Implante um Hybrid Runbook Worker do Linux baseado em agente na Automação

  • Artigo

Cuidado

Este artigo faz referência ao CentOS, uma distribuição do Linux que está se aproximando do status de EOL (fim da vida útil). Considere seu uso e planejamento adequadamente. Para obter mais informações, veja as Diretrizes sobre fim da vida útil do CentOS.

Importante

A Automação do Azure Hybrid Runbook Worker (Windows e Linux) baseado em agente será desativada em 31 de agosto de 2024 e não terá suporte após essa data. Você precisa concluir a migração de trabalhos de runbook híbrido de usuário baseados em agente existentes para trabalhos baseados em extensão antes de 31 de agosto de 2024. Além disso, a partir de 1º de novembro de 2023, não será possível criar Hybrid Workers baseados em agente. Saiba mais.

O recurso de usuário Hybrid Runbook Worker da Automação do Azure permite que você execute runbooks diretamente em um computador do Azure ou não Azure, incluindo servidores registrados com servidores habilitados para Azure Arc. Você pode executar runbooks diretamente no computador ou servidor que está hospedando a função, e em recursos no ambiente para gerenciar esses recursos locais.

O Linux Hybrid Runbook Worker executa runbooks como um usuário especial que pode ser elevado para executar comandos que precisam de elevação. A Automação do Azure armazena e gerencia runbooks e os entrega a um ou mais computadores escolhidos. Este artigo descreve como instalar o Hybrid Runbook Worker em um computador Linux, como remover o trabalho e como remover um grupo do Hybrid Runbook Worker. Para Hybrid Runbook Workers do Usuário, confira também Implantar um Hybrid Runbook Worker do Usuário do Windows ou do Linux baseado em extensão na Automação

Depois de implantar com êxito um trabalhador de runbook, revise Executar runbooks em um Hybrid Runbook Worker para saber como configurar seus runbooks para automatizar processos em seu datacenter local ou em outro ambiente de nuvem.

Observação

Um Hybrid Worker pode existir em conjunto com ambas as plataformas: Com base em agente (V1) e Com base em extensão (V2). Se você instalar a opção Com base em Extensão (V2) em um Hybrid Worker que já execute o Com base em agente (V1), verá duas entradas do Hybrid Runbook Worker no grupo. Um com a plataforma Com base em extensão (V2) e o outro Com base em Agente (V1). Saiba mais.

Pré-requisitos

Antes de começar, verifique se você tem o seguinte.

Um workspace do Log Analytics

A função Hybrid Runbook Worker depende de um workspace do Log Analytics do Azure Monitor para instalar e configurar a função. Você pode criá-lo através do Azure Resource Manager, do PowerShell ou no portal do Azure.

Se você ainda não tiver um workspace do Log Analytics do Azure Monitor, revise as diretrizes de design de Log do Azure Monitor antes de criar o workspace.

Agente do Log Analytics

A função Hybrid Runbook Worker requer o agente do Log Analytics para o sistema operacional Linux suportado. Para servidores ou computadores hospedados fora do Azure, você pode instalar o agente do Log Analytics usando os servidores habilitados para Azure Arc. O agente é instalado com determinadas contas de serviço que executam comandos que exigem permissões raiz. Para saber mais, confira Contas de serviço.

Sistemas operacionais Linux com suporte

O recurso Hybrid Runbook Worker dá suporte para as distribuições a seguir. Nós supomos que todos os sistemas operacionais sejam x64. O x86 não é compatível com nenhum sistema operacional.

  • Amazon Linux 2012.09 a 2015.09

  • CentOS Linux 5, 6, 7, e 8

  • Oracle Linux 6, 7 e 8

  • Red Hat Enterprise Linux Server 5, 6, 7, e 8

  • Debian GNU/Linux 6, 7 e 8

  • SUSE Linux Enterprise Server 12, 15 e 15.1 (o SUSE não lançou as versões 13 ou 14)

  • Ubuntu

    Sistema operacional Linux Nome
    20.04 LTS Focal Fossa
    18.04 LTS Bionic Beaver
    16.04 LTS Xenial Xerus
    14.04 LTS Trusty Tahr

Observação

O Hybrid Worker seguiria os cronogramas de suporte do fornecedor do sistema operacional.

Importante

Antes de habilitar o recurso Gerenciamento de Atualizações, que depende da função de Hybrid Runbook Worker do sistema, confirme as distribuições às quais ele dá suporte aqui.

Requisitos mínimos

Os requisitos mínimos para um sistema Linux e um usuário Hybrid Runbook Worker são:

  • Dois núcleos
  • 4 GB de RAM
  • Porta 443 (saída)
Pacote necessário Descrição Versão mínima
Glibc Biblioteca GNU C 2.5-12
Openssl Bibliotecas OpenSSL 1.0 (há suporte para TLS 1.1 e TLS 1.2)
Curl cliente Web cURL 7.15.5
Python-ctypes Biblioteca de funções estrangeiras para Python Python 2. x ou Python 3. x são necessários
PAM Módulos de autenticação conectáveis
Pacotes opcionais Descrição Versão mínima
PowerShell Core Para executar runbooks do PowerShell, é necessário ter o PowerShell Core instalado. Consulte Instalar PowerShell Core no Linux para saber como instalá-lo. 6.0.0

Adicionando um computador a um grupo de Hybrid Runbook Worker

É possível adicionar o computador da função de trabalho a um grupo do Hybrid Runbook Worker em sua conta do Automação. Para computadores que hospedam o Hybrid Runbook Worker do sistema gerenciado pelo Gerenciamento de Atualizações, eles podem ser adicionados a um grupo do Hybrid Runbook Worker. Porém, você pode usar a mesma conta de Automação tanto para o Gerenciamento de Atualizações quanto para a assinatura de grupo do Hybrid Runbook Worker.

Observação

OGerenciamento de Atualizações da Automação do Azure instala automaticamente o Hybrid Runbook Worker do sistema em um computador Azure ou não Azure habilitado para Gerenciamento de Atualizações. No entanto, essa função de trabalho não está registrada em nenhum grupo do Hybrid Runbook Worker em sua conta de Automação. Para executar seus runbooks nesses computadores, você precisa adicioná-los a um grupo do Hybrid Runbook Worker. Siga a etapa 4 na seção Instalar um Hybrid Runbook Worker do Linux para adicioná-lo a um grupo.

Proteção compatível do Linux

Não há suporte para o seguinte:

  • CIS

Tipos de runbook com suporte

Os Hybrid Runbook Workers do Linux dão suporte a um conjunto limitado de tipos de runbooks na Automação do Azure, descritos na tabela a seguir.

Tipo de Runbook Com suporte
Python 3 (versão prévia) Sim, necessário somente para as seguintes distribuições: SUSE LES 15, RHEL 8 e CentOS 8
Python 2 Sim, para qualquer distribuição que não exija Python 31
PowerShell Sim2
Fluxo de trabalho do PowerShell Não
Gráfico Não
Fluxo de Trabalho Gráfico do PowerShell Não

1VejaSistemas operacionais do Linux com suporte.

2Runbooks do PowerShell exigem que o PowerShell Core seja instalado no computador Linux. Consulte Instalar PowerShell Core no Linux para saber como instalá-lo.

Configuração de rede

Para os requisitos de rede para o Hybrid Runbook Worker, consulte Configurando sua rede .

Instalar um Hybrid Runbook Worker do Linux

Há dois métodos para implantar um Hybrid Runbook Worker. Você pode importar e executar um runbook da Galeria de Runbooks no portal do Azure ou executar manualmente uma série de comandos do PowerShell.

O procedimento de importação é descrito em detalhes em Importar runbooks do GitHub com o portal do Azure. O nome do runbook a ser importado é Create Automation Linux HybridWorker.

O runbook usa os seguintes parâmetros.

Parâmetro Status Descrição
Location Obrigatório O local para o workspace do Log Analytics.
ResourceGroupName Obrigatório O grupo de recursos para a conta de Automação.
AccountName Obrigatório O nome da conta de Automação na qual o Hybrid Run Worker será registrado.
CreateLA Obrigatório Se for true, usará o valor de WorkspaceName para criar um workspace do Log Analytics. Se for false, o valor de WorkspaceName deve se referir a um workspace existente.
LAlocation Opcional O local em que o workspace do Log Analytics será criado ou onde ele já exista.
WorkspaceName Opcional O nome do workspace do Log Analytics a ser criado ou usado.
CreateVM Obrigatório Se for true, use o valor VMName como o nome de uma nova VM. Se for false, use VMName para localizar e registrar a VM existente.
VMName Opcional O nome da máquina virtual que é criada ou registrada, dependendo do valor de CreateVM.
VMImage Opcional O nome da imagem da VM a ser criada.
VMlocation Opcional Local da VM que é criada ou registrada. Se esse local não for especificado, o valor de LAlocation será usado.
RegisterHW Obrigatório Se verdadeiro, registre a VM como uma função de trabalho híbrida.
WorkerGroupName Obrigatório Nome do grupo do Hybrid Worker.

Executar manualmente comandos do PowerShell

Para instalar e configurar um Hybrid Runbook Worker do Linux, siga as seguintes etapas.

  1. Habilite a solução de Automação do Azure em seu workspace do Log Analytics executando o seguinte comando em um prompt do PowerShell com privilégios elevados ou em Cloud Shell no portal do Azure:

    Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true

  2. Implante o agente de Log Analytics no computador de destino.

    • Para as VMs do Azure, instale o agente de Log Analytics para Linux usando a extensão de máquina virtual para o Linux. A extensão instala o agente do Log Analytics em máquinas virtuais do Azure e registra máquinas virtuais em um espaço de trabalho do Log Analytics existente. Você pode usar um modelo do Azure Resource Manager, da CLI do Azure ou do Azure Policy para atribuir a definição de política interna de Implantação do agente de Log Analytics para VMs do Linux ou Windows. Depois que o agente é instalado, a VM pode ser adicionada a um grupo do Hybrid Runbook Worker em sua conta de Automação.

    • Para computadores não Azure, você pode instalar o agente de Log Analytics usando os servidores habilitados para Azure Arc. Os servidores habilitados para o Azure Arc dão suporte à implantação do agente de Log Analytics usando os seguintes métodos:

      • Usando a estrutura de extensões de VM.

        Esse recurso nos servidores habilitados para Azure Arc permite implantar a extensão de VM do agente de Log Analytics em um servidor Windows e/ou Linux não Azure. As extensões de VM podem ser gerenciadas usando os seguintes métodos em seus servidores ou máquinas híbridas gerenciados por servidores habilitados para Azure Arc:

      • Usando o Azure Policy.

        Ao usar essa abordagem, você usa a definição da política interna do Azure Policy de Implantar agente do Log Analytics em computadores Linux ou do Microsoft Azure Arc para auditar se o servidor habilitado para o Arc tem o agente do Log Analytics instalado. Se o agente não estiver instalado, ele o implantará automaticamente usando uma tarefa de correção. Se você planeja monitorar as máquinas com o Azure Monitor para VMs, use a iniciativa Habilitar o Azure Monitor para VMs para instalar e configurar o agente de Log Analytics.

      É recomendável instalar o agente de Log Analytics para Windows ou Linux usando o Azure Policy.

    Observação

    Para gerenciar a configuração de computadores compatíveis com a função Hybrid Runbook Worker com Desired State Configuration (DSC), é preciso adicioná-los como nós DSC.

    Observação

    A conta de nxautomation com as permissões sudo correspondentes deve estar presente durante a instalação do Hybrid Worker do Linux. Se você tentar instalar o trabalho e a conta não estiver presente ou não tiver as permissões apropriadas, a instalação falhará.

  3. Verificar se o agente está subordinado ao workspace.

    O agente do Log Analytics para Linux conecta computadores a um workspace do Log Analytics do Azure Monitor. Quando você instala o agente no computador e o conecta ao seu espaço de trabalho, ele baixa automaticamente os componentes necessários para o Hybrid Runbook Worker.

    Quando o agente tiver se conectado ao seu workspace do Log Analytics após alguns minutos, você poderá executar a consulta a seguir para verificar se ele está enviando dados de pulsação para o workspace.

    Heartbeat
| where Category == "Direct Agent"
| where TimeGenerated > ago(30m)

    Nos resultados de pesquisa, você deverá ver os registros de pulsação para o computador, indicando que está conectado e comunicando-se com o serviço. Por padrão, cada agente encaminha um registro de pulsação para seu workspace atribuído.

  4. Execute o comando a seguir para adicionar o computador a um grupo de Hybrid Runbook Worker, especificando os valores para os parâmetros -w, -k, -ge -e.

    Você pode obter as informações necessárias para os parâmetros -k e -e a partir da página de Chaves em sua conta de Automação. Selecione Chaves na seção Configurações de conta do lado esquerdo da página.

    Página Gerenciar Chaves

    • Para o parâmetro -e, copie o valor para a URL.

    • Para o parâmetro-k, copie o valor para CHAVE DE ACESSO PRIMÁRIA.

    • Para o parâmetro -g, substitua o nome do grupo do Hybrid Runbook Worker ao qual o novo Linux Hybrid Runbook Worker deve ingressar. Se esse grupo já existir na conta do Automação, o computador atual será adicionado a ele. Se esse grupo não existir, ele será criado com esse nome.

    • Para o parâmetro -w, especifique a ID de seu workspace do Log Analytics.

    sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w <logAnalyticsworkspaceId> -k <automationSharedKey> -g <hybridGroupName> -e <automationEndpoint>

  5. Verifique a implantação após a conclusão do script. Na página grupos do Hybrid Runbook Worker em sua conta do Automação, na guia grupos do usuário Hybrid Runbook Workers, ele mostra o novo grupo e a quantidade de membros. Se for um grupo existente, o número de membros é incrementado. Você pode selecionar o grupo na lista da página, no menu à esquerda, escolha Hybrid Workers. Na página Hybrid Workers, você verá cada membro do grupo listado.

    Observação

    Caso você esteja usando a extensão de máquina virtual do Log Analytics para Linux em uma VM do Azure, recomendamos definir autoUpgradeMinorVersion para false, pois atualizações automáticas podem causar problemas ao Hybrid Runbook Worker. Para saber como atualizar a extensão manualmente, confira Implantação da CLI do Azure.

Desativar a validação de assinatura

Por padrão, o Linux Hybrid Runbook Workers exige validação de assinatura. Se você executar um runbook não assinado em um trabalho, verá um erro Signature validation failed. Para desativar a validação de assinatura, execute o comando a seguir como raiz. Substitua o segundo parâmetro pela ID do espaço de trabalho do Log Analytics.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --false <logAnalyticsworkspaceId>

Remover o Hybrid Runbook Worker

Execute os seguintes comandos como raiz no Hybrid Worker do Linux baseado no agente:

  1.    sudo bash

  2.    rm -r /home/nxautomation

  3. Em Automação de Processo, selecione Grupos de Hybrid Workers e o seu grupo de Hybrid Workers para acessar a página Grupo de Hybrid Workers.

  4. Em Grupo de Hybrid Workers, selecione Hybrid Workers.

  5. Marque a caixa de seleção ao lado dos computadores que você deseja excluir do grupo de Hybrid Workers.

  6. Selecione Excluir para remover o Hybrid Worker do Linux baseado em agente.

    Observação

    • Esse script não remove o agente de Log Analytics para Linux do computador. Ele remove apenas a funcionalidade e a configuração da função Hybrid Runbook Worker.
    • Depois que você desabilitar o Link Privado na sua conta de Automação, poderão ser necessários até 60 minutos para remover o Hybrid Runbook Worker.
    • Depois de remover o Hybrid Worker, o certificado de autenticação dele no computador é válido por 45 minutos.

Remover um grupo Hybrid Worker

Para remover um grupo do Hybrid Runbook Worker de computadores Linux, use as mesmas etapas de um grupo do Hybrid Worker do Windows. Confira Remover um grupo do Hybrid Worker.

Gerenciar permissões de função para grupos do Hybrid Workers e Hybrid Workers

Você pode criar funções personalizadas da Automação do Azure e conceder as permissões a seguir a grupos do Hybrid Workers e Hybrid Workers. Para saber como criar funções personalizadas da Automação do Azure, veja Funções personalizadas do Azure

Ações Descrição
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Lê um grupo de Hybrid Runbook Workers.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/write Cria um grupo de Hybrid Runbook Workers.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/delete Exclui um grupo de Hybrid Runbook Workers.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/read Lê um Hybrid Runbook Worker.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/delete Exclui um Hybrid Runbook Worker.

Verificar a versão do Hybrid Worker

Para verificar a versão do Hybrid Runbook Worker do Linux baseado em agente, acesse o seguinte caminho:

   sudo cat /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/VERSION

O arquivo VERSION tem o número de versão do Hybrid Runbook Worker.

Próximas etapas