Automatização do Azure num ambiente híbrido

Os runbooks na Automação do Azure são executados na plataforma de nuvem do Azure e podem não ter acesso a recursos que estão em outras nuvens ou em seu ambiente local. Você pode usar o recurso Trabalhador de Runbook Híbrido da Automação do Azure para executar runbooks diretamente na máquina que hospeda a função e em relação aos recursos no ambiente para gerenciar esses recursos locais. Os runbooks são armazenados e gerenciados na Automação do Azure e, em seguida, entregues a uma ou mais máquinas atribuídas.

Arquitetura

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de trabalho

A arquitetura do Hybrid Runbook Worker consiste no seguinte:

• Conta de automação: um serviço de nuvem que automatiza a configuração e o gerenciamento em seus ambientes do Azure e não do Azure.
• Hybrid Runbook Worker: Um computador configurado com o recurso Hybrid Runbook Worker e que pode executar runbooks diretamente no computador e em relação aos recursos no ambiente local.
• Grupo de trabalhadores de runbook híbridos: grupo com vários trabalhadores de runbook híbridos para maior disponibilidade e dimensionamento para executar um conjunto de runbooks.
• Runbook: uma coleção de uma ou mais atividades vinculadas que, juntas, automatizam um processo ou operação. Saiba mais.
• Máquinas locais e VMs: computadores locais Windows ou Linux e VMs hospedadas em uma rede local privada.
• Componentes aplicáveis à abordagem baseada em extensão (V2):
  • Extensão Hybrid Runbook Worker VM: um pequeno aplicativo instalado em um computador. O aplicativo configura o computador como um Hybrid Runbook Worker.
  • Servidor habilitado para Arc: os servidores habilitados para Arc do Azure possibilitam que você gerencie computadores Windows e Linux e máquinas virtuais hospedadas fora do Azure, seja em sua rede corporativa ou em outro provedor de nuvem. Essa experiência de gerenciamento foi projetada para ser consistente com a forma como você gerencia máquinas virtuais nativas do Azure. Saiba mais.
• Componentes aplicáveis à abordagem baseada em agente (V1):
  • Espaço de trabalho do Log Analytics: um espaço de trabalho do Log Analytics é um repositório de dados para dados de log coletados de recursos executados no Azure, no local ou em outro provedor de nuvem.
  • Solução de Trabalhador Híbrido de Automação: com esta solução, você pode criar Runbook Workers Híbridos para executar runbooks de Automação do Azure em seus computadores Azure e não Azure.

Usuário Hybrid Runbook Worker

Transfira um ficheiro do Visio desta arquitetura.

Cada usuário Hybrid Runbook Worker é membro de um grupo Hybrid Runbook Worker que você especifica quando instala o worker. Um grupo pode incluir um único trabalhador, mas você pode incluir vários trabalhadores em um grupo para alta disponibilidade. Cada máquina pode hospedar um Runbook Worker híbrido relatando para uma conta de automação; não é possível registrar o trabalhador híbrido em várias contas de automação. Um trabalhador híbrido só pode ouvir trabalhos a partir de uma única conta de automação.

Trabalhador de runbook híbrido do sistema

Transfira um ficheiro do Visio desta arquitetura.

As máquinas que hospedam o Hybrid Runbook Worker do sistema gerenciado pelo Update Management podem ser adicionadas a um grupo Hybrid Runbook Worker. Mas você deve usar a mesma conta de automação para o Gerenciamento de Atualizações e a associação ao grupo Trabalhador de Runbook Híbrido.

Execução de trabalhos no Hybrid Runbook Worker

Ao iniciar um runbook em um usuário Hybrid Runbook Worker, você especifica o grupo no qual ele é executado. Cada trabalhador do grupo pesquisa a Automação do Azure para ver se há trabalhos disponíveis. Se houver um emprego disponível, o primeiro trabalhador a conseguir o emprego aceita-o. O tempo de processamento da fila de trabalhos depende do perfil de hardware do trabalhador híbrido e da carga. Não é possível especificar um trabalhador específico. O trabalhador híbrido trabalha em um mecanismo de votação (a cada 30 segundos) e segue uma ordem de atendimento por ordem de chegada.

Componentes

• A Automação do Azure é um serviço do Azure para automatizar tarefas de gerenciamento de nuvem. O recurso Hybrid Runbook Worker torna possível executar runbooks em máquinas localizadas em seu datacenter para gerenciar recursos locais.
• O Azure Monitor oferece total observabilidade em aplicativos, infraestrutura e rede. Os Logs do Azure Monitor são um recurso do Azure Monitor que coleta e organiza dados de log e desempenho de recursos monitorados. O Log Analytics é uma ferramenta no portal do Azure para consultar logs e analisar os resultados

Detalhes do cenário

Abordagem de instalação do Hybrid Runbook Worker

A Automação do Azure fornece integração nativa da função Hybrid Runbook Worker por meio da estrutura de extensão de máquina virtual do Azure. O agente de VM do Azure é responsável por gerenciar a extensão em VMs do Azure, Windows e Linux, e em máquinas que não são do Azure por meio do agente de máquina conectado a servidores habilitados para Arc. Há duas plataformas de instalação do Hybrid Runbook Workers que são suportadas pela Automação do Azure.

Um trabalhador híbrido pode coexistir com ambas as plataformas: baseada em agente (V1) e baseada em extensão (V2). Se você instalar Extension based (V2) em um trabalhador híbrido que já esteja executando o Agent based (V1), verá duas entradas do Hybrid Runbook Worker no grupo. Um com base em Extensão de Plataforma (V2) e o outro baseado em Agente (V1). Mais informações

Tipos de trabalhador Runbook

Existem dois tipos de Runbook workers, System e User.

O sistema suporta um conjunto de runbooks ocultos que são usados pelo recurso Gerenciamento de Atualizações. Os runbooks são projetados para instalar atualizações especificadas pelo usuário em máquinas Windows e Linux. Esse tipo de Runbook Worker Híbrido não é membro de um grupo de Runbook Worker Híbrido e, portanto, não executa runbooks destinados a um grupo de Runbook Worker.

O usuário suporta runbooks definidos pelo usuário que se destinam a ser executados diretamente nas máquinas Windows e Linux que são membros de um ou mais grupos de Runbook Worker.

O Hybrid Runbook Worker baseado em extensão suporta apenas o tipo Hybrid Runbook Worker do usuário e não inclui o sistema Hybrid Runbook Worker necessário para o recurso Update Management.

Os Trabalhadores de Runbook Híbrido baseados em agente (V1) dependem do relatório do agente do Log Analytics para um espaço de trabalho do Azure Monitor Log Analytics. O espaço de trabalho não é apenas para coletar dados de monitoramento da máquina, mas também para baixar os componentes necessários para instalar o Hybrid Runbook Worker baseado em agente. Quando o Azure Automation Update Management está habilitado, qualquer máquina conectada ao seu espaço de trabalho do Log Analytics é configurada automaticamente como um Runbook Worker híbrido do sistema.

Potenciais casos de utilização

• Para executar runbooks da Automação do Azure diretamente em uma máquina virtual (VM) do Azure existente ou em um servidor local habilitado para Arc.
• Para superar a limitação da área restrita da Automação do Azure. Os cenários comuns incluem a execução de operações de longa duração além do limite de três horas para trabalhos na nuvem, a execução de operações de automação que consomem muitos recursos, a interação com serviços locais que são executados no local ou em ambientes híbridos, a execução de scripts que exigem permissões elevadas e assim por diante.
• Para superar as restrições organizacionais sobre a manutenção de dados no Azure por motivos de governança e segurança. Embora não seja possível executar trabalhos de automação na nuvem, você pode executá-los em uma máquina local integrada como um Runbook Worker híbrido.
• Para automatizar operações em vários recursos que não são do Azure executados em ambientes locais, híbridos ou multicloud. Você pode integrar uma dessas máquinas como um Hybrid Runbook Worker e direcionar a automação nas máquinas locais restantes.
• Para aceder a outros serviços de forma privada a partir da Rede Virtual do Azure (VNet) sem ter de abrir uma ligação de saída à Internet, pode executar runbooks num Trabalhador Híbrido ligado à rede virtual do Azure.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Fiabilidade

A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.

• Um Grupo de Trabalho de Runbook Híbrido com mais de uma máquina configurada com a Função de Trabalho Híbrida fornece alta disponibilidade porque os runbooks serão iniciados somente em servidores em execução e íntegros.
• O Hybrid Runbook Worker baseado em extensão (V1) suporta apenas o tipo User Hybrid Runbook Worker e não inclui o System Hybrid Runbook Worker necessário para o recurso Update Management.
• O seguinte aplica-se apenas à abordagem baseada no agente (V1). Atualmente, mapeamentos entre um espaço de trabalho do Log Analytics e uma conta de automação são suportados em várias regiões. Para obter mais informações, consulte Regiões suportadas para o espaço de trabalho vinculado do Log Analytics.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

• Criptografia de ativos confidenciais na automação: uma conta de automação do Azure pode conter ativos confidenciais, como credenciais, certificado, conexão e variáveis criptografadas que podem ser usadas pelos runbooks. Cada ativo seguro é criptografado por padrão usando uma chave de criptografia de dados gerada para cada conta de automação. Essas chaves são criptografadas e armazenadas na Automação do Azure com uma Chave de Criptografia de Conta (AEK) que pode ser armazenada no cofre de chaves para clientes que desejam gerenciar a criptografia com suas próprias chaves. Por padrão, o AEK é criptografado usando chaves gerenciadas pela Microsoft. Use as diretrizes a seguir para aplicar a criptografia de ativos seguros na Automação do Azure.
• Permissão de runbook: por padrão, as permissões de runbook para um Runbook Worker híbrido são executadas em um contexto de sistema na máquina em que são implantadas. Um runbook fornece sua própria autenticação para recursos locais. A autenticação pode ser configurada usando identidades gerenciadas para recursos do Azure ou especificando uma conta Run As para fornecer um contexto de usuário para todos os runbooks.
• Planeamento da rede:
  • Se você usar um servidor proxy para comunicação entre a Automação do Azure e as máquinas que executam o Runbook Worker Híbrido, verifique se os recursos apropriados estão acessíveis. O tempo limite para solicitações dos serviços Hybrid Runbook Worker and Automation é de 30 segundos. Após três tentativas, a solicitação falha.
  • O Hybrid Runbook Worker requer acesso de saída à Internet pela porta TCP 443 para se comunicar com a automação. Se você usar um firewall para restringir o acesso à Internet, deverá configurá-lo para permitir o acesso. Para computadores baseados em agente (V1) com acesso restrito à Internet, use o gateway do Log Analytics para configurar a comunicação com a Automação do Azure e o Espaço de Trabalho do Azure Log Analytics.
  • Há um limite de cota de CPU de 5% ao configurar o Linux Hybrid Runbook worker baseado em extensão. Não há esse limite para o Hybrid Runbook Worker baseado em extensão do Windows.
• Linha de base de segurança do Azure para automação: a linha de base de segurança do Azure para automação contém recomendações sobre como melhorar sua configuração de segurança para proteger seus ativos seguindo as diretrizes de práticas recomendadas.

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

• Os custos da Automação do Azure são precificados para a execução do trabalho por minuto. Todos os meses, os primeiros 500 minutos de automação de processos são gratuitos. Utilize a calculadora de preços do Azure para prever os custos. Para obter mais informações sobre os modelos de preços da Automação do Azure, consulte Preços de automação.
• Para a abordagem baseada em agente (V1), o Espaço de Trabalho do Azure Log Analytics pode gerar custos adicionais relacionados à quantidade de dados de log armazenados no Azure Log Analytics. O modelo de precificação é baseado no consumo. Os custos estão associados à ingestão e retenção de dados. Para ingerir dados no Azure Log Analytics, use a Reserva de Capacidade ou o modelo Pay-As-You-Go que inclui 5 gigabytes (GB) gratuitos por conta de cobrança por mês. A conservação de dados durante os primeiros 31 dias é gratuita. Para obter os modelos de preços do Log Analytics, consulte Preços do Azure Monitor.

Excelência operacional

A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

Capacidade de gestão

• A abordagem baseada em extensão (V2) oferece facilidade de gerenciamento em comparação com a abordagem baseada em agente (V1) através de:
  • Integração nativa com identidade ARM para Hybrid Runbook Worker e fornece a flexibilidade para governança em escala por meio de políticas e modelos.
  • Controle e gerenciamento centralizados de identidades e credenciais de recursos, uma vez que usa identidades atribuídas ao sistema VM que são fornecidas pelo Microsoft Entra ID.
  • Experiência unificada para máquinas Azure e não Azure durante a integração e desembarque de Runbook Workers Híbridos.
• Aplicável apenas à abordagem baseada no agente (V1):
  • Para acelerar a implantação do Agente do Log Analytics com a Função de Trabalho Híbrida em execução na máquina Windows, use o script do PowerShell New-OnPremiseHybridWorker.ps1
  • A implantação de muitos agentes na infraestrutura local pode ser orquestrada usando scripts de linha de comando e implantada usando a Diretiva de Grupo ou o System Center Configuration Manager.

DevOps

• A Automação do Azure permite a integração com sistemas de controle de origem populares, Azure DevOps e GitHub. Com o controle do código-fonte, você pode integrar o ambiente de desenvolvimento existente que contém seus scripts e código personalizado que foram testados anteriormente em um ambiente isolado.
• Para obter informações sobre como integrar a Automação do Azure ao seu ambiente de controle do código-fonte, consulte Usar a integração do controle do código-fonte.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

• Mike Martin - Brasil | Arquiteto de Soluções Cloud Sênior

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos

Mais sobre a Automação do Azure:

• Descrição geral das Funções de Trabalho de Runbook Híbridas
• Implantar o Windows ou Linux User Hybrid Runbook Worker baseado em extensão
• Implementar uma Função de Trabalho de Runbook Híbrida do Windows baseada em agente na Automatização
• Implementar uma Função de Trabalho de Runbook Híbrida do Linux baseada em agente na Automatização
• Criar uma conta de Automação do Azure
• Criar um runbook na Automação do Azure usando identidades gerenciadas
• Executar runbooks de Automatização numa Função de Trabalho de Runbook Híbrida
• Pré-requisitos: detalhes de configuração de rede da Automação do Azure
• Visão geral do Azure Arc
• O que são servidores habilitados para Azure Arc?

Mais informações sobre o Azure Monitor and Monitor Logs:

• Visão geral dos Logs do Azure Monitor
• Descrição geral do Log Analytics no Azure Monitor

Recursos relacionados

• Design de arquitetura híbrida
• Conectar uma rede local ao Azure
• Monitorização empresarial com o Azure Monitor
• Cadeia de custódia forense computacional no Azure
• Recuperação de desastres para máquinas virtuais do Azure Stack Hub