Importante
Azure Automation Hybrid Runbook Worker (Windows y Linux) basado en agente se retirará el 31 de agosto de 2024 y no se admitirá después de esa fecha. Antes del 31 de agosto de 2024, debe completar la migración de usuarios de Hybrid Runbook Workers a Workers basados en extensión. Además, a partir del 1 de octubre de 2023, no sería posible crear nuevas instancias de Hybrid Worker basadas en agente. Más información
En Azure Automation, los runbooks se ejecutan en la plataforma en la nube de Azure y podrían no tener acceso a recursos que se encuentran en otras nubes o en el entorno local. La característica Hybrid Runbook Worker de Azure Automation permite ejecutar runbooks directamente en la máquina que hospeda el rol y en los recursos del entorno para administrar dichos recursos locales. Los runbooks se almacenan y administran en Azure Automation y después se entregan a una o más máquinas asignadas.
Architecture
Descargue un archivo Visio de esta arquitectura.
Flujo de trabajo
La arquitectura de Hybrid Runbook Worker consta de:
- Cuenta de Automation: un servicio en la nube que permite automatizar la configuración y la administración tanto en entornos de Azure como de otro tipo.
- Hybrid Runbook Worker:: un equipo configurado con la característica Hybrid Runbook Worker que puede ejecutar runbooks directamente en el equipo y en los recursos del entorno local.
- Grupo de Hybrid Runbook Worker: grupo con varias instancias de Hybrid Runbook Worker para obtener una mayor disponibilidad y escalabilidad al ejecutar un conjunto de runbooks.
- Runbook: una colección de una o varias actividades vinculadas que juntas automatizan un proceso o una operación. Más información.
- Máquinas locales y máquinas virtuales: los equipos locales y las máquinas virtuales con el sistema operativo Windows o Linux hospedados en una red de área local privada.
- Componentes que son aplicables al enfoque basado en extensiones (V2):
- Extensión de máquina virtual de Hybrid Runbook Worker: una pequeña aplicación instalada en un equipo. La aplicación configura el equipo como una instancia de Hybrid Runbook Worker.
- Servidor habilitado para Arc: los servidores habilitados para Azure Arc le permiten administrar equipos y máquinas virtuales Windows y Linux hospedadas fuera de Azure, ya sea en la red corporativa o en otro proveedor de nube. Esta experiencia de administración está diseñada para ser coherente con el modo de administración de las máquinas virtuales nativas de Azure. Más información.
- Componentes que son aplicables al enfoque basado en agentes (V1):
- Área de trabajo de Log Analytics: un área de trabajo de Log Analytics es un repositorio de datos para los datos de registro que se recopilan de los recursos que se ejecutan en Azure, en el entorno local o en otro proveedor de nube.
- Solución Automation Hybrid Worker: con esta solución, puede crear instancias de Hybrid Runbook Worker para ejecutar runbooks de Azure Automation en equipos de Azure y que no son de Azure.
Hybrid Runbook Worker de usuario
Descargue un archivo Visio de esta arquitectura.
Cada Hybrid Runbook Worker de usuario es miembro de un grupo de instancias de Hybrid Runbook Worker que especifica cuando instala el trabajo. Un grupo puede incluir solo un trabajo, pero puede incluir varios en un grupo para contar con alta disponibilidad. Cada máquina puede hospedar una instancia de Hybrid Runbook Worker que envía informes a una cuenta de Automation; no se puede registrar la instancia de Hybrid Worker en varias cuentas de Automation. Una instancia de Hybrid Worker solo puede escuchar trabajos de una única cuenta de Automation.
Hybrid Runbook Worker del sistema
Descargue un archivo Visio de esta arquitectura.
Las máquinas que hospedan la instancia de Hybrid Runbook Worker del sistema administrada por Update Management se pueden agregar a un grupo de Hybrid Runbook Worker. Sin embargo, debe usar la misma cuenta de Automation para Update Management y para la pertenencia al grupo de Hybrid Runbook Worker.
Ejecución de trabajos en Hybrid Runbook Worker
Cuando se inicia un runbook en un Hybrid Runbook Worker de usuario, se especifica el grupo en el que se ejecuta. Cada rol de trabajo del grupo sondea Azure Automation para ver si hay trabajos disponibles. Si un trabajo está disponible, el primer rol trabajo en obtener el trabajo lo toma. El tiempo de procesamiento de la cola de trabajos depende de la carga y del perfil de hardware de Hybrid Worker. No se puede especificar un trabajo determinado. Hybrid Worker usa un mecanismo de sondeo (cada 30 segundos) y respeta un orden de servir primero al primero en llegar.
Componentes
- Azure Automation es un servicio de Azure para automatizar las tareas de administración en la nube. La característica Hybrid Runbook Worker hace posible ejecutar runbooks en máquinas ubicadas en su centro datos para administrar los recursos locales.
- Azure Monitor le proporciona observabilidad completa de las aplicaciones, la infraestructura y la red. Los registros de Azure Monitor son una característica de Azure Monitor que recopila y organiza los datos de registro y rendimiento de los recursos supervisados. Log Analytics es una herramienta de Azure Portal para consultar los registros y para analizar los resultados.
Detalles del escenario
Enfoque sobre la instalación de una instancia de Hybrid Runbook Worker
Azure Automation proporciona integración nativa del rol Hybrid Runbook Worker mediante el marco de extensión de máquina virtual de Azure. El agente de máquina virtual de Azure es responsable de la administración de la extensión en máquinas virtuales de Azure, tanto Windows como Linux, y en máquinas que no son de Azure mediante el agente de máquina conectada de los servidores habilitados para Arc. Hay dos plataformas de instalación de Hybrid Runbook Worker compatibles con Azure Automation.
| Plataforma | Descripción |
|---|---|
| Basada en extensiones (V2) | Se instala mediante la extensión de máquina virtual de Hybrid Runbook Worker, sin ninguna dependencia de la actividad de informes del agente de Log Analytics, que informa a un área de trabajo de Log Analytics de Azure Monitor. Este es el enfoque recomendado, ya que ofrece una incorporación sin problemas y es fácil de administrar. |
| Basada en agente (V1) | Se instala después de que el agente de Log Analytics termina de informar a un área de trabajo de Log Analytics de Azure Monitor. |
Una instancia de Hybrid Worker puede coexistir con ambas plataformas: basada en agente (V1) y basada en extensión (V2) . Si instala la opción basada en extensión (V2) en una instancia de Hybrid Worker que ya ejecuta la opción basada en agente (V1), verá dos entradas de la instancia de Hybrid Runbook Worker en el grupo. una con la plataforma Basada en extensión (V2) y otra Basada en agente (V1) . Más información
Tipos de trabajo de runbook
Hay dos tipos de instancias de Runbook Worker: sistema y usuario.
Sistema admite un conjunto de runbooks ocultos utilizados por la característica Update Management. Los runbooks están diseñados para instalar actualizaciones especificadas por el usuario en máquinas Windows y Linux. Este tipo de Hybrid Runbook Worker no es miembro de ningún grupo de instancias de Hybrid Runbook Worker y, por tanto, no ejecuta runbooks que tengan como destino un grupo de instancias de Runbook Worker.
Usuario admite runbooks definidos por el usuario que están pensados para ejecutarse directamente en las máquinas Windows y Linux que son miembros de uno o más grupos de Runbook Worker.
Hybrid Runbook Worker basado en extensiones solo admite el tipo de Hybrid Runbook Worker de usuario y no incluye el del sistema necesario para la característica Update Management.
Las instancias de Hybrid Runbook Worker basada en agente (V1) confían en el agente de Log Analytics que informa a un área de trabajo de Log Analytics de Azure Monitor. El área de trabajo no solo sirve para recopilar datos de supervisión de la máquina, sino también para descargar los componentes necesarios para instalar Hybrid Runbook Worker basado en agente. Cuando está habilitado Update Management de Azure Automation, las máquinas conectadas al área de trabajo de Log Analytics se configurarán automáticamente como una instancia de Hybrid Runbook Worker de sistema.
Posibles casos de uso
- Para ejecutar runbooks de Azure Automation directamente en una máquina virtual (VM) de Azure existente o en un servidor local habilitado para Arc.
- Para superar la limitación del espacio aislado de Azure Automation. Los escenarios comunes incluyen la ejecución de operaciones de larga duración por encima del límite de tres horas para trabajos en la nube, la realización de operaciones de automatización que consumen muchos recursos, la interacción con servicios locales que se ejecutan en el entorno local o en un entorno híbrido, o la ejecución de scripts que requieren permisos elevados.
- Para superar las restricciones organizativas sobre conservar los datos en Azure por motivos de gobernanza y seguridad. Aunque no se pueden ejecutar trabajos de Automation en la nube, puede ejecutarlos en una máquina local que se haya incorporado como una instancia de Hybrid Runbook Worker.
- Para automatizar las operaciones en varios recursos que no son de Azure que se ejecutan en entornos locales, híbridos o de varias nubes. Puede incorporar una de esas máquinas como una instancia de Hybrid Runbook Worker y dirigir la automatización al resto de máquinas locales.
- Para acceder a otros servicios de forma privada desde la red virtual de Azure (VNet) sin necesidad de abrir una conexión saliente a Internet, puede ejecutar runbooks en una instancia de Hybrid Worker que esté conectada a la red virtual de Azure.
Consideraciones
Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.
Confiabilidad
La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.
- Un grupo de Hybrid Runbook Worker con más de una máquina configurada con el rol de Hybrid Worker proporciona una alta disponibilidad, ya que los runbooks se iniciarán solo en servidores que estén en ejecución y en estado correcto.
- Hybrid Runbook Worker basado en extensiones (V1) solo admite el tipo de Hybrid Runbook Worker de usuario y no incluye el del sistema, que es necesario para la característica Update Management.
- Lo siguiente solo se aplica al enfoque basado en agente (V1). Actualmente, las asignaciones entre un área de trabajo de Log Analytics y una cuenta de Automation se admiten en varias regiones. Para más información, consulte Regiones admitidas para el área de trabajo vinculada de Log Analytics.
Seguridad
La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.
- Cifrado de recursos confidenciales en Automation: una cuenta de Azure Automation puede contener recursos confidenciales, tales como credenciales, certificados, conexiones y variables cifradas que los runbooks pueden usar. Cada recurso seguro se cifra de manera predeterminada mediante una clave de cifrado de datos que se genera para cada cuenta de Automation. Estas claves se cifran y almacenan en Azure Automation con una clave de cifrado de cuenta (AEK) que se puede almacenar en Key Vault para los clientes que quieran administrar el cifrado con sus propias claves. De manera predeterminada, la clave AEK se cifra con claves administradas por Microsoft. Utilice las siguientes directrices para aplicar el cifrado de recursos seguros en Azure Automation.
- Permiso de runbook: de manera predeterminada, los permisos de runbook para una instancia de Hybrid Runbook Worker se ejecutan en un contexto del sistema en la máquina en la que se implementan. Un runbook proporciona su propia autenticación a los recursos locales. La autenticación se puede configurar mediante identidades administradas para los recursos de Azure o mediante la especificación de una cuenta de ejecución para proporcionar un contexto de usuario para todos los runbooks.
- Planeamiento de red:
- Si se usa un servidor proxy para la comunicación entre Azure Automation y las máquinas que ejecutan la instancia de Hybrid Runbook Worker basada, asegúrese de que sea posible acceder a los recursos adecuados. El tiempo de expiración para las solicitudes de Hybrid Runbook Worker y los servicios de Automation es de 30 segundos. Después de tres intentos, la solicitud produce un error.
- Hybrid Runbook Worker requiere el acceso saliente a Internet a través del puerto TCP 443 para comunicarse con Automation. Si usa un firewall para restringir el acceso a Internet, tendrá que configurarlo para que permita el acceso. En el caso de los equipos basados en agente (V1) con acceso restringido a Internet, use la puerta de enlace de Log Analytics para configurar la comunicación con Azure Automation y un área de trabajo de Azure Log Analytics.
- Hay un límite de cuota de CPU del 5 % al configurar Hybrid Runbook Worker de Linux basado en extensiones. No existe tal límite en Hybrid Runbook Worker basado en extensiones.
- Línea base de seguridad de Azure para Automation: el artículo Línea base de seguridad de Azure para Automation contiene recomendaciones sobre cómo mejorar la configuración de seguridad para proteger los recursos según la guía de procedimientos recomendados.
Optimización de costos
La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.
- Los costos de Azure Automation se calculan por la ejecución de trabajos por minuto. Cada mes, los primeros 500 minutos de la automatización de proceso son gratuitos. Puede usar la calculadora de precios de Azure para calcular los costos. Para más información sobre los modelos de precios de Azure Automation, consulte Precios de Automation.
- En el enfoque basado en agente (V1), el área de trabajo de Azure Log Analytics puede generar costos adicionales relacionados con la cantidad de datos de registro que se almacenan en Azure Log Analytics. El modelo de precios está en función del consumo. Los costos se asignan según la ingesta de datos y la retención de datos. Para la ingesta de datos en Azure Log Analytics, use el modelo de reserva de capacidad o de Pago por uso, que incluye 5 gigabytes (GB) gratis para cada cuenta de facturación al mes. La retención de datos de los primeros 31 días es gratuita. Para conocer los modelos de precios de Log Analytics, consulte Precios de Azure Monitor.
Excelencia operativa
La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.
Facilidad de uso
- El enfoque basado en extensiones (V2) ofrece facilidad de administración en comparación con el enfoque basado en agente (V1) gracias a:
- Integración nativa con la identidad de Azure Resource Manager para Hybrid Runbook Worker y proporciona flexibilidad para la gobernanza a escala mediante directivas y plantillas.
- El control y la administración centralizados de identidades y credenciales de recursos, ya que usa identidades asignadas por el sistema de máquinas virtuales proporcionadas por Microsoft Entra ID.
- Experiencia unificada tanto para máquinas de Azure como para máquinas que no son de Azure durante la incorporación y la separación de instancias de Hybrid Runbook Worker.
- Aplicable solo al enfoque basado en agente (V1):
- Para agilizar la implementación del agente de Log Analytics con el rol de Hybrid Worker que se ejecuta en una máquina Windows, use el script de PowerShell New-OnPremiseHybridWorker.ps1.
- La implementación de varios agentes en una infraestructura local se puede organizar mediante scripts de la línea de comandos e implementar mediante la directiva de grupo o System Center Configuration Manager.
DevOps
- Azure Automation permite la integración en sistemas de control de código fuente conocidos, Azure DevOps y GitHub. Con el control de código fuente, puede integrar el entorno de desarrollo existente que contiene los scripts y el código personalizado que se ha probado previamente en un entorno aislado.
- Para obtener información sobre cómo integrar Azure Automation con el entorno del control de código fuente, consulte Uso de la integración del control de código fuente.
Colaboradores
Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.
Autor principal:
- Mike Martin | Arquitecto sénior de soluciones en la nube
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Pasos siguientes
Más información sobre Azure Automation:
- Introducción a Hybrid Runbook Worker
- Implementación de una instancia de Hybrid Runbook Worker de usuario de Windows o Linux basada en extensiones
- Implementación de una instancia de Hybrid Runbook Worker de Windows basada en agentes en Automation
- Implementación de una instancia de Hybrid Runbook Worker de Linux basada en agentes en Automation
- Creación de una cuenta de Azure Automation
- Creación de un runbook en Azure Automation mediante identidades administradas
- Ejecución de runbooks de Automation en una instancia de Hybrid Runbook Worker
- Requisitos previos: Detalles de configuración de la red de Azure Automation
- Introducción a Azure Arc
- ¿Qué son los servidores habilitados para Azure Arc?
Más información sobre Azure Monitor y los registros de Azure Monitor: