Panoramica del ruolo di lavoro ibrido per runbook di Automazione

I runbook in Automazione di Azure potrebbero non avere accesso alle risorse in altri cloud o negli ambienti locali perché vengono eseguiti nella piattaforma cloud di Azure. È possibile usare la funzionalità Di lavoro ibrido runbook di Automazione di Azure per eseguire runbook direttamente nel computer che ospita il ruolo e le risorse nell'ambiente per gestire tali risorse locali. I runbook vengono archiviati e gestiti in Automazione di Azure e quindi recapitati a uno o più computer assegnati.

Automazione di Azure offre l'integrazione nativa del ruolo di lavoro ibrido runbook tramite il framework di estensione macchina virtuale di Azure. L'agente di macchine virtuali di Azure è responsabile della gestione dell'estensione nelle macchine virtuali di Azure in macchine virtuali Windows e Linux e dell'agente di Macchina connessa di Azure in computer non Azure, inclusi server abilitati per Azure Arc e VMware vSphere abilitati per Azure Arc. Ora sono disponibili due piattaforme di installazione di Runbook Worker ibride supportate da Automazione di Azure.

Piattaforma Descrizione
Basato su estensione (V2) Installato usando l'estensione vm di lavoro ibrido runbook, senza alcuna dipendenza dall'agente di Log Analytics che segnala a un'area di lavoro Log Analytics di Monitoraggio di Azure. Si tratta della piattaforma consigliata.
Basato su agente (V1) Installato dopo il completamento della segnalazione dell'agente di Log Analytics in un'area di lavoro Log Analytics di Monitoraggio di Azure.

Screenshot del gruppo di lavoro ibrido che mostra il campo della piattaforma.

Per le operazioni di lavoro ibrido per runbook dopo l'installazione, il processo di esecuzione dei runbook nei ruoli di lavoro ibridi è lo stesso. Lo scopo dell'approccio basato sull'estensione consiste nel semplificare l'installazione e la gestione del ruolo di lavoro ibrido runbook e rimuovere la complessità che funziona con la versione basata su agente. La nuova installazione basata su estensione non influisce sull'installazione o sulla gestione di un ruolo di lavoro ibrido basato su agente. Entrambi i tipi di lavoro ibridi per runbook possono coesistere nello stesso computer.

Il ruolo di lavoro ibrido basato su estensione supporta solo il tipo di lavoro ibrido runbook per l'utente e non include il ruolo di lavoro ibrido per runbook ibrido necessario per la funzionalità Gestione aggiornamenti.

Vantaggi dei ruoli di lavoro ibridi degli utenti basati su estensione

L'approccio basato sull'estensione semplifica notevolmente l'installazione e la gestione del ruolo di lavoro ibrido per runbook utente, rimuovendo la complessità dell'uso dell'approccio basato sull'agente. Ecco alcuni vantaggi principali:

  • Onboarding senza problemi : l'approccio basato su Agent per l'onboarding del ruolo di lavoro ibrido per runbook dipende dall'agente di Log Analytics, ovvero un processo a più passaggi, che richiede tempo e soggetto a errori. L'approccio basato sull'estensione non dipende più dall'agente di Log Analytics.
  • Facilità di gestione : offre l'integrazione nativa con l'identità arm per il ruolo di lavoro ibrido per runbook e offre la flessibilità per la governance su larga scala tramite criteri e modelli.
  • Autenticazione basata su Azure Active Directory : usa identità gestite assegnate dal sistema vm fornite da Azure Active Directory. In questo modo viene centralizzato il controllo e la gestione delle identità e delle credenziali delle risorse.
  • Esperienza unificata: offre un'esperienza identica per la gestione di computer abilitati per Azure e off-Azure Arc.
  • Più canali di onboarding: è possibile scegliere di eseguire l'onboarding e gestire i ruoli di lavoro basati sull'estensione tramite i cmdlet di portale di Azure, PowerShell, Bicep, modelli arm, API REST e interfaccia della riga di comando di Azure. È anche possibile installare l'estensione in una macchina virtuale di Azure esistente o in un server abilitato per Arc all'interno dell'esperienza portale di Azure del computer tramite il pannello Estensioni.
  • Aggiornamento automatico predefinito: offre l'aggiornamento automatico delle versioni secondarie per impostazione predefinita, riducendo significativamente la gestibilità dell'aggiornamento nella versione più recente. È consigliabile abilitare gli aggiornamenti automatici per sfruttare qualsiasi aggiornamento della sicurezza o delle funzionalità senza il sovraccarico manuale. È anche possibile rifiutare esplicitamente gli aggiornamenti automatici in qualsiasi momento. Gli aggiornamenti delle versioni principali non sono attualmente supportati e devono essere gestiti manualmente.

Tipi di lavoro runbook

Esistono due tipi di ruoli di lavoro runbook: sistema e utente. La tabella seguente descrive la differenza tra di esse.

Tipo Descrizione
Sistema Supporta un set di runbook nascosti usati dalla funzionalità Gestione aggiornamenti progettata per installare gli aggiornamenti specificati dall'utente nei computer Windows e Linux. Questo tipo di ruolo di lavoro ibrido per runbook non è membro di un gruppo di lavoro ibrido per runbook e quindi non esegue runbook destinati a un gruppo di lavoro runbook.
Utente Supporta runbook definiti dall'utente che devono essere eseguiti direttamente nel computer Windows e Linux che sono membri di uno o più gruppi di lavoro runbook.

I ruoli di lavoro ibridi basati su agente (V1) si basano sul report dell'agente Log Analytics in un'area di lavoro Log Analytics di Monitoraggio di Azure. L'area di lavoro non è solo per raccogliere i dati di monitoraggio dal computer, ma anche per scaricare i componenti necessari per installare il ruolo di lavoro ibrido basato su agente.

Quando Automazione di Azure Gestione aggiornamenti è abilitato, qualsiasi computer connesso all'area di lavoro Log Analytics viene configurato automaticamente come ruolo di lavoro ibrido per runbook. Per configurarlo come utente Del ruolo di lavoro ibrido per runbook windows, vedere Distribuire un ruolo di lavoro ibrido per runbook windows basato su agente in Automazione e per Linux, vedere Distribuire un ruolo di lavoro ibrido per runbook Linux basato su agente in Automazione.

Limiti del ruolo di lavoro runbook

La tabella seguente mostra il numero massimo di ruoli di lavoro ibridi per runbook di sistema e utente in un account di Automazione. Se sono disponibili più di 4.000 computer da gestire, è consigliabile creare un altro account di Automazione.

Tipo di lavoro Numero massimo supportato per account di automazione.
Sistema 4000
Utente 4000

Come funziona?

Ogni utente Ibrido Runbook Worker è membro di un gruppo di lavoro ibrido runbook specificato quando si installa il ruolo di lavoro. Un gruppo può includere un singolo ruolo di lavoro, ma è possibile includere più lavoratori in un gruppo per la disponibilità elevata. Ogni computer può ospitare un report di lavoro ibrido per runbook a un account di automazione; non è possibile registrare il ruolo di lavoro ibrido in più account di Automazione. Un ruolo di lavoro ibrido può ascoltare solo i processi da un singolo account di Automazione.

Diagramma tecnico del ruolo di lavoro ibrido per runbook

Per i computer che ospitano il ruolo di lavoro ibrido runbook gestito da Gestione aggiornamenti, possono essere aggiunti a un gruppo di lavoro ibrido per runbook. Tuttavia, è necessario usare lo stesso account di Automazione sia per gestione aggiornamenti che per l'appartenenza al gruppo di lavoro ibrido runbook.

Diagramma tecnico del ruolo di lavoro ibrido per runbook

Quando si avvia un runbook in un ruolo di lavoro ibrido per runbook, specificare il gruppo in esecuzione. Ogni ruolo di lavoro del gruppo esegue il polling di Automazione di Azure per vedere se sono disponibili processi. Se è disponibile un processo, il primo ruolo di lavoro che raggiunge il processo lo ottiene. Il tempo di elaborazione della coda processi dipende dal profilo hardware e dal carico del ruolo di lavoro ibrido. Non è possibile scegliere un computer di lavoro specifico. Il ruolo di lavoro ibrido funziona su un meccanismo di polling (ogni 30 secondi) e segue un ordine di primo piano, primo servizio. A seconda del momento in cui è stato eseguito il push di un processo, tuttavia il servizio di automazione esegue il ping del processo. Un singolo ruolo di lavoro ibrido può in genere raccogliere quattro processi per ping, ovvero ogni 30 secondi. Se la frequenza di push dei processi è superiore a quattro per 30 secondi, è possibile che un altro ruolo di lavoro ibrido nel gruppo di lavoro ibrido per runbook sia stato raccolto il processo.

Un ruolo di lavoro ibrido per runbook non ha molti limiti delle risorse sandbox di Azure sullo spazio su disco, memoria o socket di rete. I limiti di un ruolo di lavoro ibrido sono correlati solo alle risorse proprie del lavoratore e non sono vincolati dal limite di tempo di condivisione equa che le sandbox di Azure hanno.

Per controllare la distribuzione dei runbook nei ruoli di lavoro ibridi per runbook e quando o come vengono attivati i processi, è possibile registrare il ruolo di lavoro ibrido in diversi gruppi di lavoro ibridi runbook all'interno dell'account di Automazione. Destinazione dei processi rispetto al gruppo o ai gruppi specifici per supportare la disposizione dell'esecuzione.

Scenari comuni per i ruoli di lavoro ibridi per runbook dell'utente

  • Per eseguire Automazione di Azure runbook per la gestione delle macchine virtuali guest direttamente in una macchina virtuale di Azure esistente e un server off-Azure registrato come server abilitato per Azure Arc o vm VMware abilitata per Azure Arc (anteprima). I server abilitati per Azure Arc possono essere server fisici Windows e Linux e macchine virtuali ospitate all'esterno di Azure, nella rete aziendale o in altri provider di servizi cloud.
  • Per superare la limitazione della sandbox Automazione di Azure: gli scenari comuni includono l'esecuzione di operazioni a esecuzione prolungata oltre il limite di tre ore per i processi cloud, l'esecuzione di operazioni di automazione a elevato utilizzo delle risorse, l'interazione con i servizi locali in esecuzione in locale o in ambiente ibrido, eseguire script che richiedono autorizzazioni elevate.
  • Per superare le restrizioni dell'organizzazione per mantenere i dati in Azure per motivi di governance e sicurezza, in quanto non è possibile eseguire processi di automazione nel cloud, è possibile eseguirla in un computer locale che viene eseguito come ruolo di lavoro ibrido per runbook utente.
  • Per automatizzare le operazioni su più risorse di Off-Azure in esecuzione in ambienti locali o multicloud. È possibile eseguire l'onboarding di uno di questi computer come ruolo di lavoro ibrido per runbook utente e l'automazione di destinazione nei computer rimanenti nell'ambiente locale.
  • Per accedere privatamente ad altri servizi da Azure Rete virtuale (rete virtuale) senza aprire una connessione Internet in uscita, è possibile eseguire runbook in un ruolo di lavoro ibrido connesso alla rete virtuale di Azure.

Installazione di un ruolo di lavoro ibrido per runbook

Il processo per installare un ruolo di lavoro ibrido per runbook dipende dal sistema operativo. La tabella seguente definisce i tipi di distribuzione.

Sistema operativo Tipi distribuzione
Windows Manuale automatizzato.
Linux Manuale
Prima o dopo Per i ruoli di lavoro ibridi per runbook, vedere Distribuire un ruolo di lavoro ibrido basato su Windows o Linux in Automazione. Questo è il metodo consigliato.

Nota

Il ruolo di lavoro ibrido per runbook non è attualmente supportato nei set di scalabilità di macchine virtuali.

Pianificazione della rete

Controllare Automazione di Azure Configurazione di rete per informazioni dettagliate sulle porte, gli URL e altri dettagli di rete necessari per il ruolo di lavoro ibrido per runbook.

Uso del server proxy

Se si usa un server proxy per la comunicazione tra Automazione di Azure e computer che eseguono l'agente Log Analytics, assicurarsi che le risorse appropriate siano accessibili. Il timeout per le richieste provenienti dal ruolo di lavoro ibrido per runbook e dai servizi di Automazione è di 30 secondi. Dopo tre tentativi, la richiesta ha esito negativo.

Uso del firewall

Se si usa un firewall per limitare l'accesso a Internet, è necessario configurare il firewall per consentire l'accesso. Se si usa il gateway Log Analytics come proxy, assicurarsi che sia configurato per i ruoli di lavoro ibridi per runbook. Vedere Configurare il gateway di Log Analytics per i ruoli di lavoro ibridi per runbook di Automazione.

Tag di servizio

Automazione di Azure supporta i tag di servizio di rete virtuale di Azure, a partire dal tag di servizio GuestAndHybridManagement. È possibile usare i tag di servizio per definire i controlli di accesso di rete nei gruppi di sicurezza di rete o Firewall di Azure. I tag di servizio possono essere usati al posto di indirizzi IP specifici quando si creano regole di sicurezza. Specificando il nome del tag di servizio GuestAndHybridManagement nel campo di origine o destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio di automazione. Questo tag di servizio non supporta il controllo più granulare limitando gli intervalli IP a un'area specifica.

Il tag di servizio per il servizio Automazione di Azure fornisce solo indirizzi IP usati per gli scenari seguenti:

  • Attivare webhook dall'interno della rete virtuale
  • Consentire ai lavoratori ibridi runbook o agli agenti di State Configuration nella rete virtuale di comunicare con il servizio di automazione

Nota

Il tag di servizio GuestAndHybridManagement attualmente non supporta l'esecuzione del processo runbook in una sandbox di Azure, solo direttamente in un ruolo di lavoro ibrido per runbook.

Supporto per il livello di impatto 5 (IL5)

Automazione di Azure ruolo di lavoro ibrido per runbook può essere usato in Azure per enti pubblici per supportare i carichi di lavoro Di livello 5 di impatto in una delle due configurazioni seguenti:

  • Macchina virtuale isolata. Quando vengono distribuiti, utilizzano l'intero host fisico per tale computer che fornisce il livello di isolamento necessario per supportare i carichi di lavoro IL5.

  • Host dedicati di Azure, che fornisce server fisici in grado di ospitare una o più macchine virtuali, dedicate a una sottoscrizione di Azure.

Nota

L'isolamento di calcolo tramite il ruolo di lavoro ibrido per runbook è disponibile per i cloud di Azure Commercial and US Government.

Indirizzi di Gestione aggiornamenti per i ruoli di lavoro ibridi per runbook

Oltre agli indirizzi e alle porte standard necessari per il ruolo di lavoro ibrido per runbook, Gestione aggiornamenti presenta altri requisiti di configurazione di rete descritti nella sezione pianificazione della rete .

State Configuration di Automazione di Azure in un ruolo di lavoro ibrido per runbook

È possibile eseguire State Configuration di Automazione di Azure in un ruolo di lavoro ibrido per runbook. Per gestire la configurazione di server che supportano il ruolo di lavoro ibrido per runbook, è necessario aggiungere i server come nodi DSC. Vedere Abilitare computer per la gestione tramite State Configuration di Automazione di Azure.

Runbook in un ruolo di lavoro ibrido per runbook

È possibile che i runbook che gestiscono le risorse nel computer locale o vengano eseguiti su risorse nell'ambiente locale in cui viene distribuito un utente Ibrido Runbook Worker. In questo caso, è possibile scegliere di eseguire i runbook nel ruolo di lavoro ibrido anziché in un account di Automazione. I runbook eseguiti in un ruolo di lavoro ibrido per runbook hanno una struttura identica a quelli eseguiti nell'account di Automazione. Vedere Eseguire runbook in un ruolo di lavoro ibrido per runbook.

Processi per i ruoli di lavoro ibridi per runbook

Tenere presente che i processi per i ruoli di lavoro ibridi per runbook vengono eseguiti con l'account di sistema locale in Windows o con l'account nxautomation in Linux. Automazione di Azure gestisce i processi nei ruoli di lavoro ibridi per runbook in modo diverso dai processi eseguiti in sandbox di Azure. Vedere Ambiente di esecuzione dei runbook.

In caso di riavvio del computer host con il ruolo di lavoro ibrido per runbook, qualsiasi processo di runbook in esecuzione viene riavviato dall'inizio o dall'ultimo checkpoint per i runbook del flusso di lavoro di PowerShell. Dopo il riavvio di un processo del runbook più di tre volte, viene sospeso.

Autorizzazioni runbook per un ruolo di lavoro ibrido per runbook

Poiché accedono a risorse non di Azure, i runbook in esecuzione in un ruolo di lavoro ibrido per runbook non possono usare il meccanismo di autenticazione usato in genere dai runbook che eseguono l'autenticazione alle risorse di Azure. Il runbook può fornire la propria autenticazione alle risorse locali o configurare l'autenticazione mediante identità gestite per le risorse di Azure. È anche possibile specificare un account RunAs per fornire un contesto utente per tutti i runbook.

Visualizzare i ruoli di lavoro ibridi per runbook del sistema

Dopo aver abilitato la funzionalità Gestione aggiornamenti nei computer Windows o Linux, è possibile inventariare l'elenco dei ruoli di lavoro ibridi runbook nel portale di Azure. È possibile visualizzare fino a 2.000 lavoratori nel portale selezionando la scheda Gruppo di ruoli di lavoro ibridi del sistema dal gruppo di lavoratori ibridi dal riquadro a sinistra per l'account di Automazione selezionato.

Pagina Gruppi di lavoro ibridi del sistema dell'account di automazione

Se sono presenti più di 2.000 lavoratori ibridi, per ottenere un elenco di tutti, è possibile eseguire lo script di PowerShell seguente:

"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"

Passaggi successivi