Přehled funkce Hybrid Runbook Worker služby Automation

Runbooky v Azure Automation nemusí mít přístup k prostředkům v jiných cloudech nebo v místním prostředí, protože běží na cloudové platformě Azure. Pomocí funkce Hybrid Runbook Worker Azure Automation můžete spouštět runbooky přímo na počítači, který je hostitelem role, a s prostředky v prostředí ke správě těchto místních prostředků. Runbooky se ukládají a spravují v Azure Automation a pak se doručují do jednoho nebo několika přiřazených počítačů.

Azure Automation poskytuje nativní integraci role Hybrid Runbook Worker prostřednictvím architektury rozšíření virtuálního počítače Azure. Agent virtuálního počítače Azure zodpovídá za správu rozšíření na virtuálních počítačích Azure na virtuálních počítačích Windows a Linuxu a na počítačích mimo Azure prostřednictvím agenta připojeného počítače s podporou Arc. Teď jsou k dispozici dvě instalační platformy Hybrid Runbook Worker podporované Azure Automation.

Platforma Description
Založené na rozšíření (V2) Instaluje se pomocí rozšíření Hybrid Runbook Worker VM bez jakékoli závislosti na generování sestav agenta Log Analytics do pracovního prostoru služby Azure Monitor Log Analytics. Toto je doporučená platforma.
Založené na agentech (V1) Nainstalujte se po dokončení generování sestav agenta Log Analytics do pracovního prostoru služby Azure Monitor Log Analytics .

Hybrid worker group showing platform field

Tady je seznam výhod dostupných s rolí Hybrid Runbook Worker založený na rozšíření:

Výhoda Description
Bezproblémové onboarding Odebere závislost na řešení Log Analytics pro onboarding Hybrid Runbook Worker, což je proces s více kroky, je časově náročný a náchylný k chybám.
Jednotné prostředí pro onboarding Instalace se spravuje pomocí stejných podporovaných metod pro počítače Azure a počítače mimo Azure.
Usnadnění správy Nativní integrace s identitou ARM pro hybrid Runbook Worker a poskytuje flexibilitu zásad správného řízení ve velkém prostřednictvím zásad a šablon.
ověřování na základě Azure AD Používá identity přiřazené systémem virtuálních počítačů poskytované Azure AD. Tím se centralizuje řízení a správa identit a přihlašovacích údajů k prostředkům.

U operací Hybrid Runbook Worker po instalaci je proces spouštění runbooků v hybrid Runbook Worker stejný. Účelem přístupu založeného na rozšíření je zjednodušit instalaci a správu role Hybrid Runbook Worker a odstranit složitost práce s verzí založenou na agentech. Nová instalace založená na rozšíření nemá vliv na instalaci ani správu role Hybrid Runbook Worker založené na agentech. Oba typy Hybrid Runbook Worker můžou existovat společně na stejném počítači.

Hybrid Runbook Worker založený na rozšíření podporuje pouze typ Hybrid Runbook Worker uživatele a nezahrnuje systém Hybrid Runbook Worker vyžadovaný pro funkci Update Management.

Poznámka

Podpora PowerShellu pro instalaci funkce Hybrid Runbook Worker založená na rozšíření není v tuto chvíli podporována.

Typy pracovních procesů runbooku

Existují dva typy pracovních procesů runbooku – systém a uživatel. Následující tabulka popisuje rozdíl mezi nimi.

Typ Description
Systém Podporuje sadu skrytých runbooků používaných funkcí Update Management, která je navržená k instalaci aktualizací určených uživatelem na počítače Windows a Linuxu.
Tento typ funkce Hybrid Runbook Worker není členem skupiny Hybrid Runbook Worker, a proto nespouští runbooky, které cílí na skupinu Runbook Worker.
Uživatel Podporuje uživatelem definované runbooky určené ke spuštění přímo na Windows a počítači s Linuxem, které jsou členy jedné nebo více skupin Runbook Worker.

Hybrid Runbook Worker založené na agentech v1 (V1) spoléhají na generování sestav agenta Log Analytics do pracovního prostoru služby Azure Monitor Log Analytics. Pracovní prostor nejen ke shromažďování dat monitorování z počítače, ale také ke stažení komponent potřebných k instalaci hybrid Runbook Worker založeného na agentech.

Pokud je Azure Automation Update Management povolená, každý počítač připojený k vašemu pracovnímu prostoru služby Log Analytics se automaticky nakonfiguruje jako systém Hybrid Runbook Worker. Pokud ho chcete nakonfigurovat jako uživatele Windows Hybrid Runbook Worker, přečtěte si téma Nasazení procesu hybridního runbooku založeného na agentech Windows Hybrid Runbook Worker ve službě Automation a Linuxu v tématu Nasazení funkce Hybrid Runbook Worker založeného na agentech ve službě Automation.

Limity pracovního procesu runbooku

Následující tabulka uvádí maximální počet systémových a uživatelských hybrid runbook workerů v účtu Automation. Pokud máte ke správě více než 4 000 počítačů, doporučujeme vytvořit další účet Automation.

Typ pracovního procesu Maximální počet podporovaný na účet Automation.
Systém 4000
Uživatel 4000

Jak to funguje?

Každý uživatel Hybrid Runbook Worker je členem skupiny Hybrid Runbook Worker, kterou zadáte při instalaci pracovního procesu. Skupina může obsahovat jeden pracovní proces, ale pro zajištění vysoké dostupnosti můžete do skupiny zahrnout více pracovních procesů. Každý počítač může hostovat jeden generování sestav Hybrid Runbook Worker do jednoho účtu Automation; Hybrid Worker nejde zaregistrovat napříč několika účty Automation. Hybrid Worker může naslouchat pouze úlohě z jednoho účtu Automation.

User Hybrid Runbook Worker technical diagram

V případě počítačů, které jsou hostitelem procesu Hybrid Runbook Worker spravovaného řešením Update Management, je možné je přidat do skupiny Hybrid Runbook Worker. Musíte ale použít stejný účet Automation pro členství ve skupině Update Management i hybrid Runbook Worker.

System Hybrid Runbook Worker technical diagram

Když spustíte runbook v procesu Hybrid Runbook Worker uživatele, zadáte skupinu, na které běží. Každý pracovník ve skupině se dotazuje Azure Automation zjistit, jestli jsou k dispozici nějaké úlohy. Pokud je úloha dostupná, první pracovník, který ji získá, ji vezme. Doba zpracování fronty úloh závisí na hardwarovém profilu a zatížení hybridního pracovního procesu. Nemůžete zadat konkrétního pracovního procesu. Hybrid Worker pracuje na mechanismu dotazování (každých 30 sekund) a řídí se pořadím první funkce. V závislosti na tom, kdy byla úloha nasdílena, podle toho, kdy služba Automation odešle příkaz ping, převezme úlohu. Jeden hybrid worker může obecně vyzvednout čtyři úlohy na příkaz ping (to znamená každých 30 sekund). Pokud je míra nabízení úloh vyšší než čtyři za 30 sekund, pak existuje vysoká možnost, že tuto úlohu vybral jiný hybrid worker ve skupině Hybrid Runbook Worker.

Hybrid Runbook Worker nemá mnoho omezení prostředků sandboxu Azure na místo na disku, paměti nebo síťových soketech. Omezení hybridního pracovního procesu se týkají pouze vlastních prostředků pracovního procesu a nejsou omezeny časovým limitem spravedlivého sdílení , který mají sandboxy Azure.

Pokud chcete řídit distribuci runbooků v hybrid Runbook Worker a kdy nebo jak se úlohy aktivují, můžete hybrid worker zaregistrovat do různých skupin Hybrid Runbook Worker v rámci účtu Automation. Zaměřte se na úlohy na konkrétní skupinu nebo skupiny, aby podporovaly uspořádání provádění.

Instalace hybrid Runbook Worker

Proces instalace funkce Hybrid Runbook Worker uživatele závisí na operačním systému. Následující tabulka definuje typy nasazení.

Operační systém Typy nasazení
Windows Automatizovaná
Ruční.
Linux Ruční
Kteroukoli Informace o hybridních pracovních procesech runbooků pro uživatele najdete v tématu Nasazení Windows založeného na rozšíření nebo linuxovém procesu Hybrid Runbook Worker ve službě Automation. Toto je doporučená metoda.

Poznámka

Hybrid Runbook Worker se v současné době nepodporuje ve škálovacích sadách virtuálních počítačů.

Plánování sítě

Podrobné informace o portech, adresách URL a dalších podrobnostech o sítích požadovaných pro funkci Hybrid Runbook Worker zkontrolujte Azure Automation konfiguraci sítě.

Použití proxy serveru

Pokud používáte proxy server pro komunikaci mezi Azure Automation a počítači, na kterých běží agent Log Analytics, ujistěte se, že jsou dostupné příslušné prostředky. Časový limit požadavků ze služby Hybrid Runbook Worker a Automation je 30 sekund. Po třech pokusech se žádost nezdaří.

Použití brány firewall

Pokud k omezení přístupu k internetu používáte bránu firewall, musíte nakonfigurovat bránu firewall tak, aby povolovala přístup. Pokud jako proxy používáte bránu Log Analytics, ujistěte se, že je nakonfigurovaná pro hybrid Runbook Worker. Viz Konfigurace brány Log Analytics pro služby Automation Hybrid Runbook Worker.

Značky služeb

Azure Automation podporuje značky služeb virtuální sítě Azure, počínaje značkou HostAndHybridManagement. Značky služeb můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall. Značky služeb je možné použít místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby GuestAndHybridManagement v příslušném zdrojovém nebo cílovém poli pravidla můžete povolit nebo odepřít provoz pro službu Automation. Tato značka služby nepodporuje povolení podrobnějšího řízení omezením rozsahů IP adres na konkrétní oblast.

Značka služby pro službu Azure Automation poskytuje pouze IP adresy používané pro následující scénáře:

  • Aktivace webhooků z vaší virtuální sítě
  • Povolení hybridních pracovních procesů Runbook Worker nebo agentů State Configuration ve vaší virtuální síti ke komunikaci se službou Automation

Poznámka

Značka služby GuestAndHybridManagement v současné době nepodporuje provádění úloh runbooku v sandboxu Azure, pouze přímo na hybrid Runbook Worker.

Podpora pro úroveň dopadu 5 (IL5)

Azure Automation Hybrid Runbook Worker lze použít v Azure Government k podpoře úloh úrovně dopadu na úroveň 5 v některé z následujících dvou konfigurací:

  • Izolovaný virtuální počítač. Při nasazení využívají pro tento počítač celý fyzický hostitel, který poskytuje potřebnou úroveň izolace vyžadovanou pro podporu úloh IL5.

  • Azure Dedicated Hosts, který poskytuje fyzické servery, které můžou hostovat jeden nebo více virtuálních počítačů vyhrazených pro jedno předplatné Azure.

Poznámka

Izolace výpočetních prostředků prostřednictvím role Hybrid Runbook Worker je dostupná pro cloudy Azure Commercial a US Government.

Adresy update Management pro hybrid Runbook Worker

Kromě standardních adres a portů požadovaných pro hybrid Runbook Worker má Update Management další požadavky na konfiguraci sítě popsané v části Plánování sítě .

Azure Automation State Configuration pro hybrid Runbook Worker

Službu Hybrid Runbook Worker můžete spustit Azure Automation State Configuration. Pokud chcete spravovat konfiguraci serverů, které podporují funkci Hybrid Runbook Worker, musíte servery přidat jako uzly DSC. Viz Povolení správy počítačů podle Azure Automation State Configuration.

Runbooky ve službě Hybrid Runbook Worker

Můžete mít runbooky, které spravují prostředky na místním počítači nebo běží na prostředcích v místním prostředí, kde je nasazený hybrid Runbook Worker uživatele. V takovém případě se můžete rozhodnout spustit runbooky v hybridním pracovním procesu místo v účtu Automation. Runbooky běží na hybrid Runbook Worker jsou stejné ve struktuře jako runbooky, které spouštíte v účtu Automation. Viz Runbooky v hybridním procesu Runbook Worker.

Hybridní úlohy Runbook Worker

Hybridní úlohy Runbook Worker běží pod místním systémovým účtem na Windows nebo v účtu nxautomation v Linuxu. Azure Automation zpracovává úlohy v hybrid Runbook Worker jinak než úlohy spuštěné v sandboxech Azure. Viz prostředí spouštění runbooků.

Pokud se hostitelský počítač Hybrid Runbook Worker restartuje, všechny spuštěné úlohy runbooku se restartují od začátku nebo z posledního kontrolního bodu pro runbooky pracovního postupu PowerShellu. Po restartování úlohy runbooku se pozastaví více než třikrát.

Oprávnění runbooku pro hybrid Runbook Worker

Vzhledem k tomu, že přistupují k prostředkům mimo Azure, runbooky spuštěné v procesu hybrid Runbook Worker nemůžou obvykle používat mechanismus ověřování, který runbooky ověřují prostředky Azure. Runbook poskytuje vlastní ověřování pro místní prostředky nebo konfiguruje ověřování pomocí spravovaných identit pro prostředky Azure. Můžete také zadat účet Spustit jako, který poskytne kontext uživatele pro všechny runbooky.

Zobrazení systému Hybrid Runbook Worker

Po povolení funkce Update Management na Windows nebo na počítačích s Linuxem můžete inventarizovat seznam skupin Hybrid Runbook Worker systému v Azure Portal. Na portálu můžete zobrazit až 2 000 pracovních procesů tak, že v levém podokně pro vybraný účet Automation vyberete kartu Skupina hybridních pracovních procesů systému.

Automation account system hybrid worker groups page

Pokud máte více než 2 000 hybridních pracovních procesů, abyste získali seznam všech těchto pracovních procesů, můžete spustit následující skript PowerShellu:

"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"

Další kroky