自動化混合式 Runbook 背景工作角色概觀
重要
Azure 自動化代理程式型的使用者混合式 Runbook 背景工作角色 (Windows 和 Linux) 將於 2024 年 8 月 31 日淘汰,且自該日期之後便不會再受到支援。 您必須在 2024 年 8 月 31 日之前,完成將現有的代理程式型使用者混合式 Runbook 背景工作角色移轉至延伸模組型背景工作角色的工作。 此外,從 2023 年 11 月 1 日起,將無法建立以代理程式為基礎的混合式背景工作角色。 深入了解。
Azure 自動化中的 Runbook 可能無法存取其他雲端或內部部署環境中的資源,因為它們是在 Azure 雲端平臺上執行。 您可以使用 Azure 自動化 的混合式 Runbook 背景工作角色功能,直接在裝載角色的電腦上執行 Runbook,並針對環境中的資源來管理這些本機資源。 Runbook 會儲存和管理Azure 自動化,然後傳遞給一或多部指派的電腦。
Azure 自動化透過 Azure 虛擬機器 (VM) 擴充架構提供混合式 Runbook 背景工作角色的原生整合。 Azure VM 代理程式負責管理 Windows 和 Linux VM 上 Azure VM 上的擴充功能,以及 非 Azure 機器上的 Azure 連線 機器代理程式 ,包括 已啟用 Azure Arc 的伺服器和 已啟用 Azure Arc 的 VMware vSphere (預覽版) 。 現在Azure 自動化支援兩個混合式 Runbook 背景工作角色安裝平臺。
平台 | 描述 |
---|---|
擴充功能型 (V2) | 使用 混合式 Runbook 背景工作角色 VM 擴充功能 進行安裝,而不需要任何相依于向 Azure 監視器 Log Analytics 工作區報告的 Log Analytics 代理程式。 這是建議的平臺 。 |
代理程式型 (V1) | 在向 Azure 監視器 Log Analytics 工作區 報告 Log Analytics 代理程式 之後 安裝。 |
針對安裝後的混合式 Runbook 背景工作角色作業,在混合式 Runbook 背景工作角色上執行 Runbook 的程式相同。 擴充功能型方法的目的是簡化混合式 Runbook 背景工作角色的安裝和管理,並移除使用代理程式型版本的複雜性。 新的擴充功能型安裝不會影響代理程式型混合式 Runbook 背景工作角色的安裝或管理。 這兩種混合式 Runbook 背景工作角色類型可以共存于同一部電腦上。
擴充式混合式 Runbook 背景工作角色僅支援使用者混合式 Runbook 背景工作角色類型,而且不包含更新管理功能所需的系統混合式 Runbook 背景工作角色。
擴充功能型使用者混合式背景工作角色的優點
擴充方法可大幅簡化使用者混合式 Runbook 背景工作角色的安裝和管理,並移除使用代理程式型方法的複雜性。 以下是一些主要優點:
- 無縫上線 – 將混合式 Runbook 背景工作角色上線 的代理程式型方法取決於 Log Analytics 代理程式,這是多步驟、耗時且容易出錯的程式。 擴充功能型方法不再相依于 Log Analytics 代理程式。
- 易於管理 – 它提供原生整合與混合式 Runbook 背景工作角色的 ARM 身分識別,並提供透過原則和範本大規模治理的彈性。
- Microsoft Entra ID 型驗證 – 它會使用 Microsoft Entra ID 所提供的 VM 系統指派受控識別。 這會集中控制和管理身分識別和資源認證。
- 整合體驗 – 其提供相同體驗來管理已啟用 Azure 和已啟用 Azure Arc 的機器。
- 多個上線通道 – 您可以選擇透過 Azure 入口網站、PowerShell Cmdlet、Bicep、ARM 範本、REST API 和 Azure CLI 將擴充功能型背景工作上線及管理。 您也可以透過 [擴充功能] 刀鋒視窗,在該電腦的Azure 入口網站體驗內,在現有的 Azure VM 或已啟用 Arc 的伺服器上安裝擴充功能。
- 預設自動升級 – 預設會提供次要版本的自動升級,大幅降低在最新版本上保持更新的管理能力。 建議您啟用自動升級,以利用任何安全性或功能更新,而不需要手動額外負荷。 您也可以隨時退出宣告自動升級。 目前不支援任何主要版本升級,而且應該手動管理。
Runbook 背景工作角色類型
Runbook 背景工作角色有兩種類型 - 系統和使用者。 下表描述它們之間的差異。
類型 | 描述 |
---|---|
系統 | 支援更新管理功能所使用的一組隱藏 Runbook,其設計目的是在 Windows 和 Linux 機器上安裝使用者指定的更新。 這種類型的混合式 Runbook 背景工作角色不是混合式 Runbook 背景工作角色群組的成員,因此不會執行以 Runbook 背景工作角色群組為目標的 Runbook。 |
使用者 | 支援使用者定義 Runbook,其旨在直接在 Windows 和 Linux 電腦上執行。 |
代理程式型 (V1) 混合式 Runbook 背景工作角色依賴 向 Azure 監視器 Log Analytics 工作區 報告的 Log Analytics 代理程式 。 工作區不僅要從電腦收集監視資料,而且要下載安裝代理程式型混合式 Runbook 背景工作角色所需的元件。
啟用Azure 自動化 更新管理 時,任何連線到 Log Analytics 工作區的電腦都會自動設定為系統混合式 Runbook 背景工作角色。 若要將它設定為使用者 Windows 混合式 Runbook 背景工作角色,請參閱 在自動化 和 Linux 中部署代理程式型 Windows 混合式 Runbook 背景工作角色,請參閱 在自動化 中部署代理程式型 Linux 混合式 Runbook 背景工作角色。
Runbook 背景工作角色限制
下表顯示自動化帳戶中的系統和使用者混合式 Runbook 背景工作角色數目上限。 如果您有 4,000 部以上的機器要管理,建議您建立另一個自動化帳戶。
背景工作類型 | 每個自動化帳戶支援的數目上限。 |
---|---|
系統 | 4000 |
使用者 | 4000 |
如何運作?
每個使用者混合式 Runbook 背景工作角色都是您在安裝背景工作角色時指定的混合式 Runbook 背景工作角色群組的成員。 群組可以包含單一背景工作角色,但您可以在群組中包含多個背景工作角色,以達到高可用性。 每部電腦都可以裝載一個混合式 Runbook 背景工作角色報告給一個自動化帳戶;您無法跨多個自動化帳戶註冊混合式背景工作角色。 混合式背景工作角色只能從單一自動化帳戶接聽作業。
對於裝載由更新管理所管理之系統混合式 Runbook 背景工作角色的電腦,可以將它們新增至混合式 Runbook 背景工作角色群組。 但是,您必須針對更新管理和混合式 Runbook 背景工作角色群組成員資格使用相同的自動化帳戶。
具有混合式 Runbook 背景工作角色的混合式背景工作角色群組的設計,是透過將作業配置到多個背景工作角色,來提供高可用性和負載平衡。 若要成功執行 Runbook,混合式背景工作角色必須狀況良好,並提供活動訊號。 混合式背景工作角色可在輪詢機制上運作,以挑選作業。 如果混合式背景工作角色群組內的背景工作角色在過去 30 分鐘內沒有 Ping Automation 服務,表示該群組沒有任何作用中的背景工作角色。 在此案例中,工作會在三次重試嘗試後暫停。
當您在使用者混合式 Runbook 背景工作角色上啟動 Runbook 時,您可以指定其執行群組,且無法指定特定背景工作角色。 群組中的每個作用中混合式背景工作角色會每隔 30 秒輪詢一次作業,以查看是否有任何可用作業。 背景工作會先來先發地挑選工作。 視推送作業的時機而定,混合式背景工作角色群組內的混合式背景工作角色會先偵測自動化服務會先挑選作業。 作業佇列的處理時間也取決於混合式背景工作角色的硬體設定檔和負載。
單一混合式背景工作角色通常每個 Ping 可以挑選 4 個作業(也就是每 30 秒)。 如果您的推送作業速率高於每 30 秒 4,且沒有其他背景工作角色挑選工作,作業可能會因錯誤而暫停。
混合式 Runbook 背景工作角色在磁碟空間、記憶體或網路通訊端上沒有許多 Azure 沙箱 資源 限制 。 混合式背景工作角色的限制只會與背景工作角色自己的資源相關,而且不受 Azure 沙箱所擁有的公平共用 時間限制所限制 。
若要控制混合式 Runbook 背景工作角色上的 Runbook 分配,以及何時或如何觸發工作,您可以在自動化帳戶內針對不同的混合式 Runbook 背景工作角色群組註冊混合式背景工作角色。 針對特定群組或多個群組定位工作,以支援執行安排。
使用者混合式 Runbook 背景工作角色的常見案例
- 若要直接在現有 Azure 虛擬機器 (VM) 和註冊為已啟用 Azure Arc 的伺服器或已啟用 Azure Arc 的 VMware VM 的 Azure 伺服器上執行Azure 自動化客體 VM 管理 Runbook(預覽)。 已啟用 Azure Arc 的伺服器可以是 Windows 和 Linux 實體伺服器,以及裝載于 Azure 外部、公司網路上或其他雲端提供者的虛擬機器。
- 若要克服Azure 自動化沙箱限制 -- 常見案例包括針對雲端作業執行超過三小時的長時間執行作業、執行資源密集型自動化作業、與內部部署或混合式環境中執行的本機服務互動、執行需要更高許可權的腳本。
- 若要克服組織限制以在 Azure 中保留資料,因為基於治理和安全性考慮,因為您無法在雲端上執行自動化作業,所以您可以在上線為使用者混合式 Runbook 背景工作角色的內部部署機器上執行。
- 若要將多個作業自動化 -- 執行內部部署或多重雲端環境的 Off-Azure 資源。 您可以將其中一部機器上線為使用者混合式 Runbook 背景工作角色,並將目標設為本機環境中的其餘機器自動化。
- 若要從 Azure 虛擬網絡 (VNet) 私下存取其他服務,而不需開啟輸出網際網路連線,您可以在連線至 Azure VNet 的混合式背景工作角色上執行 Runbook。
混合式 Runbook 背景工作角色安裝
安裝使用者混合式 Runbook 背景工作角色的程式取決於作業系統。 下表定義部署類型。
作業系統 | 部署類型 |
---|---|
Windows | 自動化 手動: |
Linux | 手動 |
或 | 如需使用者混合式 Runbook 背景工作角色,請參閱 在自動化 中部署擴充功能型 Windows 或 Linux 使用者混合式 Runbook 背景工作角色。 這是建議的方法。 |
注意
VM 擴展集目前不支援混合式 Runbook 背景工作角色。
網路規劃
如需混合式 Runbook 背景工作角色所需的埠、URL 和其他網路詳細資料的詳細資訊,請參閱 Azure 自動化網路 設定。
使用 Proxy 伺服器
如果您使用 Proxy 伺服器在 Azure 自動化和執行 Log Analytics 代理程式的機器之間進行通訊,請確保可以存取適當的資源。 混合式 Runbook 背景工作角色和自動化服務的要求逾時為 30 秒。 嘗試三次之後,要求就會失敗。
使用防火牆
如果您使用防火牆來限制網際網路的存取,您必須將防火牆設定為允許存取。 如果使用 Log Analytics 閘道作為 Proxy,請確定已針對混合式 Runbook 背景工作角色進行設定。 請參閱為自動化混合式背景工作角色設定 Log Analytics 網路閘道。
服務標籤
Azure 自動化支援 Azure 虛擬網路服務標籤,從服務標籤 GuestAndHybridManagement 開始。 您可使用服務標籤來定義網路安全性群組或 Azure 防火牆的網路存取控制。 建立安全性規則時,可以使用服務標籤取代特定的 IP 位址。 在規則的適當來源或目的地欄位中指定服務標籤名稱 GuestAndHybridManagement,即可允許或拒絕自動化服務的流量。 此服務標籤未支援藉由將 IP 範圍限制為特定區域來允許更細微的控制。
Azure 自動化服務的服務標籤僅提供用於下列情節的 IP:
- 從虛擬網路內觸發 Webhook
- 允許 VNet 上的混合式 Runbook 背景工作或狀態設定代理程式與自動化服務通訊
注意
服務標籤 GuestAndHybridManagement 目前不支援在 Azure 沙箱中執行 Runbook 作業,僅直接在混合式 Runbook 背景工作角色上執行。
影響層級 5 的支援 (IL5)
Azure 自動化混合式 Runbook 背景工作角色可用於 Azure Government,以支援下列兩種設定中的第 5 層工作負載:
隔離的虛擬機器 。 部署時,他們會針對該電腦取用整個實體主機,以提供支援 IL5 工作負載所需的必要隔離等級。
Azure 專用主機 ,提供能夠裝載一或多個虛擬機器的實體伺服器,專用於一個 Azure 訂用帳戶。
注意
透過混合式 Runbook 背景工作角色的計算隔離適用于 Azure 商業和美國政府雲端。
混合式 Runbook 背景工作角色的更新管理位址
除了混合式 Runbook 背景工作角色所需的標準位址和埠之外,更新管理還有網路規劃 一節中所述 的其他網路設定需求。
混合式 Runbook 背景工作角色上的Azure 自動化 狀態設定
您可以在混合式 Runbook 背景工作角色上執行 Azure 自動化 狀態設定 。 若要管理支援混合式 Runbook 背景工作角色的伺服器設定,您必須將伺服器新增為 DSC 節點。 請參閱 Azure 自動化 狀態設定啟用機器以進行管理 。
混合式 Runbook 背景工作角色上的 Runbook
您可能有 Runbook 來管理本機電腦上的資源,或針對部署使用者混合式 Runbook 背景工作角色之本機環境中的資源執行。 在此案例中,您可以選擇在混合式背景工作角色上執行 Runbook,而不是在自動化帳戶中執行。 在混合式 Runbook 背景工作角色上執行的 Runbook 結構與您在自動化帳戶中執行的 Runbook 相同。 請參閱 在混合式 Runbook 背景工作 角色上執行 Runbook。
混合式 Runbook 背景工作角色工作
混合式 Runbook 背景工作角色作業會在 Windows 上的本機 系統帳戶或 Linux 上的 nxautomation 帳戶 下 執行。 Azure 自動化處理混合式 Runbook 背景工作角色上的作業,與 Azure 沙箱中執行的作業不同。 請參閱 Runbook 執行環境 。
如果混合式 Runbook 背景工作角色主機電腦重新開機,任何執行中的 Runbook 作業會從頭重新開機,或從 PowerShell 工作流程 Runbook 的最後一個檢查點重新開機。 Runbook 作業重新啟動超過三次後,即會暫停。
混合式 Runbook 背景工作角色的 Runbook 許可權
由於它們存取非 Azure 資源,所以在使用者混合式 Runbook 背景工作角色上執行的 Runbook 無法使用驗證至 Azure 資源的 Runbook 通常所使用的驗證機制。 Runbook 可為本機資源提供自己的驗證,或使用 Azure 資源的 受控識別來設定驗證 。 您也可以指定執行身分帳戶,為所有的 Runbook 提供使用者內容。
檢視系統混合式 Runbook 背景工作角色
在 Windows 或 Linux 電腦上啟用更新管理功能之後,您可以清查Azure 入口網站中的系統混合式 Runbook 背景工作角色群組清單。 您可以從所選自動化帳戶的左側窗格中, 選取 [系統混合式背景工作角色群組 ] 索引標籤 ,即可在入口網站中檢視最多 2,000 名背景工作 角色。
如果您有 2,000 多名混合式背景工作角色,若要取得其中所有背景工作角色的清單,您可以執行下列 PowerShell 腳本:
"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"
下一步
若要瞭解如何設定 Runbook 以將內部部署資料中心或其他雲端環境中的程式自動化,請參閱 在混合式 Runbook 背景工作 角色上執行 Runbook。
若要瞭解如何針對混合式 Runbook 背景工作角色進行疑難排解,請參閱 針對混合式 Runbook 背景工作角色問題 進行疑難排解。