Развертывание гибридной рабочей роли Runbook Linux на основе агента в Службе автоматизации

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

Внимание

31 августа 2024 г. поддержка пользовательской гибридной рабочей роли runbook (Windows и Linux) на основе агента Службы автоматизации Azure будет прекращена. Необходимо перенести существующие пользовательские гибридные рабочие роли runbook на основе агента в рабочие роли на основе расширения до 31 августа 2024 г. Кроме того, начиная с 1 ноября 2023 года создание гибридных рабочих ролей на основе агента невозможно. Подробнее.

Вы можете использовать пользовательскую гибридную рабочую группу Runbook в службе автоматизации Azure для запуска модулей Runbook непосредственно на компьютере Azure или не-Azure, включая серверы, зарегистрированные на Серверах с поддержкой Azure Arc. С компьютера или сервера, на котором размещается эта роль, можно напрямую запускать модули runbook для ресурсов в среде, чтобы управлять этими локальными ресурсами.

Гибридная рабочая роль Runbook Linux запускает модули runbook от имени особого пользователя, для которого можно повысить разрешения, чтобы выполнить команды, требующие повышения разрешений. служба автоматизации Azure хранит модули Runbook и управляет ими, а затем предоставляет их на один или несколько выбранных компьютеров. В этой статье описывается, как установить гибридную рабочую роль Runbook на компьютере Linux, удалить рабочую роль и удалить гибридную рабочую роль Runbook. Сведения о гибридных рабочих ролей Runbook для пользователей см. в статье "Развертывание гибридной рабочей роли Runbook на основе расширений Windows или Linux в службе автоматизации"

После успешного развертывания рабочей роли Runbook ознакомьтесь с запуском модулей runbook в гибридной рабочей роли Runbook, чтобы узнать, как настроить модули runbook для автоматизации процессов в локальном центре обработки данных или другой облачной среде.

Примечание.

Гибридная рабочая роль может совместно существовать с обеими платформами: на основе агента (версии 1) и на основе расширений (V2). Если установить расширение на основе версии 2 для гибридной рабочей роли, уже работающей под управлением агента (V1), в группе появится две записи гибридной рабочей роли Runbook. Один с расширением платформы (версии 2) и другим агентом (V1). Подробнее.

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть следующее.

Рабочая область Log Analytics

Гибридная рабочая роль Runbook зависит от рабочей области Log Analytics для Azure Monitor, для которой устанавливается и настраивается роль. Вы можете создать ее, используя Azure Resource Manager, PowerShell или портал Azure.

Если у вас еще нет рабочей области Log Analytics для Azure Monitor, создайте ее, предварительно ознакомившись с руководством по разработке для журналов Azure Monitor.

Агент Log Analytics

Для работы гибридной рабочей роли Runbook требуется агент Log Analytics для поддерживаемой операционной системы Linux. Для серверов или компьютеров, размещенных за пределами Azure, вы можете установить агент Log Analytics, используя серверы с поддержкой Azure Arc. Агент устанавливается с определенными учетными записями служб, выполняющими команды, требующие корневых разрешений. Дополнительные сведения см. в разделе "Учетные записи службы".

Поддерживаемые операционные системы Linux

Дистрибутивы, поддерживаемые функцией гибридной рабочей роли Runbook: Предполагается, что все операционные системы имеют архитектуру x64. Архитектура x86 не поддерживается для любой операционной системы.

• Amazon Linux 2012.09–2015.09;

• CentOS Linux 5, 6, 7 и 8;

• Oracle Linux 6, 7 и 8

• Red Hat Enterprise Linux Server 5, 6, 7 и 8;

• Debian GNU/Linux 6, 7 и 8;

• SUSE Linux Enterprise Server 12, 15 и 15.1 (версии SUSE 13 или 14 не были выпущены).

• Ubuntu

  ОС Linux	Имя
  20.04 LTS	Фокус Фосса
  18.04 LTS	Бионик Бивер
  16.04 LTS	Xenial Xerus
  14.04 LTS	Трасти Тахр

Примечание.

Гибридная рабочая роль будет соответствовать временная шкала поставщику ОС.

Внимание

Перед включением функции "Управление обновлениями", которая зависит от гибридной рабочей роли Runbook системы, ознакомьтесь с дистрибутивами, которые она поддерживает.

Минимальные требования

Минимальные требования для гибридной рабочей роли Runbook пользователя и системы Linux:

• два ядра;
• 4 ГБ ОЗУ;
• Порт 443 (исходящий).

Требуемый пакет	Description	Минимальная версия
Glibc	Библиотека C GNU	2.5-12
Openssl	Библиотеки OpenSSL	1.0 (поддерживается TLS 1.1 и TLS 1.2)
Curl	Веб-клиент cURL	7.15.5
Python-ctypes	Библиотека внешних функций для Python	Требуется Python 2.x или Python 3.x
PAM	Подключаемые модули аутентификации

Дополнительный пакет	Description	Минимальная версия
PowerShell Core	Для выполнения модулей runbook PowerShell требуется установить PowerShell Core. Подробные сведения об установке см. в статье Установка PowerShell Core в Linux.	6.0.0

Добавление компьютера в группу гибридных рабочих ролей Runbook

Вы можете добавить компьютер рабочей роли в группу гибридных рабочих ролей Runbook в одной из учетных записей службы автоматизации. Компьютеры, на которых размещена системная гибридная рабочая роль Runbook, управляемая компонентом "Управление обновлениями", можно добавлять в группу гибридных рабочих ролей Runbook. При этом нужно использовать одну и ту же учетную запись как для компонента "Управление обновлениями", так и для членства в группе гибридной рабочей роли Runbook.

Примечание.

Управление обновлениями в службе автоматизации Azure автоматически устанавливает гибридную рабочую роль Runbook системы на компьютере, размещенном на платформе Azure или вне ее, для которого включено Управление обновлениями. Но эта рабочая роль не регистрируется в группах гибридных рабочих ролей Runbook, которые определены в учетной записи службы автоматизации. Чтобы запустить модули runbook на этих компьютерах, необходимо добавить их в группу гибридных рабочих ролей Runbook. Выполните шаг 4 в разделе Установка гибридной рабочей роли Runbook для Linux, чтобы добавить компьютер в группу.

Поддерживаемое усиление безопасности Linux

Следующие функции еще не поддерживаются:

• CIS

Поддерживаемые типы runbook

Гибридные рабочие роли Runbook Linux поддерживают ограниченный набор типов runbook в служба автоматизации Azure, и они описаны в следующей таблице.

Тип runbook	Поддерживается
Python 3 (предварительная версия)	Да, требуется только для этих дистрибутивов: SUSE LES 15, RHEL 8 и CentOS 8
Python 2	Да, для любых дистрибутив, не требующих Python 31
PowerShell	Да2
Рабочий процесс PowerShell	No
Графический	No
Графический рабочий процесс PowerShell	No

¹Ознакомьтесь с поддерживаемыми операционными системами Linux.

²Модули runbook powerShell требуют установки PowerShell Core на компьютере Linux. Подробные сведения об установке см. в статье Установка PowerShell Core в Linux.

Сетевая конфигурация

Требования к сети для гибридной рабочей роли Runbook см. в разделе Настройка сети.

Установка гибридной рабочей роли Runbook для Linux

Существуют два способа развертывания гибридной рабочей роли Runbook. Модуль Runbook можно импортировать и запустить из коллекции Runbook в портал Azure или выполнить несколько команд PowerShell вручную.

Импорт runbook из коллекции runbook

Процедура импорта подробно описана в статье Импорт модулей runbook с GitHub с помощью портала Azure. Имя импортируемого runbook — Create Automation Linux HybridWorker.

Для этого runbook используются следующие параметры.

Параметр	Состояние	Description
Location	Обязательно	Расположение рабочей области Log Analytics.
ResourceGroupName	Обязательно	Группа ресурсов для учетной записи службы автоматизации.
AccountName	Обязательно	Имя учетной записи службы автоматизации, в которой будет зарегистрирована гибридная рабочая роль Runbook.
CreateLA	Обязательно	Если значение — true, использует значение WorkspaceName для создания рабочей области Log Analytics. Если значение — false, то значение WorkspaceName должно ссылаться на существующую рабочую область.
LAlocation	Необязательно	Расположение, в котором будет создана рабочая область Log Analytics или в котором она уже существует.
WorkspaceName	Необязательно	Имя создаваемой или используемой рабочей области Log Analytics.
CreateVM	Обязательно	Если значение — true, то значение VMName используется в качестве имени новой виртуальной машины. Если значение — false, значение VMName используется для поиска и регистрации существующей виртуальной машины.
VMName	Необязательно	Имя виртуальной машины, которая либо создается, либо регистрируется, в зависимости от значения CreateVM.
VMImage	Необязательно	Имя образа создаваемой виртуальной машины.
VMlocation	Необязательно	Расположение виртуальной машины, которая либо создается, либо регистрируется. Если это расположение не указано, используется значение LAlocation .
RegisterHW	Обязательно	Если значение — true, то виртуальная машина регистрируется в качестве гибридной рабочей роли.
WorkerGroupName	Обязательно	Имя группы гибридных рабочих ролей.

Выполнение команд PowerShell вручную

Чтобы установить и настроить гибридную рабочую роль Runbook для Linux, выполните следующие действия.

1. Включите решение службы автоматизации Azure в рабочей области Log Analytics, выполнив приведенную ниже команду в командной строке PowerShell с повышенными привилегиями или в Cloud Shell на портале Azure:

   Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true
   

2. Разверните агент Log Analytics на целевом компьютере.

   • На виртуальных машинах Azure установите агент Log Analytics для Windows с помощью расширения виртуальной машины для Windows. Это расширение устанавливает агент Log Analytics на виртуальных машинах Azure и регистрирует виртуальные машины в существующей рабочей области Log Analytics. Вы можете использовать шаблон Azure Resource Manager, Azure CLI или политику Azure, чтобы назначить определение встроенной политики Развернуть агент Log Analytics для виртуальных машин Linux или Windows. После установки агента компьютер можно будет добавить в группу гибридных рабочих ролей Runbook в учетной записи службы автоматизации.

   • На компьютеры, размещенные не в Azure, агент Log Analytics можно установить с помощью серверов с поддержкой Azure Arc. Серверы с поддержкой Azure Arc поддерживают развертывание агента Log Analytics с помощью следующих методов.

     • Использование платформы расширений виртуальной машины.

       Эта функция на серверах с поддержкой Azure Arc позволяет развернуть расширение виртуальной машины для агента Log Analytics на сервере Windows и (или) Linux, размещенном вне Azure. Расширения виртуальных машин можно управлять с помощью следующих методов на гибридных компьютерах или серверах, управляемых серверами с поддержкой Azure Arc:

       • портал Azure.
       • Интерфейс командной строки Azure
       • Azure PowerShell
       • Шаблоны Azure Resource Manager

     • Использование Политики Azure.

       С помощью этого подхода вы используете агент Log Analytics Политика Azure развернуть агент Log Analytics на компьютерах Linux или Microsoft Azure Arc, встроенных в политике, чтобы проверить, установлен ли сервер с поддержкой Arc агент Log Analytics. Если агент не установлен, он будет развернут автоматически с помощью задачи исправления. Если вы планируете отслеживать компьютеры с Azure Monitor для виртуальных машин, используйте инициативу "Включить Azure Monitor для виртуальных машин" для установки и настройки агента Log Analytics.

     Мы рекомендуем установить агент Log Analytics для Windows или Linux с помощью Политики Azure.

   Примечание.

   Чтобы управлять конфигурацией компьютеров, поддерживающих гибридную рабочую роль Runbook и DSC (Desired State Configuration), добавьте такие компьютеры в качестве узлов DSC.

   Примечание.

   Во время установки гибридной рабочей роли Linux должна присутствовать учетная запись nxautomation с соответствующими разрешениями для работы команды sudo. Если вы попытаетесь установить рабочую роль, а учетная запись отсутствует или не имеет соответствующих разрешений, установка завершится сбоем.

3. Убедитесь, что агент передает сведения в рабочую область.

   Агент Log Analytics для Linux подключает компьютеры к рабочей области Log Analytics в Azure Monitor. Когда агент устанавливается на компьютер и подключается к рабочей области, он автоматически скачивает обязательные компоненты для гибридной рабочей роли Runbook.

   После успешного подключения агента к рабочей области Log Analytics через несколько минут можно выполнить следующий запрос, чтобы убедиться, что он отправляет данные пульса в рабочую область.

   Heartbeat
   | where Category == "Direct Agent"
   | where TimeGenerated > ago(30m)
   

   В результатах поиска должны отображаться записи пульса для компьютера, указывающие, что она подключена и сообщает службе. По умолчанию каждый агент перенаправляет запись пульса в назначенную ему рабочую область.

4. Выполните приведенную ниже команду, чтобы добавить компьютер в группу гибридных рабочих ролей Runbook, указав значения параметров -w, -k, -g и -e.

   Сведения, необходимые для задания параметров -k на -e, можно получить странице Ключи в учетной записи службы автоматизации. Выберите Ключи в разделе Параметры учетной записи в левой части страницы.

   

   • Для параметра -e скопируйте значение поля URL-адрес.

   • Для параметра -k скопируйте значение поля Первичный ключ доступа.

   • Для параметра -g укажите имя группы гибридных рабочих ролей Runbook, к которой требуется присоединить новую гибридную рабочую роль Runbook для Linux. Если эта группа уже существует в учетной записи службы автоматизации, то к ней будет добавлен текущий компьютер. Если эта группа не существует, она создается с таким именем.

   • Для параметра -w укажите идентификатор рабочей области Log Analytics.

   sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w <logAnalyticsworkspaceId> -k <automationSharedKey> -g <hybridGroupName> -e <automationEndpoint>
   

5. Проверьте развертывание после выполнения сценария. На странице Hybrid Runbook Worker Groups (Группы гибридных рабочих ролей Runbook) в учетной записи службы автоматизации на вкладке User hybrid runbook workers group (Группы гибридных рабочих ролей Runbook пользователя) отображается новая или существующая группа и число элементов в ней. Если указать имеющуюся группу, количество элементов в ней увеличивается. Вы можете выбрать группу из списка на странице. В меню слева выберите Гибридные рабочие роли. На странице Гибридные рабочие роли отображается полный список элементов группы.

   Примечание.

   Если вы используете для виртуальной машины Azure расширение виртуальной машины Log Analytics для Linux, рекомендуется установить для параметра autoUpgradeMinorVersion значение false, так как автообновление версий может привести к проблемам с гибридной рабочей ролью Runbook. Сведения об обновлении расширения вручную см. в разделе Развертывание с помощью Azure CLI.

Отключение проверки подписи

По умолчанию для гибридных рабочих ролей Runbook Linux требуется проверка подписи. При запуске неподписанной последовательности runbook для рабочей роли отображается ошибка Signature validation failed. Чтобы отключить проверку подписи, выполните следующую команду в качестве корневого каталога. Замените второй параметр идентификатором вашей рабочей области Log Analytics.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --false <logAnalyticsworkspaceId>

Удаление гибридной рабочей роли Runbook

Выполните следующие команды в качестве корневого каталога в гибридной рабочей роли Linux на основе агента:

1.    sudo bash
   

2.    rm -r /home/nxautomation
   

3. В разделе Автоматизация процессов выберите Группы гибридных рабочих ролей, а затем соответствующую группу, чтобы перейти на страницу Группа гибридных рабочих ролей.

4. На странице Группа гибридных рабочих ролей выберите Гибридные рабочие роли.

5. Установите флажок рядом с компьютерами, которые нужно удалить из группы гибридных рабочих ролей.

6. Выберите "Удалить", чтобы удалить гибридную рабочую роль Linux на основе агента.

   Примечание.

   • Этот сценарий не удаляет агент Log Analytics для Linux с компьютера. Он удаляет только функциональные возможности и конфигурацию гибридной рабочей роли Runbook.
   • После отключения Приватный канал в учетной записи службы автоматизации может потребоваться до 60 минут, чтобы удалить гибридную рабочую роль Runbook.
   • После удаления гибридной рабочей роли сертификат проверки подлинности гибридной рабочей роли на компьютере действителен в течение 45 минут.

Удаление группы гибридных рабочих ролей

Чтобы удалить группу гибридных рабочих ролей Runbook с компьютеров Linux, используйте те же действия, что и для группы гибридных рабочих ролей в Windows. См. раздел Удаление группы гибридных рабочих ролей.

Управление разрешениями роли для гибридных рабочих групп и гибридных рабочих ролей

Вы можете создать пользовательские роли служба автоматизации Azure и предоставить следующие разрешения гибридным рабочим группам и гибридным рабочим группам. Дополнительные сведения о создании пользовательских ролей служба автоматизации Azure см. в статье о пользовательских ролях Azure

Действия	Description
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read	Считывает группы гибридных рабочих ролей runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/write	Создает гибридную рабочую группу Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/delete	Удаляет гибридную рабочую группу Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/read	Считывает гибридную рабочую роль Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/delete	Удаляет гибридную рабочую роль Runbook.

Проверка версии гибридной рабочей роли

Чтобы проверка версию гибридной рабочей роли Runbook на основе агента, перейдите к следующему пути:

   sudo cat /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/VERSION

Версия файла содержит номер версии гибридной рабочей роли Runbook.

Следующие шаги

• Чтобы узнать, как настроить модули runbook для автоматизации процессов в локальном центре обработки данных или другой облачной среде, см. статью Запуск модулей runbook в гибридной рабочей роли Runbook.

• Дополнительные сведения см. в разделе "Linux" статьи Устранение неполадок с гибридными рабочими ролями Runbook.