Přehled hybridního pracovního procesu runbooku služby Automation
Důležité
Uživatelská funkce Hybrid Runbook Worker založená na agentech služby Azure Automation (pro Windows a Linux) se 31. srpna 2024 vyřadí z provozu a po tomto datu se nebude podporovat. Nejpozději do 31. srpna 2024 je potřeba dokončit migraci stávajících uživatelských funkcí Hybrid Runbook Worker založených na agentech na pracovní procesy založené na rozšíření. Kromě toho by od 1. listopadu 2023 nebylo možné vytvářet nové hybridní pracovní procesy založené na agentech. Další informace.
Runbooky ve službě Azure Automation nemusí mít přístup k prostředkům v jiných cloudech nebo v místním prostředí, protože běží na cloudové platformě Azure. Pomocí funkce Hybrid Runbook Worker služby Azure Automation můžete runbooky spouštět přímo na počítači, který je hostitelem role, a s prostředky v prostředí ke správě těchto místních prostředků. Runbooky se ukládají a spravují ve službě Azure Automation a pak se doručují na jeden nebo více přiřazených počítačů.
Azure Automation poskytuje nativní integraci role Hybrid Runbook Worker prostřednictvím architektury rozšíření virtuálního počítače Azure. Agent virtuálního počítače Azure zodpovídá za správu rozšíření na virtuálních počítačích Azure na virtuálních počítačích s Windows a Linuxem a agenta azure Připojení počítačů mimo Azure, včetně serverů s podporou Azure Arc a VMware vSphere s podporou Azure Arc (Preview). Teď jsou k dispozici dvě instalační platformy Hybrid Runbook Worker podporované službou Azure Automation.
| Platforma | Popis |
|---|---|
| Založené na rozšíření (V2) | Nainstalováno pomocí rozšíření Hybrid Runbook Worker VM bez jakékoli závislosti na agentovi Log Analytics, který se hlásí do pracovního prostoru služby Azure Monitor Log Analytics. Toto je doporučená platforma. |
| Na základě agenta (V1) | Nainstaluje se po dokončení generování sestav agenta Log Analytics do pracovního prostoru služby Azure Monitor Log Analytics. |
V případě operací Hybrid Runbook Worker po instalaci je proces spouštění runbooků ve službě Hybrid Runbook Worker stejný. Účelem přístupu založeného na rozšíření je zjednodušit instalaci a správu role Hybrid Runbook Worker a odstranit složitost práce s verzí založenou na agentech. Nová instalace založená na rozšíření nemá vliv na instalaci ani správu role Hybrid Runbook Worker založené na agentech. Oba typy Hybrid Runbook Worker můžou existovat současně na stejném počítači.
Funkce Hybrid Runbook Worker založená na rozšíření podporuje pouze typ Hybrid Runbook Worker uživatele a nezahrnuje systém Hybrid Runbook Worker vyžadovaný pro funkci Update Management.
Výhody hybridních pracovních procesů založených na rozšířeních
Přístup založený na rozšíření výrazně zjednodušuje instalaci a správu funkce User Hybrid Runbook Worker, čímž se odstraňuje složitost práce s přístupem založeným na agentech. Tady jsou některé klíčové výhody:
- Bezproblémové onboarding – Přístup založený na agentech pro onboarding hybrid Runbook Worker je závislý na agentovi Log Analytics, což je proces s více kroky, časově náročný a náchylný k chybám. Přístup založený na rozšíření už není závislý na agentu Log Analytics.
- Snadná správa – Nabízí nativní integraci s identitou ARM pro Hybrid Runbook Worker a poskytuje flexibilitu zásad správného řízení ve velkém prostřednictvím zásad a šablon.
- Ověřování na základě ID microsoftu Entra – používá spravované identity přiřazené systémem virtuálního počítače, které poskytuje Microsoft Entra ID. Tím se centralizuje řízení a správa identit a přihlašovacích údajů k prostředkům.
- Jednotné prostředí – Nabízí identické prostředí pro správu počítačů s podporou Azure a off-Azure Arc.
- Více kanálů onboardingu – Můžete se rozhodnout pro onboarding a správu pracovních procesů založených na rozšířeních prostřednictvím webu Azure Portal, rutin PowerShellu, Bicep, šablon ARM, rozhraní REST API a Azure CLI. Rozšíření můžete také nainstalovat na existující virtuální počítač Azure nebo server s podporou Arc v prostředí webu Azure Portal tohoto počítače prostřednictvím okna Rozšíření.
- Výchozí automatický upgrade – ve výchozím nastavení nabízí automatický upgrade podverzí, což výrazně snižuje možnosti správy aktualizace na nejnovější verzi. Doporučujeme povolit automatické upgrady, aby využívaly všechny aktualizace zabezpečení nebo funkcí bez ruční režie. Automatické upgrady můžete kdykoli zrušit. Všechny upgrady hlavních verzí se v současné době nepodporují a měly by se spravovat ručně.
Typy runbook Worker
Existují dva typy pracovních procesů runbooku – systém a uživatel. Následující tabulka popisuje rozdíl mezi nimi.
| Typ | Popis |
|---|---|
| Systém | Podporuje sadu skrytých runbooků používaných funkcí Update Management, která je navržená k instalaci aktualizací určených uživatelem na počítače s Windows a Linuxem. Tento typ funkce Hybrid Runbook Worker není členem skupiny Hybrid Runbook Worker, a proto nespouští runbooky, které cílí na skupinu Runbook Worker. |
| Uživatel | Podporuje uživatelem definované runbooky určené ke spuštění přímo na počítačích s Windows a Linuxem. |
Hybridní pracovní procesy runbooku založené na agentech (V1) spoléhají na generování sestav agenta Log Analytics do pracovního prostoru služby Azure Monitor Log Analytics. Pracovní prostor nejen ke shromažďování dat monitorování z počítače, ale také ke stažení komponent potřebných k instalaci funkce Hybrid Runbook Worker založeného na agentech.
Když je služba Azure Automation Update Management povolená, každý počítač připojený k vašemu pracovnímu prostoru služby Log Analytics se automaticky nakonfiguruje jako systémový hybrid Runbook Worker. Pokud ho chcete nakonfigurovat jako uživatele Hybrid Runbook Worker systému Windows, přečtěte si téma Nasazení procesu hybridního runbooku windows založeného na agentech v automatizaci a linuxu v tématu Nasazení funkce Hybrid Runbook Worker založené na agentech v systému Automation.
Limity runbook Workeru
Následující tabulka ukazuje maximální počet systémových a uživatelských hybrid Runbook Worker v účtu Automation. Pokud máte ke správě více než 4 000 počítačů, doporučujeme vytvořit další účet Automation.
| Typ pracovníka | Maximální počet podporovaný na účet Automation. |
|---|---|
| Systémový | 4000 |
| User | 4000 |
Jak to funguje?
Každý uživatel Hybrid Runbook Worker je členem skupiny Hybrid Runbook Worker, kterou zadáte při instalaci pracovního procesu. Skupina může obsahovat jednoho pracovníka, ale pro zajištění vysoké dostupnosti můžete do skupiny zahrnout více pracovních procesů. Každý počítač může hostovat jeden generování sestav Hybrid Runbook Worker do jednoho účtu Automation; Hybrid Worker není možné zaregistrovat ve více účtech Automation. Hybrid Worker může naslouchat pouze úlohě z jednoho účtu Automation.
U počítačů, které jsou hostitelem procesu Hybrid Runbook Worker spravovaného řešením Update Management, je možné je přidat do skupiny Hybrid Runbook Worker. Musíte ale použít stejný účet Automation pro členství ve skupině Update Management i Hybrid Runbook Worker.
Skupina hybridních pracovních proces s hybridním pracovním procesem runbooku je navržená pro vysokou dostupnost a vyrovnávání zatížení přidělováním úloh napříč několika pracovními procesy. Aby bylo možné úspěšně spustit runbooky, musí být Hybrid Worker v pořádku a poskytnout prezenční signál. Hybridní pracovní proces funguje na mechanismu dotazování, který vybírá úlohy. Pokud žádný z pracovních procesů ve skupině Hybrid Worker během posledních 30 minut neobsadí službu Automation ping, znamená to, že skupina neměla aktivní pracovní procesy. V tomto scénáři se úlohy pozastaví po třech pokusech o opakování.
Když spustíte runbook v procesu Hybrid Runbook Worker uživatele, zadáte skupinu, na které běží, a nemůžete určit konkrétní pracovní proces. Každý aktivní hybridní pracovní proces ve skupině se bude každých 30 sekund dotazovat na úlohy, aby zjistil, jestli jsou nějaké úlohy dostupné. Pracovník vybírá pracovní pozice na základě první práce. V závislosti na tom, kdy byla úloha vložena, podle toho, který hybrid worker ve skupině Hybrid Worker odešle příkaz ping, služba Automation nejprve převezme úlohu. Doba zpracování fronty úloh také závisí na hardwarovém profilu a zatížení hybridního pracovního procesu.
Jeden hybrid worker může obecně vyzvednout 4 úlohy na příkaz ping (to znamená každých 30 sekund). Pokud je míra nabízení úloh vyšší než 4 za 30 sekund a žádný jiný pracovník tuto úlohu nezvedne, může se úloha pozastavit s chybou.
Hybrid Runbook Worker nemá mnoho omezení prostředků sandboxu Azure na místo na disku, paměti nebo síťových soketech. Omezení hybridního pracovního procesu se vztahují pouze k vlastním prostředkům pracovního procesu a nejsou omezeny časovým limitem spravedlivého sdílení , který mají sandboxy Azure.
Pokud chcete řídit distribuci runbooků v hybridních pracovních procesech a kdy a jak se úlohy aktivují, můžete v rámci svého účtu Automation zaregistrovat hybridní pracovní proces do různých skupin hybridních pracovních procesů. Zaměřte úlohy na konkrétní skupinu nebo skupiny, abyste podpořili své uspořádání provádění.
Běžné scénáře hybridních pracovních procesů runbooků uživatelů
- Spuštění runbooků Azure Automation pro správu virtuálních počítačů v hostovaném počítači přímo na existujícím virtuálním počítači Azure a na serveru mimo Azure zaregistrovaného jako server s podporou Azure Arc nebo virtuálního počítače VMware s podporou Azure Arc (Preview). Servery s podporou Azure Arc můžou být fyzické servery s Windows a Linuxem a virtuální počítače hostované mimo Azure, ve vaší podnikové síti nebo jiných poskytovatelích cloudu.
- Pokud chcete překonat omezení sandboxu Azure Automation – mezi běžné scénáře patří provádění dlouhotrvajících operací nad rámec tříhodinového limitu pro cloudové úlohy, provádění operací automatizace náročných na prostředky, interakce s místními službami spuštěnými místně nebo v hybridním prostředí, spouštění skriptů, které vyžadují zvýšená oprávnění.
- Pokud chcete překonat omezení organizace pro zachování dat v Azure z důvodů správného řízení a zabezpečení – protože nemůžete spouštět úlohy Automation v cloudu, můžete je spustit na místním počítači, který je onboardovaný jako hybrid Runbook Worker uživatele.
- Automatizace operací s několika prostředky Mimo Azure, které běží v místním nebo multicloudovém prostředí. Jeden z těchto počítačů můžete připojit jako hybrid Runbook Worker uživatele a na zbývajících počítačích v místním prostředí cílit automatizaci.
- Pokud chcete privátní přístup k jiným službám z virtuální sítě Azure bez otevření odchozího připojení k internetu, můžete runbooky spouštět ve službě Hybrid Worker připojené k virtuální síti Azure.
Instalace funkce Hybrid Runbook Worker
Proces instalace funkce Hybrid Runbook Worker uživatele závisí na operačním systému. Následující tabulka definuje typy nasazení.
| Operační systém | Typy nasazení |
|---|---|
| Windows | Automatizovaná Ruční: |
| Linux | Ruční |
| Kteroukoli | Hybridní pracovní procesy runbooku pro uživatele najdete v tématu Nasazení funkce Hybrid Runbook Worker založené na rozšíření systému Windows nebo Linux ve službě Automation. Jedná se o doporučený způsob. |
Poznámka:
Hybrid Runbook Worker se v současné době nepodporuje ve škálovacích sadách virtuálních počítačů.
Plánování sítě
Podrobné informace o portech, adresách URL a dalších podrobnostech o sítích požadovaných pro funkci Hybrid Runbook Worker najdete v konfiguraci sítě Azure Automation.
Použití proxy serveru
Pokud ke komunikaci mezi službou Azure Automation a počítači, na kterých běží agent Log Analytics, používáte proxy server, ujistěte se, že jsou dostupné příslušné prostředky. Časový limit požadavků z procesu Hybrid Runbook Worker a služby Automation je 30 sekund. Po třech pokusech požadavek selže.
Použití brány firewall
Pokud k omezení přístupu k internetu používáte bránu firewall, musíte bránu firewall nakonfigurovat tak, aby povolovala přístup. Pokud jako proxy používáte bránu Log Analytics, ujistěte se, že je nakonfigurovaná pro hybrid Runbook Worker. Viz Konfigurace brány Log Analytics pro funkce Hybrid Runbook Worker ve službě Automation.
Značky služeb
Azure Automation podporuje značky služeb virtuální sítě Azure, počínaje značkou služby GuestAndHybridManagement. Značky služeb můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo službě Azure Firewall. Značky služeb se dají používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby GuestAndHybridManagement v příslušném zdrojovém nebo cílovém poli pravidla můžete povolit nebo odepřít provoz pro službu Automation. Tato značka služby nepodporuje možnost podrobnějšího řízení omezením rozsahů IP na konkrétní oblast.
Tato značka služby pro Azure Automation poskytuje jenom IP adresy používané pro následující scénáře:
- Aktivace webhooků z vaší virtuální sítě
- Povolení komunikace hybridních pracovních procesů runbooku nebo agentů State Configuration ve vaší virtuální síti s využitím služby Automation
Poznámka:
Značka služby GuestAndHybridManagement v současné době nepodporuje provádění úloh runbooku v sandboxu Azure, pouze přímo na funkci Hybrid Runbook Worker.
Podpora pro úroveň dopadu 5 (IL5)
Funkci Hybrid Runbook Worker služby Azure Automation je možné použít ve službě Azure Government k podpoře úloh úrovně 5 dopadu v některé z následujících dvou konfigurací:
Izolovaný virtuální počítač. Při nasazení spotřebují pro tento počítač celý fyzický hostitel, který poskytuje potřebnou úroveň izolace vyžadovanou pro podporu úloh IL5.
Azure Dedicated Hosts, který poskytuje fyzické servery, které jsou schopné hostovat jeden nebo více virtuálních počítačů vyhrazených pro jedno předplatné Azure.
Poznámka:
Izolace výpočetních prostředků prostřednictvím role Hybrid Runbook Worker je dostupná pro cloudy Azure Commercial a US Government.
Adresy řešení Update Management pro hybrid Runbook Worker
Kromě standardních adres a portů požadovaných pro hybrid Runbook Worker má Update Management další požadavky na konfiguraci sítě popsané v části plánování sítě.
Azure Automation State Configuration ve funkci Hybrid Runbook Worker
Službu Azure Automation State Configuration můžete spustit v procesu Hybrid Runbook Worker. Pokud chcete spravovat konfiguraci serverů, které podporují funkci Hybrid Runbook Worker, musíte servery přidat jako uzly DSC. Viz Povolení správy počítačů službou Azure Automation State Configuration.
Runbooky v procesu Hybrid Runbook Worker
Můžete mít runbooky, které spravují prostředky na místním počítači nebo běží na prostředcích v místním prostředí, kde je nasazený hybrid Runbook Worker uživatele. V takovém případě můžete runbooky spouštět v roli Hybrid Worker místo v účtu Automation. Runbooky spuštěné v procesu Hybrid Runbook Worker jsou stejné ve struktuře jako runbooky, které spouštíte v účtu Automation. Viz Runbooky v procesu Hybrid Runbook Worker.
Úlohy Hybrid Runbook Worker
Úlohy Hybrid Runbook Worker běží pod místním systémovým účtem ve Windows nebo účtem nxautomation v Linuxu. Azure Automation zpracovává úlohy v hybrid Runbook Worker jinak než úlohy spuštěné v sandboxech Azure. Viz spouštěcí prostředí runbooku.
Pokud se hostitelský počítač Hybrid Runbook Worker restartuje, všechny spuštěné úlohy runbooku se restartují od začátku nebo z posledního kontrolního bodu runbooků pracovního postupu PowerShellu. Po více než třech restartováních úlohy runbooku se úloha pozastaví.
Oprávnění runbooku pro funkci Hybrid Runbook Worker
Vzhledem k tomu, že přistupují k prostředkům mimo Azure, runbooky spuštěné v procesu Hybrid Runbook Worker nemůžou používat mechanismus ověřování, který obvykle používají runbooky ověřující prostředky Azure. Runbook buď poskytuje vlastní ověřování pro místní prostředky, nebo konfiguruje ověřování pomocí spravovaných identit pro prostředky Azure. Můžete také zadat účet Spustit jako, který poskytne kontext uživatele pro všechny runbooky.
Zobrazení systému Hybrid Runbook Worker
Po povolení funkce Update Management na počítačích s Windows nebo Linuxem můžete inventarizovat seznam skupin Hybrid Runbook Worker na webu Azure Portal. Na portálu můžete zobrazit až 2 000 pracovních procesů tak, že v levém podokně vybraného účtu Automation vyberete kartu Skupina systémových hybridních pracovních procesů z možnosti Skupina hybridních pracovních procesů.
Pokud máte více než 2 000 hybridních pracovních procesů, abyste získali seznam všech pracovních procesů, můžete spustit následující skript PowerShellu:
"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"
Další kroky
Informace o tom, jak nakonfigurovat runbooky pro automatizaci procesů v místním datacentru nebo jiném cloudovém prostředí, najdete v tématu Spouštění runbooků v procesu Hybrid Runbook Worker.
Informace o řešení potíží s funkcemi Hybrid Runbook Worker najdete v tématu Řešení potíží s funkcí Hybrid Runbook Worker.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro