Share via

تشغيل دلائل التشغيل التلقائي على Hybrid Runbook Worker

  • مقالة

هام

  • سيتقاعد عامل دفتر التشغيل المختلط للمستخدم المستند إلى عامل Azure Automation (Windows وLinux) في 31 أغسطس 2024 ولن يتم دعمه بعد ذلك التاريخ. يجب إكمال ترحيل عاملي دفتر التشغيل المختلط الحاليين المستندين إلى العامل إلى العمال المستندين إلى الملحقات قبل 31 أغسطس 2024. علاوة على ذلك، اعتبارا من 1 نوفمبر 2023، لن يكون من الممكن إنشاء عمال مختلطين جدد يستندون إلى عامل. اعرف المزيد.
  • سيتم إيقاف Azure Automation Run As Account في 30 سبتمبر 2023 وسيتم استبداله بالهويات المدارة. قبل ذلك التاريخ، ستحتاج إلى البدء في ترحيل دفاتر التشغيل لاستخدام الهويات المدارة. لمزيد من المعلومات، راجع الترحيل من حسابات "تشغيل باسم" موجودة إلى هوية مدارة لبدء ترحيل دفاتر التشغيل من حساب "تشغيل باسم" إلى الهويات المدارة قبل 30 سبتمبر 2023.

تبادر دلائل التشغيل التي تعمل على Hybrid Runbook Worker عادة بإدارة الموارد على الكمبيوتر المحلي أو مقابل الموارد الموجودة في البيئة المحلية حيث يتم توزيع العامل. عادة ما تدير دلائل التشغيل في Azure Automation الموارد في سحابة Azure. على الرغم من أنها تستخدم بشكل مختلف، فإن دلائل التشغيل التي تعمل في Azure Automation ودلائل التشغيل التي تعمل على Hybrid Runbook Worker متطابقة في البنية.

عند تأليف دليل تشغيل لتشغيله على Hybrid Runbook Worker، يجب تحرير واختبار دليل التشغيل على الجهاز الذي يستضيف العامل. يحتوي الجهاز المضيف على جميع وحدات PowerShell والوصول إلى الشبكة المطلوبة لإدارة الموارد المحلية. بمجرد أن تختبر دليل التشغيل على جهاز Hybrid Runbook Worker، يمكنك عندئذ تحميله إلى بيئة Azure Automation، حيث يمكن تشغيله على العامل.

التخطيط لخدمات Azure المحمية بجدار الحماية

تمكين جدار حماية Azure على Azure Storage،Azure Key VaultأوAzure SQL يمنع الوصول من دفاتر تشغيل Azure Automation لتلك الخدمات. سيتم حظر الوصول حتى في حالة تمكين استثناء جدار الحماية للسماح بخدمات Microsoft الموثوق بها، لأن التنفيذ التلقائي ليس جزءًا من قائمة الخدمات الموثوق بها. بتمكين جدار الحماية، يمكن الوصول فقط باستخدام Hybrid Runbook Worker ونقطة نهاية خدمة الشبكة الظاهرية.

تخطيط سلوك مهمة دليل التشغيل

يعالج Azure Automation الوظائف على Hybrid Runbook Workers بشكل مختلف عن المهام التي يتم تشغيلها في بيئة الاختبار المعزولة السحابية. إذا كان لديك دليل تشغيل طويل الأمد، فتأكد من أنه مرن في إعادة التشغيل المحتملة. للحصول على تفاصيل سلوك المهمة، راجع مهام Hybrid Runbook Worker.

حسابات الخدمة

Windows Hybrid Worker

مهام لـ Hybrid Runbook Workers تعمل تحت حساب النظام المحلي.

إشعار

  • يتم دعم دفاتر تشغيل PowerShell 5.1 وPowerShell 7.1 (معاينة) وPython 2.7 وPython 3.8 على كل من Windows Hybrid Runbook Workers المستند إلى الملحق والقائم على العامل. بالنسبة للعاملين المستندين إلى العامل، تأكد من أن إصدار عامل Windows Hybrid هو 7.3.12960 أو أعلى.
  • يتم دعم دفاتر تشغيل PowerShell 7.2 وPython 3.10 (معاينة) على Windows Hybrid Workers المستندة إلى الملحق فقط. تأكد من أن إصدار ملحق عامل Windows Hybrid هو 1.1.11 أو أعلى.

إشعار

لإنشاء متغير بيئة في أنظمة Windows، اتبع الخطوات التالية:

  1. انتقل إلى الإعدادات النظام المتقدم لوحة التحكم> System.>
  2. في خصائص النظام، حدد متغيرات البيئة.
  3. في متغيرات النظام، حدد جديد.
  4. قم بتوفير اسم المتغير وقيمة المتغير، ثم حدد موافق.
  5. أعد تشغيل الجهاز الظاهري أو تسجيل الخروج من المستخدم الحالي وقم بتسجيل الدخول لتنفيذ تغييرات متغير البيئة.

PowerShell 7.2

لتشغيل دفاتر تشغيل PowerShell 7.2 على Windows Hybrid Worker، قم بتثبيت PowerShell على Hybrid Worker. راجع تثبيت PowerShell على Windows.

بعد اكتمال تثبيت PowerShell 7.2، أنشئ متغير بيئة باسم متغير كقيمة powershell_7_2_path ومتغير كموقع ل PowerShell القابل للتنفيذ. أعد تشغيل Hybrid Runbook Worker بعد إنشاء متغير البيئة بنجاح.

PowerShell 7.1

لتشغيل دفاتر تشغيل PowerShell 7.1 على Windows Hybrid Worker، قم بتثبيت PowerShell على Hybrid Worker. راجع تثبيت PowerShell على Windows. تأكد من إضافة ملف PowerShell إلى متغير بيئة PATH وإعادة تشغيل Hybrid Runbook Worker بعد التثبيت.

Python 3.10

لتشغيل دفاتر تشغيل Python 3.10 على Windows Hybrid Worker، قم بتثبيت Python على Hybrid Worker. راجع تثبيت Python على Windows.

بعد اكتمال تثبيت Python 3.10، قم بإنشاء متغير بيئة باسم متغير كقيمة python_3_10_path ومتغير كموقع ل Python القابل للتنفيذ. أعد تشغيل Hybrid Runbook Worker بعد إنشاء متغير البيئة بنجاح.

Python 3.8

لتشغيل دفاتر تشغيل Python 3.8 على Windows Hybrid Worker، قم بتثبيت Python على Hybrid Worker. راجع تثبيت Python على Windows. إنشاء PYTHON_3_PATH متغيرالبيئة لدفاتر تشغيل Python 3.8 والتأكد من إضافة موقع Python القابل للتنفيذ كقيمة متغيرة. أعد تشغيل Hybrid Runbook Worker بعد إنشاء متغير البيئة بنجاح.

إذا كان ملف Python القابل للتنفيذ في الموقع الافتراضي C:\WPy64-3800\python-3.8.0.amd64\python.exe، فلن تحتاج إلى إنشاء متغير البيئة.

Python 2.7

لتشغيل دفاتر تشغيل Python 2.7 على Windows Hybrid Worker، قم بتثبيت Python على Hybrid Worker. راجع تثبيت Python على Windows. إنشاء PYTHON_2_PATH متغيرالبيئة لدفاتر تشغيل Python 2.7 والتأكد من إضافة موقع ملف Python القابل للتنفيذ كقيمة متغيرة. أعد تشغيل Hybrid Runbook Worker بعد إنشاء متغير البيئة بنجاح.

إذا كان ملف Python القابل للتنفيذ في الموقع الافتراضي C:\Python27\python.exe، فلن تحتاج إلى إنشاء متغير البيئة.

Linux Hybrid Worker

إشعار

  • يتم دعم PowerShell 5.1 وPowerShell 7.1 (معاينة) وPython 2.7 وPython 3.8 على كل من Linux Hybrid Runbook Workers المستندة إلى الامتداد والقائمة على العامل. بالنسبة للعمال المستندين إلى العامل، تأكد من أن إصدار عامل Linux Hybrid Runbook هو 1.7.5.0 أو أعلى.
  • يتم دعم دفاتر تشغيل PowerShell 7.2 وPython 3.10 (معاينة) على Linux Hybrid Workers المستندة إلى الامتداد فقط. تأكد من أن إصدار ملحق عامل Linux Hybrid هو 1.1.11 أو أعلى.

إشعار

لإنشاء متغير بيئة في أنظمة Linux، اتبع الخطوات التالية:

  1. فتح /etc/environment.
  2. إنشاء متغير بيئة جديد عن طريق إضافة VARIABLE_NAME="variable_value" في سطر جديد في /etc/environment (VARIABLE_NAME هو اسم متغير البيئة الجديد ويمثل variable_value القيمة التي سيتم تعيينها).
  3. أعد تشغيل الجهاز الظاهري أو تسجيل الخروج من المستخدم الحالي وقم بتسجيل الدخول بعد حفظ التغييرات إلى /etc/environment لتنفيذ تغييرات متغير البيئة.

PowerShell 7.2

لتشغيل دفاتر تشغيل PowerShell 7.2 على Linux Hybrid Worker، قم بتثبيت ملف PowerShell على Hybrid Worker. لمزيد من المعلومات، راجع تثبيت PowerShell على Linux.

بعد اكتمال تثبيت PowerShell 7.2، أنشئ متغير بيئة باسم متغير كقيمة powershell_7_2_path ومتغير كموقع لملف PowerShell القابل للتنفيذ. أعد تشغيل Hybrid Runbook Worker بعد إنشاء متغير بيئة بنجاح.

Python 3.10

لتشغيل دفاتر تشغيل Python 3.10 على Linux Hybrid Worker، قم بتثبيت Python على Hybrid Worker. لمزيد من المعلومات، راجع تثبيت Python 3.10 على Linux.

بعد اكتمال تثبيت Python 3.10، قم بإنشاء متغير بيئة باسم متغير كقيمة python_3_10_path ومتغير كموقع لملف Python القابل للتنفيذ. أعد تشغيل Hybrid Runbook Worker بعد إنشاء متغير البيئة بنجاح.

Python 3.8

لتشغيل دفاتر تشغيل Python 3.8 على Linux Hybrid Worker، قم بتثبيت Python على Hybrid Worker. تأكد من إضافة ملف Python القابل للتنفيذ إلى متغير بيئة PATH وإعادة تشغيل Hybrid Runbook Worker بعد التثبيت.

Python 2.7

لتشغيل دفاتر تشغيل Python 2.7 على Linux Hybrid Worker، قم بتثبيت Python على Hybrid Worker. تأكد من إضافة ملف Python القابل للتنفيذ إلى متغير بيئة PATH وإعادة تشغيل Hybrid Runbook Worker بعد التثبيت.

تكوين أذونات دليل التشغيل

تعريف أذونات لدليل التشغيل لتعمل على Hybrid Runbook Worker بالطرق التالية:

  • اسمح لدليل التشغيل بتوفير المصادقة الخاصة به إلى الموارد المحلية.
  • بادر بتكوين المصادقة باستخدام الهويات المُدارة لموارد Azure.
  • حدد بيانات اعتماد Hybrid Worker لتوفير سياق مستخدم لكافة دفاتر التشغيل.

استخدام مصادقة دليل التشغيل للموارد المحلية

إذا كان إعداد دليل تشغيل يوفر المصادقة الخاصة به للموارد، استخدم أصول بيانات الاعتماد والشهادة في دليل التشغيل لديك. هناك العديد من cmdlets التي تسمح لك بتحديد بيانات الاعتماد بحيث يمكن مصادقة دليل التشغيل إلى موارد مختلفة. يعرض المثال التالي جزءًا من دليل تشغيل يقوم بإعادة تشغيل جهاز كمبيوتر. حيث يسترد بيانات الاعتماد من أصل بيانات اعتماد واسم الكمبيوتر من أصل متغير ثم يستخدم هذه القيم مع cmdlet Restart-Computer.

$Cred = Get-AutomationPSCredential -Name "MyCredential"
$Computer = Get-AutomationVariable -Name "ComputerName"

Restart-Computer -ComputerName $Computer -Credential $Cred

يمكنك أيضًا استخدام نشاط InlineScript. يسمح لك InlineScript بتشغيل كتل من التعليمات البرمجية على كمبيوتر آخر باستخدام بيانات الاعتماد.

استخدام مصادقة دليل التشغيل مع الهويات المدارة

بإمكان Hybrid Runbook Workers على أجهزة Azure الظاهرية استخدام الهويات المدارة للمصادقة على موارد Azure. إن استخدام الهويات المدارة لموارد Azure بدلاً من حسابات «تشغيل باسم» توفر فوائد لأنك لا تحتاج إلى:

  • تصدير شهادة «تشغيل باسم» ثم استيرادها في Hybrid Runbook Worker.
  • جدد الشهادة المستخدمة من قبل حساب «تشغيل باسم».
  • معالجة كائن اتصال «تشغيل باسم» في التعليمات البرمجية لدفتر التشغيل.

هناك طريقتان لاستخدام الهويات المدارة في البرامج النصية لعامل دفتر التشغيل المختلط.

  1. استخدم الهوية المدارة المعينة من قبل النظام لحساب التنفيذ التلقائي:

    1. تكوين هوية مدارة معينة من قبل النظام لحساب التنفيذ التلقائي.

    2. امنح هذه الهوية الأذونات المطلوبة داخل الاشتراك لتنفيذ مهمتها.

    3. حدّث دليل التشغيل لاستخدام cmdlet Connect-AzAccount مع المعلمة Identity للمصادقة على موارد Azure. يقلل هذا التكوين الحاجة إلى استخدام حساب «تشغيل باسم» وإجراء إدارة الحساب المقترنة.

      # Ensures you do not inherit an AzContext in your runbook
Disable-AzContextAutosave -Scope Process

# Connect to Azure with system-assigned managed identity
$AzureContext = (Connect-AzAccount -Identity).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile
$AzureContext

# Get all VM names from the subscription
Get-AzVM -DefaultProfile $AzureContext | Select Name

    إشعار

    لا يمكن استخدام هوية المستخدم المدارة لحساب التنفيذ التلقائي على Hybrid Runbook Worker، يجب أن يكون هوية النظام المدارة لحساب التنفيذ التلقائي.

  2. بالنسبة إلى Azure VM الذي يعمل كعامل دفتر تشغيل مختلط، استخدم الهوية المدارة للجهاز الظاهري. في هذه الحالة، يمكنك استخدام إما الهوية المدارة المعينة من قبل المستخدم للجهاز الظاهري أو الهوية المدارة المعينة من قبل النظام للجهاز الظاهري.

    إشعار

    لن يعمل هذا في حساب التنفيذ التلقائي الذي تم تكوينه باستخدام الهوية المدارة لحساب التنفيذ التلقائي. بمجرد تمكين حساب Automation Managed Identity، لم يعد من الممكن استخدام الهوية المدارة للجهاز الظاهري، ومن ثم، من الممكن فقط استخدام الهوية المدارة المعينة من قبل نظام حساب التنفيذ التلقائي كما هو مذكور في الخيار 1 أعلاه.

    استخدم أي من الهويات المدارة التالية:

    1. تكوين هوية مدارة للنظام للجهاز الظاهري.
    2. امنح هذه الهوية الأذونات المطلوبة داخل الاشتراك لتنفيذ مهامها.
    3. قم بتحديث دفتر التشغيل لاستخدام الاتصال-Az-Account cmdlet مع المعلمة Identity للمصادقة على موارد Azure. يقلل هذا التكوين من الحاجة إلى استخدام حساب "تشغيل باسم" وتنفيذ إدارة الحساب المقترنة.
        # Ensures you do not inherit an AzContext in your runbook
    Disable-AzContextAutosave -Scope Process

    # Connect to Azure with system-assigned managed identity
    $AzureContext = (Connect-AzAccount -Identity).context

    # set and store context
    $AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile
    $AzureContext

    # Get all VM names from the subscription
    Get-AzVM -DefaultProfile $AzureContext | Select Name

خادم ممكن بواسطة Arc أو VMware vSphere VM ممكن بواسطة Arc يعمل كعامل دفتر تشغيل مختلط لديه بالفعل هوية نظام مدارة مضمنة معينة إليه والتي يمكن استخدامها للمصادقة.

  1. يمكنك منح هذه الهوية المدارة حق الوصول إلى الموارد في اشتراكك في جزء التحكم في الوصول (IAM) للمورد عن طريق إضافة تعيين الدور المناسب.

    Screenshot of how to select managed identities.

  2. أضف هوية Azure Arc المدارة إلى الدور الذي اخترته كما هو مطلوب.

    Screenshot of how to add role assignment in the Access control blade.

إشعار

لن يعمل هذا في حساب التنفيذ التلقائي الذي تم تكوينه باستخدام الهوية المدارة لحساب التنفيذ التلقائي. بمجرد تمكين حساب Automation Managed Identity، لم يعد من الممكن استخدام Arc Managed Identity ثم، من الممكن فقط استخدام الهوية المدارة المعينة من قبل نظام حساب التنفيذ التلقائي كما هو مذكور في الخيار 1 أعلاه.

إشعار

بشكل افتراضي، يتم حفظ سياقات Azure للاستخدام بين جلسات عمل PowerShell. من الممكن أنه عند مصادقة دفتر تشغيل سابق على Hybrid Runbook Worker مع Azure، يستمر هذا السياق على القرص في ملف تعريف System PowerShell، وفقا لسياقات Azure وبيانات اعتماد تسجيل الدخول | Microsoft Docs. على سبيل المثال، يمكن لدفتر التشغيل مع Get-AzVM إرجاع جميع الأجهزة الظاهرية في الاشتراك دون استدعاء إلى Connect-AzAccount، وسيكون المستخدم قادرا على الوصول إلى موارد Azure دون الحاجة إلى المصادقة داخل دفتر التشغيل هذا. يمكنك تعطيل الحفظ التلقائي للسياق في Azure PowerShell، كما هو مفصل هنا.

استخدام مصادقة دفتر التشغيل مع بيانات اعتماد العامل المختلط

بدلا من أن يوفر دفتر التشغيل الخاص بك المصادقة الخاصة به للموارد المحلية، يمكنك تحديد بيانات اعتماد العامل المختلط لمجموعة Hybrid Runbook Worker. لتحديد بيانات اعتماد العامل المختلط، يجب تعريف أصل بيانات اعتماد لديه حق الوصول إلى الموارد المحلية. تشمل هذه الموارد مخازن الشهادات ويتم تشغيل جميع دلائل التشغيل ضمن بيانات الاعتماد هذه على Hybrid Runbook Worker في المجموعة.

  • يجب أن يكون اسم المستخدم لبيانات الاعتماد في أحد التنسيقات التالية:

    • نطاق\اسم المستخدم
    • username@domain
    • اسم المستخدم (للحسابات المحلية على الكمبيوتر المحلي)

  • لاستخدام Export-RunAsCertificateToHybridWorker في دليل تشغيل PowerShell، تحتاج إلى تثبيت وحدات Az لـ Azure Automation على الجهاز المحلي.

استخدام أصل بيانات اعتماد لمجموعة Hybrid Runbook Worker

بشكل افتراضي، يتم تشغيل المهام المختلطة ضمن سياق حساب النظام. ومع ذلك، لتشغيل المهام المختلطة ضمن أصل بيانات اعتماد مختلف، اتبع الخطوات:

  1. أنشئ أصل بيانات اعتماد مع إمكانية الوصول إلى الموارد المحلية.
  2. افتح حساب Automation في مدخل Azure.
  3. حدد مجموعات Hybrid Worker، ثم حدد المجموعة المحددة.
  4. حدد الإعدادات.
  5. تغيير قيمة بيانات اعتماد العامل المختلط من افتراضي إلى مخصص.
  6. حدد بيانات الاعتماد وانقر فوق حفظ.
  7. إذا لم يتم تعيين الأذونات التالية للمستخدمين المخصصين، فقد يتم تعليق المهام.
نوع المورد أذونات المجلد
جهاز Azure الافتراضي C:\Packages\Plugins\Microsoft.Azure.Automation.HybridWorker.HybridWorkerForWindows (قراءة وتنفيذ)
خادم ممكن بواسطة Arc C:\ProgramData\Azure الاتصال edMachineAgent\Tokens (قراءة)
C:\Packages\Plugins\Microsoft.Azure.Automation.HybridWorker.HybridWorkerForWindows (قراءة وتنفيذ)

إشعار

لا يدعم Linux Hybrid Worker بيانات اعتماد العامل المختلط.

بدء دليل تشغيل على Hybrid Runbook Worker

بدء دليل تشغيل في أتمتة Azure Automation يصف أساليب مختلفة لبدء دليل التشغيل. يستخدم بدء دليل تشغيل على Hybrid Runbook Worker خيار تشغيل على الذي يسمح لك بتحديد اسم مجموعة Hybrid Runbook Worker. عند تحديد مجموعة، يقوم أحد العمال في تلك المجموعة باسترداد سجل التشغيل وتشغيله. إذا لم يحدد سجل التشغيل هذا الخيار، فسيقوم Azure Automation بتشغيل دليل التشغيل كالمعتاد.

عند بدء دليل تشغيل في مدخل Azure، يظهر لك خيار تشغيل على الذي يمكنك تحديد Azure أو Hybrid Worker من أجله. حدد Hybrid Worker، لاختيار مجموعة Hybrid Runbook Worker من القائمة المنسدلة.

Screenshot showing how to select the Hybrid Runbook Worker group.

عند بدء دليل تشغيل باستخدام PowerShell، استخدم المعلمة RunOn مع cmdlet Start-AzAutomationRunbook. يستخدم المثال التالي Windows PowerShell لبدء دليل تشغيل يسمى Test-Runbook على مجموعة Hybrid Runbook Worker تسمى MyHybridGroup.

Start-AzAutomationRunbook -AutomationAccountName "MyAutomationAccount" -Name "Test-Runbook" -RunOn "MyHybridGroup"

العمل باستخدام دلائل التشغيل الموقّعة على Windows Hybrid Runbook Worker

يمكنك تكوين Windows Hybrid Runbook Worker لتشغيل دلائل التشغيل الموقّعة فقط.

هام

بمجرد Hybrid Runbook Worker لتشغيل دلائل التشغيل الموقّعة فقط، يفشل تنفيذ دلائل التشغيل غير الموقّعة على العامل.

إشعار

لا يدعم PowerShell 7.x دلائل التشغيل الموقّعة لـ Hybrid Runbook Worker على Windows وLinux.

إنشاء شهادة توقيع

ينشئ المثال التالي شهادة موقعة ذاتيًا يمكن استخدامها لتوقيع دلائل التشغيل. تبادر هذه التعليمة البرمجية بإنشاء الشهادة وتصديرها بحيث يمكن لـ Hybrid Runbook Worker استيرادها لاحقًا. يتم إرجاع بصمة الإبهام أيضًا لاستخدامها لاحقًا في الرجوع إلى الشهادة.

# Create a self-signed certificate that can be used for code signing
$SigningCert = New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\my `
    -Subject "CN=contoso.com" `
    -KeyAlgorithm RSA `
    -KeyLength 2048 `
    -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
    -KeyExportPolicy Exportable `
    -KeyUsage DigitalSignature `
    -Type CodeSigningCert

# Export the certificate so that it can be imported to the hybrid workers
Export-Certificate -Cert $SigningCert -FilePath .\hybridworkersigningcertificate.cer

# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root

# Retrieve the thumbprint for later use
$SigningCert.Thumbprint

استيراد الشهادة وتكوين العاملين للتحقق من صحة التوقيع

انسخ الشهادة التي أنشأتها لكل Hybrid Runbook Worker في مجموعة. شغّل البرنامج النصي التالي لاستيراد الشهادة وتكوين العاملين لاستخدام التحقق من صحة التوقيع على دلائل التشغيل.

# Install the certificate into a location that will be used for validation.
New-Item -Path Cert:\LocalMachine\AutomationHybridStore
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\AutomationHybridStore

# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root

# Configure the hybrid worker to use signature validation on runbooks.
Set-HybridRunbookWorkerSignatureValidation -Enable $true -TrustedCertStoreLocation "Cert:\LocalMachine\AutomationHybridStore"

توقيع دلائل التشغيل باستخدام الشهادة

باستخدام Hybrid Runbook Workers المكوّنة لاستخدام دلائل التشغيل الموقّعة فقط، يجب عليك توقيع دلائل التشغيل التي سيتم استخدامها على Hybrid Runbook Worker. استخدم نموذج تعليمات PowerShell البرمجية التالية لتوقيع دلائل التشغيل هذه.

$SigningCert = ( Get-ChildItem -Path cert:\LocalMachine\My\<CertificateThumbprint>)
Set-AuthenticodeSignature .\TestRunbook.ps1 -Certificate $SigningCert

عند توقيع دليل تشغيل، يجب أن تستورده إلى حسابك على Automation وتنشره مع كتلة التوقيع. لمعرفة كيفية استيراد دلالئل التشغيل، راجع استيراد دليل تشغيل.

إشعار

استخدم أحرف النص العادي فقط في التعليمات البرمجية لدليل التشغيل، بما في ذلك التعليقات. سيؤدي استخدام أحرف ذات علامات تشكيل، مثل á أو ñ، إلى حدوث خطأ. عندما يبادر Azure Automation بتنزيل تعليماتك البرمجية، سيتم استبدال الأحرف بعلامة استفهام وسيفشل التوقيع مع عرض الرسالة "فشل التحقق من صحة تجزئة التوقيع".

العمل باستخدام دلائل التشغيل الموقّعة على Linux Hybrid Runbook Worker

حتى تتمكن من العمل باستخدام دلائل التشغيل الموقّعة، يجب أن يكون لدى Linux Hybrid Runbook Worker مفتاح GPG القابل للتنفيذ على الجهاز المحلي.

هام

بمجرد Hybrid Runbook Worker لتشغيل دلائل التشغيل الموقّعة فقط، يفشل تنفيذ دلائل التشغيل غير الموقّعة على العامل.

ستُجري الخطوات التالية لإكمال التكوين:

  • إنشاء سلسلة مفاتيح بيانات المصادقة GPG وزوج المفاتيح
  • جعل سلسلة مفاتيح بيانات المصادقة متوفرة لـ Hybrid Runbook Worker
  • التحقق من أن التحقق من صحة التوقيع قيد التشغيل
  • توقيع دليل تشغيل

إشعار

  • لا يدعم PowerShell 7.x دفاتر التشغيل الموقعة ل Windows المستندة إلى العامل وعامل Linux Hybrid Runbook المستند إلى العامل.
  • لا يتم دعم دفاتر تشغيل PowerShell وPython الموقعة في Linux Hybrid Workers المستندة إلى الامتداد.

إنشاء سلسلة مفاتيح بيانات المصادقة GPG وزوج المفاتيح

إشعار

ينطبق إنشاء مفتاح GPG ومفتاح المفتاح فقط على العمال المختلطين المستندين إلى العامل.

لإنشاء سلسلة مفاتيح بيانات المصادقة GPG وزوج المفاتيح، استخدم حساب nxautomation في Hybrid Runbook Worker.

  1. استخدم تطبيق sudo لتسجيل الدخول كحساب nxautomation.

    sudo su - nxautomation

  2. بمجرد استخدام nxautomation، قم بإنشاء مفتاح GPG كجذر. يرشدك GPG خلال الخطوات. يجب توفير الاسم وعنوان البريد الإلكتروني ووقت انتهاء الصلاحية وعبارة المرور. ثم انتظر حتى يكون هناك ما يكفي من الإنتروبيا على الجهاز للمفتاح المطلوب إنشاؤه.

    sudo gpg --generate-key

  3. نظرا لأنه تم إنشاء دليل GPG مع sudo، يجب تغيير مالكه إلى nxautomation باستخدام الأمر التالي كجذر.

    sudo chown -R nxautomation ~/.gnupg

جعل سلسلة مفاتيح بيانات المصادقة متوفرة لـ Hybrid Runbook Worker

بمجرد إنشاء سلسلة مفاتيح بيانات المصادقة، وفّرها لـ Hybrid Runbook Worker. عدّل ملف الإعدادات home/nxautomation/state/worker.conf ليضم مثال التعليمات البرمجية التالية أسفل قسم الملف [worker-optional].

gpg_public_keyring_path = /home/nxautomation/run/.gnupg/pubring.kbx

التحقق من أن التحقق من صحة التوقيع قيد التشغيل

إذا تم تعطيل التحقق من صحة التوقيع على الجهاز، يجب تشغيله عن طريق تشغيل الأمر التالي كجذر. استبدل <LogAnalyticsworkspaceId> بمعرف مساحة العمل لديك.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --true <LogAnalyticsworkspaceId>

توقيع دليل تشغيل

بمجرد تكوين التحقق من صحة التوقيع، استخدم أمر GPG التالي لتوقيع دليل التشغيل.

gpg --clear-sign <runbook name>

يسمى <دفتر التشغيل الموقع اسم> دفتر التشغيل.asc.

يمكنك الآن تحميل دليل التشغيل الموقع إلى Azure Automation وتنفيذه كدليل تشغيل عادي.

تسجيل الدخول

للمساعدة في استكشاف المشاكل وإصلاحها في دلائل التشغيل التي تعمل على عامل دليل تشغيل مختلط، يتم تخزين السجلات محليًا في الموقع التالي:

  • على Windows في C:\ProgramData\Microsoft\System Center\Orchestrator\<version>\SMA\Sandboxes لتسجيل عملية وقت تشغيل المهمة بشكل مفصل. يتم كتابة أحداث حالة مهمة دليل التشغيل عالية المستوى في سجل الأحداث Application and Services Logs\Microsoft-Automation\Operations.

  • على Linux، يمكن العثور على سجلات العامل المختلط للمستخدم في /home/nxautomation/run/worker.log، ويمكن العثور على سجلات عامل دليل تشغيل النظام في /var/opt/microsoft/omsagent/run/automationworker/worker.log.

الخطوات التالية