Ringkasan Azure Automation Hybrid Runbook Worker

Runbook di Azure Automation mungkin tidak memiliki akses ke sumber daya di cloud lain atau di lingkungan lokal Anda karena dijalankan di platform cloud Azure. Anda dapat menggunakan fitur Hybrid Runbook Worker dari Azure Automation untuk menjalankan runbook langsung pada komputer yang meng-host peran dan terhadap sumber daya di lingkungan untuk mengelola sumber daya lokal tersebut. Runbook disimpan dan dikelola di Azure Automation lalu dikirim ke satu atau beberapa komputer yang ditetapkan.

Azure Automation menyediakan integrasi asli dari peran Hybrid Runbook Worker melalui kerangka ekstensi Azure virtual machine (VM). Agen Azure VM bertanggung jawab atas manajemen ekstensi pada Azure VM di VM Windows dan Linux, dan agen Azure Connected Machine pada komputer Non-Azure termasuk Server yang diaktifkan Azure Arc dan VMware vSphere dengan dukungan Azure Arc. Sekarang ada dua platform instalasi Hybrid Runbook Workers yang didukung oleh Azure Automation.

Platform Deskripsi
Berbasis ekstensi (V2) Dipasang menggunakan ekstensi VM Hybrid Runbook Worker, tanpa ketergantungan pada agen Log Analytics yang melapor ke ruang kerja Log Analytics Azure Monitor. Ini adalah platform yang direkomendasikan.
Berbasis agen (V1) Dipasang setelah pelaporan agen Log Analytics ke ruang kerja Log Analytics Azure Monitor selesai.

Cuplikan layar grup hybrid worker memperlihatkan bidang platform.

Untuk operasi Hybrid Runbook Worker setelah instalasi, proses yang mengeksekusi runbooks pada Hybrid Runbook Workers adalah sama. Tujuan dari pendekatan berbasis ekstensi adalah untuk menyederhanakan instalasi dan pengelolaan peran Hybrid Runbook Worker dan menghilangkan kompleksitas yang bekerja dengan versi berbasis agen. Instalasi berbasis ekstensi baru tidak mempengaruhi instalasi atau manajemen peran Hybrid Runbook Worker berbasis agen. Kedua jenis Hybrid Runbook Worker dapat bekerja berdampingan di mesin yang sama.

Hybrid Runbook Worker berbasis ekstensi hanya mendukung tipe Hybrid Runbook Worker pengguna, dan tidak termasuk sistem Hybrid Runbook Worker yang diperlukan untuk fitur Manajemen Pembaruan.

Manfaat Pekerja Hibrid Pengguna berbasis ekstensi

Pendekatan berbasis ekstensi sangat menyederhanakan penginstalan dan manajemen User Hybrid Runbook Worker, menghapus kompleksitas bekerja dengan pendekatan berbasis agen. Berikut adalah beberapa manfaat utama:

  • Onboarding yang mulus - Pendekatan berbasis Agen untuk onboarding hybrid Runbook worker tergantung pada agen Log Analytics, yang merupakan proses multi-langkah, memakan waktu, dan rawan kesalahan. Pendekatan berbasis ekstensi tidak lagi bergantung pada agen Analitik Log.
  • Kemudahan Pengelolaan – Ini menawarkan integrasi asli dengan identitas ARM untuk Hybrid Runbook Worker dan memberikan fleksibilitas untuk tata kelola dalam skala besar melalui kebijakan dan templat.
  • Autentikasi berbasis Azure Active Directory - Ini menggunakan identitas terkelola yang ditetapkan sistem komputer virtual yang disediakan oleh Azure Active Directory. Sistem ini memusatkan kontrol dan pengelolaan identitas dan kredensial sumber daya.
  • Pengalaman terpadu - Ini menawarkan pengalaman yang identik untuk mengelola mesin yang didukung Azure dan off-Azure Arc.
  • Beberapa saluran onboarding – Anda dapat memilih untuk onboarding dan mengelola pekerja berbasis ekstensi melalui portal Azure, cmdlet PowerShell, Bicep, templat ARM, REST API, dan Azure CLI. Anda juga dapat menginstal ekstensi pada server yang didukung Azure VM atau Arc yang ada dalam pengalaman portal Azure mesin tersebut melalui bilah Ekstensi.
  • Peningkatan Otomatis Default - Ini menawarkan peningkatan otomatis versi minor secara default, secara signifikan mengurangi pengelolaan tetap diperbarui pada versi terbaru. Sebaiknya aktifkan Peningkatan otomatis untuk memanfaatkan pembaruan keamanan atau fitur apa pun tanpa overhead manual. Anda juga dapat menolak peningkatan otomatis kapan saja. Setiap peningkatan versi utama saat ini tidak didukung dan harus dikelola secara manual.

Jenis Runbook Worker

Ada dua jenis Runbook Worker - sistem dan pengguna. Tabel berikut ini menjelaskan perbedaan keduanya.

Jenis Deskripsi
Sistem Hybrid Runbook Worker sistem mendukung set runbook tersembunyi yang digunakan oleh fitur Update Management yang dirancang untuk memasang pembaruan yang ditentukan pengguna pada komputer Windows dan Linux. Jenis Hybrid Runbook Worker ini bukan anggota grup Hybrid Runbook Worker, dan karenanya, tidak menjalankan runbook yang menargetkan grup Runbook Worker.
Pengguna Mendukung runbook yang ditentukan pengguna yang dimaksudkan untuk berjalan langsung pada komputer Windows dan Linux yang merupakan anggota dari satu atau beberapa grup Runbook Worker.

Hybrid Runbook Workers berbasis agen (V1) bergantung pada pelaporan agen Log Analytics ke ruang kerja Log Analytics Azure Monitor. Ruang kerja tidak hanya untuk mengumpulkan data pemantauan dari mesin, tetapi juga untuk mengunduh komponen yang diperlukan untuk menginstal Hybrid Runbook Worker berbasis agen.

Saat Azure Automation Update Management diaktifkan, komputer apa pun yang terhubung ke ruang kerja Log Analytics Anda secara otomatis dikonfigurasi sebagai Hybrid Runbook Worker sistem. Untuk mengonfigurasinya sebagai pengguna Windows Hybrid Runbook Worker, lihat Menerapkan Windows Hybrid Runbook Worker berbasis agen di Azure Automation dan untuk Linux, lihat Menerapkan Linux Hybrid Runbook Worker berbasis agen di Azure Automation.

Batas Runbook Worker

Tabel berikut menunjukkan jumlah maksimum sistem dan pengguna Hybrid Runbook Workers di akun Automation. Jika Anda memiliki lebih dari 4.000 komputer untuk dikelola, sebaiknya buat akun Automation lain.

Jenis pekerja Jumlah maksimum yang didukung per Akun Automation.
Sistem 4000
Pengguna 4000

Bagaimana cara kerjanya?

Setiap pengguna Hybrid Runbook Worker adalah anggota grup Hybrid Runbook Worker yang Anda tentukan saat Anda memasang pekerja. Grup dapat menyertakan satu pekerja, tetapi Anda dapat menyertakan beberapa pekerja dalam grup untuk ketersediaan tinggi. Setiap komputer dapat meng-host satu pelaporan Hybrid Runbook Worker ke satu akun Automation; Anda tidak dapat mendaftarkan Hybrid Worker di beberapa akun Automation. Pekerja hibrid hanya dapat mendengarkan pekerjaan dari satu akun Automation.

Diagram teknis Hybrid Runbook Worker Pengguna

Untuk komputer yang meng-host sistem Hybrid Runbook worker yang dikelola oleh Update Management, komputer dapat ditambahkan ke grup Hybrid Runbook Worker. Tetapi, Anda harus menggunakan akun Automation yang sama untuk Update Management dan keanggotaan grup Hybrid Runbook Worker.

Diagram teknis Hybrid Runbook Worker Sistem

Saat Anda memulai runbook pada Hybrid Runbook Worker pengguna, Anda menentukan grup yang dijalankannya. Setiap pekerja dalam kelompok melakukan polling Azure Automation untuk melihat apakah ada pekerjaan yang tersedia. Jika pekerjaan tersedia, pekerja pertama yang mendapatkan pekerjaan mengambilnya. Waktu pemrosesan antrean pekerjaan tergantung pada profil dan beban perangkat keras pekerja hibrid. Anda tidak dapat menentukan pekerja tertentu. Pekerja hibrid bekerja pada mekanisme polling (setiap 30 detik) dan mengikuti urutan pertama datang, pertama ditangani. Pekerja hibrid mana pun yang melakukan ping layanan Automation mengambil pekerjaan, bergantung pada waktu pekerjaan didorong. Seorang pekerja hibrid tunggal umumnya dapat mengambil empat pekerjaan per ping (artinya, setiap 30 detik). Jika tingkat Anda mendorong pekerjaan lebih tinggi dari empat per 30 detik, maka ada kemungkinan besar hybrid worker lain dalam kelompok Pekerja Runbook Hybrid mengambil pekerjaan tersebut.

Hybrid Runbook Worker tidak memiliki banyak batas sumber daya Azure sandbox pada ruang disk, memori, atau soket jaringan. Batasan pada pekerja hibrid hanya terkait dengan sumber daya pekerja sendiri, dan mereka tidak dibatasi oleh batas waktu pembagian yang adil yang dimiliki Azure sandbox.

Untuk mengontrol distribusi runbook pada Hybrid Runbook Worker dan waktu atau cara pekerjaan dipicu, Anda dapat mendaftarkan pekerja hibrid untuk berbagai grup Hybrid Runbook Worker dalam akun Automation Anda. Targetkan pekerjaan terhadap kelompok atau grup tertentu untuk mendukung pengaturan eksekusi Anda.

Skenario Umum untuk User Hybrid Runbook Workers

  • Untuk menjalankan Azure Automation runbook untuk manajemen VM tamu langsung pada komputer virtual (VM) Azure yang ada dan server di luar Azure yang terdaftar sebagai server berkemampuan Azure Arc atau VMware VM dengan dukungan Azure Arc (pratinjau). Server yang didukung Azure Arc dapat berupa server fisik Windows dan Linux dan komputer virtual yang dihosting di luar Azure, di jaringan perusahaan Anda, atau penyedia cloud lainnya.
  • Untuk mengatasi batasan kotak pasir Azure Automation - skenario umum termasuk menjalankan operasi jangka panjang di luar batas tiga jam untuk pekerjaan cloud, melakukan operasi otomatisasi intensif sumber daya, berinteraksi dengan layanan lokal yang berjalan di tempat atau di lingkungan hibrid, menjalankan skrip yang memerlukan izin yang ditingkatkan.
  • Untuk mengatasi pembatasan organisasi untuk menyimpan data di Azure karena alasan tata kelola dan keamanan - karena Anda tidak dapat menjalankan pekerjaan Automation di cloud, Anda dapat menjalankannya di komputer lokal yang di-onboarding sebagai User Hybrid Runbook Worker.
  • Untuk mengotomatiskan operasi pada beberapa —sumber daya Off-Azure yang berjalan di lingkungan lokal atau multicloud. Anda dapat melakukan onboarding salah satu mesin tersebut sebagai User Hybrid Runbook Worker dan menargetkan otomatisasi pada komputer yang tersisa di lingkungan lokal.
  • Untuk mengakses layanan lain secara privat dari Azure Virtual Network (VNet) tanpa membuka koneksi internet keluar, Anda dapat menjalankan runbook pada Hybrid Worker yang terhubung ke Azure VNet.

Pemasangan Hybrid Runbook Worker

Proses untuk memasang Hybrid Runbook Worker pengguna bergantung pada sistem operasi. Tabel di bawah ini menentukan jenis penyebaran.

Sistem Operasi Jenis Penyebaran
Windows ManualOtomatis.
Linux Manual
Baik Untuk Hybrid Runbook Workers pengguna, lihat Menyebarkan Hybrid Runbook Worker pengguna berbasis ekstensi Windows atau Linux di Automation. Ini adalah metode yang direkomendasikan.

Catatan

Hybrid Runbook Worker saat ini tidak didukung pada Set Skala VM.

Perencanaan jaringan

Periksa Azure Automation Network Configuration untuk mengetahui informasi terperinci tentang port, URL, dan detail jaringan lainnya yang diperlukan untuk Hybrid Runbook Worker.

Penggunaan server proksi

Jika Anda menggunakan server proksi untuk komunikasi antara Azure Automation dan komputer yang menjalankan agen Log Analytics, pastikan sumber daya yang sesuai dapat diakses. Batas waktu untuk permintaan dari layanan Hybrid Runbook Worker dan Automation adalah 30 detik. Setelah tiga upaya, permintaan gagal.

Penggunaan firewall

Jika menggunakan firewall untuk membatasi akses ke internet, Anda harus mengonfigurasi firewall untuk mengizinkan akses. Jika menggunakan gateway Log Analytics sebagai proksi, pastikan bahwa gateway tersebut dikonfigurasi untuk Hybrid Runbook Worker. Lihat Mengonfigurasi gateway Log Analytics untuk Automation Hybrid Runbook Worker.

Tag layanan

Azure Automation mendukung tag layanan jaringan virtual Azure, khususnya GuestAndHybridManagement. Anda dapat menggunakan tag layanan jaringan virtual untuk menentukan kontrol pada akses jaringan pada kelompok keamanan jaringan atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan GuestAndHybridManagement di bidang sumber atau tujuan aturan yang sesuai, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan Automation. Tag layanan ini tidak mendukung diizinkannya kontrol yang lebih terperinci dengan membatasi rentang IP untuk wilayah tertentu.

Tag layanan untuk layanan Automation Azure hanya menyediakan IP yang digunakan untuk skenario berikut:

  • Memicu webhook dari dalam jaringan virtual Anda
  • Mengizinkan Hybrid Runbook Worker atau agen State Configuration di VNet Anda untuk berkomunikasi dengan layanan Automation

Catatan

Tag layanan GuestAndHybridManagement saat ini tidak mendukung eksekusi pekerjaan runbook di Azure sandbox, hanya langsung pada Hybrid Runbook Worker.

Dukungan untuk Impact Level 5 (IL5)

Azure Automation Hybrid Runbook Worker dapat digunakan di Azure Government untuk mendukung beban kerja Impact Level 5 di satu dari dua konfigurasi berikut:

  • komputer virtual terpisah. Ketika disebarkan, ini menggunakan seluruh host fisik untuk komputer yang menyediakan tingkat isolasi yang diperlukan untuk mendukung beban kerja IL5.

  • Azure Dedicated Host yang menyediakan server fisik yang mampu meng-host satu atau beberapa komputer virtual, yang didedikasikan untuk satu langganan Azure.

Catatan

Menghitung isolasi melalui peran Hybrid Runbook Worker tersedia untuk cloud Azure Commercial dan US Government.

Memperbarui alamat Management untuk Hybrid Runbook Worker

Selain alamat standar dan port yang diperlukan untuk Hybrid Runbook Worker, Update Management memiliki persyaratan konfigurasi jaringan lain yang dijelaskan di bagian perencanaan jaringan.

Azure Automation State Configuration pada Hybrid Runbook Worker

Anda dapat menjalankan Azure Automation State Configuration pada Hybrid Runbook Worker. Untuk mengelola konfigurasi server yang mendukung Hybrid Runbook Worker, Anda harus menambahkan server sebagai node DSC. Lihat Mengaktifkan komputer untuk manajemen berdasarkan Azure Automation State Configuration.

Runbook di Hybrid Runbook Worker

Anda mungkin memiliki runbook yang mengelola sumber daya pada komputer lokal atau dijalankan terhadap sumber daya di lingkungan lokal tempat pengguna Hybrid Runbook Worker disebarkan. Dalam hal ini, Anda dapat memilih untuk menjalankan runbook Anda pada pekerja hibrid alih-alih di akun Automation. Runbook yang dijalankan pada Hybrid Runbook Worker identik dalam struktur dengan yang Anda jalankan di akun Automation. Lihat Menjalankan runbook di Hybrid Runbook Worker.

Pekerjaan Hybrid Runbook Worker

Pekerjaan untuk Hybrid Runbook Worker berjalan pada akun Sistem lokal di Windows, atau akun nxautomation di Linux. Azure Automation menangani pekerjaan di Hybrid Runbook Worker secara berbeda dari pekerjaan yang dijalankan di Azure sandbox. Lihat Lingkungan eksekusi Runbook.

Jika komputer host Hybrid Runbook Worker di-reboot, pekerjaan runbook apa pun yang berjalan dimulai ulang dari awal, atau dari titik pemeriksaan terakhir untuk runbook PowerShell Workflow. Setelah dimulai ulang lebih dari tiga kali, pekerjaan runbook ditangguhkan.

Izin runbook untuk Hybrid Runbook Worker

Karena mengakses sumber daya di luar Azure, runbook yang berjalan pada Hybrid Runbook Worker pengguna tidak dapat menggunakan mekanisme autentikasi yang biasanya digunakan oleh runbook yang mengautentikasi ke sumber daya Azure. Runbook menyediakan autentikasinya sendiri ke sumber daya lokal, atau mengonfigurasi autentikasi menggunakan identitas terkelola untuk sumber daya Azure. Anda juga dapat menentukan akun Jalankan Sebagai untuk menyediakan konteks pengguna untuk semua runbook.

Melihat sistem Hybrid Runbook Worker

Setelah fitur Update Management diaktifkan pada komputer Windows atau Linux, Anda dapat menginventarisasi daftar grup Hybrid Runbook Worker sistem di portal Microsoft Azure. Anda dapat menampilkan hingga 2.000 pekerja di portal dengan memilih tab grup pekerja hibrid Sistem dari opsi Grup pekerja hibrid dari panel sebelah kiri untuk akun Automation yang dipilih.

Halaman grup pekerja hibrid sistem akun Automation

Jika Anda memiliki lebih dari 2.000 pekerja hibrid, untuk mendapatkan daftar lengkapnya, Anda dapat menjalankan skrip PowerShell berikut ini:

"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"

Langkah berikutnya