Overzicht van Automation Hybrid Runbook Worker
Belangrijk
Azure Automation Hybrid Runbook Worker op basis van een agent (Windows en Linux) wordt op 31 augustus 2024 buiten gebruik gesteld en wordt na die datum niet meer ondersteund. U moet vóór 31 augustus 2024 de migratie van bestaande Hybrid Runbook Workers voor gebruikers op basis van een agent voltooien naar Workers op basis van extensies. Bovendien zou het vanaf 1 november 2023 niet mogelijk zijn om nieuwe hybride werknemers op basis van agents te maken. Meer informatie.
Runbooks in Azure Automation hebben mogelijk geen toegang tot resources in andere clouds of in uw on-premises omgeving, omdat ze worden uitgevoerd op het Azure-cloudplatform. U kunt de functie Hybrid Runbook Worker van Azure Automation gebruiken om runbooks rechtstreeks uit te voeren op de computer waarop de rol wordt gehost en op basis van resources in de omgeving om deze lokale resources te beheren. Runbooks worden opgeslagen en beheerd in Azure Automation en vervolgens geleverd aan een of meer toegewezen machines.
Azure Automation biedt systeemeigen integratie van de rol Hybrid Runbook Worker via het extensieframework van de virtuele Azure-machine (VM). De Azure VM-agent is verantwoordelijk voor het beheer van de extensie op Virtuele Azure-machines op Windows- en Linux-VM's, en azure Verbinding maken ed Machine-agent op niet-Azure-machines, waaronder Servers met Azure Arc en VMware vSphere met Azure Arc (preview). Er worden nu twee Hybrid Runbook Workers-installatieplatforms ondersteund door Azure Automation.
| Platform | Omschrijving |
|---|---|
| Op basis van extensies (V2) | Geïnstalleerd met behulp van de Hybrid Runbook Worker VM-extensie, zonder enige afhankelijkheid van de Log Analytics-agentrapportage aan een Azure Monitor Log Analytics-werkruimte. Dit is het aanbevolen platform. |
| Op agents gebaseerd (V1) | Geïnstalleerd nadat de Log Analytics-agentrapportage voor een Azure Monitor Log Analytics-werkruimte is voltooid. |
Voor Hybrid Runbook Worker-bewerkingen na de installatie is het proces van het uitvoeren van runbooks op Hybrid Runbook Workers hetzelfde. Het doel van de op extensies gebaseerde benadering is om de installatie en het beheer van de rol Hybrid Runbook Worker te vereenvoudigen en de complexiteit van het werken met de agentversie te verwijderen. De nieuwe installatie op basis van extensies heeft geen invloed op de installatie of het beheer van een hybrid Runbook Worker-rol op basis van een agent. Beide Hybrid Runbook Worker-typen kunnen naast elkaar bestaan op dezelfde computer.
Hybrid Runbook Worker op basis van extensies ondersteunt alleen het type Hybrid Runbook Worker van de gebruiker en bevat niet het systeem Hybrid Runbook Worker dat is vereist voor de functie Updatebeheer.
Voordelen van hybride werknemers op basis van extensies
De op extensies gebaseerde benadering vereenvoudigt de installatie en het beheer van de User Hybrid Runbook Worker aanzienlijk, waardoor de complexiteit van het werken met de op agents gebaseerde benadering wordt verwijderd. Hier volgen enkele belangrijke voordelen:
- Naadloze onboarding : de op agents gebaseerde benadering voor onboarding van Hybrid Runbook Worker is afhankelijk van de Log Analytics-agent. Dit is een proces met meerdere stappen, tijdrovend en foutgevoelig. De op extensies gebaseerde benadering is niet langer afhankelijk van de Log Analytics-agent.
- Beheerbaarheid vergemakkelijken: het biedt systeemeigen integratie met ARM-identiteit voor Hybrid Runbook Worker en biedt de flexibiliteit voor governance op schaal via beleid en sjablonen.
- Verificatie op basis van Microsoft Entra-id: het maakt gebruik van een door het VM-systeem toegewezen beheerde identiteiten die worden geleverd door Microsoft Entra-id. Dit centraliseert het beheer en beheer van identiteiten en resourcereferenties.
- Geïntegreerde ervaring : het biedt een identieke ervaring voor het beheren van Azure- en off-Azure Arc-machines.
- Meerdere onboardingkanalen : u kunt ervoor kiezen om werknemers op basis van extensies te onboarden en beheren via Azure Portal, PowerShell-cmdlets, Bicep, ARM-sjablonen, REST API en Azure CLI. U kunt de extensie ook installeren op een bestaande Azure-VM of server met Arc in de Azure Portal-ervaring van die machine via de blade Extensies.
- Standaard automatische upgrade : het biedt standaard automatische upgrade van secundaire versies, waardoor de beheerbaarheid van het bijwerken van de nieuwste versie aanzienlijk wordt verminderd. U wordt aangeraden automatische upgrades in te schakelen om te profiteren van beveiligingsupdates of functie-updates zonder de handmatige overhead. U kunt zich ook op elk gewenst moment afmelden voor automatische upgrades. Upgrades van primaire versies worden momenteel niet ondersteund en moeten handmatig worden beheerd.
Runbook Worker-typen
Er zijn twee typen Runbook Workers: systeem en gebruiker. In de volgende tabel wordt het verschil tussen deze tabellen beschreven.
| Type | Omschrijving |
|---|---|
| Systeem | Ondersteunt een set verborgen runbooks die worden gebruikt door de functie Updatebeheer die zijn ontworpen voor het installeren van door de gebruiker opgegeven updates op Windows- en Linux-computers. Dit type Hybrid Runbook Worker is geen lid van een Hybrid Runbook Worker-groep en voert daarom geen runbooks uit die zijn gericht op een Runbook Worker-groep. |
| Gebruiker | Ondersteunt door de gebruiker gedefinieerde runbooks die zijn bedoeld om rechtstreeks op de Windows- en Linux-machines te worden uitgevoerd. |
Hybrid Runbook Workers op basis van agents (V1) zijn afhankelijk van de Log Analytics-agentrapportage voor een Azure Monitor Log Analytics-werkruimte. De werkruimte is niet alleen bedoeld om bewakingsgegevens van de computer te verzamelen, maar ook om de onderdelen te downloaden die nodig zijn voor het installeren van hybrid runbook Worker op basis van een agent.
Wanneer Azure Automation Update Management is ingeschakeld, wordt elke computer die is verbonden met uw Log Analytics-werkruimte automatisch geconfigureerd als een Hybrid Runbook Worker van het systeem. Zie Een Op agents gebaseerde Windows Hybrid Runbook Worker implementeren in Automation en Voor Linux een op een agent gebaseerde Windows Hybrid Runbook Worker implementeren in Automation en voor Linux, een op een agent gebaseerde Linux Hybrid Runbook Worker implementeren in Automation.
Runbook Worker-limieten
In de volgende tabel ziet u het maximum aantal systeem- en gebruikers Hybrid Runbook Workers in een Automation-account. Als u meer dan 4000 machines wilt beheren, raden we u aan een ander Automation-account te maken.
| Medewerkertype | Maximum aantal dat per Automation-account wordt ondersteund. |
|---|---|
| Systeem | 4000 |
| User | 4000 |
Hoe werkt het?
Elke gebruiker Hybrid Runbook Worker is lid van een Hybrid Runbook Worker-groep die u opgeeft wanneer u de worker installeert. Een groep kan één werknemer bevatten, maar u kunt meerdere werknemers in een groep opnemen voor hoge beschikbaarheid. Elke machine kan één Hybrid Runbook Worker-rapportage hosten naar één Automation-account; u kunt de hybrid worker niet registreren voor meerdere Automation-accounts. Een hybrid worker kan alleen luisteren naar taken vanuit één Automation-account.
Voor computers die het systeem Hybrid Runbook Worker hosten dat wordt beheerd door Updatebeheer, kunnen ze worden toegevoegd aan een Hybrid Runbook Worker-groep. Maar u moet hetzelfde Automation-account gebruiken voor updatebeheer en het lidmaatschap van de Hybrid Runbook Worker-groep.
Een Hybrid Worker-groep met Hybrid Runbook Workers is ontworpen voor hoge beschikbaarheid en taakverdeling door taken aan meerdere werkrollen toe te wijzen. Voor een geslaagde uitvoering van runbooks moeten Hybrid Workers in orde zijn en een heartbeat geven. De Hybrid Worker gebruikt een navraagmechanisme voor het ophalen van taken. Als geen van de workers in de Hybrid Worker-groep de afgelopen 30 minuten de Automation-service heeft pingen, betekent dit dat de groep geen actieve werknemers heeft. In dit scenario worden taken na drie nieuwe pogingen opgeschort.
Wanneer u een runbook start op een gebruiker Hybrid Runbook Worker, geeft u de groep op waarop het wordt uitgevoerd en kunt u geen bepaalde werkrol opgeven. Elke actieve Hybrid Worker in de groep vraagt elke 30 seconden na om te zien of er taken beschikbaar zijn. De werknemer kiest taken op basis van eerstkomer, eerste dienst. Afhankelijk van wanneer een taak is gepusht, wordt de taak eerst opgehaald door de Hybrid Worker-service, afhankelijk van wanneer een taak is gepusht binnen de Hybrid Worker-groep. De verwerkingstijd van de takenwachtrij hangt ook af van het hardwareprofiel en de belasting van Hybrid Worker.
Eén hybrid worker kan over het algemeen 4 taken per ping ophalen (dat wil gezegd elke 30 seconden). Als het aantal pushtaken hoger is dan 4 per 30 seconden en er geen andere werkrol de taak ophaalt, wordt de taak mogelijk onderbroken met een fout.
Een Hybrid Runbook Worker heeft niet veel van de azure-sandboxresourcelimieten voor schijfruimte, geheugen of netwerksockets. De limieten voor een hybrid worker zijn alleen gerelateerd aan de eigen resources van de werkrol en worden niet beperkt door de tijdslimiet voor evenredige verdeling die Azure-sandboxes hebben.
Als je de distributie van runbooks op Hybrid Runbook Workers wilt beheren en wilt bepalen hoe of wanneer de taken worden geactiveerd, kun je de Hybrid Worker registreren voor verschillende Hybrid Runbook Worker-groepen in je Automation-account. Richt de taken op de specifieke groep of groepen om je uitvoeringsregeling te ondersteunen.
Algemene scenario's voor Hybrid Runbook Workers voor gebruikers
- Als u Azure Automation-runbooks wilt uitvoeren voor in-gast-VM-beheer, rechtstreeks op een bestaande virtuele Azure-machine (VM) en off-Azure-server die is geregistreerd als server met Azure Arc of VMware-VM met Azure Arc (preview). Servers met Azure Arc kunnen fysieke Windows- en Linux-servers en virtuele machines zijn die buiten Azure, in uw bedrijfsnetwerk of andere cloudproviders worden gehost.
- Om de beperking van de Azure Automation-sandbox te overwinnen: de algemene scenario's omvatten het uitvoeren van langlopende bewerkingen buiten de limiet van drie uur voor cloudtaken, het uitvoeren van resourceintensieve automatiseringsbewerkingen, interactie met lokale services die on-premises of in een hybride omgeving worden uitgevoerd, scripts uitvoeren waarvoor verhoogde machtigingen zijn vereist.
- Als u organisatiebeperkingen wilt overwinnen om gegevens in Azure te bewaren om governance- en beveiligingsredenen, omdat u Automation-taken niet kunt uitvoeren in de cloud, kunt u deze uitvoeren op een on-premises computer die wordt onboarded als een User Hybrid Runbook Worker.
- Als u bewerkingen wilt automatiseren op meerdere , off-Azure-resources die on-premises of omgevingen met meerdere clouds worden uitgevoerd. U kunt een van deze machines onboarden als een User Hybrid Runbook Worker en doelautomatisering op de resterende machines in de lokale omgeving.
- Als u vanuit het Virtuele Azure-netwerk (VNet) privé toegang wilt krijgen tot andere services zonder een uitgaande internetverbinding te openen, kunt u runbooks uitvoeren op een Hybrid Worker die is verbonden met het Azure VNet.
Hybrid Runbook Worker-installatie
Het proces voor het installeren van een gebruiker Hybrid Runbook Worker is afhankelijk van het besturingssysteem. In de onderstaande tabel worden de implementatietypen gedefinieerd.
| Besturingssysteem | Implementatietypen |
|---|---|
| Windows | Geautomatiseerd Handmatig. |
| Linux | Handmatig |
| Ofwel | Zie Hybrid Runbook Workers voor gebruikers een op extensies gebaseerde Windows- of Linux-gebruiker Hybrid Runbook Worker implementeren in Automation. Dit is de aanbevolen methode. |
Notitie
Hybrid Runbook Worker wordt momenteel niet ondersteund op VM-schaalsets.
Netwerkplanning
Controleer de Azure Automation-netwerkconfiguratie voor gedetailleerde informatie over de poorten, URL's en andere netwerkgegevens die vereist zijn voor hybrid runbook Worker.
Gebruik van proxyserver
Als u een proxyserver gebruikt voor communicatie tussen Azure Automation en computers waarop de Log Analytics-agent wordt uitgevoerd, moet u ervoor zorgen dat de juiste resources toegankelijk zijn. De time-out voor aanvragen van de Hybrid Runbook Worker- en Automation-services is 30 seconden. Na drie pogingen mislukt een aanvraag.
Gebruik van firewall
Als u een firewall gebruikt om de toegang tot internet te beperken, moet u de firewall configureren om toegang te verlenen. Als u de Log Analytics-gateway als proxy gebruikt, moet u ervoor zorgen dat deze is geconfigureerd voor Hybrid Runbook Workers. Zie De Log Analytics-gateway configureren voor Automation Hybrid Runbook Workers.
Servicetags
Azure Automation ondersteunt servicetags voor virtuele Azure-netwerken, te beginnen met de servicetag GuestAndHybridManagement. U kunt servicetags gebruiken om netwerktoegangsbeheer voor netwerkbeveiligingsgroepen of Azure Firewall te definiëren. Servicetags kunnen worden gebruikt in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de servicetagnaam GuestAndHybridManagement op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de Automation-service toestaan of weigeren. Deze servicetag biedt geen ondersteuning voor gedetailleerder beheer door IP-bereiken te beperken tot een specifieke regio.
De servicetag voor de Azure Automation-service biedt alleen IP-adressen die worden gebruikt voor de volgende scenario's:
- Webhooks activeren vanuit uw virtuele netwerk
- Hybrid Runbook Workers of State Configuration-agents op uw VNet toestaan om te communiceren met de Automation-service
Notitie
De servicetag GuestAndHybridManagement biedt momenteel geen ondersteuning voor het uitvoeren van runbooktaken in een Azure-sandbox, alleen rechtstreeks op een Hybrid Runbook Worker.
Ondersteuning voor Impact Level 5 (IL5)
Azure Automation Hybrid Runbook Worker kan worden gebruikt in Azure Government om impactniveau 5-workloads te ondersteunen in een van de volgende twee configuraties:
Geïsoleerde virtuele machine. Wanneer ze worden geïmplementeerd, gebruiken ze de volledige fysieke host voor die machine die het benodigde isolatieniveau biedt dat nodig is om IL5-workloads te ondersteunen.
Azure Dedicated Hosts, die fysieke servers biedt die een of meer virtuele machines kunnen hosten, toegewezen aan één Azure-abonnement.
Notitie
Rekenisolatie via de rol Hybrid Runbook Worker is beschikbaar voor Azure Commercial- en US Government-clouds.
Updatebeheeradressen voor Hybrid Runbook Worker
Naast de standaardadressen en poorten die vereist zijn voor hybrid Runbook Worker, beschikt Updatebeheer over andere netwerkconfiguratievereisten die worden beschreven in de sectie netwerkplanning .
Azure Automation State Configuration op een Hybrid Runbook Worker
U kunt Azure Automation State Configuration uitvoeren op een Hybrid Runbook Worker. Als u de configuratie van servers wilt beheren die ondersteuning bieden voor Hybrid Runbook Worker, moet u de servers toevoegen als DSC-knooppunten. Zie Machines inschakelen voor beheer door Azure Automation State Configuration.
Runbooks op een Hybrid Runbook Worker
Mogelijk hebt u runbooks die resources op de lokale computer beheren of uitvoeren op resources in de lokale omgeving waarin een gebruiker Hybrid Runbook Worker wordt geïmplementeerd. In dit geval kunt u ervoor kiezen om uw runbooks uit te voeren op de Hybrid Worker in plaats van in een Automation-account. Runbooks die worden uitgevoerd op een Hybrid Runbook Worker, zijn identiek in structuur aan runbooks die u uitvoert in het Automation-account. Zie Runbooks op een Hybrid Runbook Worker.
Hybrid Runbook Worker-taken
Hybrid Runbook Worker-taken worden uitgevoerd onder het lokale systeemaccount in Windows of het nxautomation-account op Linux. Azure Automation verwerkt taken op Hybrid Runbook Workers anders dan taken die worden uitgevoerd in Azure-sandboxes. Zie de uitvoeringsomgeving van Runbook.
Als de hostcomputer van Hybrid Runbook Worker opnieuw wordt opgestart, wordt een actieve runbooktaak opnieuw opgestart vanaf het begin of vanaf het laatste controlepunt voor PowerShell Workflow-runbooks. Nadat een runbooktaak meer dan drie keer opnieuw is gestart, wordt deze onderbroken.
Runbookmachtigingen voor een Hybrid Runbook Worker
Omdat ze toegang hebben tot niet-Azure-resources, kunnen runbooks die worden uitgevoerd op een gebruiker Hybrid Runbook Worker niet gebruikmaken van het verificatiemechanisme dat doorgaans wordt gebruikt door runbooks die verifiëren bij Azure-resources. Een runbook biedt een eigen verificatie voor lokale resources of configureert verificatie met behulp van beheerde identiteiten voor Azure-resources. U kunt ook een Uitvoeren als-account opgeven om een gebruikerscontext te bieden voor alle runbooks.
Hybrid Runbook Workers van het systeem weergeven
Nadat de functie Updatebeheer is ingeschakeld op Windows- of Linux-machines, kunt u de lijst inventariseren van de groep Hybrid Runbook Workers in Azure Portal. U kunt maximaal 2000 werknemers weergeven in de portal door het tabblad Hybrid Workers-groep systeem te selecteren in de optie Hybrid Workers-groep in het linkerdeelvenster voor het geselecteerde Automation-account.
Als u meer dan 2000 hybride werkrollen hebt, kunt u het volgende PowerShell-script uitvoeren om een lijst met alle werknemers op te halen:
"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"
Volgende stappen
Zie Runbooks uitvoeren op een Hybrid Runbook Worker voor meer informatie over het configureren van uw runbooks voor het automatiseren van processen in uw on-premises datacenter of een andere cloudomgeving.
Zie Hybrid Runbook Worker-problemen oplossen voor meer informatie over het oplossen van problemen met Hybrid Runbook Workers.