Bereitstellen eines Agent-basierten Linux-Hybrid Runbook Workers in Automation

  • Artikel

Achtung

Dieser Artikel bezieht sich auf CentOS, eine Linux-Distribution, die sich dem End-of-Life-Status (EOL) nähert. Sie sollten Ihre Nutzung entsprechend planen. Weitere Informationen finden Sie im CentOS End-of-Life-Leitfaden.

Wichtig

Der Azure Automation Agent-basierte Benutzer-Hybrid Runbook Worker (Windows und Linux) wird am 31. August 2024 eingestellt und wird nach diesem Datum nicht mehr unterstützt. Sie müssen die Migration vorhandener Agent-basierter Benutzer-Hybrid Runbook Worker zu erweiterungsbasierten Workern vor dem 31. August 2024 abschließen. Darüber hinaus ist ab dem 1. November 2023 das Erstellen neuer Agent-basierter Hybrid Worker nicht mehr möglich. Weitere Informationen

Sie können die Benutzerfunktion Hybrid Runbook Worker von Azure Automation verwenden, um Runbooks direkt auf dem Azure- oder Nicht-Azure-Computer auszuführen, einschließlich der Server, die bei Servern mit Azure Arc-Aktivierung registriert sind. Von dem Computer oder Server aus, der die Rolle hostet, können Sie Runbooks direkt auf dem Computer ausführen, und mit Ressourcen in der Umgebung, um diese lokalen Ressourcen zu verwalten.

Linux Hybrid Runbook Worker führt Runbooks als spezieller Benutzer mit erhöhten Rechten aus, um Befehle ausführen zu können, für die erhöhte Rechte erforderlich sind. Azure Automation speichert und verwaltet Runbooks und übermittelt sie dann an dafür ausgewählte Computer. In diesem Artikel wird beschrieben, wie Sie den Hybrid Runbook Worker auf einem Linux-Computer installieren und wie Sie den Worker oder eine Hybrid Runbook Worker-Gruppe entfernen. Informationen zu benutzerbasierten Hybrid Runbook Workern finden Sie auch unter Bereitstellen von erweiterungsbasierten Windows- oder Linux-Hybrid Runbook Workern in Automation.

Lesen Sie nach dem erfolgreichen Bereitstellen eines Runbook Workers Running runbooks on a Hybrid Runbook Worker (Ausführen von Runbooks auf einem Hybrid Runbook Worker), um zu erfahren, wie Sie Ihre Runbooks für die Automatisierung von Prozessen in Ihrem lokalen Datencenter oder in einer anderen Cloudumgebung konfigurieren.

Hinweis

Ein Hybrid Worker kann mit beiden Plattformen gleichzeitig vorhanden sein: Agent-basiert (V1) und Erweiterungsbasiert (V2). Wenn Sie Erweiterungsbasiert (V2) auf einem Hybrid Worker installieren, auf dem bereits Agent-basiert (V1) ausgeführt wird, werden in der Gruppe zwei Einträge des Hybrid Runbook Workers angezeigt: einer mit der Plattform Erweiterungsbasiert (V2) und einer mit der Plattform Agent-basiert (V1) . Weitere Informationen

Voraussetzungen

Bevor Sie anfangen, stellen Sie sicher, dass Sie über Folgendes verfügen.

Ein Log Analytics-Arbeitsbereich

Die „Hybrid Runbook Worker“-Rolle ist hinsichtlich ihrer Installation und Konfiguration von einem Azure Monitor Log Analytics-Arbeitsbereich abhängig. Sie können ihn über den Azure Resource Manager erstellen, mithilfe der PowerShell oder im Azure-Portal.

Wenn Sie über keinen Azure Monitor Log Analytics-Arbeitsbereich verfügen, lesen Sie zuerst die Entwurfsanleitung für Azure Monitor-Protokolle, bevor Sie einen Arbeitsbereich erstellen.

Log Analytics-Agent

Die „Hybrid Runbook Worker“-Rolle erfordert den Log Analytics-Agent für das unterstützte Linux-Betriebssystem. Für Server oder Computer, die außerhalb von Azure gehostet werden, können Sie den Log Analytics-Agent mit Servern mit Azure Arc-Aktivierung installieren. Der Agent wird mit bestimmten Dienstkonten installiert, die Befehle ausführen, die root-Berechtigungen erfordern. Weitere Informationen finden Sie unter Dienstkonten.

Unterstützte Linux-Betriebssysteme

Die Hybrid Runbook Worker-Funktion unterstützt die folgenden Distributionen. Bei allen Betriebssystemen wird von einer x64-Architektur ausgegangen. x86 wird für kein Betriebssystem unterstützt.

  • Amazon Linux 2012.09 bis 2015.09

  • CentOS Linux 5, 6, 7 und 8

  • Oracle Linux 6, 7 und 8

  • Red Hat Enterprise Linux Server 5, 6, 7 und 8

  • Debian GNU/Linux 6, 7 und 8

  • SUSE Linux Enterprise Server 12, 15 und 15.1 (SUSE hat keine Versionen mit den Nummern 13 oder 14 veröffentlicht)

  • Ubuntu

    Linux-Betriebssystem Name
    20.04 LTS Focal Fossa
    18.04 LTS Bionic Beaver
    16.04 LTS Xenial Xerus
    14.04 LTS Trusty Tahr

Hinweis

Hybrid Worker folgt den Supportzeitvorgaben des Betriebssystemanbieters.

Wichtig

Überprüfen Sie hier die unterstützten Distributionen, bevor Sie das Updateverwaltungsfeature (abhängig von der Hybrid Runbook Worker-Systemrolle) aktivieren.

Mindestanforderungen

Die Mindestanforderungen für einen System- und Benutzer-Hybrid Runbook Worker unter Linux sind:

  • Zwei Kerne
  • 4 GB RAM
  • Port 443 (ausgehend)
Erforderliches Paket Beschreibung Mindestversion
Glibc GNU C-Bibliothek 2.5-12
Openssl OpenSSL-Bibliotheken 1.0 (TLS 1.1 und TLS 1.2 werden unterstützt)
Curl cURL-Webclient 7.15.5
Python-ctypes Fremdfunktionsbibliothek für Python Python 2.x oder Python 3.x erforderlich
PAM Module für austauschbare Authentifizierung
Optionale Pakete Beschreibung Mindestversion
PowerShell Core Um PowerShell-Runbooks auszuführen, muss PowerShell Core installiert sein. Unter Installieren von PowerShell Core unter Linux erfahren Sie, wie Sie PowerShell Core installieren. 6.0.0

Hinzufügen eines Computers zu einer Hybrid Runbook Worker-Gruppe

Sie können den Workercomputer einer Hybrid Runbook Worker-Gruppe einem Ihrer Automation-Konten hinzufügen. Computer, auf denen der von der Updateverwaltung verwaltete System-Hybrid Runbook Worker gehostet wird, können einer Hybrid Runbook Worker-Gruppe hinzugefügt werden. Sie müssen aber für die Updateverwaltung und die Mitgliedschaft in der Hybrid Runbook Worker-Gruppe dasselbe Automation-Konto verwenden.

Hinweis

Die Updateverwaltung von Azure Automation installiert automatisch den System-Hybrid Runbook Worker auf einem Azure- oder Nicht-Azure-Computer, der für die Updateverwaltung aktiviert ist. Es erfolgt jedoch keine Registrierung des Workers für Hybrid Runbook Worker-Gruppen in Ihrem Automation-Konto. Zum Ausführen der Runbooks auf diesen Computern müssen Sie sie einer Hybrid Runbook Worker-Gruppe hinzufügen. Führen Sie Schritt 4 im Abschnitt Installieren eines Linux-Hybrid Runbook Workers aus, um ihn einer Gruppe hinzuzufügen.

Unterstützte Linux-Härtung

Folgendes wird noch nicht unterstützt:

  • CIS

Unterstützte Runbooktypen

Linux-Hybrid Runbook Worker unterstützen eine begrenzte Gruppe von Runbooktypen in Azure Automation, die in der folgenden Tabelle beschrieben werden.

Runbooktyp Unterstützt
Python 3 (Vorschau) Ja, nur für diese Distributionen erforderlich: SUSE LES 15, RHEL 8 und CentOS 8
Python 2 Ja, für jede Distribution, die nicht Python 3 erfordert1
PowerShell Ja2
PowerShell-Workflow Nein
Grafisch Nein
Grafischer PowerShell-Workflow Nein

1Siehe Unterstützte Linux-Betriebssysteme

2PowerShell-Runbooks erfordern, dass PowerShell Core auf dem Linux-Computer installiert wird. Unter Installieren von PowerShell Core unter Linux erfahren Sie, wie Sie PowerShell Core installieren.

Netzwerkkonfiguration

Netzwerkanforderungen für den Hybrid Runbook Worker finden Sie unter Konfigurieren des Netzwerks.

Installieren eines Linux Hybrid Runbook Workers

Für die automatische Bereitstellung eines Hybrid Runbook Worker stehen zwei Methoden zur Verfügung. Sie können ein Runbook aus dem Runbookkatalog im Azure-Portal importieren und ausführen, oder Sie können eine Reihe von PowerShell-Befehlen manuell ausführen.

Eine ausführliche Beschreibung des Importverfahrens finden Sie unter Importieren von Runbooks aus GitHub über das Azure-Portal. Der Name des zu importierenden Runbooks lautet Create Automation Linux HybridWorker.

Von dem Runbook werden folgende Parameter verwendet:

Parameter Status Beschreibung
Location Obligatorisch. Der Speicherort für den Log Analytics-Arbeitsbereich.
ResourceGroupName Obligatorisch. Die Ressourcengruppe für Ihr Automation-Konto.
AccountName Obligatorisch. Der Name des Automation-Kontos, bei dem der Hybrid Runbook Worker registriert wird.
CreateLA Obligatorisch. Bei „true“ wird der Wert von WorkspaceName verwendet, um einen Log Analytics-Arbeitsbereich zu erstellen. Bei „false“ muss der Wert von WorkspaceName auf einen vorhandenen Arbeitsbereich verweisen.
LAlocation Optional Der Speicherort, an dem der Log Analytics-Arbeitsbereich erstellt wird oder an dem er bereits vorhanden ist.
WorkspaceName Optional Der Name des zu erstellenden oder zu verwendenden Log Analytics-Arbeitsbereichs.
CreateVM Obligatorisch. Bei „true“ wird der Wert von VMName als Name eines neuen virtuellen Computers verwendet. Bei „false“ wird VMName verwendet, um einen vorhandenen virtuellen Computer zu suchen und zu registrieren.
VMName Optional Der Name des virtuellen Computers, der entweder erstellt oder registriert wird (je nach Wert von CreateVM).
VMImage Optional Der Name des zu erstellenden VM-Images.
VMlocation Optional Der Speicherort des virtuellen Computers, der erstellt oder registriert wird. Ohne Angabe dieses Orts wird der Wert von LAlocation verwendet.
RegisterHW Obligatorisch. Bei „true“ wird der virtuelle Computer als Hybrid Worker registriert.
WorkerGroupName Obligatorisch. Der Name der Hybrid Worker-Gruppe.

Manuelles Ausführen von PowerShell-Befehlen

Zum Installieren und Konfigurieren eines Linux Hybrid Runbook Workers führen Sie die folgenden Schritte durch.

  1. Aktivieren Sie die Azure Automation-Lösung in Ihrem Log Analytics-Arbeitsbereich, indem Sie den folgenden Befehl an einer PowerShell-Eingabeaufforderung mit erhöhten Rechten oder in der Cloud Shell im Azure-Portal ausführen:

    Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true

  2. Stellen Sie den Log Analytics-Agent auf dem Zielcomputer bereit.

    • Für Azure-VMs installieren Sie den Log Analytics-Agent für Linux mithilfe der VM-Erweiterung für Linux. Die Erweiterung installiert den Log Analytics-Agent auf virtuellen Azure-Computern und registriert virtuelle Computer in einem vorhandenen Log Analytics-Arbeitsbereich. Sie können eine Azure Resource Manager-Vorlage, die Azure CLI oder Azure Policy verwenden, um die integrierte Richtliniendefinition Log Analytics-Agent für Linux- oder Windows-VMs bereitstellen zuzuweisen. Nachdem der Agent installiert wurde, kann der Computer einer Hybrid Runbook Worker-Gruppe in Ihrem Automation-Konto hinzugefügt werden.

    • Für Nicht-Azure-Computer können Sie den Log Analytics-Agent mit Servern mit Azure Arc-Unterstützung installieren. Azure Arc-aktivierte Server unterstützen die Bereitstellung des Log Analytics-Agenten mit den folgenden Methoden:

      • Verwenden des VM-Erweiterungen-Frameworks.

        Mit dieser Funktion in Servern mit Azure Arc-Unterstützung können Sie die VM-Erweiterung für den Log Analytics-Agent auf einem Nicht-Azure-Windows- und/oder Linux-Server bereitstellen. VM-Erweiterungen können mit den folgenden Methoden auf Ihren hybriden Computern oder Servern verwaltet werden, die von Azure Arc-aktivierten Servern verwaltet werden:

      • Verwenden von Azure Policy.

        Bei dieser Vorgehensweise verwenden Sie die integrierte Azure Policy-Richtliniendefinition zum Bereitstellen des Log Analytics-Agents auf Linux- oder Windows-Computern mit Azure Arc-Unterstützung, um zu überwachen, ob der Log Analytics-Agent auf dem Server mit Arc-Unterstützung installiert ist. Wenn der Agent nicht installiert ist, wird er automatisch über einen Wartungstask bereitgestellt. Wenn Sie die Überwachung der Computer mit Azure Monitor für VMs planen, verwenden Sie stattdessen die Initiative Azure Monitor für VMs aktivieren, um den Log Analytics-Agent zu installieren und zu konfigurieren.

      Es wird empfohlen, den Log Analytics-Agent für Windows oder Linux mit Azure Policy zu installieren.

    Hinweis

    Um die Konfiguration der Computer zu verwalten, die die Hybrid Runbook Worker-Rolle mit DSC (Desired State Configuration) unterstützen, müssen Sie die Computer als DSC-Knoten hinzufügen.

    Hinweis

    Das Konto nxautomation mit den entsprechenden sudo-Berechtigungen muss bei der Installation des Linux-Hybrid Workers vorhanden sein. Wenn Sie versuchen, den Worker zu installieren, und das Konto nicht vorhanden ist oder nicht über die entsprechenden Berechtigungen verfügt, tritt bei der Installation ein Fehler auf.

  3. Überprüfen Sie, ob der Agent an den Arbeitsbereich meldet.

    Der Log Analytics-Agent für Linux verbindet Computer mit einem Azure Monitor Log Analytics-Arbeitsbereich. Wenn Sie den Agent auf Ihrem Computer installieren und mit Ihrem Arbeitsbereich verbinden, werden automatisch die erforderlichen Komponenten für Hybrid Runbook Worker heruntergeladen.

    Nachdem der Agent nach einigen Minuten eine Verbindung mit dem Log Analytics-Arbeitsbereich hergestellt hat, können Sie über die folgende Abfrage überprüfen, ob er Heartbeatdaten an den Arbeitsbereich sendet.

    Heartbeat
| where Category == "Direct Agent"
| where TimeGenerated > ago(30m)

    In den Suchergebnissen sollten Heartbeat-Datensätze für den Computer angezeigt werden, die angeben, dass dieser verbunden ist und Berichte an den Dienst übermittelt. Standardmäßig leitet jeder Agent einen Heartbeat-Datensatz an seinen zugewiesenen Arbeitsbereich weiter.

  4. Führen Sie den folgenden Befehl aus, um den Computer zu einer Hybrid Runbook Worker-Gruppe hinzuzufügen, wobei Sie die Werte für die Parameter -w, -k, -g und -e angeben.

    Sie finden die für die Parameter -k und -e erforderlichen Informationen in Ihrem Automation-Konto auf der Seite Schlüssel. Wählen Sie im linken Bereich der Seite im Abschnitt Kontoeinstellungen die Option Schlüssel aus.

    Seite „Schlüssel verwalten“

    • Kopieren Sie für den Parameter -e den Wert für URL.

    • Kopieren Sie für den Parameter -k den Wert für PRIMÄRER ZUGRIFFSSCHLÜSSEL.

    • Geben Sie für den Parameter -g den Namen der Hybrid Runbook Worker-Gruppe an, der der neue Linux Hybrid Runbook Worker beitreten soll. Wenn diese Gruppe bereits im Automation-Konto vorhanden ist, wird ihr der aktuelle Computer hinzugefügt. Wenn diese Gruppe nicht vorhanden ist, wird sie mit diesem Namen erstellt.

    • Geben Sie für den Parameter -w Ihre Log Analytics-Arbeitsbereichs-ID an.

    sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w <logAnalyticsworkspaceId> -k <automationSharedKey> -g <hybridGroupName> -e <automationEndpoint>

  5. Überprüfen Sie die Bereitstellung, nachdem das Skript abgeschlossen wurde. Auf der Seite Hybrid-Runbook-Workergruppen in Ihrem Automation-Konto werden unter der Registerkarte Benutzer-Hybrid Runbook Worker-Gruppe die neue oder vorhandene Gruppe sowie die Anzahl der Mitglieder angezeigt. Wenn die Gruppe bereits vorhanden ist, wird die Anzahl der Mitglieder erhöht. Sie können die Gruppe in der Liste auf der Seite auswählen. Wählen Sie im Menü auf der linken Seite Hybrid Worker aus. Auf der Seite Hybrid Worker werden die einzelnen Mitglieder der Gruppe aufgelistet.

    Hinweis

    Wenn Sie die Log Analytics-VM-Erweiterung für Linux für einen virtuellen Azure-Computer verwenden, empfehlen wir, autoUpgradeMinorVersion auf false festzulegen, da automatische Upgrades von Versionen Probleme mit dem Hybrid Runbook Worker verursachen können. Informationen zum manuellen Upgrade der Erweiterung finden Sie unter Azure CLI-Bereitstellung .

Deaktivieren der Signaturüberprüfung

Standardmäßig erfordern Linux Hybrid Runbook Worker eine Überprüfung der Signatur. Wenn Sie ein unsigniertes Runbook für einen Worker ausführen, wird der Fehler Signature validation failed angezeigt. Um die Überprüfung der Signatur zu deaktivieren, führen Sie den folgenden Befehl als Root-Benutzer*in aus. Ersetzen Sie den zweiten Parameter durch Ihre Log Analytics-Arbeitsbereichs-ID.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --false <logAnalyticsworkspaceId>

Entfernen des Hybrid Runbook Workers

Führen Sie die folgenden Befehle als Root-Benutzer*in auf dem Agent-basierten Linux Hybrid Worker aus:

  1.    sudo bash

  2.    rm -r /home/nxautomation

  3. Klicken Sie unter Prozessautomatisierung auf Hybrid Worker-Gruppen, und wählen Sie dann Ihre Hybrid Worker-Gruppe aus, um zur Seite Hybrid Worker-Gruppe zu wechseln.

  4. Wählen Sie unter Hybrid Worker-Gruppe die Option Hybrid Worker aus.

  5. Aktivieren Sie das Kontrollkästchen neben den Computern, die Sie aus der Hybrid Worker-Gruppe löschen möchten.

  6. Wählen Sie Löschen aus, um den Agent-basierten Linux Hybrid Worker zu entfernen.

    Hinweis

    • Mit diesem Skript wird der Log Analytics-Agent für Linux nicht vom Computer entfernt. Er entfernt nur die Funktionalität und Konfiguration der Hybrid Runbook Worker-Rolle.
    • Nachdem Sie die Private Link in Ihrem Automation-Konto deaktiviert haben, kann es bis zu 60 Minuten dauern, bis der Hybrid Runbook Worker entfernt wurde.
    • Nachdem Sie die Hybrid Worker entfernt haben, ist das Hybrid Worker-Authentifizierungszertifikat auf dem Computer 45 Minuten lang gültig.

Entfernen einer Hybrid Worker-Gruppe

Um eine Hybrid Runbook Worker-Gruppe von Linux-Computern zu entfernen, befolgen Sie die gleichen Schritte wie für eine Hybrid Worker-Gruppe unter Windows. Weitere Informationen finden Sie unter Entfernen einer Hybrid Worker-Gruppe.

Verwalten von Rollenberechtigungen für Hybrid Worker-Gruppen und Hybrid Worker

Sie können benutzerdefinierte Azure Automation-Rollen erstellen und Hybrid Worker-Gruppen und Hybrid Workern die folgenden Berechtigungen erteilen. Weitere Informationen zum Erstellen von benutzerdefinierten Azure Automation-Rollen finden Sie unter Benutzerdefinierte Azure-Rollen.

Aktionen Beschreibung
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Liest eine Hybrid Runbook Worker-Gruppe.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/write Erstellt eine Hybrid Runbook Worker-Gruppe.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/delete Löscht eine Hybrid Runbook Worker-Gruppe.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/read Liest einen Hybrid Runbook Worker.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/delete Löscht einen Hybrid Runbook Worker.

Überprüfen der Hybrid Worker-Version

Um die Version des agentbasierten Linux Hybrid Runbook Worker zu überprüfen, wechseln Sie zum folgenden Pfad:

   sudo cat /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/VERSION

Die VERSION der Datei enthält die Versionsnummer des Hybrid Runbook Worker.

Nächste Schritte