Использование службы автоматизации Azure в гибридной среде

Модули Runbook в служба автоматизации Azure запускаются на облачной платформе Azure и могут не иметь доступа к ресурсам, которые находятся в других облаках или в локальной среде. Вы можете использовать функцию гибридной рабочей роли Runbook служба автоматизации Azure для запуска модулей Runbook непосредственно на компьютере, на котором размещена роль и ресурсы в среде для управления этими локальными ресурсами. Для хранения модулей Runbook и управления ими используется служба автоматизации Azure, затем они передаются на один или несколько назначенных компьютеров.

Архитектура

Скачайте файл Visio для этой архитектуры.

Workflow

Гибридная архитектура рабочей роли Runbook состоит из следующих элементов:

• Учетная запись службы автоматизации: облачная служба, которая автоматизирует конфигурацию и управление в средах Azure и не в Azure.
• Гибридная рабочая роль Runbook: компьютер, настроенный с помощью функции гибридной рабочей роли Runbook, и может выполнять модули Runbook непосредственно на компьютере и в отношении ресурсов в локальной среде.
• Гибридная рабочая группа Runbook: группа с несколькими гибридными рабочими ролей Runbook для повышения доступности и масштабирования для запуска набора модулей Runbook.
• Runbook: коллекция одного или нескольких связанных действий, которые вместе автоматизируют процесс или операцию. Подробнее.
• Локальные компьютеры и виртуальные машины: локальные компьютеры и виртуальные машины Windows или Linux, размещенные в частной локальной сети.
• Компоненты, применимые к подходу на основе расширений (V2):
  • Расширение виртуальной машины гибридной рабочей роли Runbook: небольшое приложение, установленное на компьютере. Приложение настраивает компьютер как гибридную рабочую роль Runbook.
  • Сервер с поддержкой Arc: серверы с поддержкой Azure Arc позволяют управлять компьютерами и виртуальными машинами Windows и Linux, размещенными за пределами Azure, будь то в корпоративной сети или другом поставщике облачных служб. Этот процесс управления предназначен для согласованного управления собственными виртуальными машинами Azure. Подробнее.
• Компоненты, применимые к подходу на основе агента (V1):
  • Рабочая область Log Analytics: рабочая область Log Analytics — это репозиторий данных журнала, собранных из ресурсов, выполняемых в Azure, локальной среде или другом поставщике облачных служб.
  • Решение гибридной рабочей роли службы автоматизации. С помощью этого решения можно создать гибридные рабочие роли Runbook для запуска служба автоматизации Azure модулей Runbook на компьютерах Azure и не в Azure.

Гибридная рабочая роль Runbook пользователя

Скачайте файл Visio для этой архитектуры.

Каждая пользовательская гибридная рабочая роль Runbook входит в группу гибридных рабочих ролей Runbook, которая указывается при установке рабочей роли. В группе достаточно одной рабочей роли, но для обеспечения высокого уровня доступности можно добавить несколько ролей. Каждый компьютер может размещать одну гибридную рабочую роль Runbook с одной учетной записью службы автоматизации; Вы не можете зарегистрировать гибридную рабочую роль в нескольких учетных записях службы автоматизации. Гибридная рабочая роль может ожидать передачи данных для заданий только из одной учетной записи службы автоматизации.

Системная гибридная рабочая роль Runbook

Скачайте файл Visio для этой архитектуры.

Компьютеры, на которых размещена системная гибридная рабочая роль Runbook, управляемая управлением управлением обновлениями, можно добавить в группу гибридных рабочих ролей Runbook. При этом нужно использовать одну и ту же учетную запись как для компонента "Управление обновлениями", так и для членства в группе гибридной рабочей роли Runbook.

Выполнение задания в гибридной рабочей роли Runbook

Когда вы запускаете модуль runbook в пользовательской гибридной рабочей роли Runbook, вы выбираете группу для его выполнения. Каждый компонент Worker в группе опрашивает службу автоматизации, чтобы узнать, доступны ли какие-либо задания. Если задание доступно, его получает первая рабочая роль. Время обработки очереди заданий зависит от профиля оборудования и загрузки гибридной рабочей роли. Указание конкретной рабочей роли невозможно. Гибридная рабочая роль работает на механизме опроса (каждые 30 с) и следует заказу первого, первого, обслуживаемого.

Компоненты

• служба автоматизации Azure — это служба Azure для автоматизации задач управления облаком. Функция гибридной рабочей роли Runbook позволяет запускать модули Runbook на компьютерах, расположенных в центре обработки данных, для управления локальными ресурсами.
• Azure Monitor обеспечивает полную наблюдаемость приложений, инфраструктуры и сети. Журналы Azure Monitor — это функция Azure Monitor, которая собирает и упорядочивает данные журнала и производительности из отслеживаемых ресурсов. Log Analytics — это средство в портал Azure для запроса журналов и анализа результатов.

Подробности сценария

Подход к установке гибридной рабочей роли Runbook

служба автоматизации Azure обеспечивает встроенную интеграцию гибридной рабочей роли Runbook с помощью платформы расширения виртуальной машины Azure. Агент виртуальной машины Azure отвечает за управление расширением на виртуальных машинах Azure, Windows и Linux, а также на компьютерах, отличных от Azure, через подключенный агент компьютера с поддержкой Arc. Существует две платформы установки гибридных рабочих ролей Runbook, поддерживаемые служба автоматизации Azure.

Гибридная рабочая роль может совместно существовать с обеими платформами: на основе агента (версии 1) и на основе расширений (версия 2). Если установить расширение на основе версии 2 для гибридной рабочей роли, которая уже работает под управлением агента (V1), в группе отображаются две записи гибридной рабочей роли Runbook. Один с расширением платформы (версии 2) и другим агентом (V1). Подробнее

Типы рабочих ролей Runbook

Существует два типа рабочих ролей Runbook, System и User.

Система поддерживает набор скрытых модулей Runbook, используемых функцией управления обновлениями. Модули Runbook предназначены для установки пользовательских обновлений на компьютерах Windows и Linux. Этот тип гибридной рабочей роли Runbook не является членом гибридной рабочей роли Runbook, поэтому не выполняет модули Runbook, предназначенные для группы рабочих ролей Runbook.

Пользователь поддерживает определяемые пользователем модули Runbook, предназначенные для запуска непосредственно на компьютерах Windows и Linux, которые являются членами одной или нескольких рабочих групп Runbook.

Гибридная рабочая роль Runbook на основе расширений поддерживает только тип гибридной рабочей роли Runbook пользователя и не включает системную гибридную рабочую роль Runbook, необходимую для функции управления обновлениями.

Гибридные рабочие роли Runbook на основе агента (версии 1) используют отчеты агента Log Analytics в рабочей области Azure Monitor Log Analytics. Рабочая область не только для сбора данных мониторинга с компьютера, но и для скачивания компонентов, необходимых для установки гибридной рабочей роли Runbook на основе агента. Если включено управление обновлениями служба автоматизации Azure, любой компьютер, подключенный к рабочей области Log Analytics, автоматически настраивается как системная гибридная рабочая роль Runbook.

Потенциальные варианты использования

• Чтобы выполнить служба автоматизации Azure модули Runbook непосредственно на существующей виртуальной машине Azure или локальном сервере с поддержкой Arc.
• Чтобы преодолеть ограничение песочницы служба автоматизации Azure. Распространенные сценарии включают выполнение длительных операций за пределами трехчасового ограничения для облачных заданий, выполнение ресурсоемких операций автоматизации, взаимодействие с локальными службами, выполняющими локальные или гибридные среды, выполняя скрипты, требующие повышенных разрешений и т. д.
• Чтобы преодолеть ограничения организации на хранение данных в Azure по соображениям управления и безопасности. Несмотря на то, что вы не можете выполнять задания автоматизации в облаке, их можно запустить на локальном компьютере, подключенном в качестве гибридной рабочей роли Runbook.
• Автоматизация операций с несколькими ресурсами, не являющихся Azure, работающими в локальных, гибридных или многооблачных средах. Вы можете подключить один из этих компьютеров как гибридную рабочую роль Runbook и целевую автоматизацию на оставшихся локальных компьютерах.
• Чтобы получить доступ к другим службам в частном порядке из azure виртуальная сеть (виртуальной сети), не открывая исходящее подключение к Интернету, можно выполнять модули Runbook в гибридной рабочей роли, подключенной к виртуальной сети Azure.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Надежность

Надежность гарантирует, что ваше приложение может выполнять обязательства, которые вы выполняете вашим клиентам. Дополнительные сведения см. в разделе "Обзор основы надежности".

• Гибридная рабочая группа Runbook с несколькими компьютерами, настроенными с помощью роли гибридной рабочей роли, обеспечивает высокий уровень доступности, так как модули Runbook будут запускаться только на серверах, работающих и работоспособных.
• Гибридная рабочая роль Runbook на основе расширений (версия 1) поддерживает только тип гибридной рабочей роли Runbook пользователя и не включает в себя системную гибридную рабочую роль Runbook, необходимую для функции управления обновлениями.
• Приведенные ниже действия относятся только к подходу на основе агента (V1). В настоящее время сопоставления между рабочей областью Log Analytics и учетной записью службы автоматизации поддерживаются в нескольких регионах. Дополнительные сведения см. в разделе "Поддерживаемые регионы" для связанной рабочей области Log Analytics.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

• Шифрование конфиденциальных ресурсов в службе автоматизации: учетная запись служба автоматизации Azure может содержать конфиденциальные ресурсы, такие как учетные данные, сертификат, подключение и зашифрованные переменные, которые могут использоваться модулями Runbook. Каждый безопасный ресурс шифруется по умолчанию с помощью ключа шифрования данных, созданного для каждой учетной записи службы автоматизации. Эти ключи шифруются и хранятся в служба автоматизации Azure с помощью ключа шифрования учетной записи (AEK), который может храниться в хранилище ключей для клиентов, которые хотят управлять шифрованием с помощью собственных ключей. По умолчанию AEK шифруется с помощью ключей, управляемых Корпорацией Майкрософт. Используйте следующие рекомендации, чтобы применить шифрование защищенных ресурсов в служба автоматизации Azure.
• Разрешение Runbook. По умолчанию разрешения runbook для гибридной рабочей роли Runbook выполняются в системном контексте на компьютере, где они развернуты. Модуль Runbook предоставляет собственную проверку подлинности для локальных ресурсов. Проверку подлинности можно настроить с помощью управляемых удостоверений для ресурсов Azure или путем указания учетной записи запуска от имени для предоставления контекста пользователя для всех модулей Runbook.
• Планирование сети:
  • Если вы используете прокси-сервер для обмена данными между служба автоматизации Azure и компьютерами, на которых выполняется гибридная рабочая роль Runbook, убедитесь, что соответствующие ресурсы доступны. Время ожидания запросов от гибридной рабочей роли Runbook и служб автоматизации составляет 30 секунд. После трех попыток запрос завершается ошибкой.
  • Для гибридной рабочей роли Runbook требуется исходящий доступ к Интернету через TCP-порт 443 для взаимодействия с автоматизацией. В настройках брандмауэра следует снять все ограничения на доступ к Интернету. Для компьютеров на основе агента (V1) с ограниченным доступом к Интернету используйте шлюз Log Analytics, чтобы настроить связь с служба автоматизации Azure и рабочей областью Azure Log Analytics.
  • При настройке гибридной рабочей роли Runbook на основе расширений Linux существует ограничение квоты ЦП на 5 %. Нет такого ограничения для гибридной рабочей роли Runbook на основе расширений Windows.
• Базовые показатели безопасности Azure для службы автоматизации. Базовый план безопасности Azure для службы автоматизации содержит рекомендации по улучшению конфигурации безопасности для защиты ресурсов, следуя рекомендациям.

Оптимизация затрат

Оптимизация затрат заключается в том, чтобы искать способы сокращения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

• служба автоматизации Azure затраты стоят за выполнение задания в минуту. Каждый месяц первые 500 минут автоматизации процессов бесплатны. Для оценки затрат используйте калькулятор цен Azure. Дополнительные сведения о моделях ценообразования служба автоматизации Azure см. в разделе "Цены на службу автоматизации".
• Для подхода на основе агента (V1) рабочая область Azure Log Analytics может привести к дополнительным затратам, связанным с объемом данных журнала, хранящихся в Azure Log Analytics. Модель ценообразования основана на использовании. Затраты связаны с приемом данных и хранением данных. Для приема данных в Azure Log Analytics используйте модель резервирования емкости или модель оплаты по мере использования, которая включает 5 гигабайт (ГБ) бесплатно на учетную запись выставления счетов в месяц. Срок хранения данных в течение первых 31 дней является бесплатным. Модели ценообразования для Log Analytics см. в статье о ценах На Azure Monitor.

Эффективность работы

Оперативное превосходство охватывает процессы операций, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".

Управляемость

• Подход на основе расширений (V2) обеспечивает простоту управления по сравнению с подходом на основе агента (V1) через:
  • Встроенная интеграция с удостоверением ARM для гибридной рабочей роли Runbook и обеспечивает гибкость управления в масштабе с помощью политик и шаблонов.
  • Централизованный контроль и управление удостоверениями и учетными данными ресурсов, так как он использует удостоверения, назначенные системой виртуальной машины, предоставляемые идентификатором Microsoft Entra.
  • Единый интерфейс для виртуальных машин Azure и не Azure при подключении и отключении гибридных рабочих ролей Runbook.
• Применимо только для подхода на основе агента (V1):
  • Чтобы ускорить развертывание агента Log Analytics с гибридной рабочей ролью, работающей на компьютере Windows, используйте сценарий PowerShell New-OnPremiseHybridWorker.ps1
  • Развертывание многих агентов в локальной инфраструктуре можно управлять с помощью скриптов командной строки и развертывания с помощью групповой политики или System Center Configuration Manager.

DevOps

• служба автоматизации Azure позволяет интегрироваться с популярными системами управления версиями, Azure DevOps и GitHub. С помощью системы управления версиями можно интегрировать существующую среду разработки, содержащую скрипты и пользовательский код, которые ранее тестировались в изолированной среде.
• Сведения об интеграции служба автоматизации Azure с средой управления версиями см. в статье "Использование интеграции системы управления версиями".

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Автор субъекта:

• Майк Мартин | Старший архитектор облачных решений

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

Дополнительные сведения о служба автоматизации Azure:

• Обзор гибридной рабочей роли Runbook
• Развертывание гибридной рабочей роли Runbook на основе расширений windows или Linux
• Развертывание гибридной рабочей роли Runbook Windows на основе агента в Службе автоматизации
• Развертывание гибридной рабочей роли Runbook Linux на основе агента в Службе автоматизации
• Создание учетной записи служба автоматизации Azure
• Создание модуля Runbook в служба автоматизации Azure с помощью управляемых удостоверений
• Выполнение runbook службы автоматизации Azure в гибридной рабочей роли Runbook
• Предварительные требования: сведения о конфигурации сети служба автоматизации Azure
• Обзор Azure Arc
• Что такое серверы с поддержкой Azure Arc?

Дополнительные сведения о журналах Azure Monitor и Monitor:

• Обзор журналов Azure Monitor
• Обзор Log Analytics в Azure Monitor

Связанные ресурсы

• Дизайн гибридной архитектуры
• Подключение локальной сети в Azure
• Корпоративный мониторинг с Azure Monitor
• Цепочки судебно-медицинских экспертиз в Azure
• Аварийное восстановление для виртуальных машин Azure Stack Hub