Bewerken

Azure Automation updatebeheer

Azure Automation
Azure Log Analytics
Azure Monitor
Azure Resource Manager
Azure Virtual Machines

Deze referentiearchitectuur illustreert hoe u een hybride oplossing voor updatebeheer ontwerpt voor het beheren van updates op zowel Microsoft Azure als on-premises Windows- en Linux-computers.

Architectuur

Azure Updatebeheer is een configuratieonderdeel van Azure Automation. Windows- en Linux-computers, zowel in Azure als on-premises, verzenden evaluatie-informatie over ontbrekende updates naar de Log Analytics-werkruimte. Azure Automation gebruikt deze informatie vervolgens om een planning te maken voor de automatische implementatie van de ontbrekende updates.

Een Visio-bestand van deze architectuur downloaden.

Werkstroom

De architectuur bestaat uit de volgende services:

  • Log Analytics-werkruimte: Een Log Analytics-werkruimte is een gegevensopslagplaats voor logboekgegevens die worden verzameld van resources die worden uitgevoerd in Azure, on-premises of in een andere cloudprovider.
  • Automation Hybrid Worker-oplossing: Maak Hybrid Runbook Workers om Azure Automation runbooks uit te voeren op uw Azure- en niet-Azure-computers.
  • Automation-account: Dit is een cloudservice waarmee configuratie en beheer in uw Azure- en niet-Azure-omgevingen worden geautomatiseerd.
  • Hybrid Runbook Worker: Dit is een computer die is geconfigureerd met de functie Hybrid Runbook Worker en die runbooks rechtstreeks op de computer en op de resources in de lokale omgeving kan uitvoeren.
  • Hybrid Runbook Worker-groep: Het is een groep Hybrid Runbook Workers die wordt gebruikt voor hoge beschikbaarheid.
  • Runbook: Dit is een verzameling van een of meer gekoppelde activiteiten die samen een proces of bewerking automatiseren.
  • On-premises computers en VM's: Dit zijn on-premises computers en VM's met Windows- of Linux-besturingssystemen die zich on-premises bevinden.
  • Azure-VM's: Azure-VM's omvatten virtuele Windows- of Linux-machines die worden gehost in Azure.

Onderdelen

Scenariodetails

Deze architectuur wordt doorgaans gebruikt voor:

  • Updates on-premises en in Azure beheren met behulp van het onderdeel Updatebeheer van het Automation-account.
  • Geplande implementaties gebruiken om de installatie van updates binnen een gedefinieerd onderhoudsvenster te organiseren.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze tenzij u een specifieke vereiste hebt die ze overschrijft.

Updatebeheer

Updatebeheer is een configuratieonderdeel van Automation. Windows- en Linux-computers, zowel in Azure als on-premises, verzenden evaluatie-informatie over ontbrekende updates naar de Log Analytics-werkruimte. Azure Automation gebruikt deze informatie vervolgens om een planning te maken voor de automatische implementatie van de ontbrekende updates.

In de volgende stappen wordt de daadwerkelijke implementatie gemarkeerd:

  1. Maak een Log Analytics-werkruimte.
  2. Een Automation-account maken.
  3. Koppel het Automation-account aan de Log Analytics-werkruimte.
  4. Schakel Updatebeheer in voor Azure-VM's.
  5. Schakel Updatebeheer in voor niet-Azure-VM's.

Een Log Analytics-werkruimte maken

Voordat u een Log Analytics-werkruimte maakt, moet u ervoor zorgen dat u ten minste de rol van Log Analytics-inzender hebt.

U kunt meer dan één Log Analytics-werkruimte hebben voor gegevensisolatie of voor de geografische locatie van gegevensopslag, maar de Log Analytics-agent kan worden geconfigureerd om te rapporteren aan één Log Analytics-werkruimte. Raadpleeg de implementatie van Uw Azure Monitor-logboeken ontwerpen voordat u de werkruimte maakt voor meer informatie.

Gebruik de volgende procedure om een Log Analytics-werkruimte te maken:

  1. Meld u aan bij Azure Portal op https://portal.azure.com.
  2. Selecteer een resource maken in de Azure Portal.
  3. Voer Log Analytics in het vak Marketplace doorzoeken in. Wanneer u begint met het invoeren van deze tekst, wordt de lijst gefilterd op basis van uw invoer. Selecteer Log Analytics-werkruimten.
  4. Selecteer Maken en configureer vervolgens de volgende items:
    1. Selecteer een ander abonnement in de vervolgkeuzelijst als de standaardselectie niet geschikt is.
    2. Kies voor de resourcegroep ervoor om een bestaande resourcegroep te gebruiken die al is ingesteld of maak een nieuwe.
    3. Geef een unieke naam op voor de nieuwe Log Analytics-werkruimte, zoals HybridWorkspace-yourname
    4. Selecteer de locatie voor uw implementatie.
    5. Selecteer prijscategorie om door te gaan met verdere aanpassingen.
    6. Als u een werkruimte maakt in een abonnement dat is gemaakt na 2 april 2018, wordt automatisch het prijsplan Per GB gebruikt en is de optie voor het selecteren van een prijscategorie niet beschikbaar. Als u een werkruimte maakt voor een bestaand abonnement dat vóór die datum is gemaakt of voor een abonnement dat is gekoppeld aan een bestaande Enterprise Agreement inschrijving, selecteert u de prijscategorie van uw voorkeur. Raadpleeg Prijzen van Log Analytics voor meer informatie over de specifieke lagen.
    7. Selecteer Tags en geef eventueel een naam en waarde op voor het categoriseren van de resources.
    8. Selecteer Controleren + maken.
  5. Nadat u de vereiste informatie hebt opgegeven in het deelvenster Log Analytics-werkruimte , selecteert u Maken.

Een Automation-account maken

Nadat de Automation Hybrid Worker-oplossing is toegevoegd aan de Log Analytics-werkruimte, gaat u verder met het maken van het Automation-account. Raadpleeg Ondersteunde regio's voor gekoppelde Log Analytics-werkruimte om de regio's voor automation-account en Log Analytics-werkruimte te selecteren. Het is belangrijk dat u het Automation-account maakt op basis van het document voor regiotoewijzing en bij voorkeur in dezelfde resourcegroep als de Log Analytics-werkruimte.

Gebruik de volgende procedure om een Automation-account te maken:

  1. Selecteer een resource maken in de Azure Portal.
  2. Voer Automation in het vak Marketplace doorzoeken in. Wanneer u begint met het invoeren van deze tekst, wordt de lijst gefilterd op basis van uw invoer. Selecteer Automation en selecteer vervolgens Maken.
  3. Selecteer Maken en configureer vervolgens de volgende items:
    1. Geef de naam op voor het Automation-account, zoals hybrid-auto.
    2. Selecteer een ander abonnement in de vervolgkeuzelijst als de standaardselectie niet geschikt is.
    3. Kies voor de resourcegroep dezelfde resourcegroep waarin u het Automation-account wilt maken.
    4. Selecteer de locatie op basis van het document voor regiotoewijzing.
    5. Het uitvoeren als-account van Azure maken is optioneel, omdat dit alleen verificatie met Azure biedt voor het beheren van Azure-resources vanuit Automation-runbooks.
  4. Nadat u de vereiste informatie hebt opgegeven in het deelvenster Automation-account toevoegen , selecteert u Maken.

Automation-accounts maken gebruik van de Hybrid Runbook Worker-onderdelen die worden geïmplementeerd in de Log Analytics-werkruimte. U moet deze services integreren voordat u een Log Analytics-agent op een on-premises computer implementeert. Momenteel worden toewijzingen tussen Log Analytics-werkruimten en Automation-accounts ondersteund in verschillende regio's. Raadpleeg Ondersteunde regio's voor gekoppelde Log Analytics-werkruimte voor meer informatie.

Gebruik de volgende procedure om een Automation-account te koppelen aan een Log Analytics-werkruimte:

  1. Selecteer in de Azure Portal Alle services en voer vervolgens automatisering in. Wanneer u begint met het invoeren van deze tekst, wordt de lijst gefilterd op basis van uw invoer. Selecteer Automation-account en selecteer vervolgens het Automation-account dat u eerder hebt gemaakt.
  2. Selecteer in het deelvenster Automation-accountde optie Updatebeheer in de sectie Updatebeheer .
  3. Configureer in het deelvenster Updatebeheer de volgende items:
    1. Selecteer een ander abonnement in de vervolgkeuzelijst als de standaardselectie niet geschikt is.
    2. Selecteer voor Log Analytics-werkruimte uw bestaande Log Analytics-werkruimte; bijvoorbeeld HybridWorkspace-yourname.
  4. Nadat u de vereiste informatie hebt opgegeven in het deelvenster Updatebeheer , selecteert u Inschakelen.

Updatebeheer inschakelen voor Azure-VM's

Schakel Updatebeheer voor Azure-VM's in met behulp van de volgende hulpprogramma's:

  • Azure Resource Manager-sjabloon. Microsoft biedt een voorbeeldsjabloon waarmee u het maken van een Azure Log Analytics-werkruimte, het maken van een Automation-account, het koppelen van het Automation-account aan de Log Analytics-werkruimte en het inschakelen van Updatebeheer kunt automatiseren.
  • Updatebeheer van de Azure Portal. Gebruik deze methode als u meerdere VM's wilt bijwerken die zich in verschillende regio's bevinden.
  • Updatebeheer vanaf een Azure-VM. Hiermee configureert u updates voor een geselecteerde VM.
  • Updatebeheer vanuit een Automation-account. Gebruik deze methode als u zowel Azure- als niet-Azure-computers en VM's tegelijk wilt bijwerken.
  • Updatebeheer vanuit een runbook. Gebruik deze methode om Updatebeheer in te schakelen als een geautomatiseerde procedure in combinatie met andere automatiseringsactiviteiten.

Gebruik de volgende procedure om Updatebeheer in te schakelen voor Azure-VM's:

  1. Selecteer in de Azure Portal Alle services en voer vervolgens automatisering in. Wanneer u begint met het invoeren van deze tekst, wordt de lijst gefilterd op basis van uw invoer. Selecteer Automation-account en selecteer vervolgens het Automation-account dat u eerder hebt gemaakt.
  2. Selecteer in het deelvenster Automation-accountde optie Updatebeheer in de sectie Updatebeheer .
  3. Selecteer in het deelvenster Updatebeheerde optie Azure-VM's toevoegen, selecteer een of meer VM's die gereed zijn voor Updatebeheer en selecteer vervolgens Inschakelen.

De Log Analytics-agent implementeren en verbinding maken met een Log Analytics-werkruimte

Het implementeren van een Hybrid Runbook Worker-onderdeel maakt deel uit van de implementatie van een Log Analytics-agent.

Als u de oplossing test met behulp van een Azure-VM, kunt u de Log Analytics-agent installeren en de VM inschrijven in een bestaande Log Analytics-werkruimte met behulp van een VM-extensie voor zowel Linux als Windows. U kunt de agent ook implementeren met behulp van Azure Automation Desired State Configuration, een Windows PowerShell script of met behulp van een Resource Manager-sjabloon voor VM's. Raadpleeg Windows-computers verbinden met Azure Monitor voor meer informatie.

Voor niet-Azure-VM's implementeert u de agent met behulp van een handmatig of geautomatiseerd proces, zowel op fysieke Windows- als Linux-computers of VM's die zich in uw omgeving bevinden.

Voor Windows-computers configureert u de agent om te communiceren met de Log Analytics-service met behulp van het TLS 1.2-protocol (Transport Layer Security). Raadpleeg Windows-computers verbinden met Azure Monitor voor een gedetailleerde uitleg van de implementatieprocedure.

De Log Analytics-agent voor Linux kan worden geïmplementeerd:

  • Handmatig met behulp van een shellscriptbundel die Debian- en RPM-pakketten (Red Hat Package Manager) bevat voor elk van de agentonderdelen. Dit wordt aanbevolen wanneer een Linux-computer geen internetverbinding heeft en via de Log Analytics-gateway communiceert met de Log Analytics-service.
  • Door een wrapper-script te gebruiken dat wordt gehost op GitHub wanneer de computer verbinding heeft met internet.

De Log Analytics-agent moet worden geconfigureerd om te communiceren met een Log Analytics-werkruimte met behulp van de werkruimte-id en sleutel van de Log Analytics-werkruimte.

Gebruik de volgende procedure om een Log Analytics-agent te implementeren en verbinding te maken met een Log Analytics-werkruimte:

  1. Zoek en selecteer Log Analytics-werkruimten in de Azure Portal.
  2. Selecteer in uw lijst met Log Analytics-werkruimten de werkruimte die de agent gebruikt voor rapportage.
  3. Selecteer Agents management.
  4. Kopieer en plak de werkruimte-id en primaire sleutel in uw favoriete editor.
  5. Selecteer in uw Log Analytics-werkruimte op de pagina Windows-servers waar u eerder naar hebt gebladerd de juiste windows-agentversie downloaden om te downloaden op basis van de processorarchitectuur van het Windows-besturingssysteem.
  6. Voer Setup uit om de agent op uw computer te installeren.
  7. Op de pagina Welkom selecteert u Volgende.
  8. Lees de licentie op de pagina Licentievoorwaarden en selecteer vervolgens Ik ga akkoord.
  9. Wijzig of behoud de standaardinstallatiemap op de pagina Doelmap en selecteer volgende.
  10. Kies op de pagina Configuratieopties voor agent om de agent te verbinden met Azure Log Analytics en selecteer vervolgens Volgende.
  11. Voer op de pagina Azure Log Analytics de volgende stappen uit:
    1. Plak de Werkruimte-id en Werkruimtesleutel (primaire sleutel) die u eerder hebt gekopieerd. Als de computer rapporteert aan een Log Analytics-werkruimte in een Microsoft Azure Government-cloud, selecteert u Azure US Government in de vervolgkeuzelijst Azure Cloud.
    2. Als de computer via een proxyserver moet communiceren met de Log Analytics-service, selecteert u Geavanceerd en geeft u vervolgens de URL en het poortnummer van de proxyserver op. Als voor uw proxyserver verificatie is vereist, voert u de gebruikersnaam en het wachtwoord in om te verifiëren bij de proxyserver en selecteert u vervolgens Volgende.
  12. Selecteer Volgende nadat u de benodigde configuratie-instellingen hebt opgegeven.

Updatebeheer inschakelen voor niet-Azure-computers

Het inschakelen van Updatebeheer op niet-Azure-computers heeft de volgende vereisten:

  • Implementeer de Log Analytics-agent en maak verbinding met een Log Analytics-werkruimte.

In eerdere procedures wordt uitgelegd hoe u deze vereisten configureert.

Nadat u de Log Analytics-agent op een on-premises computer hebt geïnstalleerd, schakelt u Updatebeheer in de Azure Portal in met behulp van de volgende procedure:

  1. Selecteer in de Azure Portal Alle services en voer vervolgens automatisering in. Wanneer u begint met het invoeren van deze tekst, wordt de lijst gefilterd op basis van uw invoer. Selecteer Automation-account en selecteer vervolgens het Automation-account dat u eerder hebt gemaakt.
  2. Selecteer in het deelvenster Automation-accountde optie Updatebeheer in de sectie Updatebeheer .
  3. Selecteer in het deelvenster Updatebeheerde optie Machines beheren en selecteer vervolgens computers die worden vermeld en zijn geconfigureerd voor het verzenden van logboekgegevens naar de Log Analytics-werkruimte.
  4. Selecteer Inschakelen om de configuratie van Updatebeheer op niet-Azure-machines te voltooien.

Elke Windows-computer die wordt beheerd door Updatebeheer wordt in het deelvenster Hybrid Worker-groepen weergegeven als een System Hybrid Worker-groep voor het Automation-account. Gebruik deze groepen alleen voor het implementeren van updates, niet voor het richten van de groepen met runbooks voor geautomatiseerde taken.

Overwegingen

Deze overwegingen implementeren de pijlers van het Azure Well-Architected Framework, een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Beheerbaarheid

Updates beheren voor Azure-VM's en niet-Azure-machines

Update-evaluatie voor alle ontbrekende updates die zowel azure-VM's als niet-Azure-computers nodig hebben, is zichtbaar in de sectie Updatebeheer van uw Automation-account.

Plan een update-implementatie met behulp van de Azure Portal of met behulp van PowerShell, waarmee planningsassets worden gemaakt die zijn gekoppeld aan het runbook Patch-MicrosoftOMSComputers.

Gebruik de volgende procedure om een nieuwe update-implementatie te plannen:

  1. Ga in uw Automation-account naar Updatebeheer onder Updatebeheer en selecteer vervolgens Update-implementatie plannen.

  2. Gebruik onder Nieuwe update-implementatie het vak Naam om een unieke naam voor uw implementatie in te voeren.

  3. Selecteer het besturingssysteem dat u wilt gebruiken voor de update-implementatie.

  4. Definieer in het deelvenster Bij te werken groepen een query die abonnement, resourcegroepen, locaties en tags combineert om een dynamische groep Azure-VM's te bouwen die u in uw implementatie kunt opnemen. Zie Dynamische groepen gebruiken met Updatebeheer voor meer informatie.

  5. Selecteer in het deelvenster Bij te werken machines een opgeslagen zoekopdracht, een geïmporteerde groep of kies Machines in de vervolgkeuzelijst en selecteer vervolgens afzonderlijke machines.

  6. Gebruik de vervolgkeuzelijst Updateclassificaties om updateclassificaties voor producten op te geven.

  7. Gebruik het deelvenster Updates opnemen/uitsluiten om specifieke updates voor implementatie te selecteren.

  8. Selecteer Planningsinstellingen om een tijdstip te definiëren waarop de update-implementatie wordt uitgevoerd op computers.

  9. Gebruik het vak Terugkeerpatroon om op te geven of de implementatie eenmaal plaatsvindt of een terugkerend schema gebruikt en selecteer vervolgens OK.

  10. Selecteer in de regio Pre-scripts + Post-scripts (preview) de scripts die voor en na de implementatie moeten worden uitgevoerd. Raadpleeg Prescripts en postscripts beheren voor meer informatie.

  11. Gebruik het vak Onderhoudsvenster (minuten) om de hoeveelheid tijd op te geven die is toegestaan voor het installeren van updates.

  12. Gebruik het vak Opties voor opnieuw opstarten om de manier op te geven waarop opnieuw opstarten tijdens de implementatie moet worden verwerkt.

  13. Wanneer u klaar bent met het configureren van het implementatieschema, selecteert u Maken.

Resultaten van een voltooide update-implementatie zijn zichtbaar in het deelvenster Updatebeheer op het tabblad Geschiedenis .

Windows Update-instellingen configureren

Azure Updatebeheer is afhankelijk van Windows Update Client om updates te downloaden en installeren vanaf Windows Update (standaardinstelling) of vanaf Windows Server Update Server. Configureer Windows Update Client-instellingen om verbinding te maken met Windows Server Update Services (WSUS) met behulp van:

  • Editor voor lokaal groepsbeleid
  • Groepsbeleid
  • PowerShell
  • Het register rechtstreeks bewerken

Raadpleeg Windows Update-instellingen configureren voor meer informatie.

Updatebeheer integreren met Microsoft Endpoint Configuration Manager

De software-updatebeheercyclus kan worden geïntegreerd met Microsoft Endpoint Configuration Manager voor klanten die dit product al gebruiken voor het beheren van pc's, servers en mobiele apparaten.

Als u Software Update Management wilt integreren met Endpoint Configuration Manager, integreert u eerst Endpoint Configuration Manager met Azure Monitor-logboeken en importeert u de verzamelingen in de Log Analytics-werkruimte.

Zie Connect Configuration Manager to Azure Monitor (Verbinding maken met Azure Monitor) voor meer informatie.

Als u updates op lokale computers wilt beheren, configureert u deze met:

  • Het eindpunt Configuration Manager-client.
  • De Log Analytics-agent, die is geconfigureerd om te rapporteren aan een Log Analytics-werkruimte die is ingeschakeld voor Updatebeheer.
  • Windows-agents die zijn geconfigureerd om te communiceren met WSUS of toegang hebben tot Microsoft Update.

Als u updates wilt beheren op computers met Eindpunt Configuration Manager, implementeert u de volgende rollen op de eindpuntcomputer Configuration Manager:

  • Beheerpunt. Met deze sitesysteemrol worden clients beheerd met een beleid dat configuratie-instellingen en informatie over de servicelocatie bevat.
  • Distributiepunt. Dit bevat bronbestanden voor clients.
  • Software-updatepunt. Dit is een rol op de server die als host fungeert voor WSUS.

Software-updates beheren met behulp van:

  • Endpoint Configuration Manager
  • Azure Automation

Partnerupdates op Windows-computers kunnen worden geïmplementeerd vanuit een aangepaste opslagplaats die System Center Updates Publisher (SCUP) biedt. SCUP kan aangepaste updates importeren in zelfstandige WSUS of geïntegreerd met Endpoint Configuration Manager.

Raadpleeg Updatebeheer integreren met Windows Endpoint Configuration Manager voor meer informatie.

De Log Analytics-agent implementeren met behulp van een PowerShell-script

Als u de implementatie van de Log Analytics-agent wilt versnellen met de rol Hybrid Worker die wordt uitgevoerd op een Windows-computer, gebruikt u hetNew-OnPremiseHybridWorker.ps1 PowerShell-script. Met het script:

  • Installeert de benodigde modules.
  • Meld u aan met uw Azure-account.
  • Controleert het bestaan van een opgegeven resourcegroep en Automation-account.
  • Hiermee maakt u verwijzingen naar automation-accountkenmerken.
  • Hiermee maakt u een Azure Monitor Log Analytics-werkruimte als deze niet is opgegeven.
  • Hiermee schakelt u de Automation-oplossing in de werkruimte in.
  • Downloadt en installeert de Log Analytics-agent voor het Windows-besturingssysteem.
  • Registreert de machine als een Hybrid Runbook Worker.

Het implementeren van veel agents in een on-premises infrastructuur kan worden ingedeeld met behulp van opdrachtregelscripts en met behulp van groepsbeleid of Eindpunt Configuration Manager.

Dynamische groepen gebruiken voor Azure- en niet-Azure-machines

Dynamische groepen voor Azure-VM's filteren VM's op basis van een combinatie van:

  • Abonnementen
  • Resourcegroepen
  • Locaties
  • Tags

Dynamische groepen voor niet-Azure-computers gebruiken opgeslagen zoekopdrachten om de computers te filteren voor implementatie van de update. Opgeslagen zoekopdrachten, ook wel computergroepen genoemd, kunnen worden gemaakt met behulp van:

  • Een logboekquery. Gebruik Azure Data Explorer om een logische expressie te definiëren om de computers te filteren.
  • Active Directory Domain Services. Er wordt een groep gemaakt in de Log Analytics-werkruimte voor alle leden van een Active Directory-domein.
  • Eindpunt Configuration Manager. Importeer computerverzamelingen uit Eindpunt Configuration Manager in een Log Analytics-werkruimte.
  • WSUS. Groepen die zijn gemaakt in WSUS-servers kunnen worden geïmporteerd in een Log Analytics-werkruimte.

Raadpleeg Computergroepen in Azure Monitor-logboekquery's voor meer informatie over het maken van computergroepen voor het filteren van machines voor update-implementatie.

Schaalbaarheid

Azure Automation kunnen maximaal 1000 computers per update-implementatie verwerken. Als u verwacht meer dan 1000 computers bij te werken, kunt u de updates splitsen over meerdere updateschema's. Raadpleeg Limieten, quota en beperkingen voor Azure-abonnementen en -services.

Beschikbaarheid

  • Momenteel worden toewijzingen tussen Log Analytics-werkruimte en Automation-account ondersteund in verschillende regio's. Raadpleeg Ondersteunde regio's voor gekoppelde Log Analytics-werkruimte voor meer informatie.
  • Ondersteunde clienttypen: Update-evaluatie en patching worden ondersteund op Windows- en Linux-computers die worden uitgevoerd in Azure of in uw on-premises omgeving. Op dit moment wordt de Windows-client niet officieel ondersteund. Raadpleeg Ondersteunde clienttypen voor een lijst met ondersteunde clients.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

  • Machtigingen voor Updatebeheer: het onderdeel Updatebeheer van Automation en het onderdeel Log Analytics-werkruimte van Monitor kunnen gebruikmaken van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) met ingebouwde rollen van Azure Resource Manager. Voor scheiding van de taken kunnen deze rollen worden toegewezen aan verschillende gebruikers, groepen en beveiligingsprincipals. Raadpleeg Rolmachtigingen en beveiliging beheren voor een lijst met rollen in Automation-accounts.
  • Versleuteling van gevoelige assets in Automation: een Automation-account kan gevoelige assets bevatten, zoals referenties, certificaten en versleutelde variabelen die door runbooks kunnen worden gebruikt. Elke beveiligde asset wordt standaard versleuteld met behulp van een gegevensversleutelingssleutel die wordt gegenereerd voor elk Automation-account. Deze sleutels worden versleuteld en opgeslagen in Automation met een accountversleutelingssleutel die kan worden opgeslagen in de Azure Key Vault voor klanten die versleuteling met hun eigen sleutels willen beheren. Een accountversleutelingssleutel wordt standaard versleuteld met behulp van door Microsoft beheerde sleutels. Gebruik de volgende richtlijnen om versleuteling van beveiligde assets toe te passen in Azure Automation.
  • Runbookmachtigingen voor een Hybrid Runbook Worker: runbookmachtigingen voor een Hybrid Runbook Worker worden standaard uitgevoerd in een systeemcontext op de computer waarop ze zijn geïmplementeerd. Een runbook biedt een eigen verificatie voor lokale resources. Verificatie kan worden geconfigureerd met behulp van beheerde identiteiten voor Azure-resources of door een Uitvoeren als-account op te geven om een gebruikerscontext te bieden voor alle runbooks.
  • Netwerkplanning: Hybrid Runbook Worker vereist uitgaande internettoegang via TCP-poort 443 om te communiceren met Automation. Voor computers met beperkte internettoegang kunt u de Log Analytics-gateway gebruiken om communicatie met Automation en een Azure Log Analytics-werkruimte te configureren.
  • Azure-beveiligingsbasislijn voor Automation: Azure-beveiligingsbasislijn voor Automation bevat aanbevelingen over het verhogen van de algehele beveiliging om uw assets te beschermen volgens best practices.

DevOps

  • U kunt de implementatie van updates programmatisch plannen via de REST API. Raadpleeg Software-updateconfiguraties - maken voor meer informatie.
  • Azure Automation maakt integratie met populaire broncodebeheersystemen zoals Azure DevOps en GitHub mogelijk. Met broncodebeheer kunt u een bestaande ontwikkelomgeving integreren die uw scripts en aangepaste code bevat die eerder zijn getest in een geïsoleerde omgeving.
  • Zie Integratie van broncodebeheer gebruiken voor meer informatie over het integreren van Automation met uw broncodebeheeromgeving.

Kostenoptimalisatie

Kostenoptimalisatie gaat over het zoeken naar manieren om onnodige kosten te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

  • Gebruik de Azure-prijscalculator om een schatting van de kosten te maken. Raadpleeg Automation-prijzen voor meer informatie over Automation-prijsmodellen.
  • Azure Automation kosten zijn geprijsd voor taakuitvoering per minuut of voor configuratiebeheer per knooppunt. Elke maand zijn de eerste 500 minuten van procesautomatisering en configuratiebeheer op vijf knooppunten gratis.
  • Een Azure Log Analytics-werkruimte kan meer kosten genereren met betrekking tot de hoeveelheid logboekgegevens die zijn opgeslagen in Azure Log Analytics. De prijzen zijn gebaseerd op verbruik en de kosten zijn gekoppeld aan gegevensopname en gegevensretentie. Voor het opnemen van gegevens in Azure Log Analytics gebruikt u de capaciteitsreservering of het model voor betalen per gebruik met 5 gigabyte (GB) gratis per maand voor elk factureringsaccount. Het bewaren van gegevens gedurende de eerste 31 dagen is gratis.
  • Gebruik de Azure-prijscalculator om een schatting van de kosten te maken. Raadpleeg Prijzen van Azure Monitor voor meer informatie over Log Analytics-prijsmodellen.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. Het is oorspronkelijk geschreven door de volgende inzenders.

Hoofdauteur:

  • Mike Martin - Nederland | Senior Cloud Solution Architect

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Meer informatie over Azure Automation: