Bewerken

Azure Automation in een hybride omgeving

Azure Automation
Azure Portal
Azure Monitor
Azure Virtual Machines
Azure Arc

Belangrijk

Azure Automation Hybrid Runbook Worker op basis van een agent (Windows en Linux) wordt op 31 augustus 2024 buiten gebruik gesteld en wordt na die datum niet meer ondersteund. U moet vóór 31 augustus 2024 de migratie van bestaande Hybrid Runbook Workers voor gebruikers op basis van een agent voltooien naar Workers op basis van extensies. Bovendien kunt u vanaf 1 oktober 2023 geen nieuwe Hybrid Workers op basis van agents meer maken. Meer informatie

Runbooks in Azure Automation worden uitgevoerd op het Azure-cloudplatform en hebben mogelijk geen toegang tot resources die zich in andere clouds of in uw on-premises omgeving bevinden. U kunt de functie Hybrid Runbook Worker van Azure Automation gebruiken om runbooks rechtstreeks uit te voeren op de computer waarop de rol en op resources in de omgeving worden gehost om deze lokale resources te beheren. Runbooks worden opgeslagen en beheerd in Azure Automation en vervolgens geleverd aan een of meer toegewezen machines.

Architectuur

Architecture diagram that shows Azure Automation in a user Hybrid Runbook Worker.

Een Visio-bestand van deze architectuur downloaden.

Workflow

De Hybrid Runbook Worker-architectuur bestaat uit het volgende:

  • Automation-account: een cloudservice waarmee configuratie en beheer in uw Azure- en niet-Azure-omgevingen worden geautomatiseerd.
  • Hybrid Runbook Worker: een computer die is geconfigureerd met de functie Hybrid Runbook Worker en runbooks rechtstreeks op de computer en op basis van de resources in de lokale omgeving kan uitvoeren.
  • Hybrid Runbook Worker-groep: Groep met meerdere Hybrid Runbook Workers voor hogere beschikbaarheid en schaal om een set runbooks uit te voeren.
  • Runbook: Een verzameling van een of meer gekoppelde activiteiten die samen een proces of bewerking automatiseren. Meer informatie.
  • On-premises machines en VM's: on-premises Windows- of Linux-computers en VM's die worden gehost in een particulier lokaal netwerk.
  • Onderdelen die van toepassing zijn op de op extensies gebaseerde benadering (V2):
    • Hybrid Runbook Worker VM-extensie: een kleine toepassing die op een computer is geïnstalleerd. De toepassing configureert de computer als Hybrid Runbook Worker.
    • Server met Arc: servers met Azure Arc maken het mogelijk voor u om Windows- en Linux-computers en virtuele machines te beheren die buiten Azure worden gehost, ongeacht of deze zich in uw bedrijfsnetwerk bevinden of op een andere cloudprovider. Deze beheerervaring is ontworpen om consistent te zijn met de wijze waarop u systeemeigen virtuele Azure-machines beheert. Meer informatie.
  • Onderdelen die van toepassing zijn op de op agents gebaseerde benadering (V1):
    • Log Analytics-werkruimte: een Log Analytics-werkruimte is een gegevensopslagplaats voor logboekgegevens die worden verzameld uit resources die worden uitgevoerd in Azure, on-premises of in een andere cloudprovider.
    • Automation Hybrid Worker-oplossing: Met deze oplossing kunt u Hybrid Runbook Workers maken om Azure Automation-runbooks uit te voeren op uw Azure- en niet-Azure-computers.

Hybrid Runbook Worker van gebruiker

Architecture diagram that shows Azure Automation in a user Hybrid Runbook Worker.

Een Visio-bestand van deze architectuur downloaden.

Elke gebruiker Hybrid Runbook Worker is lid van een Hybrid Runbook Worker-groep die u opgeeft wanneer u de worker installeert. Een groep kan één werknemer bevatten, maar u kunt meerdere werknemers in een groep opnemen voor hoge beschikbaarheid. Elke machine kan één Hybrid Runbook Worker-rapportage hosten naar één Automation-account; u kunt de hybrid worker niet registreren voor meerdere Automation-accounts. Een hybrid worker kan alleen luisteren naar taken vanuit één Automation-account.

System Hybrid Runbook Worker

Architecture diagram that shows Azure Automation in a System Hybrid Runbook Worker

Een Visio-bestand van deze architectuur downloaden.

Machines waarop het systeem Hybrid Runbook Worker wordt gehost die wordt beheerd door Updatebeheer, kunnen worden toegevoegd aan een Hybrid Runbook Worker-groep. Maar u moet hetzelfde Automation-account gebruiken voor updatebeheer en het lidmaatschap van de Hybrid Runbook Worker-groep.

Taakuitvoering op Hybrid Runbook Worker

Wanneer u een runbook start op een gebruiker Hybrid Runbook Worker, geeft u de groep op waarop het wordt uitgevoerd. Elke werknemer in de groep peilt Azure Automation om te zien of er taken beschikbaar zijn. Als er een taak beschikbaar is, neemt de eerste werkrol deze. De verwerkingstijd van de takenwachtrij is afhankelijk van het hardwareprofiel voor hybrid worker en de belasting. U kunt geen bepaalde werkrol opgeven. Hybrid Worker werkt op een pollingmechanisme (elke 30 seconden) en volgt een volgorde van eerstkomer, eerste maal.

Onderdelen

  • Azure Automation is een Azure-service voor het automatiseren van cloudbeheertaken. Met de functie Hybrid Runbook Worker kunt u runbooks uitvoeren op computers die zich in uw datacenter bevinden om lokale resources te beheren.
  • Azure Monitor biedt u volledige waarneembaarheid in toepassingen, infrastructuur en netwerk. Azure Monitor-logboeken is een functie van Azure Monitor waarmee logboek- en prestatiegegevens van bewaakte resources worden verzameld en ingedeeld. Log Analytics is een hulpprogramma in Azure Portal voor het uitvoeren van query's op logboeken en voor het analyseren van de resultaten

Scenariodetails

Hybrid Runbook Worker-installatiebenadering

Azure Automation biedt systeemeigen integratie van de rol Hybrid Runbook Worker via het Azure Virtual Machine Extension Framework. De Azure VM-agent is verantwoordelijk voor het beheren van de extensie op Azure-VM's, zowel Windows als Linux, en op niet-Azure-machines via de met Arc verbonden machineagent. Er zijn twee Hybrid Runbook Workers-installatieplatforms die worden ondersteund door Azure Automation.

Platform Beschrijving
Op basis van extensies (V2) Geïnstalleerd met behulp van de Hybrid Runbook Worker VM-extensie, zonder enige afhankelijkheid van de rapportageactiviteit van de Log Analytics-agent die rapporteert aan een Azure Monitor Log Analytics-werkruimte. Dit is de aanbevolen aanpak, omdat het naadloze onboarding biedt en eenvoudig te beheren is.
Op basis van agents (V1) Geïnstalleerd nadat de Log Analytics-agent klaar is met het rapporteren aan een Azure Monitor Log Analytics-werkruimte.

Een hybrid worker kan naast beide platforms bestaan: op agents gebaseerde (V1) en extensie (V2). Als u Extensie op basis van (V2) installeert op een Hybrid Worker waarop agent al wordt uitgevoerd (V1), ziet u twee vermeldingen van de Hybrid Runbook Worker in de groep. Een met platformextensie (V2) en de andere op agents gebaseerde (V1). Meer informatie

Runbook worker-typen

Er zijn twee typen Runbook workers, System en User.

Systeem ondersteunt een set verborgen runbooks die worden gebruikt door de functie Updatebeheer. De runbooks zijn ontworpen voor het installeren van door de gebruiker opgegeven updates op Windows- en Linux-computers. Dit type Hybrid Runbook Worker is geen lid van een Hybrid Runbook Worker-groep en voert daarom geen runbooks uit die zijn gericht op een Runbook Worker-groep.

Gebruiker ondersteunt door de gebruiker gedefinieerde runbooks die rechtstreeks moeten worden uitgevoerd op de Windows- en Linux-computers die lid zijn van een of meer Runbook Worker-groepen.

Hybrid Runbook Worker op basis van extensies ondersteunt alleen het type Hybrid Runbook Worker van de gebruiker en bevat niet het systeem Hybrid Runbook Worker dat is vereist voor de functie Updatebeheer.

Hybrid Runbook Workers op basis van agents (V1) zijn afhankelijk van de Log Analytics-agentrapportage voor een Azure Monitor Log Analytics-werkruimte. De werkruimte is niet alleen bedoeld om bewakingsgegevens van de computer te verzamelen, maar ook om de onderdelen te downloaden die nodig zijn voor het installeren van hybrid runbook Worker op basis van een agent. Wanneer Azure Automation Update Management is ingeschakeld, wordt elke computer die is verbonden met uw Log Analytics-werkruimte automatisch geconfigureerd als een Hybrid Runbook Worker van het systeem.

Potentiële gebruikscases

  • Azure Automation-runbooks rechtstreeks uitvoeren op een bestaande virtuele Azure-machine (VM) of on-premises server met Arc.
  • Om de beperking van de Azure Automation-sandbox te overwinnen. De algemene scenario's omvatten het uitvoeren van langlopende bewerkingen buiten de limiet van drie uur voor cloudtaken, het uitvoeren van resource-intensieve automatiseringsbewerkingen, interactie met lokale services die on-premises of in hybride omgevingen worden uitgevoerd, scripts uitvoeren waarvoor verhoogde machtigingen zijn vereist, enzovoort.
  • Organisatiebeperkingen voor het bewaren van gegevens in Azure om governance- en beveiligingsredenen te overwinnen. Hoewel u Automation-taken niet kunt uitvoeren in de cloud, kunt u deze uitvoeren op een on-premises computer die als Hybrid Runbook Worker wordt ge onboardd.
  • Bewerkingen automatiseren op meerdere niet-Azure-resources die worden uitgevoerd in on-premises, hybride of multicloudomgevingen. U kunt een van deze machines onboarden als hybrid Runbook Worker en doelautomatisering op de resterende on-premises machines.
  • Als u vanuit het Virtuele Azure-netwerk (VNet) privé toegang wilt krijgen tot andere services zonder dat u een uitgaande verbinding met internet hoeft te openen, kunt u runbooks uitvoeren op een Hybrid Worker die is verbonden met het virtuele Azure-netwerk.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

  • Een Hybrid Runbook Worker-groep met meer dan één computer die is geconfigureerd met de Hybrid Worker-rol biedt hoge beschikbaarheid, omdat runbooks alleen worden gestart op servers die worden uitgevoerd en in orde zijn.
  • De hybrid runbook worker op basis van de extensie (V1) ondersteunt alleen het type Hybrid Runbook Worker van de gebruiker en bevat niet de System Hybrid Runbook Worker die is vereist voor de functie Updatebeheer.
  • Het volgende geldt alleen voor de op agents gebaseerde benadering (V1). Toewijzingen tussen een Log Analytics-werkruimte en een Automation-account worden momenteel in verschillende regio's ondersteund. Zie Ondersteunde regio's voor gekoppelde Log Analytics-werkruimten voor meer informatie.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

  • Versleuteling van gevoelige assets in Automation: een Azure Automation-account kan gevoelige assets bevatten, zoals referenties, certificaten, verbindingen en versleutelde variabelen die mogelijk door de runbooks worden gebruikt. Elke beveiligde asset wordt standaard versleuteld met behulp van een gegevensversleutelingssleutel die wordt gegenereerd voor elk Automation-account. Deze sleutels worden versleuteld en opgeslagen in Azure Automation met een AEK (Account Encryption Key) die kunnen worden opgeslagen in de sleutelkluis voor klanten die versleuteling willen beheren met hun eigen sleutels. AEK wordt standaard versleuteld met behulp van door Microsoft beheerde sleutels. Gebruik de volgende richtlijnen om versleuteling van beveiligde assets toe te passen in Azure Automation.
  • Runbookmachtiging: Runbookmachtigingen voor een Hybrid Runbook Worker worden standaard uitgevoerd in een systeemcontext op de computer waarop ze worden geïmplementeerd. Een runbook biedt een eigen verificatie voor lokale resources. Verificatie kan worden geconfigureerd met behulp van beheerde identiteiten voor Azure-resources of door een Uitvoeren als-account op te geven om een gebruikerscontext te bieden voor alle runbooks.
  • Netwerkplanning:
    • Als u een proxyserver gebruikt voor communicatie tussen Azure Automation en de computers waarop Hybrid Runbook Worker wordt uitgevoerd, moet u ervoor zorgen dat de juiste resources toegankelijk zijn. De time-out voor aanvragen van de Hybrid Runbook Worker- en Automation-services is 30 seconden. Na drie pogingen mislukt de aanvraag.
    • Hybrid Runbook Worker vereist uitgaande internettoegang via TCP-poort 443 om te communiceren met Automation. Als u een firewall gebruikt om de toegang tot internet te beperken, moet u de firewall configureren om toegang te verlenen. Gebruik Log Analytics-gateway voor op agents gebaseerde (V1)-computers met beperkte internettoegang om communicatie met Azure Automation en Azure Log Analytics Workspace te configureren.
    • Er is een CPU-quotumlimiet van 5% tijdens het configureren van op extensies gebaseerde Linux Hybrid Runbook Worker. Er is geen dergelijke limiet voor Hybrid Runbook Worker op basis van windows-extensies.
  • Azure-beveiligingsbasislijn voor Automation: de Azure-beveiligingsbasislijn voor Automation bevat aanbevelingen voor het verbeteren van uw beveiligingsconfiguratie om uw assets te beveiligen door de best practice-richtlijnen te volgen.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

  • Azure Automation-kosten zijn geprijsd voor taakuitvoering per minuut. Elke maand zijn de eerste 500 minuten aan procesautomatisering gratis. Gebruik de Azure-prijscalculator om een schatting van de kosten te maken. Zie De prijzen van Automation voor meer informatie over de Prijsmodellen van Azure Automation.
  • Voor de op agents gebaseerde benadering (V1) kan azure Log Analytics-werkruimte extra kosten genereren die betrekking hebben op de hoeveelheid logboekgegevens die zijn opgeslagen in Azure Log Analytics. Het prijsmodel is gebaseerd op verbruik. De kosten zijn gekoppeld voor gegevensopname en gegevensretentie. Voor het opnemen van gegevens in Azure Log Analytics gebruikt u Capaciteitsreservering of het model betalen per gebruik met 5 GB (GB) gratis per factureringsrekening per maand. Gegevensretentie voor de eerste 31 dagen is gratis. Zie De prijzen van Azure Monitor voor de prijsmodellen voor Log Analytics.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

Beheerbaarheid

  • De op extensies gebaseerde benadering (V2) biedt een gemakkelijke beheerbaarheid in vergelijking met op agents gebaseerde benadering (V1) via:
    • Systeemeigen integratie met ARM-identiteit voor Hybrid Runbook Worker en biedt de flexibiliteit voor governance op schaal via beleid en sjablonen.
    • Gecentraliseerd beheer en beheer van identiteiten en resourcereferenties, omdat deze gebruikmaakt van door het VM-systeem toegewezen identiteiten die worden geleverd door Microsoft Entra-id.
    • Geïntegreerde ervaring voor zowel Azure- als niet-Azure-machines tijdens onboarding en deboarding van Hybrid Runbook Workers.
  • Alleen van toepassing op op agents gebaseerde benadering (V1):

DevOps

  • Azure Automation maakt integratie mogelijk met populaire broncodebeheersystemen, Azure DevOps en GitHub. Met broncodebeheer kunt u de bestaande ontwikkelomgeving integreren die uw scripts en aangepaste code bevat die eerder zijn getest in een geïsoleerde omgeving.
  • Zie Integratie van broncodebeheer gebruiken voor informatie over het integreren van Azure Automation met uw broncodebeheeromgeving.

Inzenders

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Meer informatie over Azure Automation:

Meer informatie over Azure Monitor en Monitor-logboeken: