Azure Automation dans un environnement hybride

Dans Azure Automation, les runbooks s’exécutent sur la plateforme cloud Azure et peuvent ne pas avoir accès aux ressources qui se trouvent dans d’autres clouds ou dans votre environnement local. Vous pouvez utiliser la fonctionnalité Runbook Worker hybride d’Azure Automation pour exécuter des runbooks directement sur la machine qui héberge le rôle et sur les ressources de l’environnement afin de gérer ces ressources locales. Les runbooks sont stockés et gérés dans Azure Automation et remis ensuite à une ou plusieurs machines assignées.

Architecture

Téléchargez un fichier Visio de cette architecture.

Workflow

L’architecture Runbook Worker hybride se compose des éléments suivants :

• Compte Automation : service cloud qui automatise la configuration et la gestion dans vos environnements Azure et non Azure.
• Runbook Worker hybride : ordinateur configuré avec la fonctionnalité Runbook Worker hybride qui peut exécuter les runbooks directement sur l’ordinateur et sur les ressources de l’environnement local.
• Groupe de Runbooks Workers hybrides : groupe constitué de plusieurs Runbooks Workers hybrides assurant une disponibilité et une échelle supérieures pour exécuter un ensemble de runbooks.
• Runbook : une collection d’une ou de plusieurs activités liées qui, ensemble, automatisent un processus ou une opération. Plus d’informations
• Machines locales et machines virtuelles : ordinateurs locaux et machines virtuelles Windows ou Linux hébergés sur un réseau local privé.
• Composants applicables à l’approche basée sur une extension (V2) :
  • Extension de machine virtuelle Runbook Worker hybride : petite application installée sur un ordinateur. L’application configure l’ordinateur en tant que Runbook Worker hybride.
  • Serveur avec Arc : les serveurs avec Azure Arc vous permettent de gérer des ordinateurs et des machines virtuelles Windows et Linux hébergés en dehors d’Azure, que ce soit sur votre réseau d’entreprise ou sur un autre fournisseur de cloud. Cette expérience de gestion est conçue pour être cohérente avec la manière dont vous gérez les machines virtuelles Azure natives. Plus d’informations
• Composants applicables à l’approche basée sur un agent (V1) :
  • Espace de travail Log Analytics : un espace de travail Log Analytics est un référentiel de données pour les données de journal collectées à partir de ressources qui s’exécutent dans Azure, localement ou dans un autre fournisseur de cloud.
  • Solution Automation Hybrid Worker : : avec cette solution, vous pouvez créer des Runbooks Workers hybrides pour exécuter des runbooks Azure Automation sur vos ordinateurs Azure et non Azure.

Runbook Worker hybride Utilisateur

Téléchargez un fichier Visio de cette architecture.

Chaque Runbook Worker hybride utilisateur est membre d'un groupe Runbook Worker hybride que vous spécifiez lorsque vous installez le worker. Un groupe peut inclure un seul worker, mais vous pouvez inclure plusieurs workers dans un groupe pour une haute disponibilité. Chaque machine peut héberger un Runbook Worker hybride rendant compte à un compte Automation. Vous ne pouvez pas inscrire le Worker hybride dans plusieurs comptes Automation. Un worker hybride ne peut écouter des travaux qu’à partir d’un seul compte Automation.

Runbook Worker hybride Système

Téléchargez un fichier Visio de cette architecture.

Les machines qui hébergent Runbook Worker hybride Système géré par Update Management peuvent être ajoutées à un groupe de Runbooks Workers hybrides. Toutefois, vous devez utiliser le même compte Automation pour Update Management et l’appartenance au groupe de Runbook Workers hybrides.

Exécution des travaux sur Runbook Worker hybride

Lorsque vous démarrez un runbook sur un Runbook Worker hybride utilisateur, vous spécifiez le groupe sur lequel il s’exécute. Chaque worker du groupe interroge Azure Automation pour voir si des travaux sont disponibles. Si un travail est disponible, le premier worker qui le reçoit s’en occupe. Le temps de traitement de la file d’attente des travaux varie selon la charge et le profil matériel du Worker hybride. Vous ne pouvez pas spécifier un worker en particulier. Le worker hybride s’appuie sur un mécanisme d’interrogation (toutes les 30 secondes) et suit l’ordre du premier arrivé, premier servi.

Components

• Azure Automation est un service Azure permettant d’automatiser les tâches de gestion cloud. La fonctionnalité Runbook Worker hybride permet d’exécuter des runbooks sur des machines situées dans votre centre de données afin de gérer les ressources locales.
• Azure Monitor vous permet d’observer entièrement les applications, l’infrastructure et le réseau. Les journaux Azure Monitor sont une fonctionnalité Azure Monitor qui collecte et organise les données de performances et de journal issues de ressources supervisées. Log Analytics est un outil du portail Azure qui permet d’interroger les journaux et d’analyser les résultats

Détails du scénario

Approche de l’installation de Runbook Worker hybride

Azure Automation assure l’intégration native du rôle Runbook Worker hybride via l’infrastructure d’extension de machine virtuelle Azure. L’agent de machine virtuelle Azure est chargé de gérer l’extension sur les machines virtuelles Azure, à la fois Windows et Linux, et sur les machines non Azure via Connected Machine Agent des serveurs avec Arc. Azure Automation prend en charge deux plateformes d’installation de Runbook Worker hybride.

Un Worker hybride peut coexister avec les deux plateformes : Basé sur un agent (v1) et Basé sur une extension (v2) . Si vous installez Basé sur une extension (v2) sur un Worker hybride qui exécute déjà Basé sur un agent (v1), le groupe comporte deux entrées du Runbook Worker hybride. L’un avec la plateforme Basé sur une extension (v2) et l’autre avec Basé sur un agent (v1) . En savoir plus

Types de Runbook Worker

Il existe deux types de Runbook Worker : Système et Utilisateur.

Le type Système prend en charge un ensemble de runbooks masqués qui sont utilisés par la fonctionnalité Update Management. Les runbooks sont conçus pour installer les mises à jour spécifiées par l’utilisateur sur des machines Windows et Linux. Ce type de Runbook Worker hybride n’est pas membre d’un groupe de Runbooks Workers hybrides et, par conséquent, n’exécute pas de runbooks qui ciblent un groupe de Runbooks Workers.

Le type Utilisateur prend en charge les runbooks définis par l’utilisateur qui sont destinés à s’exécuter directement sur les machines Windows et Linux membres d’un ou plusieurs groupes de Runbooks Workers.

Le Runbook Worker hybride basé sur une extension prend en charge seulement le type Runbook Worker hybride Utilisateur et n’inclut pas le Runbook Worker hybride Système nécessaire pour la fonctionnalité Update Management.

Les Runbooks Worker hybrides basés sur un agent (v1) dépendent de l’agent Log Analytics qui rapporte à un espace de travail Log Analytics Azure Monitor. L’espace de travail ne collecte pas seulement des données de monitoring auprès de la machine, il télécharge aussi les composants nécessaires à l’installation du Runbook Worker hybride basé sur un agent. Quand la solution Update Management d’Azure Automation est activée, toute machine connectée à votre espace de travail Log Analytics est automatiquement configurée en tant que Runbook Worker hybride système.

Cas d’usage potentiels

• Pour exécuter des runbooks Azure Automation directement sur une machine virtuelle Azure ou sur un serveur local activé pour Azure Arc.
• Pour surmonter la limitation du bac à sable Azure Automation. Les scénarios courants incluent l’exécution d’opérations de longue durée au-delà de la limite de trois heures pour les travaux cloud, l’exécution d’opérations d’automatisation gourmandes en ressources, l’interaction avec des services locaux exécutés sur site ou dans un environnement hybride, l’exécution de scripts qui nécessitent des autorisations élevées, et ainsi de suite.
• Pour surmonter les restrictions organisationnelles de conservation des données dans Azure pour des raisons de gouvernance et de sécurité. Même si vous ne pouvez pas exécuter des tâches Automation dans le cloud, vous pouvez les exécuter sur un ordinateur local intégré en tant que Runbook Worker hybride.
• Pour automatiser des opérations sur plusieurs ressources non Azure qui s’exécutent dans des environnements locaux, hybrides ou multiclouds. Vous pouvez intégrer une de ces machines en tant que Runbook Worker hybride et cibler l’automatisation sur les machines locales restantes.
• Pour accéder à d’autres services de façon privée à partir du Réseau virtuel Microsoft Azure sans avoir à ouvrir une connexion sortante vers Internet, vous pouvez exécuter des runbooks sur un Worker hybride connecté au réseau virtuel Azure.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected Framework.

Fiabilité

La fiabilité permet de s’assurer que votre application tient vos engagements auprès de vos clients. Pour plus d’informations, consultez la page Vue d’ensemble du pilier de fiabilité.

• Un groupe de Runbooks Workers hybrides constitué de plusieurs machines configurées avec le rôle Worker hybride offre une haute disponibilité, car les runbooks démarrent uniquement sur les serveurs qui sont en cours d’exécution et sains.
• Le Runbook Worker hybride (V1) basé sur une extension prend en charge uniquement le type Runbook Worker hybride Utilisateur et n’inclut pas le Runbook Worker hybride Système nécessaire pour la fonctionnalité Update Management.
• Ce qui suit vaut uniquement pour l’approche basée sur un agent (V1). Actuellement, les mappages entre un espace de travail Log Analytics et un compte Automation sont pris en charge dans plusieurs régions. Pour plus d’informations, consultez Régions prises en charge pour l’espace de travail Log Analytics lié.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

• Chiffrement des ressources sensibles dans Automation : un compte Azure Automation peut contenir des ressources sensibles telles que des informations d’identification, un certificat, une connexion et des variables chiffrées qui peuvent être utilisées par les runbooks. Chaque ressource sécurisée est chiffrée par défaut à l’aide d’une clé de chiffrement de données générée pour chaque compte Automation. Ces clés sont chiffrées et stockées dans Azure Automation avec une clé de chiffrement de compte (AEK) qui peut être stockée dans le coffre de clés pour les clients qui souhaitent gérer le chiffrement avec leurs propres clés. Par défaut, la clé de chiffrement de compte est chiffrée avec des clés gérées par Microsoft. Utilisez les instructions suivantes pour appliquer le chiffrement des ressources sécurisées dans Azure Automation.
• Autorisation de runbook : par défaut, les autorisations de runbook pour un Runbook Worker hybride s’exécutent dans un contexte système sur la machine où elles sont déployées. Un runbook fournit sa propre authentification aux ressources locales. L’authentification peut être configurée en utilisant des identités managées pour les ressources Azure ou en spécifiant un compte d’identification afin de fournir un contexte utilisateur pour tous les runbooks.
• Planification réseau :
  • Si vous utilisez un serveur proxy pour la communication entre Azure Automation et les machines qui exécutent le Runbook Worker hybride, veillez à ce que les ressources appropriées soient accessibles. Le délai d’expiration pour les demandes du Runbook Worker hybride et des services Automation est de 30 secondes. Après trois tentatives, la requête échoue.
  • Le Runbook Worker hybride requiert un accès Internet sortant sur le port TCP 443 pour communiquer avec Automation. Si vous utilisez un pare-feu pour restreindre l’accès à Internet, vous devez configurer le pare-feu pour autoriser l’accès. Pour les ordinateurs basés sur un agent (V1) ayant un accès Internet restreint, utilisez la passerelle Log Analytics pour configurer la communication avec Azure Automation et l’espace de travail Azure Log Analytics.
  • Le quota d’UC est limité à 5 % lors de la configuration du Runbook Worker hybride Linux basé sur une extension. Cette limite n’existe pas pour le Runbook Worker hybride Windows basé sur une extension.
• Base de référence de sécurité Azure pour Automation : la base de référence de sécurité Azure pour Automation contient des recommandations sur la façon d’améliorer votre configuration de la sécurité pour protéger vos ressources en suivant les conseils en matière de bonnes pratiques.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et à améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

• Les coûts d’Azure Automation sont facturés à la minute pour l’exécution des travaux. Chaque mois, les 500 premières minutes d’automatisation des processus sont gratuites. Utiliser la calculatrice de prix Azure pour estimer les coûts. Pour plus d’informations sur les modèles de tarification Azure Automation, consultez Tarification Automation.
• Pour l’approche basée sur un agent (V1), l’espace de travail Azure Log Analytics peut engendrer des coûts supplémentaires liés à la quantité de données de journal stockées dans Azure Log Analytics. Le modèle de tarification est basé sur la consommation. Les coûts sont associés à l’ingestion de données et à la conservation des données. Pour ingérer des données dans Azure Log Analytics, utilisez le modèle de réservation de capacité ou de paiement à l’utilisation qui comprend 5 gigaoctets (Go) gratuits par compte de facturation et par mois. La conservation des données est gratuite pendant les 31 premiers jours. Pour connaître les modèles de tarification de Log Analytics, consultez la tarification d’Azure Monitor.

Excellence opérationnelle

L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et maintiennent son fonctionnement en production. Pour plus d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.

Simplicité de gestion

• L’approche basée sur l’extension (v2) offre une facilité de gestion par rapport à l’approche basée sur une agent (V1) grâce aux éléments suivants :
  • Intégration native avec une identité ARM pour le Runbook Worker hybride, et offre la flexibilité nécessaire pour une gouvernance à grande échelle en s’appuyant sur des stratégies et des modèles.
  • La gestion et le contrôle centralisés des identités et des informations d’identification des ressources, car elle utilise des identités affectées par le système des machines virtuelles fournies par Microsoft Entra ID.
  • Expérience unifiée pour les machines Azure et non-Azure lors de l’intégration et de l’annulation de l’intégration des Runbooks Workers hybrides.
• Applicable seulement pour l’approche basée sur un agent (v1) :
  • Pour accélérer le déploiement de l’agent Log Analytics avec le rôle Worker hybride s’exécutant sur une machine Windows, utilisez le script PowerShell New-OnPremiseHybridWorker.ps1.
  • Le déploiement de nombreux agents dans une infrastructure locale peut être orchestré à l’aide de scripts en ligne de commande et réalisé à l’aide de Stratégie de groupe ou de System Center Configuration Manager.

DevOps

• Azure Automation permet une intégration à des systèmes de contrôle de code source courants comme Azure DevOps et GitHub. Grâce au contrôle de code source, vous pouvez intégrer l’environnement de développement existant qui contient vos scripts et votre code personnalisé qui a été testé précédemment dans un environnement isolé.
• Pour savoir comment intégrer Azure Automation à votre environnement de contrôle de code source, consultez Utiliser l’intégration du contrôle de code source.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Mike Martin | Architecte de solutions cloud senior

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

En savoir plus sur Azure Automation :

• Vue d’ensemble des Runbooks Workers hybrides
• Déployer un Runbook Worker hybride Utilisateur Windows ou Linux basé sur une extension
• Déployer un Runbook Worker hybride Windows basé sur un agent dans Automation
• Déployer un Runbook Worker hybride Linux basé sur un agent dans Automation
• Créer un compte Azure Automation
• Créer un runbook dans Azure Automation en utilisant des identités managées
• Exécuter des runbooks Automation sur un Runbook Worker hybride
• Conditions préalables : Détails de la configuration réseau d’Azure Automation
• Vue d’ensemble d’Azure Arc
• Qu’est-ce qu’un serveur avec Azure Arc ?

En savoir plus sur Azure Monitor et les journaux Azure Monitor :

• Vue d’ensemble de Journaux d’activité Azure Monitor
• Présentation de Log Analytics dans Azure Monitor

Ressources associées

• Conception d’une architecture hybride
• Connecter un réseau local à Azure
• Surveillance d’entreprise avec Azure Monitor
• Chaîne de preuves de forensique informatique dans Azure
• Récupération d’urgence pour les machines virtuelles Azure Stack Hub