混合式環境中的Azure 自動化

Azure 自動化中的 Runbook 會在 Azure 雲端平臺上執行，而且可能無法存取位於其他雲端或內部部署環境中的資源。 您可以使用 Azure 自動化 的混合式 Runbook 背景工作角色功能，直接在裝載角色的電腦上執行 Runbook，以及針對環境中的資源來管理這些本機資源。 Runbook 會儲存和管理Azure 自動化，然後傳遞給一或多部指派的電腦。

架構

下載此架構的 Visio 檔案 。

工作流程

混合式 Runbook 背景工作角色架構包含下列各項：

• 自動化帳戶 ：雲端服務，可在 Azure 和非 Azure 環境中自動化設定和管理。
• 混合式 Runbook 背景工作角色：使用混合式 Runbook 背景工作角色 功能設定的電腦，並可直接在電腦上針對本機環境中的資源執行 Runbook。
• 混合式 Runbook 背景工作角色群組：使用多個混合式 Runbook 背景工作角色進行群組 ，以提升可用性並調整以執行一組 Runbook。
• Runbook ：一或多個連結活動的集合，可將程式或作業自動化。 深入了解。
• 內部部署機器和 VM ：裝載在私人區域網路中的 Windows 或 Linux 內部部署電腦和 VM。
• 適用于擴充方法的元件 （V2） ：
  • 混合式 Runbook 背景工作角色 VM 擴充功能 ：安裝在電腦上的小型應用程式。 應用程式會將電腦設定為混合式 Runbook 背景工作角色。
  • 已啟用 Arc 的伺服器 ：已啟用 Azure Arc 的伺服器可讓您管理裝載于 Azure 外部的 Windows 和 Linux 電腦和虛擬機器，無論是在您的公司網路或其他雲端提供者上。 此管理體驗的設計與管理原生 Azure 虛擬機器的方式一致。 深入了解。
• 適用于代理程式型方法的元件 （V1） ：
  • Log Analytics 工作區：Log Analytics 工作區 是記錄資料的資料存放庫，可從 Azure、內部部署或其他雲端提供者中執行的資源收集。
  • 自動化混合式背景工作角色解決方案：使用此解決方案 ，您可以建立混合式 Runbook 背景工作角色，以在 Azure 和非 Azure 電腦上執行Azure 自動化 Runbook。

使用者混合式 Runbook 背景工作角色

下載此架構的 Visio 檔案 。

每個使用者混合式 Runbook 背景工作角色都是您在安裝背景工作角色時指定的混合式 Runbook 背景工作角色群組的成員。 群組可以包含單一背景工作角色，但您可以在群組中包含多個背景工作角色，以達到高可用性。 每部電腦都可以裝載一個混合式 Runbook 背景工作角色報告給一個自動化帳戶;您無法跨多個自動化帳戶註冊混合式背景工作角色。 混合式背景工作角色只能從單一自動化帳戶接聽作業。

系統混合式 Runbook 背景工作角色

下載此架構的 Visio 檔案 。

裝載由更新管理所管理之系統混合式 Runbook 背景工作角色的電腦可以新增至混合式 Runbook 背景工作角色群組。 但是，您必須針對更新管理和混合式 Runbook 背景工作角色群組成員資格使用相同的自動化帳戶。

混合式 Runbook 背景工作角色上的作業執行

當您在使用者混合式 Runbook 背景工作角色上啟動 Runbook 時，您可以指定其執行的群組。 群組中的每個背景工作都會輪詢Azure 自動化，以查看是否有任何作業可用。 如果作業可供使用，則取得作業的第一個背景工作角色會採用作業。 作業佇列的處理時間取決於混合式背景工作角色硬體設定檔和負載。 您無法指定特定背景工作角色。 混合式背景工作角色會在輪詢機制上運作（每 30 秒），並遵循先到先得、先服務的順序。

元件

• Azure 自動化 是用於自動化雲端管理工作的 Azure 服務。 混合式 Runbook 背景工作 角色功能可讓您在位於資料中心的機器上執行 Runbook，以便管理本機資源。
• Azure 監視器 可讓您完整觀察應用程式、基礎結構和網路。 Azure 監視器記錄 是 Azure 監視器的一項功能，可從受監視的資源收集及組織記錄和效能資料。 Log Analytics 是查詢記錄和分析結果之Azure 入口網站中的工具

案例詳細資料

混合式 Runbook 背景工作角色安裝方法

Azure 自動化透過 Azure 虛擬機器擴充架構提供混合式 Runbook 背景工作角色的原生整合。 Azure VM 代理程式負責管理 Azure VM 上的擴充功能、Windows 和 Linux，以及透過已啟用 Arc 的伺服器連線的電腦代理程式，在非 Azure 機器上管理擴充功能。 Azure 自動化支援兩個混合式 Runbook 背景工作角色安裝平臺。

混合式背景工作角色可以與兩個平臺共存：代理程式型 （V1） 和擴充功能型 （V2）。 如果您在已經執行代理程式型的混合式背景工作角色上安裝擴充功能型 （V2），您會在群組中看到混合式 Runbook 背景工作角色的兩個專案。 其中一個具有平臺擴充功能 （V2） 和另一個代理程式型 （V1）。 深入了解

Runbook 背景工作角色類型

Runbook 背景工作角色有兩種類型：System 和 User。

系統 支援更新管理功能所使用的一組隱藏 Runbook。 Runbook 的設計目的是在 Windows 和 Linux 電腦上安裝使用者指定的更新。 這種類型的混合式 Runbook 背景工作角色不是混合式 Runbook 背景工作角色群組的成員，因此不會執行以 Runbook 背景工作角色群組為目標的 Runbook。

使用者 支援使用者定義的 Runbook，這些 Runbook 旨在直接在屬於一或多個 Runbook 背景工作角色群組成員的 Windows 和 Linux 機器上執行。

擴充式混合式 Runbook 背景工作角色僅支援使用者混合式 Runbook 背景工作角色類型，而且不包含更新管理功能所需的系統混合式 Runbook 背景工作角色。

代理程式型 （V1） 混合式 Runbook 背景工作角色依賴 向 Azure 監視器 Log Analytics 工作區 報告的 Log Analytics 代理程式 。 工作區不僅要從電腦收集監視資料，而且要下載安裝代理程式型混合式 Runbook 背景工作角色所需的元件。 啟用Azure 自動化 更新管理 時，任何連線到 Log Analytics 工作區的電腦都會自動設定為系統混合式 Runbook 背景工作角色。

潛在的使用案例

• 若要直接在現有的 Azure 虛擬機器 （VM） 或已啟用內部部署 Arc 的伺服器上執行 runbook Azure 自動化 Runbook。
• 若要克服Azure 自動化沙箱限制。 常見案例包括針對雲端作業執行超過三小時限制的長時間執行作業、執行資源密集型自動化作業、與在內部部署或混合式環境中執行的本機服務互動、執行需要提高許可權的腳本等等。
• 為了因治理和安全性原因而克服組織限制，將資料保留在 Azure 中。 雖然您無法在雲端中執行自動化作業，但您可以在上線為混合式 Runbook 背景工作的內部部署電腦上執行它們。
• 在內部部署、混合式或多重雲端環境中執行的多個非 Azure 資源上自動化作業。 您可以將其中一部機器上線為混合式 Runbook 背景工作角色，並將目標設為其餘內部部署機器上的自動化。
• 若要從 Azure 虛擬網絡 （VNet） 私下存取其他服務，而不需要開啟網際網路的輸出連線，您可以在連線到 Azure 虛擬網路的混合式背景工作角色上執行 Runbook。

考量

這些考慮會實作 Azure Well-Architected Framework 的支柱，這是一組指導原則，可用來改善工作負載的品質。 如需詳細資訊，請參閱 Microsoft Azure Well-Architected Framework 。

可靠性

可靠性可確保您的應用程式可以符合您對客戶所做的承諾。 如需詳細資訊，請參閱 可靠性要素 概觀。

• 使用混合式背景工作角色設定多個電腦的混合式 Runbook 背景工作角色群組提供高可用性，因為 Runbook 只會在執行且狀況良好的伺服器上啟動。
• 擴充功能型 （V1） 混合式 Runbook 背景工作角色僅支援使用者混合式 Runbook 背景工作角色類型，而且不包含更新管理功能所需的系統混合式 Runbook 背景工作角色。
• 下列僅適用于代理程式型方法 （V1）。 目前，數個區域支援 Log Analytics 工作區與自動化帳戶之間的對應。 如需詳細資訊，請參閱 連結 Log Analytics 工作區的支援區域。

安全性

安全性可提供針對蓄意攻擊和濫用寶貴資料和系統的保證。 如需詳細資訊，請參閱 安全性要素 概觀。

• 自動化 中的敏感性資產加密：Azure 自動化帳戶可以包含敏感性資產，例如 Runbook 可能使用的認證、憑證、連線和加密變數。 根據預設，每個安全資產都會使用針對每個自動化帳戶產生的資料加密金鑰來加密。 這些金鑰會加密並儲存在具有帳戶加密金鑰 （AEK） 的Azure 自動化中，以供想要使用自己的金鑰來管理加密的客戶，儲存在金鑰保存庫中。 根據預設，AEK 會使用 Microsoft 管理的金鑰來加密。 使用下列指導方針，在 Azure 自動化 中套用安全資產的加密。
• Runbook 許可權 ：根據預設，混合式 Runbook 背景工作角色的 Runbook 許可權會在部署其所在電腦上的系統內容中執行。 Runbook 會向本機資源提供自己的驗證。 您可以使用 Azure 資源的受控識別或指定執行身分帳戶，為所有 Runbook 提供使用者內容，即可設定驗證。
• 網路規劃 ：
  • 如果您使用 Proxy 伺服器進行Azure 自動化和執行混合式 Runbook 背景工作角色的電腦之間的通訊，請確定可存取適當的資源。 混合式 Runbook 背景工作角色和自動化服務的要求逾時為 30 秒。 三次嘗試之後，要求會失敗。
  • 混合式 Runbook 背景工作角色需要透過 TCP 埠 443 的輸出網際網路存取，才能與自動化通訊。 如果您使用防火牆來限制網際網路的存取，您必須將防火牆設定為允許存取。 針對具有受限網際網路存取的代理程式型 （V1） 電腦，請使用 Log Analytics 閘道來設定與Azure 自動化和 Azure Log Analytics 工作區的通訊。
  • 設定以擴充功能為基礎的 Linux 混合式 Runbook 背景工作角色時，CPU 配額限制為 5%。 Windows 擴充功能型混合式 Runbook 背景工作角色沒有這類限制。
• 適用于自動化的 Azure 安全性基準： 適用于自動化 的 Azure 安全性基準包含如何改善安全性設定的建議，以遵循最佳做法指引來保護資產。

成本最佳化

成本優化是考慮如何減少不必要的費用，並改善營運效率。 如需詳細資訊，請參閱 成本優化要素 概觀。

• Azure 自動化成本是每分鐘作業執行的價格。 每個月，前 500 分鐘的流程自動化是免費的。 使用 Azure 定價計算機 來預估成本。 如需Azure 自動化定價模型的詳細資訊，請參閱 自動化定價 。
• 針對代理程式型方法 （V1），Azure Log Analytics 工作區可能會產生與 Azure Log Analytics 中儲存的記錄資料量相關的額外成本。 定價模式是以使用量為基礎。 成本與資料擷取和資料保留相關聯。 若要將資料擷取到 Azure Log Analytics，請使用容量保留或隨用隨付模型，每個月每個計費帳戶免費 5 GB。 前 31 天的資料保留免費。 如需 Log Analytics 的定價模式，請參閱 Azure 監視器定價 。

卓越營運

卓越營運涵蓋部署應用程式的作業程式，並讓它在生產環境中執行。 如需詳細資訊，請參閱 營運卓越支柱 概觀。

管理能力

• 相較于代理程式型方法 （V1），擴充式方法 （V2） 透過下列方式提供簡化管理性：
  • 原生整合混合式 Runbook 背景工作角色的 ARM 身分識別，並透過原則和範本大規模提供治理彈性。
  • 集中式控制和管理身分識別和資源認證，因為它使用 Microsoft Entra ID 所提供的 VM 系統指派身分識別。
  • 在將混合式 Runbook 背景工作角色上線和取消上線時，Azure 和非 Azure 機器的整合體驗。
• 僅適用于代理程式型方法（V1）：
  • 若要加速在 Windows 電腦上執行混合式背景工作角色的 Log Analytics 代理程式部署，請使用 PowerShell 腳本 New-OnPremiseHybridWorker.ps1
  • 在內部部署基礎結構中部署許多代理程式，可以使用命令列腳本進行協調，並使用群組原則或 System Center Configuration Manager 進行部署。

DevOps

• Azure 自動化允許與熱門的原始檔控制系統、Azure DevOps 和 GitHub 整合。 透過原始檔控制，您可以整合現有的開發環境，其中包含先前在隔離環境中測試過的腳本和自訂程式碼。
• 如需如何整合Azure 自動化與原始檔控制環境的資訊，請參閱 使用原始檔控制整合 。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者：

• 邁克·馬丁 |資深雲端解決方案架構師

若要查看非公用LinkedIn設定檔，請登入 LinkedIn。

下一步

深入瞭解Azure 自動化：

• 混合式 Runbook 背景工作角色概觀
• 部署以擴充功能為基礎的 Windows 或 Linux 使用者混合式 Runbook 背景工作角色
• 在自動化中部署代理程式型 Windows 混合式 Runbook 背景工作角色
• 在自動化中部署代理程式型 Linux 混合式 Runbook 背景工作角色
• 建立Azure 自動化帳戶
• 使用受控識別在Azure 自動化中建立 Runbook
• 在 Hybrid Runbook Worker 上執行自動化 Runbook
• 必要條件：Azure 自動化網路設定詳細資料
• Azure Arc 概觀
• 什麼是已啟用 Azure Arc 的伺服器？

深入瞭解 Azure 監視器和監視記錄：

• Azure 監視器記錄概觀 (機器翻譯)
• Azure 監視器中的 Log Analytics 概觀

相關資源

• 混合架構設計
• 將內部部署網路連線至 Azure
• 使用 Azure 監視器進行企業監視
• Azure 中電腦鑒識監管鏈
• Azure Stack Hub 虛擬機器的災害復原