Distribuire un ruolo di lavoro ibrido per runbook Linux basato su agente in Automazione

  • Articolo

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux prossima allo stato EOL (End of Life, fine del ciclo di vita). Valutare le proprie esigenze e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.

Importante

Il ruolo di lavoro per runbook ibrido utente basato su agente di Automazione di Azure (Windows e Linux) verrà ritirato il 31 agosto 2024 e non sarà supportato dopo tale data. Prima del 31 agosto 2024 sarà necessario completare la migrazione dei ruoli di lavoro ibridi per runbook ibridi utente basati su agenti. Inoltre, a partire dal 1° novembre 2023, la creazione di nuovi ruoli di lavoro ibridi basati su agente non sarebbe possibile. Altre informazioni.

È possibile usare la funzionalità ruolo di lavoro ibrido per runbook di Automazione di Azure per eseguire runbook direttamente nel computer Azure o non Azure, inclusi i server registrati con i server abilitati per Azure Arc. Dal computer o dal server che ospita il ruolo, è possibile eseguire runbook direttamente e sulle risorse nell'ambiente per gestire tali risorse locali.

Il ruolo di lavoro ibrido per runbook di Linux esegue i runbook come un utente speciale a cui possono essere garantiti privilegi elevati per eseguire i comandi che richiedono l'elevazione. Automazione di Azure archivia e gestisce i runbook e li distribuisce a uno o più computer scelti. Questo articolo descrive come installare il ruolo di lavoro ibrido per runbook in un computer Linux, rimuovere il ruolo di lavoro e rimuovere un gruppo di ruoli di lavoro ibrido per runbook. Per i ruoli di lavoro ibridi per runbook utente, vedere anche Distribuire un ruolo di lavoro ibrido ibrido per runbook windows o Linux basato su estensioni in Automazione

Dopo avere distribuito correttamente un ruolo di lavoro per runbook, esaminare Esecuzione dei runbook per Hybrid Runbook Worker per informazioni su come configurare i runbook per automatizzare i processi nel data center locale o un altro ambiente cloud.

Nota

Un ruolo di lavoro ibrido può coesistere con entrambe le piattaforme: basato su agente (V1) e basato su estensione (V2). Se si installa l'estensione basata su V2 in un ruolo di lavoro ibrido che esegue già Agent basato su V1, nel gruppo verranno visualizzate due voci del ruolo di lavoro ibrido per runbook. Uno con estensione della piattaforma (V2) e l'altro basato su agente (V1). Altre informazioni.

Prerequisiti

Prima di iniziare, assicurarsi di aver eseguito le operazioni seguenti.

Un'area di lavoro Log Analytics

Il ruolo di lavoro ibrido per runbook dipende da un'area di lavoro Log Analytics di Monitoraggio di Azure per installare e configurare il ruolo. È possibile crearlo tramite Azure Resource Manager, tramite PowerShell o nel portale di Azure.

Se non si ha un'area di lavoro Log Analytics di Monitoraggio di Azure, esaminare le linee guida per la progettazione dei log di Monitoraggio di Azure prima di creare l'area di lavoro.

Agente di Log Analytics

Il ruolo di lavoro ibrido per runbook richiede l'agente di Log Analytics per il sistema operativo Linux supportato. Per i server o i computer ospitati all'esterno di Azure, è possibile installare l'agente di Log Analytics usando i server abilitati per Azure Arc. L'agente viene installato con determinati account di servizio che eseguono comandi che richiedono autorizzazioni radice. Per altre informazioni, vedere Account del servizio.

Sistemi operativi Linux supportati

La funzionalità ruolo di lavoro ibrido per runbook supporta le distribuzioni seguenti. Si presuppone che tutti i sistemi operativi siano x64. x86 non è supportato per nessun sistema operativo.

  • Amazon Linux da 2012.09 a 2015.09

  • CentOS Linux 5, 6, 7 e 8

  • Oracle Linux 6, 7 e 8

  • Red Hat Enterprise Linux Server 5, 6, 7 e 8

  • Debian GNU/Linux 6, 7 e 8

  • SUSE Linux Enterprise Server 12, 15 e 15.1 (SUSE non ha rilasciato le versioni 13 o 14)

  • Ubuntu

    Sistema operativo Linux Nome
    20.04 LTS Fossa focale
    18.04 LTS Bionic Beaver
    16.04 LTS Xenial Xerus
    14.04 LTS Trusty Tahr

Nota

Il ruolo di lavoro ibrido seguirà le sequenze temporali del supporto del fornitore del sistema operativo.

Importante

Prima di abilitare la funzionalità Gestione aggiornamenti, che dipende dal ruolo di lavoro ibrido per runbook di sistema, verificare le distribuzioni supportate qui.

Requisiti minimi

I requisiti minimi per un ruolo di lavoro ibrido per runbook del sistema e degli utenti Linux sono i seguenti:

  • Due core
  • 4 GB di RAM
  • Porta 443 (in uscita)
Pacchetto obbligatorio Descrizione Versione minima
Glibc Libreria GNU C 2.5-12
Openssl Librerie OpenSSL 1.0 (sono supportati TLS 1.1 e TLS 1.2)
Curl Client Web cURL 7.15.5
Python-ctypes Libreria di funzioni esterne per Python È necessario Python 2.x o Python 3.x
PAM Moduli di autenticazione modulare
Pacchetto facoltativo Descrizione Versione minima
PowerShell Core Per eseguire runbook di PowerShell, è necessario installare PowerShell Core. Vedere Installazione di PowerShell Core in Linux per informazioni su come installarlo. 6.0.0

Aggiunta di un computer a un gruppo di ruoli di lavoro ibrido per runbook

È possibile aggiungere il computer di lavoro a un gruppo di ruoli di lavoro ibridi per runbook in uno degli account di Automazione. Per i computer che ospitano il ruolo di lavoro ibrido per runbook gestito da Gestione aggiornamenti, possono essere aggiunti a un gruppo di ruoli di lavoro ibrido per runbook. È tuttavia necessario usare lo stesso account di Automazione sia per gestione aggiornamenti che per l'appartenenza al gruppo di lavoro ibrido per runbook.

Nota

Automazione di Azure Gestione aggiornamenti installa automaticamente il ruolo di lavoro ibrido per runbook di sistema in un computer Azure o non Azure abilitato per Gestione aggiornamenti. Tale ruolo di lavoro, tuttavia, non è registrato con alcun gruppo di ruoli di lavoro ibridi per runbook nell'account di automazione. Per eseguire i runbook in tali computer, è necessario aggiungerli a un gruppo di ruoli di lavoro ibrido per runbook. Seguire il passaggio 4 nella sezione Installare un ruolo di lavoro ibrido per runbook Linux per aggiungerlo a un gruppo.

Protezione avanzata di Linux supportata

Le opzioni seguenti non sono ancora supportate:

  • CIS

Tipi di runbook supportati

I ruoli di lavoro ibridi per runbook Linux supportano un set limitato di tipi di runbook in Automazione di Azure e sono descritti nella tabella seguente.

Tipo di runbook Supportata
Python 3 (anteprima) Sì, obbligatorio solo per queste distribuzioni: SU edizione Standard LES 15, RHEL 8 e CentOS 8
Python 2 Sì, per qualsiasi distribuzione che non richiede Python 31
PowerShell 2
Flusso di lavoro PowerShell No
Grafico No
Grafico del flusso di lavoro di PowerShell No

1Vedere Sistemi operativi Linux supportati.

2I runbook di PowerShell richiedono l'installazione di PowerShell Core nel computer Linux. Vedere Installazione di PowerShell Core in Linux per informazioni su come installarlo.

Configurazione di rete

Per i requisiti di rete per il ruolo di lavoro ibrido per runbook, vedere Configurazione della rete.

Installare un ruolo di lavoro ibrido per runbook di Linux

Esistono due metodi per distribuire un ruolo di lavoro ibrido per runbook. È possibile importare ed eseguire un runbook dalla raccolta di runbook nella portale di Azure oppure eseguire manualmente una serie di comandi di PowerShell.

La procedura di importazione è descritta in dettaglio in Importare runbook da GitHub con il portale di Azure. Il nome del runbook da importare è Create Automation Linux HybridWorker.The name of the runbook to import is Create Automation Linux HybridWorker.

Il runbook usa i parametri seguenti.

Parametro Stato Descrizione
Location Obbligatorio Percorso per l'area di lavoro Log Analytics.
ResourceGroupName Obbligatorio Gruppo di risorse per l'account di Automazione.
AccountName Obbligatorio Nome dell'account di Automazione in cui verrà registrato il ruolo di lavoro ibrido per l'esecuzione.
CreateLA Obbligatorio Se true, usa il valore di per creare un'area di WorkspaceName lavoro Log Analytics. Se false, il valore di WorkspaceName deve fare riferimento a un'area di lavoro esistente.
LAlocation Facoltativo Percorso in cui verrà creata l'area di lavoro Log Analytics o in cui esiste già.
WorkspaceName Facoltativo Nome dell'area di lavoro Log Analytics da creare o usare.
CreateVM Obbligatorio Se true, usare il valore di VMName come nome di una nuova macchina virtuale. Se false, usare VMName per trovare e registrare una macchina virtuale esistente.
VMName Facoltativo Nome della macchina virtuale creata o registrata, a seconda del valore di CreateVM.
VMImage Facoltativo Nome dell'immagine della macchina virtuale da creare.
VMlocation Facoltativo Posizione della macchina virtuale creata o registrata. Se questa posizione non è specificata, viene usato il valore di LAlocation .
RegisterHW Obbligatorio Se true, registrare la macchina virtuale come ruolo di lavoro ibrido.
WorkerGroupName Obbligatorio Nome del gruppo di ruoli di lavoro ibridi.

Eseguire manualmente i comandi di PowerShell

Per installare e configurare un ruolo di lavoro ibrido per runbook Linux, seguire questa procedura.

  1. Abilitare la soluzione Automazione di Azure nell'area di lavoro Log Analytics eseguendo il comando seguente in un prompt dei comandi di PowerShell con privilegi elevati o in Cloud Shell nel portale di Azure:

    Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true

  2. Distribuire l'agente di Log Analytics nel computer di destinazione.

    • Per le macchine virtuali di Azure, installare l'agente di Log Analytics per Linux usando l'estensione macchina virtuale per Linux. L'estensione installa l'agente di Log Analytics in macchine virtuali di Azure e registra le macchine virtuali in un'area di lavoro Log Analytics esistente. È possibile usare un modello di Azure Resource Manager, l'interfaccia della riga di comando di Azure o Criteri di Azure per assegnare la definizione di criteri predefinita Deploy Log Analytics agent for Linux or Windows VMS (Distribuire l'agente di Log Analytics per macchine virtuali Linux o Windows). Dopo aver installato l'agente, il computer può essere aggiunto a un gruppo di ruoli di lavoro ibrido per runbook nell'account di Automazione.

    • Per i computer non Azure, è possibile installare l'agente di Log Analytics usando i server abilitati per Azure Arc. I server abilitati per Azure Arc supportano la distribuzione dell'agente di Log Analytics usando i metodi seguenti:

      È consigliabile installare l'agente di Log Analytics per Windows o Linux usando Criteri di Azure.

    Nota

    Per gestire la configurazione dei computer che supportano il ruolo di lavoro ibrido per runbook con DSC (Desired State Configuration), è necessario aggiungere i computer come nodi DSC.

    Nota

    L'account nxautomation deve essere presente con le autorizzazioni sudo corrispondenti durante l'installazione di un ruolo di lavoro ibrido per runbook di Linux. Se si tenta di installare il ruolo di lavoro e l'account non è presente o non dispone delle autorizzazioni appropriate, l'installazione non riesce.

  3. Verificare che l'agente stia segnalando all'area di lavoro.

    L'agente di Log Analytics per Linux connette i computer a un'area di lavoro Log Analytics di Monitoraggio di Azure. Quando si installa l'agente nel computer e lo si connette all'area di lavoro, vengono scaricati automaticamente i componenti necessari per il ruolo di lavoro ibrido per runbook.

    Quando l'agente è connesso correttamente all'area di lavoro Log Analytics dopo alcuni minuti, è possibile eseguire la query seguente per verificare che invii dati heartbeat all'area di lavoro.

    Heartbeat
| where Category == "Direct Agent"
| where TimeGenerated > ago(30m)

    Nei risultati della ricerca dovrebbero essere visualizzati i record heartbeat per il computer, a indicare che è connesso e segnala al servizio. Per impostazione predefinita, ogni agente trasmette un record di heartbeat all'area di lavoro assegnata.

  4. Eseguire il comando seguente per aggiungere il computer a un gruppo di ruoli di lavoro ibrido per runbook, specificando i valori per i -wparametri , -k, -ge -e.

    È possibile ottenere le informazioni necessarie per i -k parametri e -e dalla pagina Chiavi nell'account di Automazione. Selezionare Chiavi nella sezione Impostazioni account dal lato sinistro della pagina.

    Pagina Gestisci chiavi

    • Per il -e parametro copiare il valore per URL.

    • Per il -k parametro copiare il valore per PRIMARY ACCESS KEY.

    • Per il -g parametro specificare il nome del gruppo ruolo di lavoro ibrido per runbook a cui deve essere aggiunto il nuovo ruolo di lavoro ibrido per runbook linux. Se questo gruppo esiste già nell'account di Automazione, il computer corrente viene aggiunto. Se questo gruppo non esiste, viene creato con tale nome.

    • Per il parametro specificare l'ID -w dell'area di lavoro Log Analytics.

    sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w <logAnalyticsworkspaceId> -k <automationSharedKey> -g <hybridGroupName> -e <automationEndpoint>

  5. Verificare la distribuzione al termine dello script. Nella pagina Gruppi di ruoli di lavoro ibridi per runbook nell'account di Automazione, nella scheda Gruppo Ruoli di lavoro ibridi per runbook utente vengono visualizzati il gruppo nuovo o esistente e il numero di membri. Se si tratta di un gruppo esistente, il numero di membri viene incrementato. È possibile selezionare il gruppo dall'elenco nella pagina, nel menu a sinistra scegliere Ruoli di lavoro ibridi. Nella pagina Ruoli di lavoro ibridi è possibile visualizzare ogni membro del gruppo elencato.

    Nota

    Se si usa l'estensione macchina virtuale Log Analytics per Linux per una macchina virtuale di Azure, è consigliabile impostare autoUpgradeMinorVersion su false come le versioni di aggiornamento automatico possono causare problemi con il ruolo di lavoro ibrido per runbook. Per informazioni su come aggiornare manualmente l'estensione, vedere Distribuzione dell'interfaccia della riga di comando di Azure.

Disattivare la convalida della firma

Per impostazione predefinita, i ruoli di lavoro ibridi per runbook di Linux richiedono la convalida della firma. Se si esegue un runbook senza firma in un ruolo di lavoro, viene visualizzato un errore Signature validation failed. Per disattivare la convalida della firma, eseguire il comando seguente come radice. Sostituire il secondo parametro con l'ID dell'area di lavoro Log Analytics.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --false <logAnalyticsworkspaceId>

Rimuovere il ruolo di lavoro ibrido per runbook

Eseguire i comandi seguenti come radice nel ruolo di lavoro ibrido Linux basato su agente:

  1.    sudo bash

  2.    rm -r /home/nxautomation

  3. In Automazione processi, selezionare Gruppi di ruoli di lavoro ibridi e quindi selezionare il gruppo di ruoli di lavoro ibridi per passare alla pagina Gruppo di ruoli di lavoro ibridi.

  4. In Gruppo di ruoli di lavoro ibridi selezionare Ruoli di lavoro ibridi.

  5. Selezionare la casella di controllo accanto ai computer da eliminare dal gruppo di ruoli di lavoro ibridi.

  6. Selezionare Elimina per rimuovere il ruolo di lavoro ibrido Linux basato su agente.

    Nota

    • Questo script non rimuove l'agente di Log Analytics per Linux dal computer. Rimuove solo la funzionalità e la configurazione del ruolo di lavoro ibrido per runbook.
    • Dopo aver disabilitato il collegamento privato nell'account di Automazione, potrebbero essere necessari fino a 60 minuti per rimuovere il ruolo di lavoro ibrido per runbook.
    • Dopo aver rimosso il ruolo di lavoro ibrido, il certificato di autenticazione del ruolo di lavoro ibrido nel computer è valido per 45 minuti.

Remove a Hybrid Worker group (Rimuovere un gruppo di ruoli di lavoro ibridi)

Per rimuovere un gruppo di ruoli di lavoro ibrido per runbook di computer Linux, usare gli stessi passaggi di un gruppo di ruoli di lavoro ibridi di Windows. Vedere Rimuovere un gruppo di ruoli di lavoro ibridi.

Gestire le autorizzazioni dei ruoli per i gruppi di ruoli di lavoro ibridi e i ruoli di lavoro ibridi

È possibile creare ruoli di Automazione di Azure personalizzati e concedere le autorizzazioni seguenti ai gruppi di ruoli di lavoro ibridi e ai ruoli di lavoro ibridi. Per altre informazioni su come creare Automazione di Azure ruoli personalizzati, vedere Ruoli personalizzati di Azure

Azioni Descrizione
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Legge un gruppo di ruoli di lavoro ibridi per runbook
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/write Crea un gruppo di lavoro ibrido per runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/delete Elimina un gruppo di lavoro ibrido per runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/read Legge un ruolo di lavoro ibrido per runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/delete Elimina un ruolo di lavoro ibrido per runbook.

Controllare la versione del ruolo di lavoro ibrido

Per controllare la versione del ruolo di lavoro ibrido per runbook Linux basato su agente, passare al percorso seguente:

   sudo cat /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/VERSION

Il file VERSION ha il numero di versione del ruolo di lavoro ibrido per runbook.

Passaggi successivi