Automação do Azure em um ambiente híbrido

Os runbooks em Automação do Azure são executados na plataforma de nuvem do Azure e podem não ter acesso a recursos que estão em outras nuvens ou em seu ambiente local. Você pode usar o recurso Hybrid Runbook Worker de Automação do Azure para executar runbooks diretamente no computador que hospeda a função e em recursos no ambiente para gerenciar esses recursos locais. Runbooks são armazenados e gerenciados na Automação do Azure e, em seguida, entregues a um ou mais computadores atribuídos.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

Fluxo de trabalho

A arquitetura do Hybrid Runbook Worker consiste no seguinte:

• Conta de automação: um serviço de nuvem que automatiza a configuração e o gerenciamento em seus ambientes do Azure e não do Azure.
• Hybrid Runbook Worker: um computador configurado com o recurso Hybrid Runbook Worker e que pode executar runbooks diretamente no computador e nos recursos no ambiente local.
• Grupo do Hybrid Runbook Worker: agrupe com vários runbook workers híbridos para maior disponibilidade e escala para executar um conjunto de runbooks.
• Runbook: uma coleção de uma ou mais atividades vinculadas que juntas automatizam um processo ou operação. Saiba mais.
• Máquinas e VMs locais: computadores locais windows ou Linux e VMs hospedadas em uma rede local privada.
• Componentes aplicáveis à abordagem baseada em extensão (V2):
  • Extensão de VM do Hybrid Runbook Worker: um aplicativo pequeno instalado em um computador. O aplicativo configura o computador como um Hybrid Runbook Worker.
  • Servidor habilitado para Arc: os servidores habilitados para Azure Arc possibilitam que você gerencie computadores Windows e Linux e máquinas virtuais hospedadas fora do Azure, seja em sua rede corporativa ou em outro provedor de nuvem. Essa experiência de gerenciamento foi projetada para ser consistente com a maneira como você gerencia máquinas virtuais nativas do Azure. Saiba mais.
• Componentes aplicáveis à abordagem baseada em agente (V1):
  • Workspace do Log Analytics: um workspace do Log Analytics é um repositório de dados para dados de log coletados de recursos executados no Azure, localmente ou em outro provedor de nuvem.
  • Solução hybrid worker de automação: com essa solução, você pode criar Hybrid Runbook Workers para executar Automação do Azure runbooks em seus computadores do Azure e não do Azure.

Hybrid Runbook Worker do usuário

Baixe um Arquivo Visio dessa arquitetura.

Cada Hybrid Runbook Worker é membro de um grupo do Hybrid Runbook Worker que você especifica ao instalar a função de trabalho. Um grupo pode conter um único trabalho, mas você pode incluir vários trabalhos em um grupo para ter alta disponibilidade. Cada computador pode hospedar um Hybrid Runbook Worker reportando a uma conta de Automação. Não é possível registrar o Hybrid Worker em várias contas de Automação. Um Hybrid Worker só pode escutar trabalhos de uma única conta de Automação.

Hybrid Runbook Worker do Sistema

Baixe um Arquivo Visio dessa arquitetura.

Os computadores que hospedam o Hybrid Runbook Worker do sistema gerenciado pelo Gerenciamento de Atualizações podem ser adicionados a um grupo do Hybrid Runbook Worker. Porém, você pode usar a mesma conta de Automação tanto para o Gerenciamento de Atualizações quanto para a assinatura de grupo do Hybrid Runbook Worker.

Execução de trabalho no Hybrid Runbook Worker

Ao iniciar um runbook em um Hybrid Runbook Worker de usuário, você deve especificar o grupo no qual ele será executado. Cada operador no grupo de sonda de automação do Azure para ver se todos os trabalhos estão disponíveis. Se um trabalho estiver disponível, o primeiro funcionário a obter o trabalho o fará. O tempo de processamento da fila de tarefas depende do perfil e da carga do hardware do trabalho híbrido. Você não pode especificar um trabalhador específico. O Hybrid Worker trabalha em um mecanismo de sondagem (a cada 30 segundos) e segue uma ordem de primeiro a vir, primeiro servido.

Componentes

• Automação do Azure é um serviço do Azure para automatizar tarefas de gerenciamento de nuvem. O recurso Hybrid Runbook Worker possibilita executar runbooks em computadores localizados em seu datacenter para gerenciar recursos locais.
• O Azure Monitor oferece observabilidade total em aplicativos, infraestrutura e rede. O Azure Monitor Logs é um recurso do Azure Monitor que coleta e organiza dados de log e de desempenho relacionados aos recursos monitorados. O Log Analytics é uma ferramenta no portal do Azure para consultar logs e analisar os resultados

Detalhes do cenário

Abordagem de instalação do Hybrid Runbook Worker

Automação do Azure fornece integração nativa da função Hybrid Runbook Worker por meio da estrutura de extensão de máquina virtual do Azure. O agente de VM do Azure é responsável por gerenciar a extensão em VMs do Azure, windows e Linux e em computadores não Azure por meio do agente de computador conectado de servidores habilitados para Arc. Há duas plataformas de instalação do Hybrid Runbook Workers compatíveis com Automação do Azure.

Um Hybrid Worker pode existir em conjunto com ambas as plataformas: Com base em agente (V1) e Com base em extensão (V2) . Se você instalar o V2 (baseado em extensão) em um hybrid worker que já esteja executando o Agente baseado (V1), verá duas entradas do Hybrid Runbook Worker no grupo. Um com a plataforma Com base em extensão (V2) e o outro Com base em Agente (V1) . Saiba mais

Tipos de trabalho de runbook

Há dois tipos de trabalhos de Runbook, Sistema e Usuário.

O sistema dá suporte a um conjunto de runbooks ocultos que são usados pelo recurso Gerenciamento de Atualizações. Os runbooks foram projetados para instalar atualizações especificadas pelo usuário em computadores Windows e Linux. Esse tipo de Hybrid Runbook Worker não é um membro de um grupo de Hybrid Runbook Worker e, portanto, não executa runbooks direcionados a um grupo do Runbook Worker.

O usuário dá suporte a runbooks definidos pelo usuário destinados a serem executados diretamente nos computadores Windows e Linux que são membros de um ou mais grupos do Runbook Worker.

O Hybrid Runbook Worker baseado em extensão dá suporte apenas ao tipo de Hybrid Runbook Worker do usuário e não inclui o Hybrid Runbook Worker do sistema necessário para o recurso gerenciamento de atualizações.

O Hybrid Runbook Worker baseado em agente (V1) depende do relatório do agente do Log Analytics para um workspace de Log Analytics do Azure Monitor. O workspace não é apenas para coletar dados de monitoramento do computador, mas também para baixar os componentes necessários para instalar o Hybrid Runbook Worker baseado em agente. Quando Automação do Azure o Gerenciamento de Atualizações estiver habilitado, qualquer computador conectado ao workspace do Log Analytics será configurado automaticamente como um Hybrid Runbook Worker do sistema.

Possíveis casos de uso

• Para executar Automação do Azure runbooks diretamente em uma VM (máquina virtual) do Azure existente ou servidor habilitado para Arc local.
• Para superar a limitação da área restrita Automação do Azure. Os cenários comuns incluem a execução de operações de execução prolongada além do limite de três horas para trabalhos de nuvem, a execução de operações de automação com uso intensivo de recursos, a interação com serviços locais executados localmente ou em ambientes híbridos, a execução de scripts que exigem permissões elevadas e assim por diante.
• Para superar as restrições organizacionais na manutenção de dados no Azure por motivos de governança e segurança. Embora não seja possível executar trabalhos de Automação na nuvem, você pode executá-los em um computador local integrado como um Hybrid Runbook Worker.
• Para automatizar operações em vários recursos não Azure executados em ambientes locais, híbridos ou multinuvem. Você pode integrar um desses computadores como um Hybrid Runbook Worker e direcionar a automação nos computadores locais restantes.
• Para acessar outros serviços de forma privada do Azure Rede Virtual (VNet) sem precisar abrir uma conexão de saída com a Internet, você pode executar runbooks em um Hybrid Worker conectado à rede virtual do Azure.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Confiabilidade

A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você faz com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.

• Um Grupo de Trabalho de Runbook Híbrido com mais de um computador configurado com a Função de Hybrid Worker fornece alta disponibilidade porque os runbooks serão iniciados somente em servidores em execução e íntegros.
• O Hybrid Runbook Worker baseado em extensão (V1) dá suporte apenas ao tipo De Trabalho de Runbook Híbrido do Usuário e não inclui o Hybrid Runbook Worker do sistema necessário para o recurso de Gerenciamento de Atualizações.
• O seguinte se aplica somente à abordagem baseada em agente (V1). Atualmente, há suporte para mapeamentos entre um workspace do Log Analytics e uma conta de Automação em várias regiões. Para obter mais informações, consulte Regiões com suporte para o workspace vinculado do Log Analytics.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

• Criptografia de ativos confidenciais na Automação: uma conta Automação do Azure pode conter ativos confidenciais, como credenciais, certificado, conexão e variáveis criptografadas que podem ser usadas pelos runbooks. Cada ativo seguro é criptografado por padrão usando uma chave de Criptografia de Dados gerada para cada Conta de Automação. Essas chaves são criptografadas e armazenadas em Automação do Azure com uma AEK (Chave de Criptografia de Conta) que pode ser armazenada no cofre de chaves para clientes que desejam gerenciar a criptografia com suas próprias chaves. Por padrão, a AEK é criptografada usando chaves gerenciadas pela Microsoft. Use as diretrizes a seguir para aplicar a criptografia de ativos seguros em Automação do Azure.
• Permissão de runbook: por padrão, as permissões de runbook para um Hybrid Runbook Worker são executadas em um contexto de sistema no computador em que são implantadas. Um runbook fornece sua própria autenticação para recursos locais. A autenticação pode ser configurada usando identidades gerenciadas para recursos do Azure ou especificando uma conta Executar como para fornecer um contexto de usuário para todos os runbooks.
• Planejamento de rede:
  • Se você usar um servidor proxy para comunicação entre Automação do Azure e os computadores que executam o Hybrid Runbook Worker, verifique se os recursos apropriados estão acessíveis. O tempo limite para solicitações dos serviços Hybrid Runbook Worker e Automação é de 30 segundos. Após três tentativas, a solicitação falha.
  • O Hybrid Runbook Worker requer acesso à Internet de saída pela porta TCP 443 para se comunicar com a Automação. Se você usar um firewall para restringir o acesso à Internet, precisará configurar o firewall para permitir o acesso. Para computadores baseados em agente (V1) com acesso restrito à Internet, use o gateway do Log Analytics para configurar a comunicação com Automação do Azure e o workspace do Azure Log Analytics.
  • Há um limite de cota de CPU de 5% ao configurar o Hybrid Runbook Worker do Linux baseado em extensão. Não há esse limite para o Hybrid Runbook Worker baseado em extensão do Windows.
• Linha de base de segurança do Azure para Automação: a linha de base de segurança do Azure para Automação contém recomendações sobre como melhorar sua configuração de segurança para proteger seus ativos seguindo as diretrizes de melhores práticas.

Otimização de custo

A otimização de custos trata-se de procurar maneiras de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

• Automação do Azure custos são cobrados pela execução do trabalho por minuto. Todos os meses, os primeiros 500 minutos de automação de processos são gratuitos. Use a Calculadora de Preços do Azure para estimar os custos. Para obter mais informações sobre os modelos de preços Automação do Azure, consulte Preços de automação.
• Para a abordagem baseada em agente (V1), o Workspace do Azure Log Analytics pode gerar custos adicionais relacionados à quantidade de dados de log armazenados no Azure Log Analytics. O modelo de preços é baseado no consumo. Os custos estão associados à ingestão de dados e à retenção de dados. Para ingerir dados no Azure Log Analytics, use a Reserva de Capacidade ou o modelo pago conforme o uso que inclui 5 GB (gigabytes) gratuitos por conta de cobrança por mês. A retenção de dados dos primeiros 31 dias é gratuita. Para ver os modelos de preços do Log Analytics, confira Preços do Azure Monitor.

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

Capacidade de gerenciamento

• A abordagem baseada em extensão (V2) oferece facilidade de gerenciamento em comparação com a abordagem baseada em agente (V1) por meio de:
  • Integração nativa com a identidade do ARM de Hybrid Runbook Worker e fornece a flexibilidade de governança em escala por meio de políticas e modelos.
  • Controle centralizado e gerenciamento de identidades e credenciais de recurso, pois usa identidades atribuídas pelo sistema de VM fornecidas pelo Azure AD.
  • Experiência unificada para computadores do Azure e não Azure durante a integração e a integração de Hybrid Runbook Workers.
• Aplicável somente para a abordagem baseada em agente (V1):
  • Para acelerar a implantação do Agente do Log Analytics com a função hybrid worker em execução no computador Windows, use o script do PowerShell New-OnPremiseHybridWorker.ps1
  • A implantação de muitos agentes na infraestrutura local pode ser orquestrada usando scripts de linha de comando e implantada usando Política de Grupo ou System Center Configuration Manager.

DevOps

• Automação do Azure permite a integração com sistemas populares de controle do código-fonte, Azure DevOps e GitHub. Com o controle do código-fonte, você pode integrar o ambiente de desenvolvimento existente que contém seus scripts e código personalizado que foram testados anteriormente em um ambiente isolado.
• Para obter informações sobre como integrar Automação do Azure ao seu ambiente de controle do código-fonte, consulte Usar a integração de controle do código-fonte.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi escrito originalmente pelos colaboradores a seguir.

Autor principal:

• Mike Martin | Arquiteto sênior de soluções de nuvem

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

Mais informações sobre Automação do Azure:

• Visão geral do Hybrid Runbook Worker
• Implantar o Hybrid Runbook Worker do Usuário do Windows ou linux baseado em extensão
• Implantar um Hybrid Runbook Worker do Windows baseado em agente na Automação
• Implantar um Hybrid Runbook Worker do Linux baseado em agente na Automação
• Criar uma conta da Automação do Azure
• Criar um runbook no Automação do Azure usando Identidades Gerenciadas
• Executar runbooks de Automação em um Hybrid Runbook Worker
• Pré-requisitos: Automação do Azure detalhes de configuração de rede
• Visão geral do Azure Arc
• O que são servidores habilitados para Azure Arc?

Mais informações sobre os logs do Azure Monitor e do Monitor:

• Visão geral dos Logs do Azure Monitor
• Visão geral do Log Analytics no Azure Monitor

Recursos relacionados

• Design de arquitetura híbrida
• Conectar uma rede local ao Azure
• Monitoramento empresarial com o Azure Monitor
• Cadeia de custódia forense do computador no Azure
• Recuperação de Desastre para máquinas virtuais do Azure Stack Hub