Azure Automation in einer Hybridumgebung

Runbooks in Azure Automation werden auf der Azure-Cloudplattform ausgeführt und haben möglicherweise keinen Zugriff auf Ressourcen, die sich in anderen Clouds oder in Ihrer lokalen Umgebung befinden. Sie können Runbooks mit dem Azure Automation-Feature „Hybrid Runbook Worker“ direkt auf dem Computer, der die Rolle hostet, und für Ressourcen in der Umgebung ausführen, um diese lokalen Ressourcen zu verwalten. Runbooks werden in Azure Automation gespeichert und verwaltet und an einzelne oder mehrere zugewiesene Computer übermittelt.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

Die Hybrid Runbook Worker-Architektur umfasst Folgendes:

• Automation-Konto: ein Clouddienst, der die Konfiguration und Verwaltung in Ihren Azure- und Nicht-Azure-Umgebungen automatisiert
• Hybrid-Runbook-Worker: ein Computer, der mit dem Feature „Hybrid Runbook Worker“ konfiguriert wurde und Runbooks direkt auf dem Computer und für die Ressourcen in der lokalen Umgebung ausführen kann
• Hybrid Runbook Worker-Gruppe: Gruppe mit mehreren Hybrid Runbook Workern für eine höhere Verfügbarkeit und Skalierung, um einen Satz von Runbooks auszuführen
• Runbook: Sammlung von einer oder mehreren verknüpften Aktivität(en), die zusammen einen Prozess oder Vorgang automatisieren Weitere Informationen
• Lokale Computer und VMs: lokale Windows- oder Linux-Computer und -VMs, die in einem privaten lokalen Netzwerk gehostet werden
• Anwendbare Komponenten für den erweiterungsbasierten Ansatz (V2):
  • Hybrid Runbook Worker-VM-Erweiterung: eine kleine Anwendung, die auf einem Computer installiert ist. Die Anwendung konfiguriert den Computer als Hybrid Runbook Worker.
  • Server mit Arc-Unterstützung: Mit Azure Arc-fähigen Servern können Sie Windows- und Linux-Computer und virtuelle Computer verwalten, die außerhalb von Azure gehostet werden, unabhängig davon, ob sie in Ihrem Unternehmensnetzwerk oder von einem anderen Cloudanbieter gehostet werden. Diese Verwaltungsfunktion ist so konzipiert, dass sie mit der Verwaltung nativer virtueller Azure-Computer konsistent ist. Weitere Informationen
• Anwendbare Komponenten für den agentbasierten Ansatz (V1):
  • Log Analytics-Arbeitsbereich: Ein Log Analytics-Arbeitsbereich ist ein Datenrepository für Protokolldaten. Diese werden aus Ressourcen gesammelt, die in Azure, lokal oder in einem anderen Cloudanbieter ausgeführt werden.
  • Automation Hybrid Worker-Lösung: Mit dieser Lösung können Sie Hybrid Runbook Worker zur Ausführung von Azure Automation-Runbooks auf Ihren Azure- und Nicht-Azure-Computern erstellen.

Benutzer-Hybrid Runbook Worker

Laden Sie eine Visio-Datei dieser Architektur herunter.

Jeder Benutzer-Hybrid Runbook Worker ist Mitglied einer Hybrid Runbook Worker-Gruppe, die Sie beim Installieren des Workers angeben. Eine Gruppe kann einen einzelnen Worker umfassen, aber für Hochverfügbarkeit können Sie mehrere Worker in eine Gruppe aufnehmen. Jeder Computer kann eine Hybrid Runbook Worker-Berichterstellung für ein Automation-Konto hosten. Sie können den Hybrid Worker nicht bei mehreren Automation-Konten registrieren. Ein Hybrid Worker kann nur auf Aufträge eines einzelnen Automation-Kontos lauschen.

System-Hybrid Runbook Worker

Laden Sie eine Visio-Datei dieser Architektur herunter.

Computer, auf denen der von der Updateverwaltung verwaltete System-Hybrid Runbook Worker gehostet wird, können einer Hybrid Runbook Worker-Gruppe hinzugefügt werden. Sie müssen aber für die Updateverwaltung und die Mitgliedschaft in der Hybrid Runbook Worker-Gruppe dasselbe Automation-Konto verwenden.

Auftragsausführung auf Hybrid Runbook Workern

Wenn Sie ein Runbook auf einen Hybrid Runbook Worker starten, geben Sie die Gruppe an, in der das Runbook ausgeführt werden soll. Jeder Worker in der Gruppe ruft Azure Automation ab, um festzustellen, ob Aufträge verfügbar sind. Wenn ein Auftrag verfügbar ist, übernimmt ihn der erste verfügbare Worker. Die Verarbeitungszeit der Auftragswarteschlange hängt vom Hybrid Worker-Hardwareprofil und der Auslastung ab. Sie können keinen bestimmten Worker angeben. Ein Hybrid Worker arbeitet an einem Abrufmechanismus (alle 30 Sekunden) und folgt der Reihenfolge „wer zuerst kommt, wird zuerst bedient“ (first-come, first-serve).

Komponenten

• Azure Automation ist ein Azure-Dienst zum Automatisieren von Cloudverwaltungsaufgaben. Die Funktion Hybrid Runbook Worker ermöglicht Ihnen das Ausführen von Runbooks auf Computern in Ihrem Rechenzentrum, um lokale Ressourcen zu verwalten.
• Azure Monitor bietet Ihnen vollständigen Einblick in Anwendungen, Infrastruktur und Netzwerk. Azure Monitor-Protokolle ist eine Funktion von Azure Monitor, mit dem Protokoll- und Leistungsdaten von überwachten Ressourcen gesammelt und organisiert werden. Log Analytics ist ein Tool im Azure-Portal zum Abfragen von Protokollen und zum Analysieren der Ergebnisse

Szenariodetails

Ansatz mit Installation von Hybrid Runbook Workern

Azure Automation bietet eine native Integration der Hybrid Runbook Worker-Rolle über das Erweiterungsframework für Azure-VMs. Der Azure-VM-Agent ist für die Verwaltung der Erweiterung auf Azure-VMs mit Windows und Linux sowie auf Nicht-Azure-Computern über den Connected Machine-Agent mit Arc-fähigen Servern verantwortlich. Es gibt zwei Hybrid Runbook Worker-Installationsplattformen, die von Azure Automation unterstützt werden.

Ein Hybrid Worker kann mit beiden Plattformen gleichzeitig vorhanden sein: Agent-basiert (V1) und Erweiterungsbasiert (V2) . Wenn Sie „Erweiterungsbasiert (V2)“ auf einem Hybrid Worker installieren, auf dem bereits „Agent-basiert (V1)“ ausgeführt wird, werden in der Gruppe zwei Einträge des Hybrid Runbook Workers angezeigt. einer mit der Plattform Erweiterungsbasiert (V2) und einer mit der Plattform Agent-basiert (V1) . Weitere Informationen

Runbook Worker-Typen

Es gibt zwei Typen von Runbook Workern – System und Benutzer.

System unterstützt eine Reihe von ausgeblendeten Runbooks, die von der Updateverwaltungsfunktion verwendet werden. Die Runbooks sind für die Installation von benutzerdefinierten Updates auf Windows- und Linux-Computern vorgesehen. Dieser Typ von Hybrid Runbook Workern ist kein Mitglied einer Hybrid Runbook Worker-Gruppe und führt daher keine Runbooks aus, die auf eine Runbook Worker-Gruppe abzielen.

Benutzer unterstützt benutzerdefinierte Runbooks, die direkt auf dem Windows- und Linux-Computer ausgeführt werden sollen, die Mitglieder einer oder mehrerer Runbook Worker-Gruppen sind.

Erweiterungsbasierte Hybrid Runbook Worker unterstützen nur den Typ Benutzer-Hybrid Runbook Worker und enthalten nicht den System-Hybrid Runbook Worker, der für die Updateverwaltung erforderlich ist.

Agent-basierte (V1) Hybrid Runbook Worker erfordern den Log Analytics-Agent, der Meldungen an einen Log Analytics-Arbeitsbereich in Azure Monitor sendet. Der Arbeitsbereich kann nicht nur Überwachungsdaten vom Computer sammeln, sondern auch die Komponenten herunterladen, die für die Installation des agentbasierten Hybrid Runbook Workers benötigt werden. Wenn die Azure Automation-Updateverwaltung aktiviert ist, werden alle mit dem Log Analytics-Arbeitsbereich verbundenen Computer automatisch als System-Hybrid Runbook Worker konfiguriert.

Mögliche Anwendungsfälle

• Zum Ausführen von Azure Automation-Runbooks direkt auf einer vorhandenen Azure-VM (virtueller Computer) oder einem lokalen Arc-fähigen Server
• Zum Umgehen der Einschränkungen einer Azure Automation-Sandbox. Die gängigen Szenarien umfassen das Ausführen zeitintensiver Vorgänge über die Drei-Stunden-Grenze hinaus für Cloudaufträge, das Ausführen ressourcenintensiver Automatisierungsvorgänge, die Interaktion mit lokalen Diensten, die lokal oder in einer Hybridumgebung ausgeführt werden, sowie das Ausführen von Skripts, die erhöhte Berechtigungen erfordern usw.
• Zum Umgehen von Organisationseinschränkungen für die Aufbewahrung von Daten in Azure aus Gründen der Governance und Sicherheit. Sie können Automatisierungsaufträge zwar nicht in der Cloud ausführen, aber auf einem lokalen Computer, für den ein Onboarding als Hybrid Runbook Worker durchgeführt wurde.
• Zum Automatisieren von Vorgängen für mehrere Nicht-Azure-Ressourcen, die lokal, hybrid oder in Umgebungen mit mehreren Clouds ausgeführt werden. Sie können einen dieser Computer als Hybrid Runbook Worker integrieren und die Automatisierung auf die verbleibenden lokalen Computer ausrichten.
• Zum privaten Zugreifen auf andere Dienste aus dem Azure-VNet, ohne eine ausgehende Verbindung mit dem Internet herstellen zu müssen: Sie können Runbooks auf einem Hybrid Worker ausführen, der mit dem virtuellen Azure-Netzwerk verbunden ist.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Zuverlässigkeit

Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie in der Überblick über die Säule „Zuverlässigkeit“.

• Eine Hybrid Runbook Worker-Gruppe mit mehr als einem mit der „Hybrid Worker“-Rolle konfigurierten Computer bietet Hochverfügbarkeit, da Runbooks nur auf Servern starten, die ausgeführt werden und fehlerfrei sind.
• Erweiterungsbasierte Hybrid Runbook Worker (V1) unterstützen nur den Typ Benutzer-Hybrid Runbook Worker und enthalten nicht den System-Hybrid Runbook Worker, der für die Updateverwaltung erforderlich ist.
• Folgendes gilt nur für den agentbasierten Ansatz (V1). Zurzeit werden Zuordnungen zwischen einem Log Analytics-Arbeitsbereich und einem Automation-Konto in mehreren Regionen unterstützt. Weitere Informationen finden Sie unter Unterstützte Regionen für einen verknüpften Log Analytics-Arbeitsbereich.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

• Verschlüsselung vertraulicher Ressourcen in Automation: Ein Azure Automation-Konto kann vertrauliche Objekte wie Anmeldeinformationen, Zertifikate, Verbindungen und verschlüsselte Variablen enthalten, die von den Runbooks verwendet werden könnten. Jede sichere Ressource wird standardmäßig mit einem Datenverschlüsselungsschlüssel verschlüsselt, der für jedes Automation-Konto generiert wird. Diese Schlüssel werden verschlüsselt und in Azure Automation mit einem Kontoverschlüsselungsschlüssel (Account Encryption Key, AEK) gespeichert, der für Kund*innen, die eine Verschlüsselung mit ihren eigenen Schlüsseln verwalten möchten, im Schlüsseltresor gespeichert werden kann. Standardmäßig wird der Kontoverschlüsselungsschlüssel mit von Microsoft verwalteten Schlüsseln verschlüsselt. Verwenden Sie die folgenden Richtlinien zum Anwenden von Verschlüsselung sicherer Ressourcen in Azure Automation.
• Runbook-Berechtigung: Standardmäßig werden Runbook-Berechtigungen für einen Hybrid Runbook Worker in einem Systemkontext auf dem Computer ausgeführt, auf dem sie bereitgestellt wurden. Ein Runbook authentifiziert sich selbst bei lokalen Ressourcen. Die Authentifizierung kann mithilfe von verwalteten Identitäten für Azure-Ressourcen oder durch Angabe eines ausführenden Kontos konfiguriert werden, um einen Benutzerkontext für alle Runbooks bereitzustellen.
• Netzwerkplanung:
  • Wenn Sie einen Proxyserver für die Kommunikation zwischen Azure Automation und Computern verwenden, auf denen der Hybrid Runbook Worker ausgeführt wird, müssen Sie sicherstellen, dass auf die entsprechenden Ressourcen zugegriffen werden kann. Das Zeitlimit für Anforderungen vom Hybrid Runbook Worker und von den Automation-Diensten beträgt 30 Sekunden. Nach drei Versuchen tritt bei der Anforderung ein Fehler auf.
  • Hybrid Runbook Worker erfordert für die Kommunikation mit Automation ausgehenden Internetzugriff über TCP-Port 443. Wenn Sie eine Firewall verwenden, um den Zugriff auf das Internet einzuschränken, müssen Sie die Firewall so konfigurieren, dass der Zugriff möglich ist. Bei Agent-basierten (V1) Computern mit eingeschränktem Internetzugriff konfigurieren Sie die Kommunikation mit Azure Automation und dem Azure Log Analytics-Arbeitsbereich über das Log Analytics-Gateway.
  • Beim Konfigurieren des erweiterungsbasierten Linux Hybrid Runbook Worker gilt ein CPU-Kontingentlimit von 5 %. Es gibt keine solche Beschränkung für erweiterungsbasierte Hybrid Runbook Worker mit Windows.
• Azure-Sicherheitsbaseline für Automation: Die Azure-Sicherheitsbaseline für Automation enthält Empfehlungen zur Verbesserung Ihrer Gesamtsicherheitskonfiguration zum Schutz Ihrer Ressourcen entsprechend dem Leitfaden für bewährte Methoden.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

• Azure Automation-Kosten werden für die Auftragsausführung pro Minute berechnet. Die ersten 500 Minuten Prozessautomatisierung in jedem Monat sind kostenlos. Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln. Weitere Informationen zu den Azure Automation-Preismodellen finden Sie unter Automation – Preise.
• Für den agentbasierten Ansatz (V1): Ein Azure Log Analytics-Arbeitsbereich generiert möglicherweise Zusatzkosten im Zusammenhang mit der Menge an Protokolldaten, die in Azure Log Analytics gespeichert werden. Das Preismodell basiert auf der Nutzung. Die Kosten sind an die Datenerfassung und Datenaufbewahrung gebunden. Verwenden Sie zum Erfassen von Daten in Azure Log Analytics das Modell „Kapazitätsreservierung“ oder „Nutzungsbasierte Zahlung“, das für jedes Abrechnungskonto kostenlose 5 GB pro Monat umfasst. Die Datenaufbewahrung während der ersten 31 Tage ist kostenlos. Informationen zu den Preismodellen für Log Analytics finden Sie unter Azure Monitor – Preise.

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

Verwaltbarkeit

• Der erweiterungsbasierte Ansatz (V2) bietet eine einfachere Verwaltbarkeit als der Agent-basierte Ansatz (V1):
  • Die ARM-Identität ist für Hybrid Runbook Worker nativ integriert und bietet die Flexibilität für Governance im großen Stil über Richtlinien und Vorlagen.
  • Zentralisierte Steuerung und Verwaltung von Identitäten und Ressourcenanmeldeinformationen, da vom VM-System zugewiesene Identitäten verwendet werden, die von Microsoft Entra ID bereitgestellt werden.
  • Einheitliche Benutzeroberfläche für Azure- und Nicht-Azure-Computer beim Durchführen und Aufheben des Onboardings von Hybrid Runbook Workern
• Gilt nur für den Agent-basierten Ansatz (V1):
  • Mithilfe des PowerShell-Skripts New-OnPremiseHybridWorker.ps1 können Sie die Bereitstellung des Log Analytics-Agents mit der Rolle „Hybrid Worker“ beschleunigen, die auf einem Windows-Computer ausgeführt wird.
  • Die Bereitstellung vieler Agents in einer lokalen Infrastruktur kann mithilfe von Befehlszeilenskripts orchestriert sowie mittels Gruppenrichtlinie oder System Center Configuration Manager bereitgestellt werden.

DevOps

• Azure Automation ermöglicht die Integration in beliebte Quellcodeverwaltungssysteme, Azure DevOps und GitHub. In die Quellcodeverwaltung können Sie die vorhandene Entwicklungsumgebung mit Ihren Skripts und Ihrem benutzerdefinierten Code integrieren, die zuvor in einer isolierten Umgebung getestet wurden.
• Weitere Informationen zum Integrieren von Azure Automation in Ihre Quellcodeverwaltungsumgebung finden Sie unter Verwenden der Integration der Quellcodeverwaltung.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Mike Martin | Senior Cloud Solution Architect

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

Weitere Informationen zu Azure Automation:

• Übersicht über Hybrid Runbook Worker
• Bereitstellen eines erweiterungsbasierten Benutzer-Hybrid Runbook Workers für Windows oder Linux
• Bereitstellen eines Agent-basierten Windows Hybrid Runbook Workers in Automation
• Bereitstellen eines Agent-basierten Linux-Hybrid Runbook Workers in Automation
• Erstellen eines Azure Automation-Kontos
• Erstellen eines Runbooks in Azure Automation mit verwalteten Identitäten
• Ausführen von Automation-Runbooks in einem Hybrid Runbook Worker
• Voraussetzungen: Details zur Netzwerkkonfiguration mit Azure Automation
• Übersicht über Azure Arc
• Was sind Server mit Azure Arc-Aktivierung?

Weitere Informationen zu Azure Monitor und Azure Monitor-Protokollen.:

• Übersicht über Azure Monitor-Protokolle
• Übersicht über Log Analytics in Azure Monitor

Zugehörige Ressourcen

• Entwurf einer Hybridarchitektur
• Verbinden eines lokalen Netzwerks mit Azure
• Überwachung für Unternehmen mit Azure Monitor
• Computerforensik: Rückverfolgbarkeit in Azure
• Notfallwiederherstellung für virtuelle Azure Stack Hub-Computer