Descrição geral da Função de Trabalho de Runbook Híbrida da Automatização
Importante
A Função de Trabalho de Runbook Híbrida do Utilizador baseada no Agente da Automatização do Azure (Windows e Linux) será descontinuada a 31 de agosto de 2024 e deixará de ser suportada após essa data. Tem de concluir a migração das Funções de Trabalho de Runbook Híbridas do Utilizador baseadas no Agente para as Funções de Trabalho baseadas na Extensão antes de 31 de agosto de 2024. Além disso, a partir de 1º de novembro de 2023, a criação de novos Trabalhadores Híbridos baseados em Agentes não seria possível. Saiba mais.
Os runbooks na Automação do Azure podem não ter acesso a recursos em outras nuvens ou em seu ambiente local porque são executados na plataforma de nuvem do Azure. Você pode usar o recurso Trabalhador de Runbook Híbrido da Automação do Azure para executar runbooks diretamente na máquina que hospeda a função e em relação aos recursos no ambiente para gerenciar esses recursos locais. Os runbooks são armazenados e gerenciados na Automação do Azure e, em seguida, entregues a uma ou mais máquinas atribuídas.
A Automação do Azure fornece integração nativa da função Hybrid Runbook Worker por meio da estrutura de extensão da máquina virtual (VM) do Azure. O agente de VM do Azure é responsável pelo gerenciamento da extensão em VMs do Azure em VMs Windows e Linux e o agente de Máquina Conectada do Azure em máquinas que não são do Azure, incluindo Servidores habilitados para Azure Arc e VMware vSphere habilitado para Azure Arc (visualização). Agora há duas plataformas de instalação Hybrid Runbook Workers suportadas pela Automação do Azure.
| Plataforma | Descrição |
|---|---|
| Baseado em extensão (V2) | Instalado usando a extensão de VM do Operador de Runbook Híbrido, sem qualquer dependência do agente do Log Analytics relatando para um espaço de trabalho do Azure Monitor Log Analytics. Esta é a plataforma recomendada. |
| Baseado em agente (V1) | Instalado após a conclusão do relatório do agente do Log Analytics para um espaço de trabalho do Azure Monitor Log Analytics. |
Para operações do Hybrid Runbook Worker após a instalação, o processo de execução de runbooks no Hybrid Runbook Workers é o mesmo. O objetivo da abordagem baseada em extensão é simplificar a instalação e o gerenciamento da função Hybrid Runbook Worker e remover a complexidade de trabalhar com a versão baseada em agente. A nova instalação baseada em extensão não afeta a instalação ou o gerenciamento de uma função Hybrid Runbook Worker baseada em agente. Ambos os tipos de Hybrid Runbook Worker podem coexistir na mesma máquina.
O Hybrid Runbook Worker baseado em extensão suporta apenas o tipo Hybrid Runbook Worker do usuário e não inclui o sistema Hybrid Runbook Worker necessário para o recurso Update Management.
Benefícios dos trabalhadores híbridos de usuários baseados em extensão
A abordagem baseada em extensão simplifica muito a instalação e o gerenciamento do User Hybrid Runbook Worker, removendo a complexidade de trabalhar com a abordagem baseada em agente. Aqui estão alguns benefícios importantes:
- Integração contínua – A abordagem baseada em agente para a integração do Runbook Hybrid Worker depende do agente do Log Analytics, que é um processo de várias etapas, demorado e propenso a erros. A abordagem baseada em extensão não depende mais do agente do Log Analytics.
- Facilidade de gerenciamento – Oferece integração nativa com identidade ARM para Hybrid Runbook Worker e fornece flexibilidade para governança em escala por meio de políticas e modelos.
- Autenticação baseada em ID do Microsoft Entra – Usa identidades gerenciadas atribuídas pelo sistema VM fornecidas pelo Microsoft Entra ID. Isso centraliza o controle e o gerenciamento de identidades e credenciais de recursos.
- Experiência unificada – Oferece uma experiência idêntica para gerenciar máquinas habilitadas para ArcGIS do Azure e fora do Azure.
- Vários canais de integração – Você pode optar por integrar e gerenciar trabalhadores baseados em extensão por meio do portal do Azure, cmdlets do PowerShell, Bicep, modelos ARM, API REST e CLI do Azure. Você também pode instalar a extensão em uma VM do Azure existente ou em um servidor habilitado para Arc dentro da experiência do portal do Azure dessa máquina por meio da folha Extensões.
- Atualização automática padrão – Oferece atualização automática de versões secundárias por padrão, reduzindo significativamente a capacidade de gerenciamento de permanecer atualizado sobre a versão mais recente. Recomendamos ativar as atualizações automáticas para tirar proveito de quaisquer atualizações de segurança ou recursos sem a sobrecarga manual. Você também pode desativar as atualizações automáticas a qualquer momento. Atualmente, não há suporte para atualizações de versões principais e devem ser gerenciadas manualmente.
Tipos de Runbook Worker
Existem dois tipos de Runbook Workers - sistema e usuário. A tabela a seguir descreve a diferença entre eles.
| Tipo | Descrição |
|---|---|
| Sistema | Suporta um conjunto de runbooks ocultos usados pelo recurso Gerenciamento de Atualizações projetados para instalar atualizações especificadas pelo usuário em máquinas Windows e Linux. Esse tipo de Runbook Worker Híbrido não é membro de um grupo de Runbook Worker Híbrido e, portanto, não executa runbooks destinados a um grupo de Runbook Worker. |
| Utilizador | Suporta runbooks definidos pelo usuário destinados a serem executados diretamente nas máquinas Windows e Linux. |
Os Trabalhadores de Runbook Híbrido baseados em agente (V1) dependem do relatório do agente do Log Analytics para um espaço de trabalho do Azure Monitor Log Analytics. O espaço de trabalho não é apenas coletar dados de monitoramento da máquina, mas também baixar os componentes necessários para instalar o Hybrid Runbook Worker baseado em agente.
Quando o Azure Automation Update Management está habilitado, qualquer máquina conectada ao seu espaço de trabalho do Log Analytics é configurada automaticamente como um Runbook Worker híbrido do sistema. Para configurá-lo como um usuário Windows Hybrid Runbook Worker, consulte Implantar um Windows Hybrid Runbook Worker baseado em agente em automação e, para Linux, consulte Implantar um runbook worker híbrido Linux baseado em agente em automação.
Limites do Runbook Worker
A tabela a seguir mostra o número máximo de Runbook Workers híbridos do sistema e do usuário em uma conta de automação. Se você tiver mais de 4.000 máquinas para gerenciar, recomendamos a criação de outra conta de automação.
| Tipo de trabalhador | Número máximo suportado por Conta de Automação. |
|---|---|
| Sistema | 4000 |
| User | 4000 |
Como funciona?
Cada usuário Hybrid Runbook Worker é membro de um grupo Hybrid Runbook Worker que você especifica quando instala o worker. Um grupo pode incluir um único trabalhador, mas você pode incluir vários trabalhadores em um grupo para alta disponibilidade. Cada máquina pode hospedar um Runbook Worker híbrido relatando para uma conta de automação; não é possível registrar o trabalhador híbrido em várias contas de automação. Um trabalhador híbrido só pode ouvir trabalhos a partir de uma única conta de automação.
Para máquinas que hospedam o Hybrid Runbook worker do sistema gerenciado pelo Update Management, eles podem ser adicionados a um grupo Hybrid Runbook Worker. Mas você deve usar a mesma conta de automação para o Gerenciamento de Atualizações e a associação ao grupo Trabalhador de Runbook Híbrido.
Um grupo de Funções de Trabalho Híbridas com Funções de Trabalho de Runbook Híbridas foi concebido para elevada disponibilidade e balanceamento de carga ao alocar os trabalhos em várias Funções de Trabalho. Para uma execução bem-sucedida de runbooks, os Trabalhadores Híbridos devem ser saudáveis e dar um batimento cardíaco. A Função de Trabalho Híbrida é executada num mecanismo de consulta para escolher trabalhos. Se nenhum dos Trabalhadores dentro do grupo Trabalhador Híbrido tiver feito ping no serviço de Automação nos últimos 30 minutos, isso implica que o grupo não tinha nenhum Trabalhador ativo. Nesse cenário, os trabalhos serão suspensos após três tentativas de novas tentativas.
Ao iniciar um runbook em um usuário Hybrid Runbook Worker, você especifica o grupo em que ele é executado e não pode especificar um trabalhador específico. Cada Função de Trabalho Híbrida ativa no grupo irá consultar os trabalhos a cada 30 segundos para verificar se existem trabalhos disponíveis. O trabalhador escolhe os trabalhos por ordem de chegada. Dependendo de quando um trabalho foi enviado, qualquer trabalhador Híbrido dentro do Grupo de Trabalhadores Híbridos pingar o serviço de Automação primeiro pega o trabalho. O tempo de processamento da fila de trabalhos também depende do perfil de hardware e da carga da função de trabalho híbrida.
Um único trabalhador híbrido geralmente pode pegar 4 trabalhos por ping (ou seja, a cada 30 segundos). Se a sua taxa de envio de trabalhos for superior a 4 por 30 segundos e nenhum outro Trabalhador pegar o trabalho, o trabalho poderá ser suspenso com um erro.
Um Runbook Worker híbrido não tem muitos dos limites de recursos da área restrita do Azure em espaço em disco, memória ou soquetes de rede. Os limites de um trabalhador híbrido estão relacionados apenas aos recursos próprios do trabalhador e não são limitados pelo limite de tempo de partilha justo que as sandboxes do Azure têm.
Para controlar a distribuição de runbooks em Funções de Trabalho de Runbook Híbridas e quando ou como os trabalhos são acionados, pode registar a função de trabalho híbrida em diferentes grupos de Funções de Trabalho de Runbook Híbridas na sua conta de Automatização. Direcione os trabalhos para o grupo ou grupos específicos para suportar a sua disposição de execução.
Cenários comuns para trabalhadores de runbook híbridos de usuário
- Para executar runbooks de Automação do Azure para gerenciamento de VM convidada diretamente em uma máquina virtual (VM) do Azure existente e servidor fora do Azure registrado como servidor habilitado para Azure Arc ou VM VMware habilitada para Azure Arc (visualização). Os servidores habilitados para Azure Arc podem ser servidores físicos Windows e Linux e máquinas virtuais hospedadas fora do Azure, em sua rede corporativa ou em outros provedores de nuvem.
- Para superar a limitação da área restrita da Automação do Azure - os cenários comuns incluem a execução de operações de longa execução além do limite de três horas para trabalhos na nuvem, a execução de operações de automação que consomem muitos recursos, a interação com serviços locais em execução local ou em ambiente híbrido, a execução de scripts que exigem permissões elevadas.
- Para superar as restrições da organização para manter dados no Azure por motivos de governança e segurança, como você não pode executar trabalhos de automação na nuvem, pode executá-los em uma máquina local integrada como um Runbook Worker híbrido de usuário.
- Para automatizar operações em vários — recursos fora do Azure em execução em ambientes locais ou multicloud. Você pode integrar uma dessas máquinas como um User Hybrid Runbook Worker e direcionar a automação nas máquinas restantes no ambiente local.
- Para aceder a outros serviços de forma privada a partir da Rede Virtual do Azure (VNet) sem abrir uma ligação à Internet de saída, pode executar runbooks num Trabalhador Híbrido ligado à Rede Virtual do Azure.
Instalação do Hybrid Runbook Worker
O processo para instalar um usuário Hybrid Runbook Worker depende do sistema operacional. A tabela abaixo define os tipos de implantação.
| Sistema operativo | Tipos de implantação |
|---|---|
| Windows | Automatizada Manual. |
| Linux | Manual |
| Ambas | Para o usuário Hybrid Runbook Workers, consulte Implantar um usuário baseado em extensão do Windows ou Linux Hybrid Runbook Worker in Automation. Este é o método recomendado. |
Nota
Atualmente, o Hybrid Runbook Worker não é suportado em conjuntos de escala de VM.
Planeamento da rede
Verifique a Configuração de Rede de Automação do Azure para obter informações detalhadas sobre as portas, URLs e outros detalhes de rede necessários para o Hybrid Runbook Worker.
Utilização de um servidor proxy
Se utilizar um servidor proxy para comunicação entre a Automatização do Azure e as máquinas virtuais com o agente do Log Analytics, confirme que os recursos adequados estão acessíveis. O tempo limite para solicitações dos serviços Hybrid Runbook Worker and Automation é de 30 segundos. Após três tentativas, o pedido falha.
Utilização de uma firewall
Se você usar um firewall para restringir o acesso à Internet, deverá configurá-lo para permitir o acesso. Se estiver usando o gateway do Log Analytics como proxy, verifique se ele está configurado para Runbook Workers híbridos. Veja Configurar o gateway do Log Analytics para Funções de Trabalho de Runbook Híbridas de Automatização.
Etiquetas de serviço
A Automatização do Azure suporta etiquetas de serviço de rede virtual do Azure, começando com a etiqueta de serviço GuestAndHybridManagement. Pode utilizar etiquetas de serviço para definir controlos de acesso à rede em grupos de segurança de rede ou no Azure Firewall. É possível utilizar etiquetas de serviço em vez de endereços IP específicos quando criar regras de segurança. Ao especificar o nome da etiqueta de serviço GuestAndHybridManagement no campo de origem ou destino adequado de uma regra, pode permitir ou negar o tráfego para o serviço de Automatização. Esta etiqueta de serviço não suporta permitir um controlo mais granular ao restringir os intervalos de IP a uma região específica.
A etiqueta de serviço do serviço de Automatização do Azure fornece apenas IPs utilizados para os seguintes cenários:
- Acione webhooks a partir da sua rede virtual
- Permitir que Runbook Workers híbridos ou agentes de Configuração de Estado em sua rede virtual se comuniquem com o serviço de automação
Nota
A marca de serviço GuestAndHybridManagement atualmente não oferece suporte à execução de trabalho de runbook em uma área restrita do Azure, apenas diretamente em um Runbook Worker híbrido.
Suporte para Impacto Nível 5 (IL5)
O Azure Automation Hybrid Runbook Worker pode ser usado no Azure Government para dar suporte a cargas de trabalho de Nível de Impacto 5 em uma das duas configurações a seguir:
Máquina virtual isolada. Quando implantados, eles consomem todo o host físico dessa máquina, fornecendo o nível necessário de isolamento necessário para suportar cargas de trabalho IL5.
Anfitriões Dedicados do Azure, que fornece servidores físicos capazes de alojar uma ou mais máquinas virtuais, dedicados a uma subscrição do Azure.
Nota
O isolamento de computação por meio da função Trabalhador de Runbook Híbrido está disponível para nuvens do Azure Comercial e do Governo dos EUA.
Endereços de gerenciamento de atualizações para o Hybrid Runbook Worker
Além dos endereços e portas padrão necessários para o Hybrid Runbook Worker, o Gerenciamento de Atualizações tem outros requisitos de configuração de rede descritos na seção de planejamento de rede.
Configuração do Estado de Automação do Azure em um Runbook Worker Híbrido
Você pode executar a Configuração do Estado de Automação do Azure em um Runbook Worker Híbrido. Para gerenciar a configuração de servidores que suportam o Hybrid Runbook Worker, você deve adicionar os servidores como nós DSC. Consulte Habilitar máquinas para gerenciamento pela Configuração de Estado de Automação do Azure.
Runbooks em um Runbook Worker híbrido
Você pode ter runbooks que gerenciam recursos na máquina local ou são executados em relação a recursos no ambiente local onde um usuário Hybrid Runbook Worker está implantado. Neste caso, pode optar por executar os runbooks na função de trabalho híbrida em vez de numa conta de Automatização. Os runbooks executados em um Runbook Worker híbrido são idênticos em estrutura aos que você executa na conta de automação. Consulte Executar runbooks em um Runbook Worker híbrido.
Trabalhos do Hybrid Runbook Worker
Os trabalhos do Hybrid Runbook Worker são executados sob a conta local do sistema no Windows ou a conta nxautomation no Linux. A Automação do Azure lida com trabalhos em Runbook Workers Híbridos de forma diferente dos trabalhos executados em áreas restritas do Azure. Consulte Ambiente de execução do Runbook.
Se a máquina host do Operador de Runbook Híbrido for reinicializada, qualquer trabalho de runbook em execução será reiniciado desde o início ou a partir do último ponto de verificação para runbooks do Fluxo de Trabalho do PowerShell. Depois de um trabalho de runbook ser reiniciado mais de três vezes, é suspenso.
Permissões de runbook para um Runbook Worker híbrido
Como eles acessam recursos que não são do Azure, os runbooks em execução em um usuário Hybrid Runbook Worker não podem usar o mecanismo de autenticação normalmente usado por runbooks que autenticam recursos do Azure. Um runbook fornece sua própria autenticação para recursos locais ou configura a autenticação usando identidades gerenciadas para recursos do Azure. Também pode especificar uma conta Run As para fornecer um contexto de utilizador para todos os runbooks.
Ver sistema Hybrid Runbook Workers
Depois que o recurso Gerenciamento de Atualizações estiver habilitado em máquinas Windows ou Linux, você poderá inventariar a lista do grupo Trabalhadores de Runbook Híbrido do sistema no portal do Azure. Você pode visualizar até 2.000 trabalhadores no portal selecionando a guia Grupo de trabalhadores híbridos do sistema na opção Grupo de trabalhadores híbridos no painel esquerdo da conta de automação selecionada.
Se você tiver mais de 2.000 trabalhadores híbridos, para obter uma lista de todos eles, poderá executar o seguinte script do PowerShell:
"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"
Próximos passos
Para saber como configurar seus runbooks para automatizar processos em seu datacenter local ou outro ambiente de nuvem, consulte Executar runbooks em um Runbook Worker híbrido.
Para saber como solucionar problemas do Hybrid Runbook Workers, consulte Solucionar problemas do Hybrid Runbook Worker.