Nasazení Hybrid Runbook Worker se systémem Linux na základě agentů ve službě Automation

Pomocí funkce User Hybrid Runbook Worker of Azure Automation můžete spouštět Runbooky přímo na počítačích Azure nebo mimo Azure, včetně serverů zaregistrovaných u serverů s podporou ARC Azure. Z počítače nebo serveru, který je hostitelem role, můžete spouštět Runbooky přímo a s prostředky v prostředí pro správu těchto místních prostředků.

Linux Hybrid Runbook Worker spouští Runbooky jako speciálního uživatele, který může být zvýšen na spouštění příkazů, které vyžadují zvýšení úrovně oprávnění. Azure Automation ukládá a spravuje Runbooky a pak je doručí do jednoho nebo více vybraných počítačů. Tento článek popisuje postupy: instalace Hybrid Runbook Worker na počítači se systémem Linux, odebrání pracovního procesu a odebrání Hybrid Runbook Worker skupiny. informace o uživatelích Hybrid Runbook worker najdete v tématu nasazení Windows na základě rozšíření nebo Hybrid Runbook Worker uživatele se systémem Linux ve službě Automation .

Po úspěšném nasazení služby Runbook Worker si přečtěte téma spuštění runbooků na Hybrid Runbook Worker , kde se dozvíte, jak konfigurovat Runbooky pro automatizaci procesů v místním datovém centru nebo v jiném cloudovém prostředí.

Požadavky

Než začnete, ujistěte se, že máte následující.

Pracovní prostor Log Analytics

Role Hybrid Runbook Worker závisí na pracovním prostoru Azure Monitor Log Analytics k instalaci a konfiguraci role. Můžete ji vytvořit prostřednictvím Azure Resource Manager, prostřednictvím PowerShellunebo v Azure Portal.

Pokud nemáte pracovní prostor Azure Monitor Log Analytics, před vytvořením pracovního prostoru si přečtěte téma Průvodce návrhem protokolu Azure monitor .

Agent Log Analytics

Role Hybrid Runbook Worker vyžaduje, aby byl pro podporovaný operační systém Linux Log Analytics agent . U serverů nebo počítačů hostovaných mimo Azure můžete agenta Log Analytics nainstalovat pomocí serverů s podporou ARC Azure. Agent se instaluje s určitými účty služeb, které spouštějí příkazy vyžadující oprávnění root. Další informace najdete v tématu účty služeb.

Podporované operační systémy Linux

Funkce Hybrid Runbook Worker podporuje následující distribuce. Všechny operační systémy se považují za x64. x86 se nepodporuje pro žádný operační systém.

  • Amazon Linux 2012,09 až 2015,09
  • CentOS Linux 5, 6, 7 a 8
  • Oracle Linux 6, 7 a 8
  • Red Hat Enterprise Linux Server 5, 6, 7 a 8
  • Debian GNU/Linux 6, 7 a 8
  • Ubuntu 12,04 LTS, 14,04 LTS, 16,04 LTS, 18,04 a 20,04 LTS
  • SUSE Linux Enterprise Server 12, 15 a 15,1 (SUSE nevydání verze s číslem 13 nebo 14)

Důležité

Než povolíte funkci Update Managemente, která závisí na roli systému Hybrid Runbook Worker, potvrďte nížepodporované distribuce.

Minimální požadavky

Minimální požadavky pro systém Linux a uživatelské Hybrid Runbook Worker jsou:

  • Dvě jádra
  • 4 GB RAM paměti
  • Port 443 (odchozí)
Požadovaný balíček Popis Minimální verze
Glibc Knihovna GNU C 2.5-12
Openssl Knihovny OpenSSL 1,0 (podporované TLS 1,1 a TLS 1,2)
Curl Webový klient s kudrlinkou 7.15.5
Python – ctypes Cizí knihovna funkcí pro Python Vyžaduje se Python 2. x nebo Python 3. x.
PAM Pluggable Authentication Modules
Volitelný balíček Popis Minimální verze
PowerShell Core Aby bylo možné spouštět Runbooky PowerShellu, je nutné nainstalovat prostředí PowerShell Core. Další informace o tom, jak ji nainstalovat, najdete v tématu instalace PowerShellu Core v systému Linux . 6.0.0

Přidání počítače do skupiny Hybrid Runbook Worker

Pracovní počítač můžete přidat do skupiny Hybrid Runbook Worker v jednom z vašich účtů Automation. Pro počítače, které hostují systém Hybrid Runbook Worker spravované pomocí Update Management, je lze přidat do skupiny Hybrid Runbook Worker. Je ale nutné použít stejný účet Automation pro Update Management a členství v Hybrid Runbook Worker skupině.

Poznámka

Azure Automation Update Management automaticky nainstaluje systémovou Hybrid Runbook Worker na počítač s Azure nebo mimo Azure, který je povolený pro Update Management. Tento pracovní proces ale není zaregistrovaný u žádné skupiny Hybrid Runbook Worker ve vašem účtu Automation. Pokud chcete spouštět Runbooky na těchto počítačích, musíte je přidat do skupiny Hybrid Runbook Worker. Postupujte podle kroku 4 v části instalace Hybrid Runbook Worker pro Linux a přidejte ji do skupiny.

Podporované posílení zabezpečení pro Linux

Následující ještě nejsou podporované:

  • SLUŽBY

Podporované typy runbooků

Procesy Hybrid Runbook Worker pro Linux podporují v Azure Automation omezené sady sad Runbook a jsou popsány v následující tabulce.

Typ Runbooku Podporováno
Python 3 (Preview) Ano, požadováno jenom pro tyto distribuce: SUSE LES 15, RHEL 8 a CentOS 8
Python 2 Ano, pro všechny distribuce, které nevyžadují Python 31
PowerShell Ano2
Pracovní postup PowerShellu No
Grafický No
Grafický pracovní postup PowerShellu No

1 Viz podporované operační systémy Linux.

2 . Runbooky PowerShellu vyžadují, aby byl na počítači se systémem Linux nainstalovaný PowerShell Core. Další informace o tom, jak ji nainstalovat, najdete v tématu instalace PowerShellu Core v systému Linux .

Konfigurace sítě

Požadavky na síť pro Hybrid Runbook Worker najdete v tématu Konfigurace sítě.

Instalace Hybrid Runbook Worker pro Linux

Existují dvě metody nasazení Hybrid Runbook Worker. Sadu Runbook můžete importovat a spustit z Galerie runbooků v Azure Portal nebo můžete ručně spustit sérii příkazů prostředí PowerShell.

postup importu je podrobně popsán v tématu import runbooků z GitHub s Azure Portal. Název Runbooku, který se má importovat, je vytvořit Automation Linux HybridWorker.

Sada Runbook používá následující parametry.

Parametr Status Popis
Location Povinné Umístění pracovního prostoru Log Analytics.
ResourceGroupName Povinné Skupina prostředků pro váš účet Automation.
AccountName Povinné Název účtu Automation, ve kterém se bude registrovat pracovní proces Hybrid run.
CreateLA Povinné Pokud má hodnotu true, používá hodnotu WorkspaceName k vytvoření pracovního prostoru Log Analytics. Pokud má hodnotu false, hodnota WorkspaceName musí odkazovat na existující pracovní prostor.
LAlocation Volitelné Místo, kde bude vytvořen Log Analytics pracovní prostor nebo kde již existuje.
WorkspaceName Volitelné Název pracovního prostoru Log Analytics, který se má vytvořit nebo použít.
CreateVM Povinné Pokud má hodnotu true, použijte hodnotu VMName jako název nového virtuálního počítače. Pokud je hodnota false, použijte VMName k vyhledání a registraci existujícího virtuálního počítače.
VMName Volitelné Název virtuálního počítače, který je buď vytvořen, nebo registrován, v závislosti na hodnotě CreateVM .
VMImage Volitelné Název image virtuálního počítače, která se má vytvořit
VMlocation Volitelné Umístění virtuálního počítače, který je buď vytvořen, nebo zaregistrován. Pokud toto umístění není zadáno, použije se hodnota LAlocation .
RegisterHW Povinné Pokud je hodnota true, zaregistrujte virtuální počítač jako hybridního pracovního procesu.
WorkerGroupName Povinné Název skupiny Hybrid Worker

Ruční spuštění příkazů PowerShellu

Pokud chcete nainstalovat a nakonfigurovat Hybrid Runbook Worker pro Linux, proveďte následující kroky.

  1. Povolte řešení Azure Automation v pracovním prostoru Log Analytics spuštěním následujícího příkazu v příkazovém řádku PowerShellu se zvýšenými oprávněními nebo v Cloud Shell v Azure Portal:

    Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true

  2. Nasaďte agenta Log Analytics do cílového počítače.

    • Pro virtuální počítače Azure nainstalujte agenta Log Analytics pro Linux pomocí rozšíření virtuálního počítače pro Linux. Rozšíření nainstaluje agenta Log Analytics na virtuální počítače Azure a zaregistruje virtuální počítače do existujícího pracovního prostoru Log Analytics. můžete použít šablonu Azure Resource Manager, rozhraní příkazového řádku Azure nebo Azure Policy k přiřazení definice předdefinované zásady pro virtuální počítače Log Analytics se systémem Linux nebo Windows . Po instalaci agenta je možné počítač přidat do skupiny Hybrid Runbook Worker v účtu Automation.

    • U počítačů mimo Azure můžete agenta Log Analytics nainstalovat pomocí serverů s podporou ARC Azure. Servery s podporou ARC Azure podporují nasazení Log Analytics agenta pomocí následujících metod:

      • Pomocí architektury rozšíření virtuálních počítačů.

        tato funkce na serverech s podporou Arc Azure umožňuje nasadit rozšíření virtuálního počítače Log Analytics agenta do jiného než Azure Windows a/nebo Linux serveru. Rozšíření virtuálních počítačů je možné spravovat pomocí následujících metod na hybridních počítačích nebo serverech spravovaných servery s podporou ARC Azure:

      • Použití Azure Policy.

        pomocí tohoto přístupu použijete Azure Policy nasadit Log Analytics agenta pro Linux nebo Windows integrovanou definici zásad pro počítače Azure arc, abyste mohli auditovat, jestli má server s podporou Arc nainstalovaného agenta Log Analytics. Pokud není agent nainstalovaný, automaticky ho nasadí pomocí úlohy nápravy. Pokud plánujete monitorovat počítače pomocí Azure Monitor pro virtuální počítače, místo toho použijte k instalaci a konfiguraci agenta Log Analytics možnost povolit Azure monitor pro virtuální počítače .

      doporučujeme nainstalovat agenta Log Analytics pro Windows nebo Linux pomocí Azure Policy.

    Poznámka

    chcete-li spravovat konfiguraci počítačů, které podporují roli Hybrid Runbook Worker s Desired State Configuration (DSC), je nutné přidat počítače jako uzly DSC.

    Poznámka

    Během instalace Hybrid Worker pro Linux musí být přítomen účet nxautomation s odpovídajícími oprávněními sudo. Pokud se pokusíte nainstalovat pracovní proces a účet není přítomen nebo nemáte příslušná oprávnění, instalace se nezdařila.

  3. Ověřte, že agent hlásí do pracovního prostoru.

    Agent Log Analytics pro Linux připojuje počítače k pracovnímu prostoru Azure Monitor Log Analytics. Když nainstalujete agenta do vašeho počítače a připojíte ho k pracovnímu prostoru, automaticky stáhne součásti, které jsou potřebné pro Hybrid Runbook Worker.

    Jakmile se agent úspěšně připojí k pracovnímu prostoru Log Analytics po několika minutách, můžete spustit následující dotaz, který ověří, jestli odesílá data prezenčního signálu do pracovního prostoru.

    Heartbeat
| where Category == "Direct Agent"
| where TimeGenerated > ago(30m)

    Ve výsledcích hledání byste měli vidět záznamy prezenčního signálu pro daný počítač, což znamená, že je připojený a hlásí službu. Ve výchozím nastavení každý Agent přepošle záznam prezenčního signálu do přiřazeného pracovního prostoru.

  4. Spuštěním následujícího příkazu přidejte počítač do skupiny Hybrid Runbook Worker a zadejte hodnoty parametrů -w ,, -k -g a -e .

    Můžete získat informace požadované pro parametry -k a -e ze stránky klíče ve vašem účtu Automation. V části Nastavení účtu na levé straně stránky vyberte klíče .

    Stránka Správa klíčů

    • Pro -e parametr Zkopírujte hodnotu pro URL.

    • Pro -k parametr Zkopírujte hodnotu primárního přístupového klíče.

    • Pro -g parametr zadejte název skupiny Hybrid Runbook Worker, ke které se má připojit nový hybrid Runbook Worker pro Linux. Pokud tato skupina už v účtu Automation existuje, do ní se přidá aktuální počítač. Pokud tato skupina neexistuje, vytvoří se s tímto názvem.

    • Pro -w parametr zadejte ID vašeho pracovního prostoru Log Analytics.

    sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w <logAnalyticsworkspaceId> -k <automationSharedKey> -g <hybridGroupName> -e <automationEndpoint>

  5. Ověřte nasazení po dokončení skriptu. Na stránce Hybrid Runbook Worker skupiny ve vašem účtu Automation na kartě Skupina hybridních pracovních procesů Runbooku uživatele se zobrazí nová nebo existující skupina a počet členů. Pokud se jedná o existující skupinu, zvýší se počet členů. Skupinu můžete vybrat ze seznamu na stránce. v nabídce vlevo zvolte hybridní pracovní procesy. Na stránce hybridní pracovní procesy uvidíte všechny členy uvedené skupiny.

    Poznámka

    Pokud pro virtuální počítač Azure používáte rozšíření Log Analytics virtuálních počítačů pro Linux, doporučujeme, autoUpgradeMinorVersion aby nastavení na false Automatické upgradování verzí mohlo způsobovat problémy s Hybrid Runbook Worker. Informace o tom, jak rozšíření upgradovat ručně, najdete v tématu nasazení rozhraní příkazového řádku Azure CLI.

Vypnout ověřování podpisů

Ve výchozím nastavení vyžadují procesy Hybrid Runbook Worker pro Linux ověření podpisu. Pokud spustíte nepodepsaný Runbook s pracovníkem, zobrazí se Signature validation failed Chyba. Pokud chcete vypnout ověřování podpisů, spusťte následující příkaz. Nahraďte druhý parametr ID vašeho pracovního prostoru Log Analytics.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --false <logAnalyticsworkspaceId>

Odebrat Hybrid Runbook Worker

ls /var/opt/microsoft/omsagentK získání ID pracovního prostoru můžete použít příkaz na Hybrid Runbook Worker. Vytvoří se složka s názvem ID pracovního prostoru.

sudo python onboarding.py --deregister --endpoint="<URL>" --key="<PrimaryAccessKey>" --groupname="Example" --workspaceid="<workspaceId>"

Poznámka

Tento skript neodebere z počítače agenta Log Analytics pro Linux. Odebírá jenom funkce a konfiguraci role Hybrid Runbook Worker.

Odebrání skupiny Hybrid Worker

pokud chcete odebrat Hybrid Runbook Worker skupinu počítačů se systémem Linux, použijte stejný postup jako u skupiny Windows Hybrid worker. Viz Odebrání skupiny Hybrid Worker.

Další kroky