Visão geral do Hybrid Runbook Worker da Automação
Importante
A Automação do Azure Hybrid Runbook Worker (Windows e Linux) baseado em agente será desativada em 31 de agosto de 2024 e não terá suporte após essa data. Você precisa concluir a migração de trabalhos de runbook híbrido de usuário baseados em agente existentes para trabalhos baseados em extensão antes de 31 de agosto de 2024. Além disso, a partir de 1º de novembro de 2023, não será possível criar novos Hybrid Workers baseados em agente. Saiba mais.
Os runbooks na Automação do Azure talvez não tenham acesso aos recursos em outras nuvens ou no seu ambiente local por serem executados na plataforma de nuvem do Azure. É possível usar o recurso Hybrid Runbook Worker da Automação do Azure para executar os runbooks diretamente no computador que hospeda a função e os recursos do ambiente para gerenciar esses recursos locais. Runbooks são armazenados e gerenciados na Automação do Azure e, em seguida, entregues a um ou mais computadores atribuídos.
A Automação do Azure fornece integração nativa da função Hybrid Runbook Worker por meio da estrutura de extensão de VM (máquina virtual) do Azure. O agente de VM do Azure é responsável pelo gerenciamento da extensão em VMs Windows e Linux do Azure e do agente do Azure Connected Machine em computadores que não são do Azure, como servidores habilitados para Azure Arc e o VMware vSphere habilitado para Azure Arc (versão prévia). Agora há duas plataformas de instalação do Hybrid Runbook Workers com suporte da Automação do Azure.
| Plataforma | Descrição |
|---|---|
| Baseado em extensão (V2) | Instalada usando a extensão de VM do Hybrid Runbook Worker, sem nenhuma dependência do relatório do agente do Log Analytics para um workspace do Log Analytics do Azure Monitor. Essa é a plataforma recomendada. |
| Baseado em agente (V1) | Instalada depois que o agente do Log Analytics que relata para um workspace do Log Analytics do Azure Monitor estiver concluído. |
Para operações do Hybrid Runbook Worker após a instalação, o processo de execução de runbooks em Hybrid Runbook Workers é o mesmo. A finalidade da abordagem baseada em extensão é simplificar a instalação e o gerenciamento da função Hybrid Runbook Worker e remover a complexidade de trabalhar com a versão baseada em agente. A nova instalação baseada em extensão não afeta a instalação ou o gerenciamento de uma função de Hybrid Runbook Worker baseada em agente. Ambos os tipos de Hybrid Runbook Worker podem coexistir no mesmo computador.
O Hybrid Runbook Worker baseado em extensão dá suporte apenas ao tipo de Hybrid Runbook Worker de usuário e não inclui o Hybrid Runbook Worker de sistema necessário para o recurso de Gerenciamento de Atualizações.
Benefícios dos Hybrid Workers de usuário baseados em extensão
A abordagem baseada em extensão simplifica muito a instalação e o gerenciamento do Hybrid Runbook Worker de usuário, removendo a complexidade de trabalhar com a abordagem baseada em agente. Confira alguns dos principais benefícios:
- Integração contínua – a abordagem baseada em agente para integração do Hybrid Runbook Worker depende do agente do Log Analytics, que é um processo de várias etapas, demorado e propenso a erros. A abordagem baseada em extensão não depende mais do agente do Log Analytics.
- Fácil capacidade de gerenciamento –Integração nativa com a identidade do ARM para o Hybrid Runbook Worker e fornece a flexibilidade de governança em escala por meio de políticas e modelos.
- Autenticação baseada no Microsoft Entra ID – ela usa identidades gerenciadas atribuídas pelo sistema de VM fornecidas pelo Microsoft Entra ID. Isso centraliza o controle e o gerenciamento de identidades e credenciais de recurso.
- Experiência unificada – oferece uma experiência idêntica para gerenciar computadores habilitados para Azure e fora do Azure Arc.
- Vários canais de integração – você pode optar por integrar e gerenciar trabalhos baseados em extensão por meio do portal do Azure, cmdlets do PowerShell, Bicep, modelos do ARM, API REST e CLI do Azure. Você também pode instalar a extensão em uma VM do Azure existente ou servidor habilitado para Arc dentro da experiência do portal do Azure desse computador por meio da folha Extensões.
- Atualização automática padrão – ela oferece atualização automática de versões secundárias por padrão, reduzindo significativamente a capacidade de gerenciamento de permanecer atualizado na versão mais recente. É recomendável habilitar atualizações automáticas para aproveitar as atualizações de segurança ou de recursos sem a sobrecarga manual. Você também pode recusar as atualizações automáticas a qualquer momento. Atualmente, não há suporte para atualizações de versão principais e devem ser gerenciadas manualmente.
Tipos do Runbook Worker
Há dois tipos de Runbook Workers – sistema e usuário. A tabela a seguir descreve as diferenças entre eles.
| Tipo | Descrição |
|---|---|
| Sistema | Oferece suporte a um conjunto de runbooks ocultos usados pelo recurso de Gerenciamento de Atualizações que foram criados para instalar atualizações especificadas pelo usuário em computadores Windows e Linux. Esse tipo de Hybrid Runbook Worker não é um membro de um grupo de Hybrid Runbook Worker e, portanto, não executa runbooks direcionados a um grupo do Runbook Worker. |
| Usuário | Dá suporte a runbooks definidos pelo usuário destinados a serem executados diretamente no computador Windows e Linux. |
O Hybrid Runbook Worker baseado em agente (V1) depende do relatório do agente do Log Analytics para um workspace de Log Analytics do Azure Monitor. O workspace não é apenas para coletar dados de monitoramento do computador, mas também para fazer download dos componentes necessários para instalar o Hybrid Runbook Worker baseado em agente.
Quando o Gerenciamento de Atualizações da Automação do Azure está habilitado, qualquer computador conectado ao workspace do Log Analytics é automaticamente configurado como um sistema do Hybrid Runbook Worker. Para configurá-lo como Hybrid Runbook Worker do Windows do usuário, confira Implantar um Hybrid Runbook Worker do Windows baseado em agente na Automação e, para Linux, confira Implantar um Hybrid Runbook Worker do Linux baseado em agente na Automação.
Limites de trabalho do runbook
A tabela a seguir mostra o número máximo de Hybrid Runbook Workers do sistema e do usuário em uma conta de Automação. Se você tiver mais de 4.000 computadores para gerenciar, é recomendável criar outra conta de Automação.
| Tipo de trabalho | Número máximo com suporte por conta de Automação. |
|---|---|
| Sistema | 4000 |
| Usuário | 4000 |
Como funciona
Cada Hybrid Runbook Worker é membro de um grupo do Hybrid Runbook Worker que você especifica ao instalar a função de trabalho. Um grupo pode conter um único trabalho, mas você pode incluir vários trabalhos em um grupo para ter alta disponibilidade. Cada computador pode hospedar um Hybrid Runbook Worker reportando a uma conta de Automação. Não é possível registrar o Hybrid Worker em várias contas de Automação. Um Hybrid Worker só pode escutar trabalhos de uma única conta de Automação.
Para computadores que hospedam o Hybrid Runbook Worker do sistema gerenciado pelo Gerenciamento de Atualizações, eles podem ser adicionados a um grupo do Hybrid Runbook Worker. Porém, você pode usar a mesma conta de Automação tanto para o Gerenciamento de Atualizações quanto para a assinatura de grupo do Hybrid Runbook Worker.
Um grupo do Hybrid Worker com Hybrid Runbook Workers foi projetado para alta disponibilidade e balanceamento de carga alocando trabalhos em vários Trabalhos. Para uma execução bem-sucedida de runbooks, os Hybrid Workers devem estar íntegros e emitir uma pulsação. O Hybrid Worker trabalha em um mecanismo de sondagem para captar trabalhos. Se nenhum dos Trabalhadores no grupo do Hybrid Worker tiver executado ping no serviço de Automação nos últimos 30 minutos, isso indicará que o grupo não tinha nenhum Trabalho ativo. Nesse cenário, os trabalhos serão suspensos após três tentativas de repetição.
Ao iniciar um runbook no Hybrid Runbook Worker de um usuário, você deve especificar o grupo no qual ele será executado e não poderá especificar um único trabalho. Cada Hybrid Worker ativo no grupo sondará trabalhos a cada 30 segundos para ver se há trabalhos disponíveis. O trabalhador escolhe os trabalhos por ordem de chegada. Dependendo de quando um trabalho foi enviado por push, o trabalhador híbrido dentro do Grupo do Hybrid Worker que executa ping no serviço de Automação pega o trabalho primeiro. O tempo de processamento da fila de tarefas depende do perfil e da carga do hardware do trabalhador híbrido.
Um único trabalho híbrido pode, em geral, pegar quatro trabalhos por ping (ou seja, a cada 30 segundos). Se a taxa de trabalhos por push for maior que 4 por 30 segundos e nenhuma outra Função de trabalho pegar o trabalho, o trabalho poderá ser suspenso com um erro.
Um Hybrid Runbook Worker tem muitos limites de recurso da área restrita do Azure no espaço do disco, memória ou soquetes de rede. Os limites em um trabalho híbrido estão relacionados apenas aos recursos próprios do trabalho e não são limitados pelo limite de tempo de compartilhamento justo que as áreas restritas do Azure têm.
Para controlar a distribuição de runbooks nos Hybrid Runbook Workers e quando ou como os trabalhos são disparados, você pode registrar o Hybrid Worker em diferentes grupos do Hybrid Runbook Worker dentro de sua conta de Automação. Direcione os trabalhos para o grupo ou grupos específicos para dar suporte à sua organização de execução.
Cenários comuns para Hybrid Runbook Workers de usuário
- Para executar runbooks da Automação do Azure para gerenciamento de VM convidada diretamente em uma VM (máquina virtual) do Azure existente e servidor registrado fora do Azure como o servidor habilitado para Azure Arc ou a VM do VMware habilitada para Azure Arc (versão prévia). Os servidores habilitados para Azure Arc podem ser servidores físicos e as máquinas virtuais Windows e Linux hospedados fora do Azure, na rede corporativa ou em outros provedores de nuvem.
- Para superar a limitação de área restrita da Automação do Azure – os cenários comuns incluem a execução de operações prolongadas além do limite de três horas para trabalhos de nuvem, a realização de operações de automação com uso intensivo de recursos, interagindo com os serviços locais em execução no local ou em ambiente híbrido, executar scripts que exigem permissões elevadas.
- Para superar as restrições da organização para manter os dados no Azure por motivos de governança e segurança, como não é possível executar trabalhos de Automação na nuvem, você pode executá-los em um computador local integrado como um Hybrid Runbook Worker de usuário.
- Para automatizar operações em vários recursos fora do Azure que executam em ambientes locais ou multinuvem. Você pode integrar um desses computadores como um Hybrid Runbook Worker de usuário e direcionar a automação para os computadores restantes no ambiente local.
- Para acessar outros serviços de forma privada da VNet (Azure Rede Virtual) sem abrir uma conexão de internet de saída, você pode executar runbooks em um Hybrid Worker conectado à VNet do Azure.
Instalar Hybrid Runbook Worker
O processo para instalar um Hybrid Runbook Worker de usuário depende do sistema operacional. A tabela a seguir define os tipos de implantação.
| Sistema operacional | Tipo de Implantação |
|---|---|
| Windows | Automatizado Manual. |
| Linux | Manual |
| Você pode usar o | Em Hybrid Runbook Workers de usuário, consulte Implantar um Hybrid Runbook Worker de usuário do Windows ou do Linux baseado em extensão na Automação. Esse é o método recomendado. |
Observação
No momento, não há suporte para o Hybrid Runbook Worker em Conjuntos de Dimensionamento de Máquinas Virtuais.
Planejamento da rede
Verifique a Configuração de Rede da Automação do Azure para obter informações detalhadas sobre as portas, URLs e outros detalhes de rede necessários para o Hybrid Runbook Worker.
Uso do servidor proxy
Se você usar um servidor proxy para comunicação entre o agente da Automação do Azure e os computadores executando o agente do Log Analytics, verifique se os recursos apropriados estão acessíveis. O tempo limite para solicitações dos serviços Hybrid Runbook Worker e Automação é de 30 segundos. Após três tentativas, a solicitação falha.
Uso de firewall
Se você usar um firewall para restringir o acesso à Internet, precisará configurar o firewall para permitir o acesso. Se estiver usando o gateway do Log Analytics como proxy, verifique se ele está configurado para Hybrid Runbook Workers. Confira Configurar o Gateway do Log Analytics para Hybrid Runbook Workers de Automação.
Marcas de serviço
A Automação do Azure dá suporte a marcas de serviço de rede virtual do Azure, começando com a marca de serviço GuestAndHybridManagement. Você pode usar marcas de serviço para definir os controles de acesso à rede em grupos de segurança de rede ou Firewall do Azure. Marcas de serviço podem ser usadas no lugar de endereços IP específicos quando você cria regras de segurança. Ao especificar o nome da marca de serviço GuestAndHybridManagement no campo apropriado de destino ou origem de uma regra, é possível permitir ou negar o tráfego para o serviço de Automação. Essa marca de serviço restringe intervalos de IP para uma região específica e, com isso, não oferece suporte à permissão de controle mais granular.
A marca de serviço para o serviço de Automação do Azure fornece somente IPs usados para os seguintes cenários:
- Disparar WebHooks de dentro de sua rede virtual
- Permitir que os Hybrid Runbook Workers ou os agentes de State Configuration em sua VNet se comuniquem com o serviço de Automação
Observação
A marca de serviço GuestAndHybridManagement atualmente não dá suporte à execução de trabalho de runbook em uma área restrita do Azure, somente diretamente em um Hybrid Runbook Worker.
Suporte para nível de impacto 5 (IL5)
O Hybrid Runbook Worker da Automação do Azure pode ser usado no Azure Governamental para dar suporte a cargas de trabalho de Impacto Nível 5 em ambas as configurações a seguir:
Máquina virtual isolada. Quando implantados, eles consomem todo o host físico para esse computador, fornecendo o nível necessário de isolamento necessário para dar suporte a cargas de trabalho do IL5.
Os Hosts Dedicados do Azure, que fornecem servidores físicos que podem hospedar uma ou mais máquinas virtuais, dedicados a uma assinatura do Azure.
Observação
O isolamento de computação por meio da função Hybrid Runbook Worker está disponível para nuvens comerciais do Azure e do governo dos EUA.
Endereços de Gerenciamento de Atualizações para Hybrid Runbook Worker
Além dos endereços padrão e das portas necessárias para o Hybrid Runbook Worker, o Gerenciamento de Atualizações tem outros requisitos de configuração de rede descritos na seção planejamento de rede.
State Configuration da Automação do Azure em um Hybrid Runbook Worker
Você pode executar o State Configuration da Automação do Azure em um Hybrid Runbook Worker. Para gerenciar a configuração de servidores que oferecem suporte ao Hybrid Runbook Worker, você deve adicionar os servidores como nós DSC. Confira Habilitar computadores para gerenciamento pelo State Configuration da Automação do Azure.
Runbooks em um Hybrid Runbook Worker
Você pode ter runbooks que gerenciam recursos no computador local ou executam recursos no ambiente local em que um Hybrid Runbook Worker de usuário está implantado. Nesse caso, você pode optar por executar seus runbooks no trabalho híbrido em vez de em uma conta da Automação. Os runbooks executados em um Hybrid Runbook Worker têm estrutura idêntica àqueles executados na conta da Automação. Confira Executar runbooks em um Hybrid Runbook Worker.
Trabalhos do Hybrid Runbook Worker
Os trabalhos do Hybrid Runbook Workers são executados na conta Sistema local no Windows ou na conta nxautomation no Linux. A Automação do Azure manipula trabalhos em Hybrid Runbook Workers de maneira diferente dos trabalhos executados em áreas restritas do Azure. Confira Ambiente de execução de runbook.
Se o computador host do Hybrid Runbook Worker reiniciar, qualquer trabalho de runbook em execução será reiniciado desde o início ou do último ponto de verificação para runbooks do Fluxo de trabalho do PowerShell. Se um trabalho do runbook for reiniciado mais de três vezes, será suspenso.
Permissões de runbook para um Hybrid Runbook Worker
Como eles acessam recursos que não são do Azure, os runbooks em execução em um Hybrid Runbook Worker de usuário não podem usar o mecanismo de autenticação normalmente usado pelos runbooks que se autenticam nos recursos do Azure. Um runbook fornece sua própria autenticação aos recursos locais, ou configura a autenticação usando entidades gerenciadas para os recursos do Azure. Você também pode especificar uma conta Executar como para fornecer um contexto de usuário a todos os runbooks.
Exibir Hybrid Runbook Workers do sistema
Depois que o recurso de Gerenciamento de Atualizações estiver habilitado em computadores Windows ou Linux, você poderá inventariar a lista de grupos do Hybrid Runbook Workers do sistema no portal do Azure. Você pode exibir até 2.000 trabalhadores no portal selecionando a guia Grupo de trabalhos híbridos do sistema na opção Grupo dos trabalhos híbridos no painel esquerdo da conta de Automação selecionada.
Se você tiver mais de 2.000 trabalhadores híbridos, para obter uma lista de todos eles, é possível executar o seguinte script do PowerShell:
"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"
Próximas etapas
Para saber como configurar os runbooks para automatizar processos no datacenter local ou em outro ambiente de nuvem, consulte Executar runbooks em um Hybrid Runbook Worker.
Para saber como solucionar problemas de seus Hybrid Runbook Workers, veja Solucionar Problemas do Hybrid Runbook Worker.