Condividi tramite

Distribuire un ruolo di lavoro ibrido per runbook Linux basato su agente in Automazione

  • Articolo

Importante

Il Ruolo di lavoro ibrido per runbook utente basato su agente di Automazione di Azure (Windows e Linux) è stato ritirato il 31 agosto 2024 e non è più supportato. Seguire le linee guida su come effettuare la migrazione da un ruoli di lavoro ibrido per i runbook basati su agente a ruoli di lavoro ibrido basati su estensione.

È possibile usare la funzionalità ruolo di lavoro ibrido per runbook di Automazione di Azure per eseguire runbook direttamente nel computer Azure o non Azure, inclusi i server registrati con i server abilitati per Azure Arc. Dal computer o dal server che ospita il ruolo, è possibile eseguire runbook direttamente e sulle risorse nell'ambiente per gestire tali risorse locali.

Il ruolo di lavoro ibrido per runbook di Linux esegue i runbook come un utente speciale a cui possono essere garantiti privilegi elevati per eseguire i comandi che richiedono l'elevazione. Automazione di Azure archivia e gestisce i runbook, poi li distribuisce a uno o più computer selezionati. Questo articolo descrive come installare il ruolo di lavoro ibrido per runbook in un computer Linux, come rimuovere il ruolo di lavoro e come rimuovere un gruppo di ruoli di lavoro ibridi per runbook. Per i ruoli di lavoro utente ibridi per runbook, vedere anche Distribuire un ruolo di lavoro utente ibrido per runbook Windows o Linux basato su estensioni in Automazione

Dopo avere distribuito correttamente un ruolo di lavoro per runbook, esaminare Esecuzione dei runbook per Hybrid Runbook Worker per informazioni su come configurare i runbook per automatizzare i processi nel data center locale o un altro ambiente cloud.

Nota

Un ruolo di lavoro ibrido può coesistere con entrambe le piattaforme: basato su agente (V1) e basato su estensione (V2). Se si installa Basato su estensione (V2) in un ruolo di lavoro ibrido che esegue già Basato su agente (V1), nel gruppo verranno visualizzate due voci del ruolo di lavoro ibrido per runbook. Uno basato su estensione della piattaforma (V2) e l'altro basato su agente (V1). Altre informazioni.

Prerequisiti

Prima di iniziare, verificare di disporre degli elementi seguenti.

Un'area di lavoro Log Analytics

Il ruolo di lavoro ibrido per runbook dipende da un'area di lavoro Log Analytics di Monitoraggio di Azure per l'installazione e la configurazione del ruolo. È possibile crearlo attraverso Azure Resource Manager, PowerShell o il portale di Azure.

Se non si dispone di un'area di lavoro Log Analytics di Monitoraggio di Azure, esaminare il materiale sussidiario per la progettazione dei log di Monitoraggio di Azure prima di creare l'area di lavoro.

Agente di Log Analytics

Il ruolo di lavoro ibrido per runbook richiede l'agente Log Analytics per il sistema operativo Linux supportato. Per i server o i computer ospitati all'esterno di Azure, è possibile installare l'agente di Log Analytics usando i server abilitati per Azure Arc. L'agente viene installato con determinati account di servizio che eseguono comandi che richiedono autorizzazioni radice. Per altre informazioni, vedere Account di servizio.

Sistemi operativi Linux supportati

La funzionalità ruolo di lavoro ibrido per runbook supporta le distribuzioni seguenti. Si presuppone che tutti i sistemi operativi siano x64. x86 non è supportato per nessun sistema operativo.

  • Amazon Linux da 2012.09 a 2015.09

  • Oracle Linux 6, 7 e 8

  • Red Hat Enterprise Linux Server 5, 6, 7 e 8

  • Debian GNU/Linux 6, 7 e 8

  • SUSE Linux Enterprise Server 12, 15 e 15.1 (SUSE non ha rilasciato le versioni 13 o 14)

  • Ubuntu

    Sistema operativo Linux Nome
    20.04 LTS Focal Fossa
    18.04 LTS Bionic Beaver
    16.04 LTS Xenial Xerus
    14.04 LTS Trusty Tahr

Nota

Il ruolo di lavoro ibrido seguirà le sequenze temporali del supporto del fornitore del sistema operativo.

Importante

Prima di abilitare la funzionalità Gestione aggiornamenti, che dipende dal ruolo di lavoro ibrido per runbook di sistema, verificare le distribuzioni supportate qui.

Requisiti minimi

I requisiti minimi per un ruolo di lavoro ibrido per runbook del sistema e degli utenti Linux sono i seguenti:

  • Due core
  • 4 GB di RAM
  • Porta 443 (in uscita)
Pacchetto obbligatorio Descrizione Versione minima
Glibc Libreria GNU C 2.5-12
Openssl Librerie OpenSSL 1.0 (sono supportati TLS 1.1 e TLS 1.2)
Curl Client Web cURL 7.15.5
Python-ctypes Libreria di funzioni esterne per Python È necessario Python 2.x o Python 3.x
PAM Moduli di autenticazione modulare
Pacchetto facoltativo Descrizione Versione minima
PowerShell Core Per eseguire runbook di PowerShell, è necessario installare PowerShell Core. Vedere Installazione di PowerShell Core in Linux per informazioni su come installarlo. 6.0.0

Aggiunta di un computer a un gruppo di ruoli di lavoro ibrido per runbook

È possibile aggiungere il computer del ruolo di lavoro a un gruppo di ruoli di lavoro ibrido per runbook in uno degli account di automazione. I computer che ospitano il ruolo di lavoro ibrido per runbook gestito da Gestione aggiornamenti possono essere aggiunti a un gruppo di ruoli di lavoro ibridi per runbook. Tuttavia, è necessario usare lo stesso account di Automazione sia per la gestione aggiornamenti che per l'appartenenza al gruppo di ruoli di lavoro ibridi per runbook.

Nota

Gestione aggiornamenti di Automazione di Azure installa automaticamente il ruolo di lavoro ibrido per runbook in un computer Azure o non Azure che è stato abilitato per Gestione aggiornamenti. Tale ruolo di lavoro, tuttavia, non è registrato con alcun gruppo di ruoli di lavoro ibridi per runbook nell'account di automazione. Per eseguire i runbook in tali computer, è necessario aggiungerli a un gruppo di ruoli di lavoro ibridi per runbook. Seguire il passaggio 4 nella sezione Installare un ruolo di lavoro ibrido per runbook Linux per aggiungerlo a un gruppo.

Protezione avanzata di Linux

Le opzioni seguenti non sono ancora supportate:

  • CIS

Tipi di runbook supportati

I ruoli di lavoro ibridi per runbook Linux supportano un set limitato di tipi di runbook in Automazione di Azure e sono descritti nella tabella seguente.

Tipo di runbook Supportata
Python 3 (anteprima) Sì, obbligatorio solo per queste distribuzioni: SUSE LES 15, RHEL 8
Python 2 Sì, per qualsiasi distribuzione che non richiede Python 31
PowerShell 2
Flusso di lavoro PowerShell No
Grafico No
Grafico del flusso di lavoro di PowerShell No

1 Vedere Sistemi operativi Linux supportati.

2I runbook di PowerShell richiedono che PowerShell Core sia installato nel computer Linux. Vedere Installazione di PowerShell Core in Linux per informazioni su come installarlo.

Configurazione di rete

Per i requisiti di rete per il ruolo di lavoro ibrido per runbook, vedere la sezione Configurazione della rete.

Installare un ruolo di lavoro ibrido per runbook di Linux

Esistono due metodi per distribuire un ruolo di lavoro ibrido per runbook. È possibile importare ed eseguire un runbook dalla raccolta di runbook nel portale di Azure oppure eseguire manualmente una serie di comandi di PowerShell.

La procedura di importazione è descritta in dettaglio in Importare runbook da GitHub con il portale di Azure. Il nome del runbook da importare è Crea ruolo di lavoro ibrido di Linux per l'automazione.

Il runbook usa i parametri seguenti.

Parametro Stato Descrizione
Location Obbligatorio Percorso per l'area di lavoro Log Analytics.
ResourceGroupName Obbligatorio Gruppo di risorse per l'account di Automazione.
AccountName Obbligatorio Nome dell'account di Automazione in cui verrà registrato il ruolo di lavoro ibrido per l'esecuzione.
CreateLA Obbligatorio Se true, usa il valore di WorkspaceName per creare un'area di lavoro Log Analytics. Se false, il valore di WorkspaceName deve fare riferimento a un'area di lavoro esistente.
LAlocation Facoltativo Percorso in cui verrà creata l'area di lavoro Log Analytics o in cui esiste già.
WorkspaceName Facoltativo Nome dell'area di lavoro Log Analytics da creare o usare.
CreateVM Obbligatorio Se true, usare il valore di VMName come nome di una nuova macchina virtuale. Se false, usare VMName per trovare e registrare una macchina virtuale esistente.
VMName Facoltativo Nome della macchina virtuale creata o registrata, a seconda del valore di CreateVM.
VMImage Facoltativo Nome dell'immagine della macchina virtuale da creare.
VMlocation Facoltativo Posizione della macchina virtuale creata o registrata. Se questa posizione non è specificata, viene usato il valore di LAlocation.
RegisterHW Obbligatorio Se true, registrare la macchina virtuale come ruolo di lavoro ibrido.
WorkerGroupName Obbligatorio Nome del gruppo di ruoli di lavoro ibridi.

Eseguire manualmente i comandi di PowerShell

Eseguire la seguente procedura per installare e configurare un ruolo di lavoro ibrido per runbook di Linux.

  1. Abilitare la soluzione Automazione di Azure nell'area di lavoro Log Analytics eseguendo il comando seguente in un prompt dei comandi di PowerShell con privilegi elevati o in Cloud Shell nel portale di Azure:

    Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true

  2. Distribuire l'agente di Log Analytics nel computer di destinazione.

    • Per le macchine virtuali di Azure, installare l'agente di Log Analytics per Linux usando l'estensione macchina virtuale per Linux. L'estensione installa l'agente di Log Analytics in macchine virtuali di Azure e registra le macchine virtuali in un'area di lavoro Log Analytics esistente. È possibile usare un modello di Azure Resource Manager, l'interfaccia della riga di comando di Azure o Criteri di Azure per assegnare la definizione di criteri predefinita Distribuire l'agente di Log Analytics per macchine virtuali Linuxo Windows. Una volta installato l'agente, è possibile aggiungere il computer a un gruppo di ruoli di lavoro ibridi per runbook nell'account di automazione.

    • Per i computer non Azure, è possibile installare l'agente di Log Analytics usando i serverabilitati per Azure Arc. I server abilitati per Azure Arc supportano la distribuzione dell'agente di Log Analytics usando i metodi seguenti:

      È consigliabile installare l'agente di Log Analytics per Windows o Linux usando Criteri di Azure.

    Nota

    Per gestire la configurazione dei computer che supportano il ruolo di lavoro ibrido per runbook con Desired State Configuration (DSC), è necessario aggiungerli come nodi DSC.

    Nota

    L'account nxautomation deve essere presente con le autorizzazioni sudo corrispondenti durante l'installazione di un ruolo di lavoro ibrido per runbook di Linux. Se si prova a installare il ruolo di lavoro e l'account non è presente o non ha le autorizzazioni appropriate, l'installazione non riesce.

  3. Verificare che l'agente stia segnalando all'area di lavoro.

    L'agente di Log Analytics per Linux connette i computer a un'area di lavoro Log Analytics di Monitoraggio di Azure. Quando si installa l'agente nel computer e lo si connette all'area di lavoro, viene eseguito automaticamente il download dei componenti necessari per il ruolo di lavoro ibrido per runbook.

    Quando l'agente si è connesso correttamente all'area di lavoro Log Analytics dopo alcuni minuti, è possibile eseguire la query seguente per verificare che invii dati di heartbeat all'area di lavoro.

    Heartbeat
| where Category == "Direct Agent"
| where TimeGenerated > ago(30m)

    Nei risultati della ricerca devono essere visualizzati i record di heartbeat per il computer indicanti che è connesso e che invia report al servizio. Per impostazione predefinita, ogni agente trasmette un record di heartbeat all'area di lavoro assegnata.

  4. Eseguire il comando seguente per aggiungere il computer a un gruppo di ruoli di lavoro ibrido per runbook, specificando i valori per i parametri -w, -k, -g e -e.

    È possibile ottenere le informazioni necessarie per i parametri -k e -e dalla pagina Chiavi nell'account di Automazione. Selezionare Chiavi nella sezione Impostazioni account sul lato sinistro della pagina.

    Pagina Gestisci chiavi

    • Per il parametro -e copiare il valore per URL.

    • Per il parametro -k copiare il valore per CHIAVE DI ACCESSO PRIMARIA.

    • Per il parametro -g specificare il nome del gruppo del ruolo di lavoro ibrido per runbook a cui deve essere aggiunto il nuovo ruolo di lavoro ibrido per runbook di Linux. Se il gruppo esiste già nell'account di automazione, il computer corrente vi verrà aggiunto direttamente. Se questo gruppo non esiste, viene creato con tale nome.

    • Per il parametro -w specificare l'ID dell'area di lavoro Log Analytics.

    sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w <logAnalyticsworkspaceId> -k <automationSharedKey> -g <hybridGroupName> -e <automationEndpoint>

  5. Verificare la distribuzione al termine dello script. Nella pagina Gruppi di ruoli di lavoro ibridi per runbook nell'account di Automazione, nella scheda Gruppo Ruoli di lavoro ibridi per runbook utente viene visualizzato il gruppo nuovo o esistente e il numero di membri. Se si tratta di un gruppo esistente, il numero di membri viene incrementato. È possibile selezionare il gruppo dall'elenco nella pagina, nel menu a sinistra scegliere Ruoli di lavoro ibridi. Nella pagina Ruoli di lavoro ibridi sono elencati i membri del gruppo.

    Nota

    Se si usa l'estensione della macchina virtuale di Log Analytics per Linux per una macchina virtuale di Azure, è consigliabile impostare autoUpgradeMinorVersion su false perché l'aggiornamento automatico delle versioni può causare problemi con il ruolo di lavoro ibrido per runbook. Per informazioni su come aggiornare manualmente l'estensione, vedere Distribuzione dell'interfaccia della riga di comando di Azure.

Disattivare la convalida della firma

Per impostazione predefinita, i ruoli di lavoro ibridi per runbook di Linux richiedono la convalida della firma. Se si esegue un runbook senza firma in un ruolo di lavoro, viene visualizzato un errore Signature validation failed. Per disattivare la convalida della firma, eseguire il comando seguente come radice. Sostituire il secondo parametro con l'ID dell'area di lavoro Log Analytics.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --false <logAnalyticsworkspaceId>

Rimuovere il ruolo di lavoro ibrido per runbook

  1. Eseguire i comandi seguenti come utente ROOT nel ruolo di lavoro ibrido Linux basato su agente:

    sudo bash
rm -r /home/nxautomation

  2. In Automazione processi, selezionare Gruppi di ruoli di lavoro ibridi e quindi selezionare il gruppo di ruoli di lavoro ibridi per passare alla pagina Gruppo di ruoli di lavoro ibridi.

  3. In Gruppo di ruoli di lavoro ibridi selezionare Ruoli di lavoro ibridi.

  4. Selezionare la casella di controllo accanto ai computer da eliminare dal gruppo di ruoli di lavoro ibridi.

  5. Selezionare Elimina per rimuovere il ruolo di lavoro ibrido Linux basato su agente.

    Nota

    • Questo script non rimuove l'agente di Log Analytics per Linux dal computer. Rimuove solo la funzionalità e la configurazione del ruolo di lavoro ibrido per runbook.
    • Dopo aver disabilitato il collegamento privato nell'account di Automazione, potrebbero essere necessari fino a 60 minuti per rimuovere il ruolo di lavoro ibrido per runbook.
    • Dopo aver rimosso il ruolo di lavoro ibrido, il certificato di autenticazione del ruolo di lavoro ibrido nel computer è valido per 45 minuti.

Remove a Hybrid Worker group (Rimuovere un gruppo di ruoli di lavoro ibridi)

Per rimuovere un gruppo di Ruoli di lavoro ibridi per runbook in computer Linux, usare gli stessi passaggi di un gruppo di lavoro ibrido di Windows. Vedere Rimuovere un gruppo di ruoli di lavoro ibridi.

Gestire le autorizzazioni dei ruoli per i gruppi di ruoli di lavoro ibridi e i ruoli di lavoro ibridi

È possibile creare ruoli personalizzati di Automazione di Azure e concedere le autorizzazioni seguenti ai gruppi di ruoli di lavoro ibridi e ai ruoli di lavoro ibridi. Per altre informazioni su come creare ruoli personalizzati di Automazione di Azure, vedere Ruoli personalizzati di Azure

Azioni Descrizione
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Legge un gruppo di ruoli di lavoro ibridi per runbook
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/write Crea un gruppo di lavoro ibrido per runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/delete Elimina un gruppo di lavoro ibrido per runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/read Legge un ruolo di lavoro ibrido per runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/delete Elimina un ruolo di lavoro ibrido per runbook.

Controllare la versione del ruolo di lavoro ibrido

Per controllare la versione del ruolo di lavoro ibrido per runbook Linux basato su agente, andare al percorso seguente:

   sudo cat /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/VERSION

Il file VERSIONE ha il numero di versione del ruolo di lavoro ibrido per runbook.

Passaggi successivi