
Důležité
- Uživatelská funkce Hybrid Runbook Worker založená na agentech služby Azure Automation (pro Windows a Linux) se 31. srpna 2024 vyřadí z provozu a po tomto datu se nebude podporovat. Nejpozději do 31. srpna 2024 je potřeba dokončit migraci stávajících uživatelských funkcí Hybrid Runbook Worker založených na agentech na pracovní procesy založené na rozšíření. Kromě toho by od 1. listopadu 2023 nebylo možné vytvářet nové hybridní pracovní procesy založené na agentech. Další informace.
- Účet Spustit jako služby Azure Automation se vyřadí 30. září 2023 a nahradí se spravovanými identitami. Před tímto datem budete muset začít migrovat runbooky, abyste mohli používat spravované identity. Další informace najdete v tématu migrace z existujících účtů Spustit jako na spravovanou identitu , abyste mohli začít migrovat runbooky z účtu Spustit jako do spravovaných identit před 30. zářím 2023.
Runbooky, které běží v procesu Hybrid Runbook Worker , obvykle spravují prostředky v místním počítači nebo prostředky v místním prostředí, ve kterém je pracovní proces nasazený. Runbooky ve službě Azure Automation obvykle spravují prostředky v cloudu Azure. I když se používají jinak, runbooky spouštěné ve službě Azure Automation a runbooky, které běží v procesu Hybrid Runbook Worker, jsou ve struktuře stejné.
Když vytvoříte runbook, který se bude spouštět v procesu Hybrid Runbook Worker, měli byste runbook upravit a otestovat na počítači, který je hostitelem pracovního procesu. Hostitelský počítač má všechny moduly PowerShellu a síťový přístup potřebný ke správě místních prostředků. Jakmile runbook otestujete na počítači Hybrid Runbook Worker, můžete ho nahrát do prostředí Azure Automation, kde ho můžete spustit v pracovním procesu.
Plánování služeb Azure chráněných bránou firewall
Povolení služby Azure Firewall ve službě Azure Storage, Azure Key Vault nebo Azure SQL blokuje přístup z runbooků Azure Automation pro tyto služby. Přístup se zablokuje i v případě, že je povolená výjimka brány firewall pro povolení důvěryhodných služeb Microsoftu, protože služba Automation není součástí seznamu důvěryhodných služeb. S povolenou bránou firewall je možné přístup vytvořit pouze pomocí funkce Hybrid Runbook Worker a koncového bodu služby virtuální sítě.
Plánování chování úlohy runbooku
Azure Automation zpracovává úlohy v hybrid Runbook Worker jinak než úlohy spuštěné v cloudových sandboxech. Pokud máte dlouhotrvající runbook, ujistěte se, že je odolný vůči možnému restartování. Podrobnosti o chování úlohy najdete v tématu Úlohy Hybrid Runbook Worker.
Service Accounts
Windows Hybrid Worker
Úlohy hybrid Runbook Worker běží pod místním systémovým účtem.
Poznámka:
- Runbooky PowerShellu 5.1, PowerShellu 7.1(Preview), Pythonu 2.7 a Pythonu 3.8 se podporují v hybridních pracovních procesech Runbook Worker založených na rozšířeních i agentech. V případě pracovních procesů založených na agentech se ujistěte, že verze Systému Windows Hybrid Worker je 7.3.12960 nebo vyšší.
- Runbooky PowerShellu 7.2 a Pythonu 3.10 (Preview) se podporují jenom v hybridních pracovních procesů windows založených na rozšířeních. Ujistěte se, že verze rozšíření Hybrid Worker systému Windows je 1.1.11 nebo vyšší.
Poznámka:
Pokud chcete vytvořit proměnnou prostředí v systémech Windows, postupujte takto:
- Přejděte na Nastavení Ovládací panely> System>Advanced System.
- V okně Vlastnosti systému vyberte proměnné prostředí.
- V systémových proměnných vyberte Nový.
- Zadejte název proměnné a hodnotu proměnné a pak vyberte OK.
- Restartujte virtuální počítač nebo se odhlásíte od aktuálního uživatele a přihlaste se, abyste implementovali změny proměnných prostředí.
PowerShell 7.2
Pokud chcete spustit runbooky PowerShellu 7.2 ve Windows Hybrid Workeru, nainstalujte PowerShell do Hybrid Workeru. Viz Instalace PowerShellu ve Windows.
Po dokončení instalace PowerShellu 7.2 vytvořte proměnnou prostředí s názvem proměnné jako powershell_7_2_path a hodnotou proměnné jako umístění spustitelného powershellu. Po úspěšném vytvoření proměnné prostředí restartujte funkci Hybrid Runbook Worker.
PowerShell 7.1
Pokud chcete spustit runbooky PowerShellu 7.1 ve Windows Hybrid Workeru, nainstalujte PowerShell na Hybrid Worker. Viz Instalace PowerShellu ve Windows. Nezapomeňte přidat soubor PowerShellu do proměnné prostředí PATH a po instalaci restartovat funkci Hybrid Runbook Worker.
Python 3.10
Pokud chcete spouštět runbooky Pythonu 3.10 ve Windows Hybrid Workeru, nainstalujte Python na Hybrid Worker. Viz Instalace Pythonu ve Windows.
Po dokončení instalace Pythonu 3.10 vytvořte proměnnou prostředí s názvem Proměnná jako python_3_10_path a proměnnou jako umístění spustitelného Pythonu. Po úspěšném vytvoření proměnné prostředí restartujte funkci Hybrid Runbook Worker.
Python 3.8
Pokud chcete spustit runbooky Pythonu 3.8 ve Windows Hybrid Workeru, nainstalujte Python na Hybrid Worker. Viz Instalace Pythonu ve Windows. Vytvořte proměnnouprostředí PYTHON_3_PATH pro runbooky Pythonu 3.8 a ujistěte se, že chcete přidat umístění spustitelného Pythonu jako hodnotu proměnné. Po úspěšném vytvoření proměnné prostředí restartujte funkci Hybrid Runbook Worker.
Pokud je spustitelný soubor Pythonu ve výchozím umístění C:\WPy64-3800\python-3.8.0.amd64\python.exe, nemusíte vytvářet proměnnou prostředí.
Python 2.7
Pokud chcete spouštět runbooky Pythonu 2.7 ve Windows Hybrid Workeru, nainstalujte Python na Hybrid Worker. Viz Instalace Pythonu ve Windows. Vytvořte proměnnouprostředí PYTHON_2_PATH pro runbooky Pythonu 2.7 a ujistěte se, že chcete přidat umístění spustitelného souboru Pythonu jako hodnotu proměnné. Po úspěšném vytvoření proměnné prostředí restartujte funkci Hybrid Runbook Worker.
Pokud je spustitelný soubor Pythonu ve výchozím umístění C:\Python27\python.exe, nemusíte vytvořit proměnnou prostředí.
Hybrid Worker s Linuxem
Poznámka:
- PowerShell 5.1, PowerShell 7.1(Preview), Python 2.7, Python 3.8 runbooky se podporují v linuxových hybrid runbook workerech založených na rozšíření i agentech. V případě pracovních procesů založených na agentech se ujistěte, že je verze 1.7.5.0 nebo vyšší.
- Runbooky PowerShellu 7.2 a Pythonu 3.10 (Preview) se podporují jenom v linuxových hybrid workerech založených na rozšířeních. Ujistěte se, že verze rozšíření Hybrid Worker pro Linux je 1.1.11 nebo vyšší.
Poznámka:
Pokud chcete vytvořit proměnnou prostředí v systémech Linux, postupujte takto:
- Otevřete /etc/environment.
- Vytvořte novou proměnnou prostředí přidáním VARIABLE_NAME="variable_value" do nového řádku v /etc/environment (VARIABLE_NAME je název nové proměnné prostředí a variable_value představuje hodnotu, kterou se má přiřadit).
- Po uložení změn do /etc/environment restartujte virtuální počítač nebo se odhlaste od aktuálního uživatele a přihlaste se a implementujte změny proměnných prostředí.
PowerShell 7.2
Pokud chcete spustit runbooky PowerShellu 7.2 v systému Linux Hybrid Worker, nainstalujte do hybrid Workeru soubor PowerShellu . Další informace najdete v tématu Instalace PowerShellu v Linuxu.
Po dokončení instalace PowerShellu 7.2 vytvořte proměnnou prostředí s názvem Proměnné jako powershell_7_2_path a hodnotou proměnné jako umístění spustitelného souboru PowerShellu . Po úspěšném vytvoření proměnné prostředí restartujte funkci Hybrid Runbook Worker.
Python 3.10
Pokud chcete spouštět runbooky Pythonu 3.10 v systému Linux Hybrid Worker, nainstalujte Python do hybrid Workeru. Další informace najdete v tématu Instalace Pythonu 3.10 v Linuxu.
Po dokončení instalace Pythonu 3.10 vytvořte proměnnou prostředí s názvem Proměnná jako python_3_10_path a hodnotou proměnné jako umístění spustitelného souboru Pythonu . Po úspěšném vytvoření proměnné prostředí restartujte funkci Hybrid Runbook Worker.
Python 3.8
Pokud chcete spustit runbooky Pythonu 3.8 v Hybrid Workeru s Linuxem, nainstalujte Python do Hybrid Workeru. Nezapomeňte přidat spustitelný soubor Pythonu do proměnné prostředí PATH a po instalaci restartovat funkci Hybrid Runbook Worker.
Python 2.7
Pokud chcete spustit runbooky Pythonu 2.7 v Systému Linux Hybrid Worker, nainstalujte Python do hybrid Workeru. Nezapomeňte přidat spustitelný soubor Pythonu do proměnné prostředí PATH a po instalaci restartovat funkci Hybrid Runbook Worker.
Konfigurace oprávnění runbooku
Definujte oprávnění ke spuštění runbooku v procesu Hybrid Runbook Worker následujícími způsoby:
- Nechte runbook, aby místním prostředkům poskytoval vlastní ověřování.
- Konfigurace ověřování pomocí spravovaných identit pro prostředky Azure
- Zadejte přihlašovací údaje Hybrid Workeru pro zadání kontextu uživatele pro všechny runbooky.
Použití ověřování runbooků k místním prostředkům
Pokud připravujete runbook, který poskytuje vlastní ověřování k prostředkům, použijte ve svém runbooku přihlašovací údaje a prostředky certifikátů . Existuje několik rutin, které umožňují zadat přihlašovací údaje, aby se runbook mohl ověřit v různých prostředcích. Následující příklad ukazuje část runbooku, která restartuje počítač. Načte přihlašovací údaje z prostředku přihlašovacích údajů a názvu počítače z prostředku proměnné a pak tyto hodnoty použije s rutinou Restart-Computer .
$Cred = Get-AutomationPSCredential -Name "MyCredential"
$Computer = Get-AutomationVariable -Name "ComputerName"
Restart-Computer -ComputerName $Computer -Credential $Cred
Můžete také použít aktivitu InlineScriptu . InlineScript umožňuje spouštět bloky kódu na jiném počítači s přihlašovacími údaji.
Použití ověřování runbooků se spravovanými identitami
Hybridní pracovní procesy Runbook Worker na virtuálních počítačích Azure můžou používat spravované identity k ověření prostředků Azure. Použití spravovaných identit pro prostředky Azure místo účtů Spustit jako poskytuje výhody, protože nemusíte:
- Exportujte certifikát Spustit jako a pak ho naimportujte do funkce Hybrid Runbook Worker.
- Obnovte certifikát používaný účtem Spustit jako.
- Zpracujte objekt připojení Spustit jako v kódu runbooku.
Spravované identity můžete použít dvěma způsoby ve skriptech Hybrid Runbook Worker.
Použijte spravovanou identitu přiřazenou systémem pro účet Automation:
Nakonfigurujte spravovanou identitu přiřazenou systémem pro účet Automation.
Udělte této identitě požadovaná oprávnění v rámci předplatného k provedení své úlohy.
Aktualizujte runbook tak, aby používal rutinu Připojení-AzAccount s parametrem
Identityk ověření prostředků Azure. Tato konfigurace snižuje potřebu používat účet Spustit jako a provádět přidruženou správu účtů.# Ensures you do not inherit an AzContext in your runbook Disable-AzContextAutosave -Scope Process # Connect to Azure with system-assigned managed identity $AzureContext = (Connect-AzAccount -Identity).context # set and store context $AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext # Get all VM names from the subscription Get-AzVM -DefaultProfile $AzureContext | Select Name
Poznámka:
Ve funkci Hybrid Runbook Worker není možné používat identitu spravovanou uživatelem účtu Automation, musí se jednat o systémovou spravovanou identitu účtu Automation.
Pro virtuální počítač Azure běžící jako Hybrid Runbook Worker použijte spravovanou identitu virtuálního počítače. V takovém případě můžete použít spravovanou identitu přiřazenou uživatelem virtuálního počítače nebo spravovanou identitu přiřazenou systémem virtuálního počítače.
Poznámka:
Nebude to fungovat v účtu Automation, který je nakonfigurovaný pomocí spravované identity účtu Automation. Jakmile je povolená spravovaná identita účtu Automation, už není možné spravovanou identitu virtuálního počítače používat a pak je možné použít spravovanou identitu přiřazenou systémem účtu Automation, jak je uvedeno výše v možnosti 1.
Použijte některou z následujících spravovaných identit:
- Spravovaná identita přiřazená systémem virtuálního počítače
- Spravovaná identita přiřazená uživatelem virtuálního počítače
- Nakonfigurujte spravovanou identitu systému pro virtuální počítač.
- Udělte této identitě požadovaná oprávnění v rámci předplatného k provádění svých úloh.
- Aktualizujte runbook tak, aby používal rutinu Připojení-Az-Account s parametrem
Identityk ověření prostředků Azure. Tato konfigurace snižuje potřebu používat účet Spustit jako a provádět přidruženou správu účtů.
# Ensures you do not inherit an AzContext in your runbook Disable-AzContextAutosave -Scope Process # Connect to Azure with system-assigned managed identity $AzureContext = (Connect-AzAccount -Identity).context # set and store context $AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext # Get all VM names from the subscription Get-AzVM -DefaultProfile $AzureContext | Select Name
Server s podporou arc nebo virtuální počítač VMware vSphere spuštěný jako Hybrid Runbook Worker už má přiřazenou integrovanou spravovanou identitu systému, která se dá použít k ověřování.
Tuto spravovanou identitu můžete udělit přístup k prostředkům ve vašem předplatném v okně Řízení přístupu (IAM) prostředku přidáním příslušného přiřazení role.
Podle potřeby přidejte spravovanou identitu Azure Arc do zvolené role.
Poznámka:
Nebude to fungovat v účtu Automation, který je nakonfigurovaný pomocí spravované identity účtu Automation. Jakmile je povolená spravovaná identita účtu Automation, už není možné spravovanou identitu Arc používat a pak je možné použít spravovanou identitu přiřazenou systémem účtu Automation, jak je uvedeno výše v možnosti 1.
Poznámka:
Ve výchozím nastavení se kontexty Azure ukládají pro použití mezi relacemi PowerShellu. Je možné, že pokud byl předchozí runbook v procesu Hybrid Runbook Worker ověřen v Azure, tento kontext přetrvává na disku v profilu Prostředí PowerShell systému, jak je uvedeno v kontextech Azure a přihlašovacích údajích | Microsoft Docs. Runbook s Get-AzVM může například vrátit všechny virtuální počítače v předplatném bez volání Connect-AzAccounta uživatel bude mít přístup k prostředkům Azure bez nutnosti ověřování v rámci daného runbooku. Automatické ukládání kontextu můžete zakázat v Azure PowerShellu, jak je podrobně popsáno tady.
Použití ověřování runbooku s přihlašovacími údaji Hybrid Workeru
Místo toho, aby runbook poskytoval vlastní ověřování pro místní prostředky, můžete zadat přihlašovací údaje Hybrid Worker pro skupinu Hybrid Runbook Worker. Pokud chcete zadat přihlašovací údaje Hybrid Workeru, musíte definovat prostředek přihlašovacích údajů, který má přístup k místním prostředkům. Mezi tyto prostředky patří úložiště certifikátů a všechny runbooky spouštěné pod těmito přihlašovacími údaji v procesu Hybrid Runbook Worker ve skupině.
Uživatelské jméno přihlašovacích údajů musí být v jednom z následujících formátů:
- Doména\uživatelské_jméno
- username@domain
- uživatelské jméno (pro účty místní k místnímu počítači)
Pokud chcete použít powershellový runbook Export-RunAsCertificateToHybridWorker, musíte na místní počítač nainstalovat moduly Az pro Azure Automation.
Použití prostředku přihlašovacích údajů pro skupinu hybridního pracovního procesu runbooku
Ve výchozím nastavení se hybridní úlohy spouští v kontextu systémového účtu. Pokud ale chcete spouštět hybridní úlohy pod jiným assetem přihlašovacích údajů, postupujte následovně:
- Vytvořte prostředek přihlašovacích údajů s přístupem k místním prostředkům.
- Na webu Azure Portal otevřete účet Automation.
- Vyberte Skupiny hybridních pracovních procesů a pak vyberte konkrétní skupinu.
- Vyberte Nastavení.
- Změňte hodnotu přihlašovacích údajů hybridního pracovního procesu z Výchozí na Vlastní.
- Vyberte přihlašovací údaje a klikněte na Uložit.
- Pokud nejsou pro vlastní uživatele přiřazená následující oprávnění, můžou se úlohy pozastavit.
| Typ prostředku | Oprávnění ke složce |
|---|---|
| Virtuální počítač Azure | C:\Packages\Plugins\Microsoft.Azure.Automation.HybridWorker.HybridWorkerForWindows (čtení a spuštění) |
| Server s podporou služby Arc | C:\ProgramData\Azure Připojení edMachineAgent\Tokens (číst) C:\Packages\Plugins\Microsoft.Azure.Automation.HybridWorker.HybridWorker.HybridWorkerForWindows (čtení a spuštění) |
Poznámka:
Linuxový Hybrid Worker nepodporuje přihlašovací údaje pro Hybrid Worker.
Spuštění runbooku v procesu Hybrid Runbook Worker
Spuštění runbooku ve službě Azure Automation popisuje různé metody spuštění runbooku. Spuštění runbooku v procesu Hybrid Runbook Worker používá možnost Spustit při, která umožňuje zadat název skupiny Hybrid Runbook Worker. Pokud je zadána skupina, jeden z pracovních procesů v této skupině načte a spustí runbook. Pokud runbook tuto možnost nezadá, spustí Azure Automation runbook obvyklým způsobem.
Když spustíte runbook na webu Azure Portal, zobrazí se možnost Spustit při, pro kterou můžete vybrat Azure nebo Hybrid Worker. Pokud chcete v rozevíracím seznamu vybrat skupinu Hybrid Runbook Worker, vyberte Hybrid Runbook Worker.
Při spuštění runbooku pomocí PowerShellu RunOn použijte parametr s rutinou Start-AzAutomationRunbook . Následující příklad používá prostředí Windows PowerShell ke spuštění runbooku s názvem Test-Runbook ve skupině Hybrid Runbook Worker s názvem MyHybridGroup.
Start-AzAutomationRunbook -AutomationAccountName "MyAutomationAccount" -Name "Test-Runbook" -RunOn "MyHybridGroup"
Práce s podepsanými runbooky v procesu Hybrid Runbook Worker ve Windows
Hybrid Runbook Worker pro Windows můžete nakonfigurovat tak, aby spouštět jenom podepsané runbooky.
Důležité
Jakmile nakonfigurujete funkci Hybrid Runbook Worker tak, aby spouštěl pouze podepsané runbooky, nepodepsané runbooky se v pracovním procesu nepodaří spustit.
Poznámka:
PowerShell 7.x nepodporuje podepsané runbooky pro Hybrid Runbook Worker pro Windows a Linux.
Vytvoření podpisového certifikátu
Následující příklad vytvoří certifikát podepsaný svým držitelem, který lze použít k podepisování runbooků. Tento kód vytvoří certifikát a exportuje ho, aby ho hybrid Runbook Worker mohl později importovat. Kryptografický otisk se také vrátí pro pozdější použití při odkazování na certifikát.
# Create a self-signed certificate that can be used for code signing
$SigningCert = New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\my `
-Subject "CN=contoso.com" `
-KeyAlgorithm RSA `
-KeyLength 2048 `
-Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
-KeyExportPolicy Exportable `
-KeyUsage DigitalSignature `
-Type CodeSigningCert
# Export the certificate so that it can be imported to the hybrid workers
Export-Certificate -Cert $SigningCert -FilePath .\hybridworkersigningcertificate.cer
# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root
# Retrieve the thumbprint for later use
$SigningCert.Thumbprint
Import certifikátu a konfigurace pracovních procesů pro ověření podpisu
Zkopírujte certifikát, který jste vytvořili, do jednotlivých funkcí Hybrid Runbook Worker ve skupině. Spuštěním následujícího skriptu naimportujte certifikát a nakonfigurujte pracovní procesy tak, aby používaly ověřování podpisů v runboocích.
# Install the certificate into a location that will be used for validation.
New-Item -Path Cert:\LocalMachine\AutomationHybridStore
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\AutomationHybridStore
# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root
# Configure the hybrid worker to use signature validation on runbooks.
Set-HybridRunbookWorkerSignatureValidation -Enable $true -TrustedCertStoreLocation "Cert:\LocalMachine\AutomationHybridStore"
Podepsání runbooků pomocí certifikátu
Pokud je funkce Hybrid Runbook Worker nakonfigurovaná tak, aby používala jenom podepsané runbooky, musíte podepisovat runbooky, které se mají používat v procesu Hybrid Runbook Worker. K podepsání těchto runbooků použijte následující ukázkový kód PowerShellu.
$SigningCert = ( Get-ChildItem -Path cert:\LocalMachine\My\<CertificateThumbprint>)
Set-AuthenticodeSignature .\TestRunbook.ps1 -Certificate $SigningCert
Po podepsání runbooku ho musíte naimportovat do svého účtu Automation a publikovat ho pomocí bloku podpisu. Informace o importu runbooků najdete v tématu Import runbooku.
Poznámka:
V kódu runbooku používejte jenom znaky prostého textu, včetně komentářů. Použití znaků s diakritickými značkami, jako je á nebo ñ, způsobí chybu. Když Azure Automation stáhne váš kód, znaky se nahradí otazníkem a podepisování selže se zprávou "Selhání ověření hodnoty hash podpisu".
Práce s podepsanými runbooky na funkci Hybrid Runbook Worker s Linuxem
Aby bylo možné pracovat s podepsanými runbooky, musí hybrid Runbook Worker s Linuxem obsahovat spustitelný soubor GPG na místním počítači.
Důležité
Jakmile nakonfigurujete funkci Hybrid Runbook Worker tak, aby spouštěl pouze podepsané runbooky, nepodepsané runbooky se v pracovním procesu nepodaří spustit.
K dokončení této konfigurace provedete následující kroky:
- Vytvoření klíčenky GPG a klíčenky
- Zpřístupnění klíčenky funkci Hybrid Runbook Worker
- Ověřte, že je ověřování podpisu zapnuté.
- Podepsání runbooku
Poznámka:
- PowerShell 7.x nepodporuje podepsané runbooky pro agenty založené na systému Windows a agenta linuxový hybrid Runbook Worker.
- Podepsané runbooky PowerShellu a Pythonu nejsou podporované v linuxových hybrid workerech založených na rozšířeních.
Vytvoření klíčenky GPG a klíčenky
Poznámka:
Vytvoření klíčenky GPG a klíčenky platí pouze pro hybridní pracovní procesy založené na agentech.
K vytvoření klíčenky GPG a klíčeru použijte účet Hybrid Runbook Worker nxautomation.
Pomocí aplikace sudo se přihlaste jako účet nxautomation .
sudo su - nxautomationJakmile používáte nxautomation, vygenerujte klíč gpg jako root. GPG vás provede jednotlivými kroky. Musíte zadat jméno, e-mailovou adresu, čas vypršení platnosti a heslo. Pak počkejte, dokud na počítači není dostatek entropie, aby se klíč vygeneroval.
sudo gpg --generate-keyVzhledem k tomu, že se adresář GPG vygeneroval se sudo, musíte jeho vlastníka změnit na nxautomation pomocí následujícího příkazu jako kořenového adresáře.
sudo chown -R nxautomation ~/.gnupg
Zpřístupnění klíčenky funkci Hybrid Runbook Worker
Po vytvoření klíčenky ho zpřístupní funkce Hybrid Runbook Worker. Upravte soubor nastavení home/nxautomation/state/worker.conf tak, aby zahrnoval následující ukázkový kód v části [worker-optional]soubor .
gpg_public_keyring_path = /home/nxautomation/run/.gnupg/pubring.kbx
Ověřte, že je ověřování podpisu zapnuté.
Pokud je ověření podpisu na počítači zakázané, musíte ho zapnout spuštěním následujícího příkazu jako kořenového adresáře. Nahraďte <LogAnalyticsworkspaceId> ID pracovního prostoru.
sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --true <LogAnalyticsworkspaceId>
Podepsání runbooku
Jakmile nakonfigurujete ověření podpisu, podepište runbook pomocí následujícího příkazu GPG.
gpg --clear-sign <runbook name>
Podepsaný runbook se nazývá runbook name.asc>.<
Podepsaný runbook teď můžete nahrát do Služby Azure Automation a spustit ho jako běžný runbook.
Protokolování
Pokud chcete pomoct s řešením potíží s runbooky spuštěnými v procesu hybrid Runbook Worker, ukládají se protokoly místně do následujícího umístění:
V systému Windows
C:\ProgramData\Microsoft\System Center\Orchestrator\<version>\SMA\Sandboxesv případě podrobného protokolování procesu modulu runtime úlohy. Události stavu úlohy runbooku vysoké úrovně se zapisují do protokolu událostí služby Application and Services\Microsoft-Automation\Operations .V Linuxu lze protokoly hybrid workeru uživatele najít na
/home/nxautomation/run/worker.logadrese a protokoly systémového pracovního procesu runbooku najdete na adrese/var/opt/microsoft/omsagent/run/automationworker/worker.log.
Další kroky
- Další informace o funkci Hybrid Runbook Worker naleznete v tématu Automatizace Hybrid Runbook Worker.
- Pokud se runbooky úspěšně nedokončí, projděte si průvodce odstraňováním potíží s chybami spuštění runbooku.
- Další informace o PowerShellu, včetně jazykových referenčních a výukových modulů, najdete v dokumentaci k PowerShellu.
- Přečtěte si o použití Azure Policy ke správě spouštění runbooků pomocí funkcí Hybrid Runbook Worker.
- Referenční informace k rutinám PowerShellu najdete v tématu Az.Automation.