自動化混合式 Runbook 背景工作角色概觀
重要
Azure 自動化代理程式型的使用者混合式 Runbook 背景工作角色 (Windows 和 Linux) 將於 2024 年 8 月 31 日淘汰,且自該日期之後便不會再受到支援。 您必須在 2024 年 8 月 31 日之前,完成將現有的代理程式型使用者混合式 Runbook 背景工作角色移轉至延伸模組型背景工作角色的工作。 此外,從 2023 年 11 月 1 日開始,您就無法再建立新的代理程式型混合式背景工作角色。 深入了解。
Azure 自動化中的 Runbook 可能無法存取其他雲端或內部部署環境中的資源,因為這些資源是在 Azure 雲端平台上執行。 您可以使用 Azure 自動化的混合式 Runbook 背景工作角色功能,直接在裝載角色的機器上以及針對環境中的資源執行 Runbook,從而管理這些本機資源。 Runbook 會儲存並在 Azure 自動化中管理,接著傳遞至一或多個指派的機器。
Azure 自動化透過 Azure 虛擬機器 (VM) 延伸模組架構,提供混合式 Runbook 背景工作角色的原生整合。 Azure VM 代理程式負責管理 Azure VM (Windows) 和 Linux VM 上的延伸模組,以及非 Azure 機器上的 Azure Connected Machine 代理程式,包括已啟用 Azure Arc 的伺服器和已啟用 Azure Arc 的 VMware vSphere。 如今,Azure 自動化支援兩個混合式 Runbook 背景工作角色安裝平台。
| 平台 | 描述 |
|---|---|
| 延伸模組型 (V2) | 使用混合式 Runbook 背景工作角色 VM 延伸模組進行安裝,而不需要與向 Azure 監視器 Log Analytics 工作區報告的 Log Analytics 代理程式具有相依性。 這是建議的平台。 |
| 代理程式型 (V1) | 在 Log Analytics 代理程式向 Azure 監視器 Log Analytics 工作區報告完成後進行安裝。 |
針對安裝後的混合式 Runbook 背景工作角色作業,在混合式 Runbook 背景工作角色上執行 Runbook 的流程是相同的。 延伸模組型方法旨在簡化混合式 Runbook 背景工作角色的安裝和管理,並移除使用代理程式型版本的複雜度。 新的延伸模組型安裝不會影響代理程式型混合式 Runbook 背景工作角色的安裝或管理。 兩種混合式 Runbook 背景工作角色類型可以共存於同一部機器上。
延伸模組型混合式 Runbook 背景工作角色僅支援使用者混合式 Runbook 背景工作角色類型,而且不包含更新管理功能所需的系統混合式 Runbook 背景工作角色。
延伸模組型使用者混合式背景工作角色的優點
延伸模組型方法可簡化使用者混合式 Runbook 背景工作角色的安裝和管理,並移除使用代理程式型方法的複雜度。 部分主要優點如下:
- 無縫上線 – 上線混合式 Runbook 背景工作角色的代理程式型方法取決於 Log Analytics 代理程式,這是多步驟、耗時且容易出錯的程序。 延伸模組型方法不再相依於 Log Analytics 代理程式。
- 易於管理 – 可針對混合式 Runbook 背景工作角色進行 ARM 身分識別的原生整合,並透過原則和範本提供大規模控管的彈性。
- Microsoft Entra ID 型驗證 – 使用 Microsoft Entra ID 提供的 VM 系統指派受控識別。 這會集中控制且集中管理身分識別和資源認證。
- 整合體驗 – 提供相同的體驗以管理 Azure 和 Azure 之外啟用 Arc 的機器。
- 多個上線通道 – 您可以選擇透過 Azure 入口網站、PowerShell Cmdlet、Bicep、ARM 範本、REST API 和 Azure CLI 來上線和管理延伸模組型背景工作角色。 您也可在該機器的 Azure 入口網站體驗內,透過 [延伸模組] 刀鋒視窗將延伸模組安裝在現有的 Azure VM 或已啟用 Arc 的伺服器上。
- 預設自動升級 – 預設提供自動升級次要版本,以大幅降低保持更新最新版本的管理性。 建議啟用自動升級,以利用任何安全性或功能更新,而不會產生手動額外負荷。 您也可以隨時退出自動升級。 目前不支援任何主要版本升級,而且應該手動管理。
Runbook 背景工作角色類型
有兩種 Runbook 背景工作角色類型 - 系統和使用者。 下表說明兩種類型之間的差異。
| 類型 | 描述 |
|---|---|
| 系統 | 支援更新管理功能所使用的一組隱藏 Runbook,其設計旨在安裝 Windows 和 Linux 機器上使用者指定的更新。 此類型的混合式 Runbook 背景工作角色不是混合式 Runbook 背景工作角色群組的成員,因此不會執行以 Runbook 背景工作角色群組為目標的 Runbook。 |
| 使用者 | 支援使用者定義 Runbook,這些 Runbook 用於直接在 Windows 和 Linux 機器上執行。 |
代理程式型 (V1) 混合式 Runbook 背景工作角色依賴向 Azure 監視器 Log Analytics 工作區回報的 Log Analytics 代理程式。 該工作區不僅要從機器收集監視資料,也要下載安裝代理程式型混合式 Runbook 背景工作角色所需的元件。
當 Azure 自動化更新管理啟用時,任何連線到您 Log Analytics 工作區的機器都會自動設定為系統混合式 Runbook 背景工作角色。 如需將其設定為使用者 Windows 混合式 Runbook 背景工作角色,請參閱在自動化中部署代理程式型 Windows 混合式 Runbook 背景工作角色,針對 Linux,請參閱在自動化中部署代理程式型 Linux 混合式 Runbook 背景工作角色。
Runbook 背景工作角色限制
下表顯示自動化帳戶中的系統與使用者混合式 Runbook 背景工作角色數目上限。 如果您有 4,000 部以上的機器要管理,建議您建立另一個自動化帳戶。
| 背景工作角色類型 | 每個自動化帳所支援的最大數目。 |
|---|---|
| 系統 | 4000 |
| User | 4000 |
如何運作?
每一個使用者混合式 Runbook 背景工作角色是您安裝背景工作角色時指定的混合式 Runbook 背景工作群組的成員。 群組可包含單一背景工作角色,但您可以在群組中安裝多個背景工作角色以取得高可用性。 每部機器都可裝載一個混合式 Runbook 背景工作角色,其會報告給一個自動化帳戶;您無法跨多個自動化帳戶註冊混合式背景工作角色。 混合式背景工作角色只能接聽來自單一自動化帳戶的工作。
對於裝載由「更新管理」所管理系統混合式 Runbook 背景工作角色的機器,您可將這些機器新增至混合式 Runbook 背景工作角色群組。 但針對更新管理和混合式 Runbook 背景工作角色群組成員資格,您必須使用相同的自動化帳戶。
具有混合式 Runbook 背景工作角色的混合式背景工作角色群組的設計,是透過將作業配置到多個背景工作角色,來提供高可用性和負載平衡。 如要成功執行 Runbook,混合式背景工作角色必須狀況良好並提供活動訊號。 混合式背景工作角色可在輪詢機制上運作,以挑選作業。 如果混合式背景工作角色群組內沒有任何背景工作角色在過去 30 分鐘內向自動化服務進行 Ping,這表示群組沒有任何作用中的背景工作角色。 在此案例中,作業會在三次重試嘗試之後暫停。
在使用者混合式 Runbook 背景工作角色啟動 Runbook 時,請指定要執行該 Runbook 的群組,但無法指定特定背景工作角色。 群組中的每個作用中混合式背景工作角色會每隔 30 秒輪詢一次作業,以查看是否有任何可用作業。 背景工作角色會根據先到先得的原則挑選工作。 視推送工作的時間而定,混合式背景工作角色群組內的任何混合式背景工作角色都會先向先挑選作業的自動化服務進行 Ping。 作業佇列的處理時間也取決於混合式背景工作角色的硬體設定檔和負載。
單一混合式背景工作角色通常會在每次 Ping 挑選 4 個工作 (也就是每 30 秒一次)。 如果您的推送工作速率高於每 30 秒 4 次且且背景工作角色未挑選工作,則工作可能會因錯誤而暫止。
混合式 Runbook 背景工作角色沒有很多在磁碟空間、記憶體或網路通訊端上的 Azure 沙箱資源限制。 混合式背景工作角色的限制只與背景工作角色自身的資源相關聯,而且不受 Azure 沙箱所擁有的公平共用時間限制所約束。
若要控制混合式 Runbook 背景工作角色上的 Runbook 分配,以及何時或如何觸發工作,您可以在自動化帳戶內針對不同的混合式 Runbook 背景工作角色群組註冊混合式背景工作角色。 針對特定群組或多個群組定位工作,以支援執行安排。
使用者混合式 Runbook 背景工作角色的常見案例
- 若要執行 Azure 自動化 Runbook,以直接在現有的 Azure 虛擬機器 (VM) 和已註冊為已啟用 Azure Arc 伺服器或已啟用 Azure Arc VMware VM (預覽) 的 Azure 外部伺服器進行客體內部 VM 管理, 已啟用 Azure Arc 的伺服器可以是裝載於 Azure 外部、公司網路上或其他雲端提供者上的 Windows 和 Linux 實體伺服器與虛擬機器。
- 若要克服 Azure 自動化沙箱限制 (常見案例包含:針對雲端作業直協超過三小時的長執行作業、執行資源密集的自動化作業、與內部部署或混合式環境執行的本機服務互動),請執行需要更高權限的指令碼。
- 若要克服組織限制,基於控管和安全性雲原因而將資料保留在 Azure 中,但由於您無法直接在雲端上執行自動化作業,因此您可在以使用者混合式 Runbook 背景工作角色上線的內部部署機器上執行。
- 若要在執行內部部署或多重雲端環境的多個 Azure 外部資源上自動化作業, 您可以使用者混合式 Runbook 背景工作角色上線其中一個機器,並將目標設為本機環境中的其餘機器自動化。
- 若要在未開啟輸出網路連線時從 Azure 虛擬網路 (VNet) 私下存取其他服務,您可以在連線至 Azure VNet 的混合式背景工作角色上執行 Runbook。
混合式 Runbook 背景工作角色安裝
安裝使用者混合式 Runbook 背景工作角色的流程取決於作業系統而定。 下表定義部署類型。
| 作業系統 | 部署類型 |
|---|---|
| Windows | 自動化 手動: |
| Linux | 手動 |
| 或 | 對於使用者混合式 Runbook 背景工作角色,請參閱在自動化中部署擴充功能型的 Windows 或 Linux 使用者混合式 Runbook 背景工作角色。 這是建議的方法。 |
注意
VM 擴展集目前尚未支援混合式 Runbook 背景工作角色。
網路規劃
如需混合式 Runbook 背景工作角色所需的連接埠、URL 和其他網路詳細資料的詳細資訊,請參閱 Azure 自動化網路組態。
使用 Proxy 伺服器
如果您使用 Proxy 伺服器在 Azure 自動化和執行 Log Analytics 代理程式的機器之間進行通訊,請確保可以存取適當的資源。 混合式 Runbook 背景工作角色和自動化服務要求的逾時為 30 秒。 嘗試三次之後,要求就會失敗。
使用防火牆
如果您使用防火牆來限制網際網路存取,您必須設定防火牆以允許存取。 如果您使用 Log Analytics 閘道作為 Proxy,請確保已針對混合式 Runbook 背景工作角色進行設定。 請參閱為自動化混合式背景工作角色設定 Log Analytics 網路閘道。
服務標籤
Azure 自動化支援 Azure 虛擬網路服務標籤,從服務標籤 GuestAndHybridManagement 開始。 您可使用服務標籤來定義網路安全性群組或 Azure 防火牆的網路存取控制。 建立安全性規則時,可以使用服務標籤取代特定的 IP 位址。 在規則的適當來源或目的地欄位中指定服務標籤名稱 GuestAndHybridManagement,即可允許或拒絕自動化服務的流量。 此服務標籤未支援藉由將 IP 範圍限制為特定區域來允許更細微的控制。
Azure 自動化服務的服務標籤僅提供用於下列情節的 IP:
- 從您的虛擬網路中觸發 Webhook
- 允許 VNet 上的混合式 Runbook 背景工作角色或狀態設定代理程式,來與自動化服務通訊
注意
服務標籤 GuestAndHybridManagement 目前未支援在 Azure 沙箱中執行 Runbook 工作,僅支援直接在混合式 Runbook 背景工作角色上執行工作。
影響等級 5 (IL5) 支援
Azure 自動化混合式 Runbook 背景工作角色可用於 Azure Government,以支援下列兩種設定中的影響等級 5 工作負載:
隔離式虛擬機器。 這些虛擬機器在部署時會針對該機器取用整個實體主機,以提供支援 IL5 工作負載所需的隔離等級。
Azure 專用主機可讓實體伺服器裝載一或多個虛擬機器,專用於一個 Azure 訂用帳戶。
注意
透過混合式 Runbook 背景工作角色計算隔離可用於 Azure 商業和美國政府雲端。
混合式 Runbook 背景工作角色的更新管理位址
除了混合式 Runbook 背景工作角色所需的標準位址和連接埠之外,更新管理還有其他網路設定需求,如網路規劃一節所述。
混合式 Runbook 背景工作角色上的 Azure 自動化狀態設定
您可以在混合式 Runbook 背景工作角色上執行 Azure 自動化狀態設定。 若要管理支援混合式 Runbook 背景工作角色的伺服器設定,您必須將伺服器新增為 DSC 節點。 請參閱讓機器能夠由 Azure 自動化狀態設定管理。
在混合式 Runbook 背景工作角色上啟動 Runbook
您的 Runbook 可能會管理本機機器上的資源,或對本機環境 (已部署使用者混合式 Runbook 背景工作角色) 中的資源執行。 在此案例中,您可以選擇在混合式背景工作角色上執行 Runbook,而不是在自動化帳戶中執行。 在混合式 Runbook 背景工作角色上執行的 Runbook,在結構上與您在自動化帳戶中執行的那些相同。 請參閱在混合式 Runbook 背景工作角色上啟動 Runbook。
混合式 Runbook 背景工作角色作業
混合式 Runbook 背景工作角色作業是在 Windows 上的本機 System 帳戶或在 Linux 上的 nxautomation 帳戶下執行。 Azure 自動化在混合式 Runbook 背景工作角色上處理工作的方式與在 Azure 沙箱中執行的工作有所不同。 請參閱 Runbook 執行環境。
如果混合式 Runbook 背景工作角色主機電腦重新開機,則任何執行中的 Runbook 作業都會從頭重新啟動,或是從 PowerShell 工作流程 Runbook 的最後一個檢查點重新啟動。 Runbook 作業重新啟動超過三次後,即會暫停。
混合式 Runbook 背景工作角色的 Runbook 權限
由於其會存取非 Azure 資源,因此在使用者混合式 Runbook 背景工作角色上執行的 Runbook 不能使用 Runbook 通常用來向 Azure 資源進行驗證的驗證機制。 Runbook 會提供自己的驗證給本機資源,或使用 Azure 資源的受控識別來設定驗證。 您也可以指定執行身分帳戶,為所有的 Runbook 提供使用者內容。
檢視系統混合式 Runbook 背景工作角色
在 Windows 或 Linux 機器上啟用更新管理功能之後,您可以清查Azure 入口網站中的系統混合式 Runbook 背景工作角色群組清單。 您可以在入口網站中檢視最多 2,000 個背景工作角色,方法是從所選自動化帳戶的左側窗格中的選項 [混合式背景工作角色群組] 中選取 [系統混合式背景工作角色群組] 索引標籤。
如果您有 2,000 個以上的混合式背景工作角色,若要取得所有背景工作角色的清單,您可以執行下列 PowerShell 指令碼:
"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"
下一步
若要了解如何設定您的 Runbook,將您在內部部署資料中心或其他雲端環境中的程序自動化,請參閱在混合式 Runbook 背景工作角色上執行 Runbook。
若要了解如何對混合式 Runbook 背景工作角色進行疑難排解,請參閱對混合式 Runbook 背景工作角色問題進行疑難排解。