Wdrażanie hybrydowego procesu roboczego elementu Runbook systemu Linux opartego na agencie w usłudze Automation

  • Artykuł

Uwaga

W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która zbliża się do stanu zakończenia życia (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.

Ważne

Hybrydowy, oparty na agencie proces roboczy elementu Runbook użytkownika usługi Azure Automation (dla systemów Windows i Linux) zostanie wycofany 31 sierpnia 2024 r. i nie będzie obsługiwany po tej dacie. Przed 31 sierpnia 2024 r. należy przeprowadzić migrację istniejących hybrydowych, opartych na agencie procesów roboczych elementu Runbook użytkownika do procesów roboczych opartych na rozszerzeniach. Ponadto od 1 listopada 2023 r. tworzenie nowych hybrydowych procesów roboczych opartych na agentach nie byłoby możliwe. Dowiedz się więcej.

Funkcja hybrydowego procesu roboczego elementu Runbook użytkownika usługi Azure Automation umożliwia uruchamianie elementów Runbook bezpośrednio na maszynie platformy Azure lub na maszynie spoza platformy Azure, w tym serwerów zarejestrowanych na serwerach z obsługą usługi Azure Arc. Na komputerze lub serwerze hostujący rolę można uruchamiać elementy Runbook bezpośrednio i względem zasobów w środowisku w celu zarządzania tymi zasobami lokalnymi.

Hybrydowy proces roboczy elementu Runbook systemu Linux wykonuje elementy Runbook jako specjalny użytkownik, który może być podwyższony poziom uprawnień do uruchamiania poleceń wymagających podniesienia uprawnień. Usługa Azure Automation przechowuje elementy Runbook i zarządza nimi, a następnie dostarcza je do co najmniej jednej wybranej maszyny. W tym artykule opisano, jak zainstalować hybrydowy proces roboczy elementu Runbook na maszynie z systemem Linux, usunąć proces roboczy i usunąć grupę hybrydowych procesów roboczych elementu Runbook. W przypadku hybrydowych procesów roboczych elementu Runbook użytkownika zobacz również Wdrażanie hybrydowego procesu roboczego elementu Runbook systemu Windows lub Linux opartego na rozszerzeniu w usłudze Automation

Po pomyślnym wdrożeniu procesu roboczego elementu Runbook zapoznaj się z tematem Runbook on a Hybrid Runbook Worker (Uruchamianie elementów Runbook w hybrydowym procesie roboczym elementu Runbook), aby dowiedzieć się, jak skonfigurować elementy Runbook w celu zautomatyzowania procesów w lokalnym centrum danych lub w innym środowisku chmury.

Uwaga

Hybrydowy proces roboczy może współistnieć z obydwoma platformami: opartym na agencie (V1) i opartym na rozszerzeniu (V2). W przypadku zainstalowania rozszerzenia opartego na rozszerzeniu (V2) w hybrydowym procesie roboczym z uruchomionym już agentem (V1), w grupie będą widoczne dwa wpisy hybrydowego procesu roboczego elementu Runbook. Jeden z opartymi na rozszerzeniu platformy (V2) i drugim opartym na agencie (V1). Dowiedz się więcej.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące informacje.

Obszar roboczy usługi Log Analytics

Rola hybrydowego procesu roboczego elementu Runbook zależy od obszaru roboczego usługi Log Analytics usługi Azure Monitor w celu zainstalowania i skonfigurowania roli. Można ją utworzyć za pomocą usługi Azure Resource Manager, programu PowerShell lub witryny Azure Portal.

Jeśli nie masz obszaru roboczego usługi Log Analytics usługi Azure Monitor, przed utworzeniem obszaru roboczego zapoznaj się ze wskazówkami dotyczącymi projektowania dzienników usługi Azure Monitor.

Agent Log Analytics

Rola hybrydowego procesu roboczego elementu Runbook wymaga agenta usługi Log Analytics dla obsługiwanego systemu operacyjnego Linux. W przypadku serwerów lub maszyn hostowanych poza platformą Azure można zainstalować agenta usługi Log Analytics przy użyciu serwerów z obsługą usługi Azure Arc. Agent jest instalowany z określonymi kontami usług, które wykonują polecenia wymagające uprawnień głównych. Aby uzyskać więcej informacji, zobacz Konta usług.

Obsługiwane systemy operacyjne Linux

Funkcja hybrydowego procesu roboczego elementu Runbook obsługuje następujące dystrybucje. Zakłada się, że wszystkie systemy operacyjne to systemy x64. Wersja x86 nie jest obsługiwana w żadnym systemie operacyjnym.

  • Amazon Linux 2012.09 do 2015.09

  • CentOS Linux 5, 6, 7 i 8

  • Oracle Linux 6, 7 i 8

  • Red Hat Enterprise Linux Server 5, 6, 7 i 8

  • Debian GNU/Linux 6, 7 i 8

  • SUSE Linux Enterprise Server 12, 15 i 15.1 (SUSE nie wydało wersji o numerach 13 lub 14)

  • Ubuntu

    System operacyjny Linux Nazwa/nazwisko
    20.04 LTS Ogniskowa Fossa
    18.04 LTS Beaver bioniczny
    16.04 LTS Xenial Xerus
    14.04 LTS Trusty Tahr

Ważne

Przed włączeniem funkcji Update Management, która zależy od roli hybrydowego procesu roboczego elementu Runbook systemu, upewnij się, że obsługiwane w tym miejscu dystrybucje.

Uwaga

Rozszerzenie hybrydowego procesu roboczego będzie zgodne z osiami czasu pomocy technicznej dostawcy systemu operacyjnego.

Minimalne wymagania

Minimalne wymagania dotyczące systemu Linux i hybrydowego procesu roboczego elementu Runbook użytkownika są następujące:

  • Dwa rdzenie
  • 4 GB pamięci RAM
  • Port 443 (ruch wychodzący)
Wymagany pakiet Opis Minimalna wersja
Glibc Biblioteka GNU C 2.5-12
Openssl Biblioteki OpenSSL 1.0 (obsługiwane są tylko protokoły TLS 1.1 i TLS 1.2)
Narzędzie Curl Klient internetowy narzędzia cURL 7.15.5
Biblioteka ctypes języka Python Biblioteka funkcji obcych dla języka Python Wymagany jest język Python 2.x lub Python 3.x.
PAM Podłączane moduły uwierzytelniania (PAM)
Opcjonalny pakiet Opis Minimalna wersja
PowerShell Core Aby uruchomić elementy Runbook programu PowerShell, należy zainstalować program PowerShell Core. Zobacz Instalowanie programu PowerShell Core w systemie Linux , aby dowiedzieć się, jak go zainstalować. 6.0.0

Dodawanie maszyny do hybrydowej grupy procesów roboczych elementu Runbook

Maszynę procesu roboczego można dodać do grupy hybrydowych procesów roboczych elementu Runbook w jednym z kont usługi Automation. W przypadku maszyn hostowania systemowego hybrydowego procesu roboczego elementu Runbook zarządzanego przez rozwiązanie Update Management można je dodać do grupy hybrydowych procesów roboczych elementu Runbook. Należy jednak użyć tego samego konta usługi Automation zarówno do zarządzania aktualizacjami, jak i członkostwa w grupie hybrydowych procesów roboczych elementu Runbook.

Uwaga

Usługa Azure Automation Update Management automatycznie instaluje systemowy hybrydowy proces roboczy elementu Runbook na platformie Azure lub na maszynie spoza platformy Azure, która jest włączona na potrzeby rozwiązania Update Management. Jednak ten proces roboczy nie jest zarejestrowany w żadnych grupach hybrydowych procesów roboczych elementu Runbook na koncie usługi Automation. Aby uruchomić elementy Runbook na tych maszynach, należy dodać je do grupy hybrydowych procesów roboczych elementu Runbook. Wykonaj krok 4 w sekcji Instalowanie hybrydowego procesu roboczego elementu Runbook systemu Linux, aby dodać go do grupy.

Obsługiwane wzmacnianie zabezpieczeń systemu Linux

Następujące elementy nie są jeszcze obsługiwane:

  • CIS

Obsługiwane typy elementów Runbook

Hybrydowe procesy robocze elementów Runbook systemu Linux obsługują ograniczony zestaw typów elementów Runbook w usłudze Azure Automation i zostały one opisane w poniższej tabeli.

Typ elementu Runbook Obsługiwane
Python 3 (wersja zapoznawcza) Tak, wymagane tylko dla tych dystrybucji: SUSE LES 15, RHEL 8 i CentOS 8
Python 2 Tak, w przypadku każdej dystrybucji, która nie wymaga języka Python 31
PowerShell Tak2
Przepływ pracy programu PowerShell Nie.
Element graficzny Nie.
Graficzny przepływ pracy programu PowerShell Nie.

1Zobacz Obsługiwane systemy operacyjne Linux.

2Elementy Runbook programu PowerShell wymagają zainstalowania programu PowerShell Core na maszynie z systemem Linux. Zobacz Instalowanie programu PowerShell Core w systemie Linux , aby dowiedzieć się, jak go zainstalować.

Konfiguracja sieci

Aby uzyskać informacje o wymaganiach sieciowych dla hybrydowego procesu roboczego elementu Runbook, zobacz Konfigurowanie sieci.

Instalowanie hybrydowego procesu roboczego elementu Runbook systemu Linux

Istnieją dwie metody wdrażania hybrydowego procesu roboczego elementu Runbook. Element Runbook można zaimportować i uruchomić z galerii elementów Runbook w witrynie Azure Portal lub ręcznie uruchomić serię poleceń programu PowerShell.

Procedura importowania została szczegółowo opisana w temacie Importowanie elementów Runbook z usługi GitHub za pomocą witryny Azure Portal. Nazwa elementu Runbook do zaimportowania to Create Automation Linux HybridWorker.

Element Runbook używa następujących parametrów.

Parametr Stan opis
Location Obowiązkowy Lokalizacja obszaru roboczego usługi Log Analytics.
ResourceGroupName Obowiązkowy Grupa zasobów dla konta usługi Automation.
AccountName Obowiązkowy Nazwa konta usługi Automation, w którym zostanie zarejestrowany hybrydowy proces roboczy uruchamiania.
CreateLA Obowiązkowy Jeśli wartość true, użyj wartości , WorkspaceName aby utworzyć obszar roboczy usługi Log Analytics. Jeśli wartość false, wartość WorkspaceName musi odwoływać się do istniejącego obszaru roboczego.
LAlocation Opcjonalnie Lokalizacja, w której zostanie utworzony obszar roboczy usługi Log Analytics lub gdzie już istnieje.
WorkspaceName Opcjonalnie Nazwa obszaru roboczego usługi Log Analytics do utworzenia lub użycia.
CreateVM Obowiązkowy Jeśli wartość true, użyj wartości jako VMName nazwy nowej maszyny wirtualnej. Jeśli wartość false, użyj polecenia VMName , aby znaleźć i zarejestrować istniejącą maszynę wirtualną.
VMName Opcjonalnie Nazwa maszyny wirtualnej, która została utworzona lub zarejestrowana, w zależności od wartości CreateVM.
VMImage Opcjonalnie Nazwa obrazu maszyny wirtualnej do utworzenia.
VMlocation Opcjonalnie Lokalizacja maszyny wirtualnej, która została utworzona lub zarejestrowana. Jeśli ta lokalizacja nie zostanie określona, zostanie użyta LAlocation wartość .
RegisterHW Obowiązkowy Jeśli to prawda, zarejestruj maszynę wirtualną jako hybrydowy proces roboczy.
WorkerGroupName Obowiązkowy Nazwa hybrydowej grupy procesów roboczych.

Ręczne uruchamianie poleceń programu PowerShell

Aby zainstalować i skonfigurować hybrydowy proces roboczy elementu Runbook systemu Linux, wykonaj następujące kroki.

  1. Włącz rozwiązanie usługi Azure Automation w obszarze roboczym usługi Log Analytics, uruchamiając następujące polecenie w wierszu polecenia programu PowerShell z podwyższonym poziomem uprawnień lub w usłudze Cloud Shell w witrynie Azure Portal:

    Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true

  2. Wdróż agenta usługi Log Analytics na maszynie docelowej.

    • W przypadku maszyn wirtualnych platformy Azure zainstaluj agenta usługi Log Analytics dla systemu Linux przy użyciu rozszerzenia maszyny wirtualnej dla systemu Linux. Rozszerzenie instaluje agenta usługi Log Analytics na maszynach wirtualnych platformy Azure i rejestruje maszyny wirtualne w istniejącym obszarze roboczym usługi Log Analytics. Możesz użyć szablonu usługi Azure Resource Manager, interfejsu wiersza polecenia platformy Azure lub usługi Azure Policy, aby przypisać wbudowaną definicję zasad Deploy Log Analytics agent for Linux or Windows VMs (Wdrażanie agenta usługi Log Analytics dla maszyn wirtualnych z systemem Linux lub Windows). Po zainstalowaniu agenta maszynę można dodać do grupy hybrydowych procesów roboczych elementu Runbook na koncie usługi Automation.

    • W przypadku maszyn spoza platformy Azure można zainstalować agenta usługi Log Analytics przy użyciu serwerów z obsługą usługi Azure Arc. Serwery z obsługą usługi Azure Arc obsługują wdrażanie agenta usługi Log Analytics przy użyciu następujących metod:

      • Korzystanie z platformy rozszerzeń maszyn wirtualnych.

        Ta funkcja na serwerach z obsługą usługi Azure Arc umożliwia wdrożenie rozszerzenia maszyny wirtualnej agenta usługi Log Analytics na serwerze z systemem Windows i/lub Linux spoza platformy Azure. Rozszerzenia maszyn wirtualnych można zarządzać przy użyciu następujących metod na maszynach hybrydowych lub serwerach zarządzanych przez serwery z obsługą usługi Azure Arc:

      • Korzystanie z usługi Azure Policy.

        Korzystając z tego podejścia, należy użyć agenta usługi Log Analytics w usłudze Azure Policy Deploy Log Analytics w systemie Linux lub wbudowanej definicji zasad usługi Microsoft Azure Arc w celu przeprowadzenia inspekcji, czy serwer z obsługą usługi Arc ma zainstalowanego agenta usługi Log Analytics. Jeśli agent nie jest zainstalowany, automatycznie wdraża go przy użyciu zadania korygowania. Jeśli planujesz monitorować maszyny przy użyciu Azure Monitor dla maszyn wirtualnych, zamiast tego użyj inicjatywy Włącz Azure Monitor dla maszyn wirtualnych, aby zainstalować i skonfigurować agenta usługi Log Analytics.

      Zalecamy zainstalowanie agenta usługi Log Analytics dla systemu Windows lub Linux przy użyciu usługi Azure Policy.

    Uwaga

    Aby zarządzać konfiguracją maszyn, które obsługują rolę hybrydowego procesu roboczego elementu Runbook przy użyciu konfiguracji żądanego stanu (DSC), należy dodać maszyny jako węzły DSC.

    Uwaga

    Konto nxautomation z odpowiednimi uprawnieniami sudo musi być obecne podczas instalacji hybrydowego procesu roboczego systemu Linux. Jeśli spróbujesz zainstalować proces roboczy, a konto nie jest obecne lub nie ma odpowiednich uprawnień, instalacja zakończy się niepowodzeniem.

  3. Sprawdź, czy agent raportuje do obszaru roboczego.

    Agent usługi Log Analytics dla systemu Linux łączy maszyny z obszarem roboczym usługi Log Analytics usługi Azure Monitor. Po zainstalowaniu agenta na maszynie i połączeniu go z obszarem roboczym program automatycznie pobiera składniki wymagane dla hybrydowego procesu roboczego elementu Runbook.

    Gdy agent pomyślnie nawiązał połączenie z obszarem roboczym usługi Log Analytics po kilku minutach, możesz uruchomić następujące zapytanie, aby sprawdzić, czy wysyła dane pulsu do obszaru roboczego.

    Heartbeat
| where Category == "Direct Agent"
| where TimeGenerated > ago(30m)

    W wynikach wyszukiwania powinny zostać wyświetlone rekordy pulsu dla maszyny wskazujące, że jest ona połączona i raportuje z usługą. Domyślnie każdy agent przekazuje rekord pulsu do przypisanego obszaru roboczego.

  4. Uruchom następujące polecenie, aby dodać maszynę do grupy hybrydowych procesów roboczych elementu Runbook, określając wartości parametrów -w, , -k-gi -e.

    Możesz uzyskać informacje wymagane dla parametrów -k i -e na stronie Klucze na koncie usługi Automation. Wybierz pozycję Klucze w sekcji Ustawienia konta po lewej stronie.

    Strona Zarządzanie kluczami

    • Dla parametru -e skopiuj wartość adresu URL.

    • Dla parametru -k skopiuj wartość KLUCZ DOSTĘPU PODSTAWOWEGO.

    • W przypadku parametru -g określ nazwę hybrydowej grupy procesów roboczych elementu Runbook, którą powinien dołączyć nowy hybrydowy proces roboczy elementu Runbook systemu Linux. Jeśli ta grupa już istnieje na koncie usługi Automation, do niej zostanie dodana bieżąca maszyna. Jeśli ta grupa nie istnieje, zostanie utworzona z tą nazwą.

    • Dla parametru -w określ identyfikator obszaru roboczego usługi Log Analytics.

    sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w <logAnalyticsworkspaceId> -k <automationSharedKey> -g <hybridGroupName> -e <automationEndpoint>

  5. Sprawdź wdrożenie po zakończeniu działania skryptu. Na stronie Hybrydowe grupy procesów roboczych elementu Runbook na koncie usługi Automation na karcie Grupy hybrydowych procesów roboczych elementu Runbook zostanie wyświetlona nowa lub istniejąca grupa oraz liczba członków. Jeśli jest to istniejąca grupa, liczba członków jest zwiększana. Możesz wybrać grupę z listy na stronie z menu po lewej stronie wybierz pozycję Hybrydowe procesy robocze. Na stronie Hybrydowych procesów roboczych można zobaczyć każdego członka grupy na liście.

    Uwaga

    Jeśli używasz rozszerzenia maszyny wirtualnej usługi Log Analytics dla systemu Linux dla maszyny wirtualnej platformy Azure, zalecamy ustawienie na autoUpgradeMinorVersionfalse wartość jako automatyczne uaktualnianie wersji może powodować problemy z hybrydowym procesem roboczym elementu Runbook. Aby dowiedzieć się, jak ręcznie uaktualnić rozszerzenie, zobacz Wdrażanie interfejsu wiersza polecenia platformy Azure.

Wyłączanie walidacji podpisu

Domyślnie hybrydowe procesy robocze elementów Runbook systemu Linux wymagają weryfikacji podpisu. Jeśli uruchamiasz niepodpisany element Runbook względem procesu roboczego, zostanie wyświetlony Signature validation failed błąd. Aby wyłączyć walidację podpisu, uruchom następujące polecenie jako katalog główny. Zastąp drugi parametr identyfikatorem obszaru roboczego usługi Log Analytics.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --false <logAnalyticsworkspaceId>

Usuwanie hybrydowego procesu roboczego elementu Runbook

Uruchom następujące polecenia jako katalog główny w hybrydowym procesie roboczym systemu Linux opartym na agencie:

  1.    sudo bash

  2.    rm -r /home/nxautomation

  3. W obszarze Automatyzacja procesów wybierz pozycję Grupy hybrydowych procesów roboczych, a następnie grupę hybrydowych procesów roboczych, aby przejść do strony Grupa hybrydowych procesów roboczych.

  4. W obszarze Grupa hybrydowych procesów roboczych wybierz pozycję Hybrydowe procesy robocze.

  5. Zaznacz pola wyboru obok maszyn, które chcesz usunąć z grupy hybrydowych procesów roboczych.

  6. Wybierz pozycję Usuń , aby usunąć hybrydowy proces roboczy systemu Linux oparty na agencie.

    Uwaga

    • Ten skrypt nie usuwa agenta usługi Log Analytics dla systemu Linux z maszyny. Usuwa tylko funkcje i konfigurację roli hybrydowego procesu roboczego elementu Runbook.
    • Po wyłączeniu usługi Private Link na koncie usługi Automation usunięcie hybrydowego procesu roboczego elementu Runbook może potrwać do 60 minut.
    • Po usunięciu hybrydowego procesu roboczego certyfikat uwierzytelniania hybrydowego procesu roboczego na maszynie jest ważny przez 45 minut.

Remove a Hybrid Worker group (Usuwanie grupy hybrydowego procesu roboczego)

Aby usunąć grupę hybrydowych procesów roboczych elementu Runbook dla maszyn z systemem Linux, należy wykonać te same kroki co w przypadku hybrydowej grupy procesów roboczych systemu Windows. Zobacz Usuwanie grupy hybrydowych procesów roboczych.

Zarządzanie uprawnieniami roli dla hybrydowych grup procesów roboczych i hybrydowych procesów roboczych

Możesz utworzyć niestandardowe role usługi Azure Automation i udzielić następujących uprawnień do hybrydowych grup procesów roboczych i hybrydowych procesów roboczych. Aby dowiedzieć się więcej na temat tworzenia ról niestandardowych usługi Azure Automation, zobacz Role niestandardowe platformy Azure

Akcje Opis
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Odczytywanie grupy hybrydowych procesów roboczych elementu Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/write Tworzy hybrydową grupę procesów roboczych elementu Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/delete Usuwa hybrydową grupę procesów roboczych elementu Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/read Odczytuje hybrydowy proces roboczy elementu Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/delete Usuwa hybrydowy proces roboczy elementu Runbook.

Sprawdzanie wersji hybrydowego procesu roboczego

Aby sprawdzić wersję hybrydowego procesu roboczego elementu Runbook systemu Linux opartego na agencie, przejdź do następującej ścieżki:

   sudo cat /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/VERSION

Wersja pliku ma numer wersji hybrydowego procesu roboczego elementu Runbook.

Następne kroki