Udostępnij za pośrednictwem


Omówienie hybrydowego procesu roboczego elementu Runbook usługi Automation

Ważne

Hybrydowy proces roboczy elementu Runbook opartego na agencie usługi Azure Automation (Windows i Linux) został wycofany 31 sierpnia 2024 r. i nie jest już obsługiwany. Postępuj zgodnie z wytycznymi dotyczącymi migracji z istniejących hybrydowych procesów roboczych elementów Runbook użytkownika opartych na agentach do hybrydowych procesów roboczych opartych na rozszerzeniach.

Elementy Runbook w usłudze Azure Automation mogą nie mieć dostępu do zasobów w innych chmurach lub w środowisku lokalnym, ponieważ działają na platformie Azure w chmurze. Funkcja hybrydowego procesu roboczego elementu Runbook usługi Azure Automation umożliwia uruchamianie elementów Runbook bezpośrednio na maszynie hostujących rolę i względem zasobów w środowisku w celu zarządzania tymi zasobami lokalnymi. Elementy Runbook są przechowywane i zarządzane w usłudze Azure Automation, a następnie dostarczane do co najmniej jednej przypisanej maszyny.

Usługa Azure Automation zapewnia natywną integrację roli hybrydowego procesu roboczego elementu Runbook za pośrednictwem platformy rozszerzenia maszyny wirtualnej platformy Azure. Agent maszyny wirtualnej platformy Azure jest odpowiedzialny za zarządzanie rozszerzeniem na maszynach wirtualnych platformy Azure na maszynach wirtualnych z systemami Windows i Linux oraz agentem maszyny połączonej platformy Azure na maszynach spoza platformy Azure, w tym serwerów z obsługą usługi Azure Arc i platformy VMware vSphere z obsługą usługi Azure Arc (wersja zapoznawcza). Teraz istnieją dwie platformy instalacji hybrydowych procesów roboczych runbook obsługiwanych przez usługę Azure Automation.

Platforma opis
Oparte na rozszerzeniach (wersja 2) Zainstalowane przy użyciu rozszerzenia hybrydowego procesu roboczego elementu Runbook maszyny wirtualnej bez zależności od agenta usługi Log Analytics raportowania do obszaru roboczego usługi Log Analytics usługi Azure Monitor. Jest to zalecana platforma.
Oparty na agencie (wersja 1) Zainstalowane po zakończeniu raportowania agenta usługi Log Analytics w obszarze roboczym usługi Azure Monitor Log Analytics.

Zrzut ekranu przedstawiający hybrydową grupę procesów roboczych z polem platformy.

W przypadku operacji hybrydowego procesu roboczego elementu Runbook po instalacji proces wykonywania elementów Runbook w hybrydowych procesach roboczych elementu Runbook jest taki sam. Celem podejścia opartego na rozszerzeniach jest uproszczenie instalacji i zarządzania rolą hybrydowego procesu roboczego elementu Runbook oraz usunięcie złożoności pracy z wersją opartą na agencie. Nowa instalacja oparta na rozszerzeniu nie ma wpływu na instalację lub zarządzanie rolą hybrydowego procesu roboczego elementu Runbook opartego na agencie. Oba typy hybrydowych procesów roboczych elementu Runbook mogą współistnieć na tej samej maszynie.

Hybrydowy proces roboczy elementu Runbook oparty na rozszerzeniu obsługuje tylko typ hybrydowego procesu roboczego elementu Runbook użytkownika i nie obejmuje systemowego hybrydowego procesu roboczego elementu Runbook wymaganego dla funkcji Rozwiązania Update Management.

Zalety hybrydowych procesów roboczych użytkowników opartych na rozszerzeniach

Podejście oparte na rozszerzeniach znacznie upraszcza instalację hybrydowego procesu roboczego elementu Runbook użytkownika i zarządzanie nim, usuwając złożoność pracy z podejściem opartym na agencie. Oto kilka kluczowych korzyści:

  • Bezproblemowe dołączanie — oparte na agencie podejście do dołączania hybrydowego procesu roboczego elementu Runbook jest zależne od agenta usługi Log Analytics, który jest wieloetapowym, czasochłonnym i podatnym na błędy procesem. Podejście oparte na rozszerzeniach nie zależy już od agenta usługi Log Analytics.
  • Łatwość zarządzania — oferuje natywną integrację z tożsamością usługi ARM dla hybrydowego procesu roboczego elementu Runbook i zapewnia elastyczność zapewniania ładu na dużą skalę za pomocą zasad i szablonów.
  • Uwierzytelnianie oparte na identyfikatorze Entra firmy Microsoft — używa tożsamości zarządzanych przypisanych przez system maszyn wirtualnych udostępnianych przez identyfikator Entra firmy Microsoft. Umożliwia to scentralizowanie kontroli tożsamości i poświadczeń zasobów oraz zarządzanie nimi.
  • Ujednolicone środowisko — oferuje identyczne środowisko do zarządzania maszynami z obsługą platformy Azure i poza usługą Azure Arc.
  • Wiele kanałów dołączania — możesz dołączać procesy robocze oparte na rozszerzeniach i zarządzać nimi za pośrednictwem witryny Azure Portal, poleceń cmdlet programu PowerShell, Bicep, szablonów usługi ARM, interfejsu API REST i interfejsu wiersza polecenia platformy Azure. Rozszerzenie można również zainstalować na istniejącej maszynie wirtualnej platformy Azure lub serwerze z obsługą usługi Arc w witrynie Azure Portal za pomocą bloku Rozszerzenia.
  • Domyślne automatyczne uaktualnianie — domyślnie oferuje automatyczne uaktualnianie wersji pomocniczych, co znacznie zmniejsza możliwość aktualizowania najnowszej wersji. Zalecamy włączenie automatycznych uaktualnień w celu skorzystania z wszelkich aktualizacji zabezpieczeń lub funkcji bez konieczności ręcznego narzutowania. Możesz również zrezygnować z automatycznych uaktualnień w dowolnym momencie. Wszystkie uaktualnienia wersji głównych nie są obecnie obsługiwane i powinny być zarządzane ręcznie.

Typy procesów roboczych elementu Runbook

Istnieją dwa typy procesów roboczych elementów Runbook — system i użytkownik. W poniższej tabeli opisano różnicę między nimi.

Type Opis
Zadania systemowe Obsługuje zestaw ukrytych elementów Runbook używanych przez funkcję Rozwiązania Update Management, które są przeznaczone do instalowania aktualizacji określonych przez użytkownika na maszynach z systemami Windows i Linux.
Ten typ hybrydowego procesu roboczego elementu Runbook nie należy do grupy hybrydowych procesów roboczych elementu Runbook i dlatego nie uruchamia elementów Runbook przeznaczonych dla grupy procesów roboczych elementu Runbook.
Użytkownik Obsługuje zdefiniowane przez użytkownika elementy Runbook przeznaczone do uruchamiania bezpośrednio na maszynach z systemami Windows i Linux.

Hybrydowe procesy robocze elementu Runbook oparte na agencie (V1) korzystają z agenta usługi Log Analytics raportowania do obszaru roboczego usługi Log Analytics usługi Azure Monitor. Obszar roboczy nie tylko służy do zbierania danych monitorowania z komputera, ale także pobierania składników wymaganych do zainstalowania hybrydowego procesu roboczego elementu Runbook opartego na agencie.

Po włączeniu rozwiązania Azure Automation Update Management wszystkie maszyny połączone z obszarem roboczym usługi Log Analytics są automatycznie konfigurowane jako systemowy hybrydowy proces roboczy elementu Runbook. Aby skonfigurować go jako użytkownika hybrydowego procesu roboczego elementu Runbook systemu Windows, zobacz Wdrażanie hybrydowego procesu roboczego elementu Runbook systemu Windows opartego na agencie w usłudze Automation i w systemie Linux, zobacz Wdrażanie hybrydowego procesu roboczego elementu Runbook systemu Linux opartego na agencie w usłudze Automation.

Limity procesu roboczego elementu Runbook

W poniższej tabeli przedstawiono maksymalną liczbę hybrydowych procesów roboczych elementów Runbook systemu i użytkownika na koncie usługi Automation. Jeśli masz więcej niż 4000 maszyn do zarządzania, zalecamy utworzenie innego konta usługi Automation.

Typ pracownika Maksymalna liczba obsługiwana na konto usługi Automation.
System 4000
User 4000

Jak to działa?

Każdy hybrydowy proces roboczy elementu Runbook użytkownika jest członkiem hybrydowej grupy procesów roboczych elementu Runbook określonego podczas instalowania procesu roboczego. Grupa może zawierać jeden proces roboczy, ale można uwzględnić wielu procesów roboczych w grupie w celu zapewnienia wysokiej dostępności. Każda maszyna może hostować jeden hybrydowy proces roboczy elementu Runbook raportowania do jednego konta usługi Automation; Nie można zarejestrować hybrydowego procesu roboczego na wielu kontach usługi Automation. Hybrydowy proces roboczy może nasłuchiwać tylko zadań z jednego konta usługi Automation.

Diagram techniczny hybrydowego procesu roboczego elementu Runbook użytkownika

W przypadku maszyn hostowania systemowego hybrydowego procesu roboczego elementu Runbook zarządzanego przez rozwiązanie Update Management można je dodać do grupy hybrydowych procesów roboczych elementu Runbook. Należy jednak użyć tego samego konta usługi Automation zarówno do zarządzania aktualizacjami, jak i członkostwa w grupie hybrydowych procesów roboczych elementu Runbook.

Diagram techniczny hybrydowego procesu roboczego elementu Runbook

Grupa hybrydowych procesów roboczych z hybrydowymi procesami roboczymi elementu Runbook została zaprojektowana pod kątem wysokiej dostępności i równoważenia obciążenia przez przydzielanie zadań między wieloma procesami roboczymi. Aby pomyślnie wykonać elementy Runbook, hybrydowe procesy robocze muszą być w dobrej kondycji i dać puls. Hybrydowy proces roboczy pracuje nad mechanizmem sondowania w celu odbierania zadań. Jeśli żaden z procesów roboczych w grupie Hybrydowy proces roboczy nie wysyła polecenia ping do usługi Automation w ciągu ostatnich 30 minut, oznacza to, że grupa nie ma żadnych aktywnych procesów roboczych. W tym scenariuszu zadania zostaną zawieszone po trzech ponownych próbach.

Po uruchomieniu elementu runbook w hybrydowym procesie roboczym elementu Runbook użytkownika należy określić grupę, w której jest uruchamiany, i nie można określić określonego procesu roboczego. Każdy aktywny hybrydowy proces roboczy w grupie będzie sondować pod kątem zadań co 30 sekund, aby sprawdzić, czy jakiekolwiek zadania są dostępne. Pracownik wybiera zadania w pierwszej kolejności, najpierw służy. W zależności od tego, kiedy zadanie zostało wypchnięte, w zależności od tego, który hybrydowy proces roboczy w grupie hybrydowych procesów roboczych wysyła polecenie ping do usługi Automation, najpierw pobiera zadanie. Czas przetwarzania kolejki zadań zależy również od profilu sprzętu hybrydowego procesu roboczego i obciążenia.

Pojedynczy hybrydowy proces roboczy może zazwyczaj pobierać 4 zadania na polecenie ping (czyli co 30 sekund). Jeśli szybkość wypychania zadań jest wyższa niż 4 na 30 sekund i żaden inny proces roboczy nie pobiera zadania, zadanie może zostać zawieszone z powodu błędu.

Hybrydowy proces roboczy elementu Runbook nie ma wielu limitów zasobów piaskownicy platformy Azure na dysku, pamięci ani gniazd sieciowych. Limity dotyczące hybrydowego procesu roboczego są związane tylko z własnymi zasobami procesu roboczego i nie są ograniczone przez limit czasu odpowiedniego udostępniania , jaki mają piaskownice platformy Azure.

Aby kontrolować dystrybucję elementów runbook w hybrydowych procesach roboczych elementów Runbook oraz o tym, kiedy i w jaki sposób zadania są wyzwalane, możesz zarejestrować hybrydowy proces roboczy w różnych grupach hybrydowych procesów roboczych elementu Runbook w ramach konta usługi Automation. Określanie docelowych zadań dla określonej grupy lub grup w celu obsługi układu wykonywania.

Typowe scenariusze dla hybrydowych procesów roboczych elementu Runbook użytkownika

  • Aby wykonać elementy Runbook usługi Azure Automation na potrzeby zarządzania maszyną wirtualną gościa bezpośrednio na istniejącej maszynie wirtualnej platformy Azure i poza serwerem platformy Azure zarejestrowanym jako serwer z obsługą usługi Azure Arc lub maszyna wirtualna VMware z obsługą usługi Azure Arc (wersja zapoznawcza). Serwery z obsługą usługi Azure Arc mogą być serwerami fizycznymi z systemami Windows i Linux oraz maszynami wirtualnymi hostowanymi poza platformą Azure w sieci firmowej lub innymi dostawcami usług w chmurze.
  • Aby przezwyciężyć ograniczenie piaskownicy usługi Azure Automation — typowe scenariusze obejmują wykonywanie długotrwałych operacji przekraczających trzygodzinny limit dla zadań w chmurze, wykonywanie operacji automatyzacji intensywnie korzystających z zasobów, interakcję z usługami lokalnymi działającymi lokalnie lub w środowisku hybrydowym, uruchamianie skryptów wymagających podwyższonych uprawnień.
  • Aby przezwyciężyć ograniczenia organizacji, aby zachować dane na platformie Azure ze względów ładu i bezpieczeństwa — ponieważ nie można wykonywać zadań automatyzacji w chmurze, możesz uruchomić je na maszynie lokalnej dołączonej jako hybrydowy proces roboczy elementu Runbook użytkownika.
  • Aby zautomatyzować operacje na wielu zasobach platformy Azure działających lokalnie lub w wielu chmurach. Możesz dołączyć jedną z tych maszyn jako hybrydowy proces roboczy elementu Runbook użytkownika i docelową automatyzację na pozostałych maszynach w środowisku lokalnym.
  • Aby uzyskać dostęp do innych usług prywatnie z sieci wirtualnej platformy Azure bez otwierania wychodzącego połączenia internetowego, możesz wykonywać elementy Runbook w hybrydowym procesie roboczym połączonym z siecią wirtualną platformy Azure.

Instalacja hybrydowego procesu roboczego elementu Runbook

Proces instalowania hybrydowego procesu roboczego elementu runbook użytkownika zależy od systemu operacyjnego. W poniższej tabeli zdefiniowano typy wdrożeń.

System operacyjny Typy wdrożeń
Windows Automatyczny
Ręczny.
Linux Ręczne
Dowolny Aby zapoznać się z hybrydowymi procesami roboczymi elementu Runbook użytkownika systemu Windows lub Linux, zobacz Wdrażanie hybrydowego procesu roboczego elementu Runbook opartego na rozszerzeniu w usłudze Automation. Jest to zalecana metoda.

Uwaga

Hybrydowy proces roboczy elementu Runbook nie jest obecnie obsługiwany w usłudze VM Scale Sets.

Planowanie sieci

Sprawdź konfigurację sieci usługi Azure Automation, aby uzyskać szczegółowe informacje na temat portów, adresów URL i innych szczegółów sieci wymaganych dla hybrydowego procesu roboczego elementu Runbook.

Korzystanie z serwera proxy

Jeśli używasz serwera proxy do komunikacji między usługą Azure Automation a maszynami z uruchomionym agentem usługi Log Analytics, upewnij się, że dostępne są odpowiednie zasoby. Limit czasu dla żądań z hybrydowego procesu roboczego elementu runbook i usługi Automation wynosi 30 sekund. Po trzech próbach żądanie kończy się niepowodzeniem.

Korzystanie z zapory

W przypadku ograniczania dostępu do Internetu za pomocą zapory musisz skonfigurować w zaporze zezwalanie na dostęp. Jeśli używasz bramy usługi Log Analytics jako serwera proxy, upewnij się, że jest on skonfigurowany dla hybrydowych procesów roboczych elementu Runbook. Zobacz Konfigurowanie bramy usługi Log Analytics dla hybrydowych procesów roboczych elementu runbook usługi Automation.

Tagi usługi

Usługa Azure Automation obsługuje tagi usługi sieci wirtualnej platformy Azure począwszy od tagu usługi GuestAndHybridManagement. Za pomocą tagów usługi można zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub usłudze Azure Firewall. Tagów usługi można też użyć zamiast konkretnych adresów IP podczas tworzenia reguł zabezpieczeń. Podając nazwę tagu usługi GuestAndHybridManagement w odpowiednim polu miejsca źródłowego lub docelowego w regule, możesz zezwolić na ruch dla usługi Automation lub go odrzucić. Ten tag usługi nie obsługuje zezwalania na bardziej szczegółową kontrolę przez ograniczenie zakresów adresów IP do konkretnego regionu.

Tag usługi dla usługi Azure Automation udostępnia tylko adresy IP używane w następujących scenariuszach:

  • Wyzwalanie elementów webhook z sieci wirtualnej
  • Zezwalaj hybrydowym procesom roboczym elementu Runbook lub agentom konfiguracji stanu na komunikację z usługą Automation

Uwaga

Tag usługi GuestAndHybridManagement obecnie nie obsługuje wykonywania zadania elementu Runbook w piaskownicy platformy Azure tylko bezpośrednio w hybrydowym procesie roboczym elementu Runbook.

Obsługa poziomu wpływu 5 (IL5)

Hybrydowy proces roboczy elementu Runbook usługi Azure Automation może być używany w usłudze Azure Government do obsługi obciążeń na poziomie Impact Level 5 w jednej z następujących dwóch konfiguracji:

  • Izolowana maszyna wirtualna. Po wdrożeniu używają całego hosta fizycznego dla tego komputera, zapewniając niezbędny poziom izolacji wymagany do obsługi obciążeń IL5.

  • Dedykowane hosty platformy Azure, które udostępniają serwery fizyczne, które mogą hostować co najmniej jedną maszynę wirtualną dedykowaną jednej subskrypcji platformy Azure.

Uwaga

Izolacja obliczeniowa za pośrednictwem roli hybrydowego procesu roboczego elementu Runbook jest dostępna dla chmur komercyjnych platformy Azure i instytucji rządowych USA.

Adresy rozwiązania Update Management dla hybrydowego procesu roboczego elementu Runbook

Oprócz standardowych adresów i portów wymaganych dla hybrydowego procesu roboczego elementu Runbook usługa Update Management ma inne wymagania dotyczące konfiguracji sieci opisane w sekcji planowania sieci.

Usługa Azure Automation State Configuration w hybrydowym procesie roboczym elementu Runbook

Konfigurację stanu usługi Azure Automation można uruchomić w hybrydowym procesie roboczym elementu Runbook. Aby zarządzać konfiguracją serwerów obsługujących hybrydowy proces roboczy elementu Runbook, należy dodać serwery jako węzły DSC. Zobacz Włączanie maszyn do zarządzania za pomocą usługi Azure Automation State Configuration.

Elementy Runbook w hybrydowym procesie roboczym elementu Runbook

Mogą istnieć elementy Runbook, które zarządzają zasobami na komputerze lokalnym lub są uruchamiane względem zasobów w środowisku lokalnym, w którym wdrożono hybrydowy proces roboczy elementu Runbook użytkownika. W takim przypadku można uruchomić elementy runbook w hybrydowym procesie roboczym zamiast na koncie usługi Automation. Elementy Runbook uruchamiane w hybrydowym procesie roboczym elementu Runbook są identyczne ze strukturą tych, które są uruchamiane na koncie usługi Automation. Zobacz Runbook on a Hybrid Runbook Worker (Uruchamianie elementów Runbook w hybrydowym procesie roboczym elementu Runbook).

Zadania hybrydowego procesu roboczego elementu Runbook

Hybrydowe zadania procesu roboczego elementu Runbook są uruchamiane na lokalnym koncie systemowym w systemie Windows lub na koncie nxautomation w systemie Linux. Usługa Azure Automation obsługuje zadania w hybrydowych procesach roboczych elementów Runbook inaczej niż zadania uruchamiane w piaskownicach platformy Azure. Zobacz Środowisko wykonywania elementu Runbook.

Jeśli maszyna hosta hybrydowego procesu roboczego elementu Runbook zostanie ponownie uruchomiona, każde uruchomione zadanie elementu Runbook zostanie uruchomione ponownie od początku lub z ostatniego punktu kontrolnego elementów Runbook przepływu pracy programu PowerShell. Po ponownym uruchomieniu zadania elementu runbook ponad trzy razy zostanie ono zawieszone.

Uprawnienia elementu Runbook dla hybrydowego procesu roboczego elementu Runbook

Ponieważ uzyskują dostęp do zasobów spoza platformy Azure, elementy Runbook działające w hybrydowym procesie roboczym elementu Runbook użytkownika nie mogą używać mechanizmu uwierzytelniania zwykle używanego przez elementy Runbook uwierzytelniające się w zasobach platformy Azure. Element Runbook zapewnia własne uwierzytelnianie do zasobów lokalnych lub konfiguruje uwierzytelnianie przy użyciu tożsamości zarządzanych dla zasobów platformy Azure. Możesz również określić konto Uruchom jako, aby zapewnić kontekst użytkownika dla wszystkich elementów runbook.

Wyświetlanie hybrydowych procesów roboczych elementów Runbook systemu

Po włączeniu funkcji Update Management na maszynach z systemem Windows lub Linux można wyświetlić listę grup hybrydowych procesów roboczych elementów Runbook systemu w witrynie Azure Portal. W portalu można wyświetlić maksymalnie 2000 procesów roboczych, wybierając kartę Grupa Hybrydowych procesów roboczych systemu w okienku Hybrydowych procesów roboczych w okienku po lewej stronie dla wybranego konta usługi Automation.

Strona grup hybrydowych procesów roboczych systemu kont usługi Automation

Jeśli masz więcej niż 2000 hybrydowych procesów roboczych, aby uzyskać listę wszystkich z nich, możesz uruchomić następujący skrypt programu PowerShell:

Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation

Następne kroki