ハイブリッド環境での Azure Automation

Azure Automation の Runbook は Azure クラウド プラットフォームで実行され、他のクラウドやオンプレミス環境にあるリソースにはアクセスできないことがあります。 Azure Automation の Hybrid Runbook Worker 機能を使うと、ロールをホストしているマシン上で環境内のリソースに対して Runbook を直接実行して、これらのローカル リソースを管理できます。 Runbook は Azure Automation で格納および管理された後、1 つ以上の割り当て済みマシンに配信されます。

アーキテクチャ

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

Hybrid Runbook Worker アーキテクチャは、次で構成されます。

• Automation アカウント: Azure 環境と非 Azure 環境にまたがって管理と構成を自動化するクラウド サービス。
• Hybrid Runbook Worker: Hybrid Runbook Worker 機能を使用して構成され、ローカル環境内のリソースに対して Runbook を直接実行できるコンピューター。
• Hybrid Runbook Worker グループ: 複数の Hybrid Runbook Worker をグループ化して、一連の Runbook を実行するために可用性と拡張性を向上させます。
• Runbook: 1 つのプロセスまたは操作を連携して自動化する 1 つ以上のリンクされたアクティビティのコレクション。 詳細については、こちらを参照してください。
• オンプレミスのマシンと VM: プライベート ローカル エリア ネットワークでホストされている Windows または Linux のオンプレミスのコンピューターと VM。
• 拡張機能ベースの方法 (V2) に適用できるコンポーネント:
  • Hybrid Runbook Worker VM 拡張機能: コンピューターにインストールされている小さなアプリケーション。 アプリケーションは、コンピューターを Hybrid Runbook Worker として構成します。
  • Arc 対応サーバー: Azure Arc 対応サーバーを使用すると、企業ネットワーク上でも別のクラウド プロバイダー上でも、Azure の外部でホストされている Windows または Linux のコンピューターと仮想マシンを管理できます。 この管理エクスペリエンスは、ネイティブ Azure 仮想マシンの管理方法と一致するように設計されています。 詳細情報 を参照してください。
• エージェントベースの方法 (V1) に適用できるコンポーネント:
  • Log Analytics ワークスペース: Log Analytics ワークスペースは、Azure、オンプレミス、または他のクラウド プロバイダーで実行されているリソースから収集されるログ データのデータ リポジトリです。
  • Automation Hybrid Worker ソリューション: このソリューションにより Hybrid Runbook Worker を作成し、Azure コンピューターと Azure 以外のコンピューターで Azure Automation Runbook を実行できます。

ユーザー Hybrid Runbook Worker

このアーキテクチャの Visio ファイルをダウンロードします。

各ユーザー Hybrid Runbook Worker は、Worker のインストール時に指定する Hybrid Runbook Worker グループのメンバーです。 グループに 1 の worker を含めることは可能ですが、高可用性を実現するために、複数の worker をグループに含めることができます。 マシン 1 台につき、Automation アカウントにレポートを送信する Hybrid Runbook Worker を 1 つホスティングできます。1 つのハイブリッド worker を複数の Automation アカウントに登録することはできません。 ハイブリッド worker は、単一の Automation アカウントからしかジョブをリッスンできません。

システム Hybrid Runbook Worker

このアーキテクチャの Visio ファイルをダウンロードします。

Update Management によって管理されているシステム Hybrid Runbook Worker をホストしているマシンは、Hybrid Runbook Worker グループに追加できます。 しかし、Update Management と Hybrid Runbook Worker グループ メンバーシップの両方に同じ Automation アカウントを使用する必要があります。

Hybrid Runbook Worker でのジョブの実行

ユーザー Hybrid Runbook Worker で Runbook を開始する場合は、実行されるグループを指定します。 グループの各ワーカーは、実行可能なジョブがあるかどうかを確認するために Azure Automation をポーリングします。 ジョブが実行可能な場合、ジョブに最初に到達した worker がこれを実行します。 ジョブ キューの処理時間は、ハイブリッド worker のハードウェア プロファイルと負荷によって異なります。 特定の worker を指定することはできません。 ハイブリッド worker は、ポーリング機構 (30 秒ごと) で動作し、先着順で処理を行います。

コンポーネント

• Azure Automation は、クラウド管理タスクを自動化するための Azure サービスです。 Hybrid Runbook Worker 機能を使用すれば、ローカル リソースを管理するために、データセンターに配置されたマシンで Runbook を実行することができます。
• Azure Monitor では、アプリケーション、インフラストラクチャ、ネットワークを完全に監視できます。 Azure Monitor ログは、監視対象のリソースからログとパフォーマンス データを収集して整理する Azure Monitor の機能です。 Log Analytics は、ログのクエリを実行し、結果を分析するための Azure portal のツールです。

シナリオの詳細

Hybrid Runbook Worker のインストール方法

Azure Automation では、Azure 仮想マシン拡張フレームワークにより、Hybrid Runbook Worker ロールのネイティブ統合をサポートしています。 Azure VM エージェントは、Windows および Linux の両方の Azure VM 上で拡張機能の管理を担当します。非 Azure マシンでは、Arc 対応サーバーの Connected Machine エージェントを介して行います。 Azure Automation でサポートしている Hybrid Runbook Worker インストール プラットフォームは 2 つあります。

ハイブリッド Worker は、エージェント ベース (V1) と拡張機能ベース (V2) の両方のプラットフォームと共存できます。 エージェント ベース (V1) が既に実行されているハイブリッド Worker に拡張機能ベース (V2) をインストールすると、グループ内に Hybrid Runbook Worker の 2 つのエントリが表示されます。 1 つはプラットフォーム拡張機能ベース (V2) で、もう 1 つはエージェント ベース (V1) です。 詳細情報

Runbook Worker の種類

Runbook Worker には、システムとユーザーの 2 種類があります。

システムでは、Update Management 機能で使用される一連の非表示 Runbook がサポートされます。 Runbook は、ユーザー指定の更新を Windows および Linux マシンにインストールするように設計されています。 この種類の Hybrid Runbook Worker は、Hybrid Runbook Worker グループのメンバーではないため、Hybrid Runbook Worker グループをターゲットにした Runbook は実行できません。

ユーザーでは、1 つまたは複数の Runbook Worker グループのメンバーである Windows および Linux マシン上で直接実行することを目的としたユーザー定義の Runbook がサポートされます。

拡張機能ベースの Hybrid Runbook Worker は、ユーザー Hybrid Runbook Worker だけをサポートしており、Update Management 機能に必要なシステム Hybrid Runbook Worker は含まれていません。

エージェントベース (V1) の Hybrid Runbook Worker は、Azure Monitor Log Analytics ワークスペースへのレポートのために、Log Analytics エージェントに依存します。 ワークスペースは、マシンから監視データを収集するだけでなく、エージェントベースの Hybrid Runbook Worker のインストールに必要なコンポーネントをダウンロードするためのものでもあります。 Azure Automation Update Management を有効にすると、Log Analytics ワークスペースに接続されたマシンはすべて、システム Hybrid Runbook Worker として自動的に構成されます。

考えられるユース ケース

• 既存の Azure 仮想マシン (VM) またはオンプレミスの Arc 対応サーバー上で Azure Automation の Runbook を直接実行する。
• Azure Automation のサンドボックスの制限を克服する。 一般的なシナリオには、クラウド ジョブの 3 時間の制限を超える実行時間の長い操作の実行、リソース集中型の自動化処理の実行、オンプレミスまたはハイブリッド環境で動作するローカル サービスとのやり取り、管理者特権のアクセス許可が必要なスクリプトの実行などが含まれます。
• ガバナンスとセキュリティ上の理由からの Azure でのデータの保持に関する組織の制限を克服する。 クラウドで Automation ジョブを実行することはできませんが、Hybrid Runbook Worker としてオンボードされているオンプレミス マシンで実行することはできます。
• オンプレミス、ハイブリッド、またはマルチクラウド環境で実行されている複数の Azure 以外のリソースに対する操作を自動化する。 これらのマシンの 1 つを Hybrid Runbook Worker としてオンボードし、残りのオンプレミス マシンを自動化のターゲットにすることができます。
• インターネットへの送信接続を開く必要なく、Azure Virtual Network (VNet) から他のサービスにプライベートでアクセスする。Azure Virtual Network に接続したハイブリッド worker で Runbook を実行することができます。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

[信頼性]

信頼性により、顧客に確約したことをアプリケーションで確実に満たせるようにします。 詳細については、「信頼性の重要な要素の概要」を参照してください。

• Hybrid Worker ロールを使用して構成された複数のマシンを含む Hybrid Runbook Worker グループでは、正常な状態で稼働しているサーバーでのみ Runbook が開始されるため、高可用性を実現できます。
• 拡張機能ベース (V1) の Hybrid Runbook Worker は、ユーザー Hybrid Runbook Worker だけをサポートしており、Update Management 機能に必要なシステム Hybrid Runbook Worker は含まれていません。
• 以下は、エージェントベースの方法 (V1) にのみ適用されます。 現在、Log Analytics ワークスペースと Automation アカウント間のマッピングは、いくつかのリージョンでサポートされています。 詳細については、「リンクされた Log Analytics ワークスペースでサポートされるリージョン」を参照してください。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

• Automation での機密性の高い資産の暗号化: Azure Automation アカウントには、資格情報、証明書、接続、暗号化された変数など、Runbook で使用される可能性がある機密性の高い資産を含めることができます。 セキュリティで保護される各資産は、既定では Automation アカウントごとに生成されるデータ暗号化キーを使用して暗号化されます。 これらのキーは、アカウント暗号化キー (AEK) を使用して暗号化され、Azure Automation に格納されます。独自のキーを使用して暗号化を管理したいお客様は、AEK をキー コンテナーに格納できます。 既定では、AEK は Microsoft のマネージド キーを使って暗号化されます。 Azure Automation でセキュリティで保護される資産の暗号化を適用するには、こちらのガイドラインをご覧ください。
• Runbook のアクセス許可: 既定では、Hybrid Runbook Worker に対する Runbook のアクセス許可は、デプロイされたマシンのシステム コンテキストで実行されます。 Runbook には、ローカル リソースに対して独自の認証が用意されています。 Azure リソースのマネージド ID を使用するか、すべての Runbook にユーザー コンテキストを提供する実行アカウントを指定することで、認証を構成できます。
• ネットワークの計画:
  • Azure Automation と、Hybrid Runbook Worker を実行しているマシンとの間の通信にプロキシ サーバーを使用する場合は、適切なリソースにアクセスできることを確認してください。 Hybrid Runbook Worker および Automation サービスからの要求のタイムアウトは 30 秒です。 3 回試行した後、要求は失敗します。
  • Hybrid Runbook Worker では、Automation と通信するために TCP ポート 443 経由の発信インターネット アクセスが必要です。 ファイアウォールを使用してインターネットへのアクセスを制限する場合は、アクセスを許可するようにファイアウォールを構成する必要があります。 インターネット アクセスが制限されているエージェントベース (V1) のコンピューターの場合は、Log Analytics ゲートウェイを使用して Azure Automation および Azure Log Analytics ワークスペースとの通信を構成します。
  • 拡張機能ベースの Linux Hybrid Runbook Worker を構成する場合、CPU クォータの上限は 5% です。 Windows の拡張機能ベースの Hybrid Runbook Worker には、このような制限はありません。
• Automation 用の Azure セキュリティ ベースライン: Automation 用の Azure セキュリティ ベースラインには、ベスト プラクティス ガイダンスに従って資産を保護するためにセキュリティ構成を向上させる方法に関する推奨事項が含まれています。

コスト最適化

コストの最適化とは、不要な費用を削減し、操作効率を向上させる方法を検討することです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

• Azure Automation のコストは、1 分あたりのジョブ実行に対して課金されます。 毎月、最初の 500 分のプロセス オートメーションまでは無料です。 コストの見積もりには、Azure 料金計算ツールをご利用ください。 Azure Automation の価格モデルの詳細については、「Automation の価格」をご覧ください。
• エージェントベースの方法 (V1) については、Azure Log Analytics ワークスペースでは、Azure Log Analytics に格納されるログ データの量に関して追加のコストが発生する場合があります。 価格モデルは消費量に基づきます。 コストはデータ インジェストとデータ保持に関連しています。 Azure Log Analytics へのデータの取り込みについては、課金アカウントあたり毎月 5 ギガバイト (GB) の無料分を含む容量予約または従量課金制モデルが使用されます。 最初の 31 日間のデータ保持は無料です。 Log Analytics の価格モデルについては、「Azure Monitor の価格」を参照してください。

オペレーショナル エクセレンス

オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「オペレーショナル エクセレンスの重要な要素の概要」を参照してください。

管理の容易性

• 拡張機能ベースの方法 (V2) は、エージェントベースの方法 (V1) と比較して、次のような点で管理しやすくなっています。
  • ARM ID と Hybrid Runbook Worker のネイティブ統合をサポートしています。ポリシーとテンプレートにより大規模なガバナンスを柔軟に実行できます。
  • Microsoft Entra ID で用意する VM システム割り当て ID を使うため、ID とリソースの資格情報を一元的に制御および管理することができます。
  • Hybrid Runbook Worker のオンボードとオンボード解除時に、Azure と非 Azure の両方のマシンで統一されたエクスペリエンスを提供します。
• エージェントベースの方法 (V1) のみ適用:
  • Windows マシンで動作する Windows Hybrid Worker ロールで Log Analytics エージェントのデプロイを高速化するために、PowerShell スクリプト New-OnPremiseHybridWorker.ps1 を使います
  • オンプレミス インフラストラクチャに多数のエージェントをデプロイする場合は、コマンド ライン スクリプトを使用してデプロイを調整し、グループ ポリシーまたは System Center Configuration Manager を使用してデプロイを実行できます。

DevOps

• Azure Automation は、一般的なソース管理システムである Azure DevOps や GitHub と統合できます。 ソース管理を使用すると、分離環境で以前にテストされたスクリプトやカスタム コードを含む既存の開発環境を統合できます。
• Azure Automation をお使いのソース管理環境と統合する方法については、「ソース管理の統合を使用する」を参照してください。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

• Mike Martin | シニア クラウド ソリューション アーキテクト

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次の手順

Azure Automation の詳細:

• Hybrid Runbook Worker の概要
• 拡張機能ベースの Windows または Linux ユーザー Hybrid Runbook Worker をデプロイする
• Automation でエージェントベースの Windows Hybrid Runbook Worker をデプロイする
• Automation でエージェントベースの Linux Hybrid Runbook Worker をデプロイする
• Azure Automation アカウントを作成する
• Azure Automation でマネージド ID を使って Runbook を作成する
• Hybrid Runbook Worker で Automation Runbook を実行する
• 前提条件: Azure Automation でのネットワーク構成の詳細
• Azure Arc の概要
• Azure Arc 対応サーバーとは

Azure Monitor と Monitor ログの詳細:

• Azure Monitor ログの概要
• Azure Monitor の Log Analytics の概要

関連リソース

• ハイブリッド アーキテクチャの設計
• オンプレミス ネットワークの Azure への接続
• Azure Monitor を使用した企業の監視
• Azure でのコンピューター フォレンジクスの証拠保全
• Azure Stack Hub の仮想マシンのディザスター リカバリー