Общие сведения о гибридной рабочей роли Runbook в Службе автоматизации
Важно!
31 августа 2024 г. поддержка пользовательской гибридной рабочей роли runbook (Windows и Linux) на основе агента Службы автоматизации Azure будет прекращена. Необходимо перенести существующие пользовательские гибридные рабочие роли runbook на основе агента в рабочие роли на основе расширения до 31 августа 2024 г. Кроме того, начиная с 1 ноября 2023 года создание гибридных рабочих ролей на основе агента невозможно. Подробнее.
Модули Runbook в службе автоматизации Azure не будут иметь доступ к ресурсам в других облаках или локальной среде, так как они выполняются на платформе облака Azure. Вы можете использовать функцию гибридной рабочей роли Runbook служба автоматизации Azure для запуска модулей Runbook непосредственно на компьютере, на котором размещена роль и ресурсы в среде для управления этими локальными ресурсами. Для хранения модулей Runbook и управления ими используется служба автоматизации Azure, затем они передаются на один или несколько назначенных компьютеров.
служба автоматизации Azure обеспечивает встроенную интеграцию гибридной рабочей роли Runbook с помощью платформы расширения виртуальной машины Azure. Агент виртуальной машины Azure отвечает за управление расширением на виртуальных машинах Azure на виртуальных машинах Windows и Linux, а также агент машин с поддержкой Azure Подключение на компьютерах, отличных от Azure Arc, включая серверы с поддержкой Azure Arc и VMware vSphere с поддержкой Azure Arc (предварительная версия). Теперь есть две платформы установки гибридных рабочих ролей Runbook, поддерживаемые служба автоматизации Azure.
| Платформа | Description |
|---|---|
| На основе расширений (версия 2) | Установлено с помощью расширения виртуальной машины гибридной рабочей роли Runbook без каких-либо зависимостей от агента Log Analytics, сообщающего в рабочую область Azure Monitor Log Analytics. Это рекомендуемая платформа. |
| На основе агента (версия 1) | Устанавливается после завершения создания отчетов агента Log Analytics в рабочую область Azure Monitor Log Analytics. |
Для гибридных рабочих операций Runbook после установки процесс выполнения модулей Runbook на гибридных рабочих ролях Runbook совпадает. Целью подхода на основе расширений является упрощение установки и управления ролью гибридной рабочей роли Runbook и удаление сложности работы с версией на основе агента. Новая установка на основе расширений не влияет на установку или управление ролью гибридной рабочей роли Runbook на основе агента. Оба гибридных типа рабочих ролей Runbook могут совместно существовать на одном компьютере.
Гибридная рабочая роль Runbook на основе расширений поддерживает только тип гибридной рабочей роли Runbook пользователя и не включает системную гибридную рабочую роль Runbook, необходимую для функции управления обновлениями.
Преимущества гибридных рабочих ролей на основе расширений
Подход на основе расширений значительно упрощает установку и управление гибридной рабочей ролью Runbook пользователя, что позволяет устранить сложность работы с подходом на основе агента. Ниже приведены некоторые ключевые преимущества:
- Простая адаптация — подход на основе агента для подключения гибридной рабочей роли Runbook зависит от агента Log Analytics, который является многофакторным, трудоемким и подверженным ошибкам процессу. Подход на основе расширения больше не зависит от агента Log Analytics.
- Простота управления . Она обеспечивает встроенную интеграцию с удостоверением ARM для гибридной рабочей роли Runbook и обеспечивает гибкость управления в масштабе с помощью политик и шаблонов.
- Проверка подлинности на основе идентификатора Microsoft Entra — использует управляемые удостоверения, назначаемые системой виртуальной машины, предоставляемые идентификатором Microsoft Entra. Это централизованно управляет удостоверениями и учетными данными ресурсов.
- Унифицированный интерфейс . Он предлагает идентичный интерфейс для управления компьютерами с поддержкой Azure и вне Azure Arc.
- Несколько каналов подключения. Вы можете подключить и управлять рабочими ролей на основе расширений с помощью портал Azure, командлетов PowerShell, Bicep, шаблонов ARM, REST API и Azure CLI. Вы также можете установить расширение на существующем виртуальной машине Azure или сервере с поддержкой Arc в портал Azure интерфейсе этого компьютера с помощью колонки расширений.
- Автоматическое обновление по умолчанию — оно предлагает автоматическое обновление дополнительных версий по умолчанию, что значительно снижает управляемость при обновлении последней версии. Рекомендуется включить автоматическое обновление, чтобы воспользоваться преимуществами любых обновлений безопасности или компонентов без ручной нагрузки. Вы также можете отказаться от автоматического обновления в любое время. Обновления основных версий в настоящее время не поддерживаются и должны управляться вручную.
Типы рабочих ролей runbook
Существует два типа рабочих ролей runbook: системные и пользовательские. В таблице ниже описаны различия между этими типами.
| Тип | Описание |
|---|---|
| Системные | Поддерживает набор скрытых модулей runbook, используемых компонентом "Управление обновлениями", предназначенным для установки указанных пользователем обновлений на компьютерах под управлением Windows и Linux. Этот тип гибридной рабочей роли Runbook не является членом гибридной рабочей роли Runbook, поэтому не выполняет модули Runbook, предназначенные для группы рабочих ролей Runbook. |
| Пользователь | Поддерживает определяемые пользователем модули Runbook, предназначенные для запуска непосредственно на компьютерах Windows и Linux. |
Гибридные рабочие роли Runbook на основе агента (версии 1) используют отчеты агента Log Analytics в рабочей области Azure Monitor Log Analytics. Рабочая область не только для сбора данных мониторинга с компьютера, но и для скачивания компонентов, необходимых для установки гибридной рабочей роли Runbook на основе агента.
Если включена функция управления обновлениями службы автоматизации Azure, любой подключенный к рабочей области Log Analytics компьютер будет автоматически настроен в качестве системной гибридной рабочей роли Runbook. Сведения о настройке в качестве пользователя гибридной рабочей роли Runbook windows см. в статье "Развертывание гибридной рабочей роли Runbook Windows на основе агента в службе автоматизации и linux" см. в статье "Развертывание гибридной рабочей роли Runbook на основе агента Linux в службе автоматизации".
Ограничения рабочих ролей runbook
В следующей таблице показано максимальное количество системных и пользовательских гибридных рабочих ролей Runbook в учетной записи службы автоматизации. Если у вас более 4000 компьютеров, которыми нужно управлять, рекомендуется создать еще одну учетную запись службы автоматизации.
| Тип работника | Максимальное количество для учетной записи службы автоматизации |
|---|---|
| Система | 4000 |
| User | 4000 |
Как это работает?
Каждая пользовательская гибридная рабочая роль Runbook входит в группу гибридных рабочих ролей Runbook, которая указывается при установке рабочей роли. В группе достаточно одной рабочей роли, но для обеспечения высокого уровня доступности можно добавить несколько ролей. Каждый компьютер может размещать одну гибридную рабочую роль Runbook с одной учетной записью службы автоматизации; Вы не можете зарегистрировать гибридную рабочую роль в нескольких учетных записях службы автоматизации. Гибридная рабочая роль может ожидать передачи данных для заданий только из одной учетной записи службы автоматизации.
Компьютеры, на которых размещена системная гибридная рабочая роль Runbook, управляемая компонентом "Управление обновлениями", можно добавлять в группу гибридных рабочих ролей Runbook. При этом нужно использовать одну и ту же учетную запись как для компонента "Управление обновлениями", так и для членства в группе гибридной рабочей роли Runbook.
Группа гибридных рабочих ролей с гибридными рабочими ролями Runbook предназначена для обеспечения высокого уровня доступности и балансировки нагрузки путем распределения заданий между несколькими рабочими ролями. Для успешного выполнения модулей Runbook гибридные рабочие роли должны быть здоровыми и давать пульс. Для получения заданий гибридная рабочая роль использует механизм опроса. Если ни одна из рабочих ролей в группе гибридных рабочих ролей не выполнила связь со службой автоматизации за последние 30 минут, это означает, что у группы нет активных рабочих ролей. В этом сценарии задания будут приостановлены после трех попыток повтора.
При запуске модуля Runbook на пользовательской гибридной рабочей роли Runbook укажите группу, в которой она выполняется, и не укажите определенную рабочую роль. Каждая активная гибридная рабочая роль в группе проверяет наличие доступных заданий каждые 30 секунд. Работник выбирает рабочие места на основе первого, первого обслуживания. В зависимости от того, когда задание было отправлено, независимо от того, какая гибридная рабочая роль в группе гибридных рабочих ролей сначала отправляет службу автоматизации. Время обработки очереди заданий зависит также от профиля оборудования и загрузки гибридной рабочей роли.
Одна гибридная рабочая роль обычно может собирать 4 задания на ping (то есть каждые 30 секунд). Если скорость отправки заданий превышает 4 за 30 секунд, а другие рабочие не собирают задание, задание может быть приостановлено с ошибкой.
У гибридной рабочей роли Runbook немного ограничений на использование ресурсов песочницы Azure, в отношении места на диске, памяти и сетевых сокетов. Ограничения гибридной рабочей роли связаны только с собственными ресурсами и они не зависят от предельного времени справедливого распределения ресурсов песочниц Azure.
Чтобы управлять распределением модулей runbook в гибридных рабочих ролях Runbook, а также временем и способом активации заданий, можно зарегистрировать гибридную рабочую роль в разных группах гибридных рабочих ролей Runbook учетной записи службы автоматизации. Направьте задания в определенную группу или группы, чтобы обеспечить организацию выполнения.
Распространенные сценарии для гибридных рабочих ролей Runbook пользователей
- Чтобы выполнить служба автоматизации Azure runbook для управления гостевыми виртуальными машинами непосредственно на существующей виртуальной машине Azure и вне сервера Azure, зарегистрированного как сервер с поддержкой Azure Arc или виртуальной машины VMware с поддержкой Azure Arc (предварительная версия). Серверы с поддержкой Azure Arc могут быть физическими серверами Windows и Linux и виртуальными машинами, размещенными за пределами Azure, в корпоративной сети или других поставщиках облачных служб.
- Чтобы преодолеть ограничение песочницы служба автоматизации Azure — распространенные сценарии включают выполнение длительных операций, превышающих трехчасовое ограничение для облачных заданий, выполнение операций автоматизации с интенсивным использованием ресурсов, взаимодействие с локальными службами, работающими в локальной среде или в гибридной среде, выполнение скриптов, требующих повышенных разрешений.
- Чтобы преодолеть ограничения организации для хранения данных в Azure по соображениям управления и безопасности, так как вы не можете выполнять задания автоматизации в облаке, его можно запустить на локальном компьютере, подключенном как пользовательская гибридная рабочая роль Runbook.
- Автоматизация операций с несколькими ресурсами Вне Azure, работающими в локальных или многооблачных средах. Вы можете подключить один из этих компьютеров как пользовательская гибридная рабочая роль Runbook и целевая автоматизация на оставшихся компьютерах в локальной среде.
- Чтобы получить доступ к другим службам в частном порядке из azure виртуальная сеть (виртуальная сеть) без открытия исходящего подключения к Интернету, можно выполнить модули Runbook в гибридной рабочей роли, подключенной к виртуальной сети Azure.
Установка гибридной рабочей роли Runbook
Процесс установки пользовательской гибридной рабочей роли Runbook зависит от операционной системы. В таблице ниже указаны типы развертывания.
| Операционная система | Типы развертывания |
|---|---|
| Windows | Автоматическое Вручную. |
| Linux | Вручную |
| Можно использовать | Сведения о гибридных рабочих ролей Runbook см. в статье "Развертывание гибридной рабочей роли Runbook на основе расширений Windows или Linux" в службе автоматизации. Рекомендуем использовать этот метод. |
Примечание.
Гибридная рабочая роль Runbook в настоящее время не поддерживается в масштабируемых наборах виртуальных машин.
Планирование сети
Дополнительные сведения о портах, URL-адресах и других данных о сети, необходимых для гибридной рабочей роли Runbook, см. в статье Сведения о конфигурации сети службы автоматизации Azure.
Использование прокси-сервера
При использовании прокси-сервера для обмена данными между службой автоматизации Azure и компьютерами, где запущен агент Log Analytics, необходимо убедиться, что соответствующие ресурсы доступны. Время ожидания запросов от гибридной рабочей роли Runbook и служб автоматизации составляет 30 секунд. После трех попыток запрос завершится ошибкой.
Использование брандмауэра
В настройках брандмауэра следует снять все ограничения на доступ к Интернету. При использовании шлюза Log Analytics в качестве прокси-сервера убедитесь, что он настроен для гибридных рабочих ролей Runbook. См. статью о настройке шлюза Log Analytics для поддержки гибридных рабочих ролей Runbook службы автоматизации.
Теги служб
Служба автоматизации Azure поддерживает теги службы виртуальной сети Azure, начиная с тега службы GuestAndHybridManagement. Теги службы можно использовать для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы GuestAndHybridManagement в соответствующем поле источника или поле назначения правила, можно разрешить или запретить трафик для Службы автоматизации. С помощью этого тега службы нельзя ограничить диапазон IP-адресов определенным регионом.
Тег службы автоматизации Azure предоставляет только IP-адреса, используемые в следующих сценариях:
- Активация веб-перехватчиков в виртуальной сети.
- Разрешение обмена данными между гибридными рабочими ролями Runbook или агентам State Configuration в виртуальной сети и службой автоматизации.
Примечание.
Тег службы GuestAndHybridManagement на данный момент поддерживает выполнение заданий runbook только непосредственно в гибридной рабочей роли Runbook (но не в песочнице Azure).
Поддержка уровня влияния 5 (IL5)
Гибридную рабочую роль Runbook службы автоматизации Azure можно использовать на платформе "Azure для государственных организаций", чтобы обеспечить поддержку рабочих нагрузок с уровнем влияния 5. Для этого доступны следующие две конфигурации.
Изолированная виртуальная машина. При развертывании для машины используется весь физический узел, что обеспечивает уровень изоляции, необходимый для поддержки рабочих нагрузок IL5.
Выделенные узлы Azure, предоставляющие выделенные для одной подписки Azure физические серверы, способные вместить одну или несколько виртуальных машин.
Примечание.
Изоляция вычислений с помощью гибридной рабочей роли Runbook доступна для коммерческих облаков Azure и облаков Azure для государственных организаций США.
Адреса для решения по управлению обновлениями в гибридной рабочей роли Runbook
В дополнение к стандартным адресам и портам, необходимым для гибридной рабочей роли Runbook, у функции управления обновлениями есть другие требования к конфигурации сети, описанные в разделе Планирование сети.
Использование State Configuration службы автоматизации Azure в гибридной рабочей роли Runbook
Вы можете использовать State Configuration службы автоматизации Azure в гибридной рабочей роли Runbook. Для управления конфигурацией серверов, поддерживающих гибридную рабочую роль Runbook, необходимо добавить эти серверы в качестве узлов DSC. Дополнительные сведения см. в статье Подключение компьютеров для управления с помощью State Configuration службы автоматизации Azure.
Модули runbook в гибридной рабочей роли Runbook
Возможно, вы используете модули runbook, предназначенные для управления ресурсами на локальном компьютере или в локальной среде, где развернута пользовательская гибридная рабочая роль Runbook. В этом случае можно выбрать запуск модулей runbook в гибридной рабочей роли, а не в учетной записи службы автоматизации. Модули runbook, выполняемые в гибридной рабочей роли Runbook, по структуре идентичны тем, что выполняются в учетной записи службы автоматизации. См. статью Запуск модулей Runbook в гибридной рабочей роли Runbook.
Задания гибридной рабочей роли Runbook
Задания гибридной рабочей роли Runbook выполняются в локальной учетной записи System в Windows или в учетной записи nxautomation в Linux. Служба автоматизации Azure обрабатывает задания в гибридных рабочих ролях Runbook иначе, чем задания, выполняемые в песочницах Azure. См. раздел Среда выполнения runbook.
При перезагрузке компьютера, выполняющего гибридную рабочую роль Runbook, все выполняемые задания runbook запускаются заново, с самого начала или с последней контрольной точки, если это runbook рабочих процессов PowerShell. Если задание runbook перезапускается более трех раз, его выполнение приостанавливается.
Разрешения runbook для гибридной рабочей роли Runbook
Модули runbook, запущенные в пользовательской гибридной рабочей роли Runbook, обращаются к ресурсам за пределами Azure, поэтому они не могут использовать стандартный механизм проверки подлинности модулей runbook в Azure. Модуль runbook предоставляет собственную аутентификацию для локальных ресурсов или настраивает ее с помощью управляемых удостоверений для ресурсов Azure. Также вы можете указать учетную запись запуска от имени, чтобы предоставить контекст пользователя для всех модулей runbook.
Просмотр системных гибридных рабочих ролей Runbook
После включения функции управления обновлениями на компьютерах под управлением Windows или Linux можно выполнить инвентаризацию списка группы системных гибридных рабочих ролей Runbook на портале Azure. На портале можно просмотреть до 2000 рабочих ролей. Для этого в области слева на странице выбранной учетной записи службы автоматизации щелкните параметр Группы гибридных рабочих ролей и откройте вкладку Системные группы гибридных рабочих ролей.
Если у вас более 2000 гибридных рабочих ролей, их полный список можно получить с помощью следующего сценария PowerShell:
"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"
Следующие шаги
Чтобы узнать, как настроить модули runbook для автоматизации процессов в локальном центре обработки данных или другой облачной среде, см. статью Запуск модулей runbook в гибридной рабочей роли Runbook.
Дополнительные сведения см. в статье Устранение неполадок с гибридными рабочими ролями Runbook.