Nasazení hybridního pracovního procesu runbooku pro Linux založené na agentovi ve službě Automation

  • Článek

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Důležité

Uživatelská funkce Hybrid Runbook Worker založená na agentech služby Azure Automation (pro Windows a Linux) se 31. srpna 2024 vyřadí z provozu a po tomto datu se nebude podporovat. Nejpozději do 31. srpna 2024 je potřeba dokončit migraci stávajících uživatelských funkcí Hybrid Runbook Worker založených na agentech na pracovní procesy založené na rozšíření. Kromě toho by od 1. listopadu 2023 nebylo možné vytvářet nové hybridní pracovní procesy založené na agentech. Další informace.

Pomocí funkce Hybrid Runbook Worker uživatele služby Azure Automation můžete runbooky spouštět přímo na počítači Azure nebo mimo Azure, včetně serverů zaregistrovaných na serverech s podporou Azure Arc. Z počítače nebo serveru, který je hostitelem role, můžete runbooky spouštět přímo a s prostředky v prostředí, abyste mohli tyto místní prostředky spravovat.

Hybrid Runbook Worker v Linuxu spouští runbooky jako speciální uživatel, který může být zvýšen pro spouštění příkazů, které potřebují zvýšení oprávnění. Azure Automation ukládá a spravuje runbooky a pak je dodává na jeden nebo více vybraných počítačů. Tento článek popisuje, jak nainstalovat funkci Hybrid Runbook Worker na počítač s Linuxem, odebrat pracovní proces a odebrat skupinu Hybrid Runbook Worker. Hybridní pracovní procesy runbooků uživatelů najdete v tématu Nasazení funkce Hybrid Runbook Worker založené na rozšířeních s Windows nebo Linuxem ve službě Automation.

Po úspěšném nasazení pracovního procesu runbooku si projděte runbooky v procesu Hybrid Runbook Worker a zjistěte, jak nakonfigurovat runbooky tak, aby automatizovaly procesy v místním datacentru nebo jiném cloudovém prostředí.

Poznámka:

Hybridní pracovní proces může existovat společně s oběma platformami: založenými na agentech (V1) a rozšířením (V2). Pokud nainstalujete rozšíření založené na verzi 2 (V2) na hybrid worker, na kterém už běží agent (V1), zobrazí se ve skupině dvě položky funkce Hybrid Runbook Worker. Jeden s rozšířením platformy (V2) a druhým agentem (V1). Další informace.

Požadavky

Než začnete, ujistěte se, že máte následující položky.

Pracovní prostor služby Log Analytics

Role Hybrid Runbook Worker závisí na pracovním prostoru služby Azure Monitor Log Analytics pro instalaci a konfiguraci role. Můžete ho vytvořit prostřednictvím Azure Resource Manageru, přes PowerShell nebo na webu Azure Portal.

Pokud nemáte pracovní prostor služby Azure Monitor Log Analytics, před vytvořením pracovního prostoru si projděte pokyny k návrhu protokolu služby Azure Monitor.

Agent Log Analytics

Role Hybrid Runbook Worker vyžaduje agenta Log Analytics pro podporovaný operační systém Linux. U serverů nebo počítačů hostovaných mimo Azure můžete agenta Log Analytics nainstalovat pomocí serverů s podporou Azure Arc. Agent se instaluje s určitými účty služeb, které spouštějí příkazy vyžadující kořenová oprávnění. Další informace najdete v tématu Účty služeb.

Podporované operační systémy Linux

Funkce Hybrid Runbook Worker podporuje následující distribuce. Předpokládá se, že všechny operační systémy jsou typu x64. X86 není podporován pro žádný operační systém.

  • Amazon Linux 2012.09 až 2015.09

  • CentOS Linux 5, 6, 7 a 8

  • Oracle Linux 6, 7 a 8

  • Red Hat Enterprise Linux Server 5, 6, 7 a 8

  • Debian GNU/Linux 6, 7 a 8

  • SUSE Linux Enterprise Server 12, 15 a 15.1 (pro SUSE nebyly vydány verze s čísly 13 nebo 14)

  • Ubuntu

    Operační systém Linux Název
    20.04 LTS Fokální fossa
    18.04 LTS Bionic Beaver
    16.04 LTS Xenial Xerus
    14.04 LTS Trusty Tahr

Poznámka:

Hybrid Worker by sledoval časové osy podpory dodavatele operačního systému.

Důležité

Před povolením funkce Update Management, která závisí na roli Hybrid Runbook Worker systému, potvrďte distribuce, které tady podporuje.

Minimální požadavky

Minimální požadavky pro systém Linux a uživatelskou funkci Hybrid Runbook Worker:

  • Dvě jádra
  • 4 GB RAM
  • Port 443 (odchozí)
Požadovaný balíček Popis Minimální verze
Glibc Knihovna GNU C 2.5-12
Openssl Knihovny OpenSSL 1.0 (je podporován protokol TLS 1.1 a TLS 1.2)
Curl Webový klient cURL 7.15.5
Python-ctypes Cizí knihovna funkcí pro Python Vyžaduje Python 2.x nebo Python 3.x
PAM Moduly pro zásuvné ověřování
Volitelný balíček Popis Minimální verze
PowerShell Core Aby bylo možné spouštět runbooky PowerShellu, je potřeba nainstalovat PowerShell Core. Informace o instalaci PowerShellu Core v Linuxu najdete v tématu Instalace PowerShellu v Linuxu . 6.0.0

Přidání počítače do skupiny Hybrid Runbook Worker

Pracovní počítač můžete přidat do skupiny Hybrid Runbook Worker v jednom z vašich účtů Automation. U počítačů, které jsou hostitelem procesu Hybrid Runbook Worker spravovaného řešením Update Management, je možné je přidat do skupiny Hybrid Runbook Worker. Musíte ale použít stejný účet Automation pro členství ve skupině Update Management i Hybrid Runbook Worker.

Poznámka:

Azure Automation Update Management automaticky nainstaluje systém Hybrid Runbook Worker na počítač Azure nebo počítač mimo Azure, který je povolený pro Řešení Update Management. Tento pracovní proces ale není zaregistrovaný v žádné skupině hybridních pracovních procesů ve vašem účtu Automation. Pokud chcete runbooky spouštět na těchto počítačích, musíte je přidat do skupiny Hybrid Runbook Worker. Postupujte podle kroku 4 v části Instalace funkce Hybrid Runbook Worker pro Linux a přidejte ho do skupiny.

Podporované posílení zabezpečení Linuxu

Následující možnosti ještě nejsou podporované:

  • CIS

Podporované typy runbooků

Funkce Hybrid Runbook Worker v Linuxu podporuje omezenou sadu typů runbooků ve službě Azure Automation a jsou popsány v následující tabulce.

Typ runbooku Podporováno
Python 3 (Preview) Ano, vyžaduje se pouze pro tyto distribuce: SUSE LES 15, RHEL 8 a CentOS 8
Python 2 Ano, u jakékoli distribuce, která nevyžaduje Python 31
PowerShell Ano2
Pracovní postup PowerShellu No
Grafický No
Grafický pracovní postup PowerShellu No

1Viz podporované operační systémy Linux.

2Runbooky PowerShellu vyžadují, aby se na počítači s Linuxem nainstalovalo PowerShell Core. Informace o instalaci PowerShellu Core v Linuxu najdete v tématu Instalace PowerShellu v Linuxu .

Konfigurace sítě

Požadavky na síť pro funkci Hybrid Runbook Worker najdete v tématu Konfigurace sítě.

Instalace funkce Hybrid Runbook Worker pro Linux

Existují dvě metody nasazení funkce Hybrid Runbook Worker. Runbook můžete importovat a spustit z galerie runbooků na webu Azure Portal nebo můžete ručně spustit řadu příkazů PowerShellu.

Postup importu je podrobně popsaný v tématu Import runbooků z GitHubu pomocí webu Azure Portal. Název runbooku, který se má importovat, je Create Automation Linux HybridWorker.

Runbook používá následující parametry.

Parametr Status Popis
Location Povinné Umístění pracovního prostoru služby Log Analytics
ResourceGroupName Povinné Skupina prostředků pro váš účet Automation.
AccountName Povinné Název účtu Automation, ve kterém bude zaregistrovaný hybrid Run Worker.
CreateLA Povinné Pokud je hodnota true, použije hodnotu WorkspaceName k vytvoření pracovního prostoru služby Log Analytics. Pokud je hodnota WorkspaceName false, hodnota musí odkazovat na existující pracovní prostor.
LAlocation Volitelné Umístění, kde se vytvoří pracovní prostor služby Log Analytics nebo kde už existuje.
WorkspaceName Volitelné Název pracovního prostoru služby Log Analytics, který se má vytvořit nebo použít.
CreateVM Povinné Pokud je hodnota true, použijte hodnotu VMName jako název nového virtuálního počítače. Pokud je false, použijte VMName k vyhledání a registraci existujícího virtuálního počítače.
VMName Volitelné Název virtuálního počítače, který je vytvořený nebo zaregistrovaný, v závislosti na hodnotě CreateVM.
VMImage Volitelné Název image virtuálního počítače, která se má vytvořit.
VMlocation Volitelné Umístění virtuálního počítače, který je vytvořený nebo zaregistrovaný Pokud toto umístění není zadané, použije se hodnota LAlocation .
RegisterHW Povinné Pokud je hodnota true, zaregistrujte virtuální počítač jako hybrid Worker.
WorkerGroupName Povinné Název skupiny Hybrid Worker.

Ruční spuštění příkazů PowerShellu

Pokud chcete nainstalovat a nakonfigurovat funkci Hybrid Runbook Worker pro Linux, proveďte následující kroky.

  1. Povolte řešení Azure Automation v pracovním prostoru služby Log Analytics spuštěním následujícího příkazu v příkazovém řádku PowerShellu se zvýšenými oprávněními nebo v Cloud Shellu na webu Azure Portal:

    Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true

  2. Nasaďte agenta Log Analytics do cílového počítače.

    • Pro virtuální počítače Azure nainstalujte agenta Log Analytics pro Linux pomocí rozšíření virtuálního počítače pro Linux. Rozšíření nainstaluje agenta Log Analytics na virtuální počítače Azure a zaregistruje virtuální počítače do existujícího pracovního prostoru služby Log Analytics. K přiřazení předdefinované definice zásad nasazení agenta Log Analytics pro virtuální počítače s Linuxem nebo Windows můžete použít šablonu Azure Resource Manageru, Azure CLI nebo Azure Policy. Po instalaci agenta můžete počítač přidat do skupiny Hybrid Runbook Worker ve vašem účtu Automation.

    • Pro počítače mimo Azure můžete agenta Log Analytics nainstalovat pomocí serverů s podporou Azure Arc. Servery s podporou Azure Arc podporují nasazení agenta Log Analytics pomocí následujících metod:

      • Použití architektury rozšíření virtuálních počítačů

        Tato funkce na serverech s podporou Azure Arc umožňuje nasadit rozšíření virtuálního počítače agenta Log Analytics na jiný server než Azure s Windows nebo Linuxem. Rozšíření virtuálních počítačů je možné spravovat pomocí následujících metod na hybridních počítačích nebo serverech spravovaných servery s podporou Azure Arc:

      • Pomocí služby Azure Policy.

        Pomocí tohoto přístupu použijete agenta Azure Policy Deploy Log Analytics do linuxových nebo microsoft Azure Arc integrovaných definic zásad k auditování, pokud má server s podporou Arc nainstalovaný agent Log Analytics. Pokud agent není nainstalovaný, automaticky ho nasadí pomocí úlohy nápravy. Pokud plánujete monitorovat počítače s Azure Monitor pro virtuální počítače, místo toho pomocí iniciativy Povolit Azure Monitor pro virtuální počítače nainstalujte a nakonfigurujte agenta Log Analytics.

      Doporučujeme nainstalovat agenta Log Analytics pro Windows nebo Linux pomocí Azure Policy.

    Poznámka:

    Pokud chcete spravovat konfiguraci počítačů, které podporují roli Hybrid Runbook Worker s DSC (Desired State Configuration), musíte počítače přidat jako uzly DSC.

    Poznámka:

    Účet nxautomation s odpovídajícími oprávněními sudo musí být k dispozici během instalace Nástroje Hybrid Worker pro Linux. Pokud se pokusíte nainstalovat pracovní proces a účet není k dispozici nebo nemá příslušná oprávnění, instalace se nezdaří.

  3. Ověřte, že agent sestavuje pracovní prostor.

    Agent Log Analytics pro Linux připojuje počítače k pracovnímu prostoru služby Azure Monitor Log Analytics. Když nainstalujete agenta na počítač a připojíte ho k pracovnímu prostoru, automaticky stáhne komponenty potřebné pro hybrid Runbook Worker.

    Pokud se agent po několika minutách úspěšně připojil k vašemu pracovnímu prostoru služby Log Analytics, můžete spustit následující dotaz a ověřit, že odesílá data prezenčních signálů do pracovního prostoru.

    Heartbeat
| where Category == "Direct Agent"
| where TimeGenerated > ago(30m)

    Vevýsledcíchch Ve výchozím nastavení každý agent předává záznam prezenčních signálů do svého přiřazeného pracovního prostoru.

  4. Spuštěním následujícího příkazu přidejte počítač do skupiny Hybrid Runbook Worker, zadejte hodnoty parametrů -w, -k, -ga -e.

    Informace požadované pro parametry -k a -e na stránce Klíče můžete získat ve svém účtu Automation. V části Nastavení účtu na levé straně stránky vyberte Klíče.

    Stránka Spravovat klíče

    • -e Pro parametr zkopírujte hodnotu adresy URL.

    • -k Pro parametr zkopírujte hodnotu PRIMÁRNÍHO PŘÍSTUPOVÉHO KLÍČE.

    • -g Jako parametr zadejte název skupiny Hybrid Runbook Worker, ke které by se měl připojit nový proces Hybrid Runbook Worker s Linuxem. Pokud tato skupina už v účtu Automation existuje, přidá se do něj aktuální počítač. Pokud tato skupina neexistuje, vytvoří se s tímto názvem.

    • -w Jako parametr zadejte ID pracovního prostoru služby Log Analytics.

    sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w <logAnalyticsworkspaceId> -k <automationSharedKey> -g <hybridGroupName> -e <automationEndpoint>

  5. Po dokončení skriptu ověřte nasazení. Na stránce Skupiny hybrid Runbook Worker ve vašem účtu Automation se na kartě Skupiny pracovních procesů hybridního runbooku Uživatele zobrazí nová nebo existující skupina a počet členů. Pokud se jedná o existující skupinu, zvýší se počet členů. Skupinu můžete vybrat ze seznamu na stránce a v nabídce vlevo zvolit Hybrid Workers. Na stránce Hybrid Worker můžete zobrazit všechny členy uvedené skupiny.

    Poznámka:

    Pokud pro virtuální počítač Azure používáte rozšíření virtuálního počítače Log Analytics pro Linux, doporučujeme autoUpgradeMinorVersion nastavit, aby false verze automatického upgradu mohly způsobit problémy s funkcí Hybrid Runbook Worker. Informace o ručním upgradu rozšíření najdete v tématu Nasazení Azure CLI.

Vypnutí ověření podpisu

Funkce Hybrid Runbook Worker pro Linux ve výchozím nastavení vyžaduje ověření podpisu. Pokud pro pracovní proces spustíte nepodepsaný runbook, zobrazí se Signature validation failed chyba. Ověření podpisu vypnete spuštěním následujícího příkazu jako kořenového adresáře. Nahraďte druhý parametr ID pracovního prostoru služby Log Analytics.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --false <logAnalyticsworkspaceId>

Odebrání funkce Hybrid Runbook Worker

Spusťte následující příkazy jako kořen v linuxovém hybrid Workeru založeném na agentech:

  1.    sudo bash

  2.    rm -r /home/nxautomation

  3. V části Automatizace procesů vyberte Skupiny hybridních pracovních procesů a pak požadovanou skupinu hybridních pracovních procesů a přejděte na stránku Skupina hybridních pracovních procesů.

  4. V části Skupina Hybrid Worker vyberte Hybrid Workery.

  5. Zaškrtněte políčko vedle počítačů, které chcete odstranit ze skupiny Hybrid Worker.

  6. Výběrem možnosti Odstranit odeberete agenta Linux Hybrid Worker.

    Poznámka:

    • Tento skript neodebere z počítače agenta Log Analytics pro Linux. Odebere jenom funkce a konfiguraci role Hybrid Runbook Worker.
    • Po zakázání služby Private Link v účtu Automation může trvat až 60 minut, než hybrid Runbook Worker odeberete.
    • Po odebrání procesu Hybrid Worker je ověřovací certifikát Hybrid Worker na počítači platný po dobu 45 minut.

Odebrání skupiny Hybrid Worker

Pokud chcete odebrat skupinu Hybrid Runbook Worker počítačů s Linuxem, použijte stejný postup jako u skupiny Hybrid Worker systému Windows. Viz Odebrání skupiny Hybrid Worker.

Správa oprávnění role pro skupiny Hybrid Worker a Hybrid Workery

Můžete vytvořit vlastní role Azure Automation a udělit následujícím oprávněním skupinám Hybrid Worker a hybrid workerům. Další informace o vytváření vlastních rolí Služby Azure Automation najdete v tématu Vlastní role Azure.

Akce Popis
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Čtení skupiny hybridního pracovního procesu runbooku.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/write Vytvoří skupinu Hybrid Runbook Worker.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/delete Odstraní skupinu Hybrid Runbook Worker.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/read Přečte funkci Hybrid Runbook Worker.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/delete Odstraní funkci Hybrid Runbook Worker.

Kontrola verze Hybrid Workeru

Pokud chcete zkontrolovat verzi agenta Linux Hybrid Runbook Worker, přejděte na následující cestu:

   sudo cat /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/VERSION

Verze souboru má číslo verze Funkce Hybrid Runbook Worker.

Další kroky