Introducción a Hybrid Runbook WorkerHybrid Runbook Worker overview

Es posible que los runbooks de Azure Automation no tengan acceso a los recursos de otras nubes o del entorno local, porque se ejecutan en plataforma de nube de Azure.Runbooks in Azure Automation might not have access to resources in other clouds or in your on-premises environment because they run on the Azure cloud platform. La característica Hybrid Runbook Worker de Azure Automation permite ejecutar runbooks directamente en la máquina que hospeda el rol y en los recursos del entorno para administrar dichos recursos locales.You can use the Hybrid Runbook Worker feature of Azure Automation to run runbooks directly on the machine that's hosting the role and against resources in the environment to manage those local resources. Los runbooks se almacenan y administran en Azure Automation y después se entregan a una o más máquinas asignadas.Runbooks are stored and managed in Azure Automation and then delivered to one or more assigned machines.

En la imagen siguiente se muestra esta funcionalidad:The following image illustrates this functionality:

Introducción a Hybrid Runbook Worker

Una instancia de Hybrid Runbook Worker puede ejecutarse en los sistemas operativos Windows o Linux.A Hybrid Runbook Worker can run on either the Windows or the Linux operating system. Depende del agente de Log Analytics que informa a un área de trabajo de Log Analytics de Azure Monitor.It depends on the Log Analytics agent reporting to an Azure Monitor Log Analytics workspace. El área de trabajo no sirve solo para supervisar el sistema operativo compatible de la máquina, sino también para descargar los componentes necesarios para Hybrid Runbook Worker.The workspace is not only to monitor the machine for the supported operating system, but also to download the components required for the Hybrid Runbook Worker.

Cada Trabajo híbrido de runbook es miembro de un grupo de Trabajos híbridos de runbook que especifica cuando instala el agente.Each Hybrid Runbook Worker is a member of a Hybrid Runbook Worker group that you specify when you install the agent. Un grupo puede incluir solo un agente, pero puede instalar varios agentes en un grupo para contar con alta disponibilidad.A group can include a single agent, but you can install multiple agents in a group for high availability. Cada máquina puede hospedar una instancia de Hybrid Worker que informe a una cuenta de Automation.Each machine can host one hybrid worker reporting to one Automation account.

Cuando se inicia un runbook en Hybrid Runbook Worker, se especifica el grupo en el que se ejecuta.When you start a runbook on a Hybrid Runbook Worker, you specify the group that it runs on. Cada rol de trabajo del grupo sondea Azure Automation para ver si hay trabajos disponibles.Each worker in the group polls Azure Automation to see if any jobs are available. Si un trabajo está disponible, el primer rol trabajo en obtener el trabajo lo toma.If a job is available, the first worker to get the job takes it. El tiempo de procesamiento de la cola de trabajos depende de la carga y del perfil de hardware de Hybrid Worker.The processing time of the jobs queue depends on the hybrid worker hardware profile and load. No se puede especificar un trabajo determinado.You can't specify a particular worker.

Use una instancia de Hybrid Runbook Worker en lugar de un espacio aislado de Azure, ya que no tiene muchos de los límites del espacio aislado en el espacio en disco, la memoria o los sockets de red.Use a Hybrid Runbook Worker instead of an Azure sandbox because it doesn't have many of the sandbox limits on disk space, memory, or network sockets. Los límites de una instancia de Hybrid Worker solo están relacionados con los propios recursos del rol de trabajo.The limits on a hybrid worker are only related to the worker's own resources.

Nota

Las instancias de Hybrid Runbook Worker no están restringidas por el límite tiempo de distribución equilibrada que tienen los espacios aislados de Azure.Hybrid Runbook Workers aren't constrained by the fair share time limit that Azure sandboxes have.

Instalación de una instancia de Hybrid Runbook WorkerHybrid Runbook Worker installation

El proceso para instalar una instancia de Hybrid Runbook Worker depende del sistema operativo.The process to install a Hybrid Runbook Worker depends on the operating system. En la tabla siguiente, se definen los tipos de implementación.The table below defines the deployment types.

Sistema operativoOperating System Tipos de implementaciónDeployment Types
WindowsWindows AutomatizadoAutomated
ManualManual
LinuxLinux PythonPython

El método de instalación recomendado consiste en utilizar un runbook de Azure Automation para automatizar por completo el proceso de configuración de las máquinas Windows.The recommended installation method is to use an Azure Automation runbook to completely automate the process of configuring a Windows machine. Si no es posible, puede seguir un procedimiento paso a paso para instalar y configurar el rol manualmente.If that isn't feasible, you can follow a step-by-step procedure to manually install and configure the role. En el caso de las máquinas de Linux, debe ejecutar un script de Python para instalar el agente en la máquina.For Linux machines, you run a Python script to install the agent on the machine.

Planeamiento de redNetwork planning

Para que Hybrid Runbook Worker se conecte y se registre con Azure Automation, debe tener acceso al número de puerto y a las direcciones URL que se describen en esta sección.For the Hybrid Runbook Worker to connect to and register with Azure Automation, it must have access to the port number and URLs described in this section. El rol de trabajo también ha de tener acceso a los puertos y las direcciones URL necesarios para que el agente de Log Analytics se conecte al área de trabajo Log Analytics de Azure Monitor.The worker must also have access to the ports and URLs required for Log Analytics agent to connect to the Azure Monitor Log Analytics workspace.

Nota

Este artículo se ha actualizado recientemente para usar el término registros de Azure Monitor en lugar de Log Analytics.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Los datos de registro siguen almacenándose en un área de trabajo de Log Analytics y siguen recopilándose y analizándose por el mismo servicio de Log Analytics.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Estamos actualizando la terminología para reflejar mejor el rol de los registros de Azure Monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Consulte Azure Monitor terminology changes (Cambios en la terminología de Azure Monitor) para obtener más información.See Azure Monitor terminology changes for details.

Los siguientes puertos y direcciones URL son necesarios para la instancia de Hybrid Runbook Worker:The following port and URLs are required for the Hybrid Runbook Worker:

  • Puerto: solo se requiere el puerto TCP 443 para el acceso a InternetPort: Only TCP 443 required for outbound internet access
  • Dirección URL global: *.azure-automation.netGlobal URL: *.azure-automation.net
  • Dirección URL global de US Gov Virginia: *.azure-automation.usGlobal URL of US Gov Virginia: *.azure-automation.us
  • Servicio del agente: https://<workspaceId>.agentsvc.azure-automation.netAgent service: https://<workspaceId>.agentsvc.azure-automation.net

Si tiene una cuenta de Automation definida para una región específica, puede restringir la comunicación de Hybrid Runbook Worker con ese centro de datos regional.If you have an Automation account that's defined for a specific region, you can restrict Hybrid Runbook Worker communication to that regional datacenter. Revise los registros DNS necesarios en los registros DNS usados por Azure Automation.Review the DNS records used by Azure Automation for the required DNS records.

Uso del servidor proxyProxy server use

Si se usa un servidor proxy para la comunicación entre Azure Automation y las máquinas que ejecutan el agente de Log Analytics, asegúrese de que sea posible acceder a los recursos adecuados.If you use a proxy server for communication between Azure Automation and machines running the Log Analytics agent, ensure that the appropriate resources are accessible. El tiempo de expiración para las solicitudes de Hybrid Runbook Worker y los servicios de Automation es de 30 segundos.The timeout for requests from the Hybrid Runbook Worker and Automation services is 30 seconds. Después de tres intentos, se produce un error en una solicitud.After three attempts, a request fails.

Uso del firewallFirewall use

Si usa un firewall para restringir el acceso a Internet, tendrá que configurarlo para que permita el acceso.If you use a firewall to restrict access to the internet, you must configure the firewall to permit access. Si usa la puerta de enlace de Log Analytics como proxy, asegúrese de que está configurada para instancias de Hybrid Runbook Worker.If using the Log Analytics gateway as a proxy, ensure that it is configured for Hybrid Runbook Workers. Consulte el artículo Conexión de equipos sin acceso a Internet mediante la puerta de enlace de Log Analytics en Azure Monitor.See Configure the Log Analytics gateway for Automation Hybrid Workers.

Etiquetas de servicioService tags

Azure Automation admite etiquetas de servicio de red virtual de Azure, empezando por la etiqueta de servicio GuestAndHybridManagement.Azure Automation supports Azure virtual network service tags, starting with the service tag GuestAndHybridManagement. Puede usar etiquetas de servicio para definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall.You can use service tags to define network access controls on network security groups or Azure Firewall. Las etiquetas de servicio se pueden usar en lugar de direcciones IP específicas al crear reglas de seguridad.Service tags can be used in place of specific IP addresses when you create security rules. Al especificar el nombre de la etiqueta de servicio GuestAndHybridManagement en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio Automation.By specifying the service tag name GuestAndHybridManagement in the appropriate source or destination field of a rule, you can allow or deny the traffic for the Automation service. Esta etiqueta de servicio no permite un control más pormenorizado mediante la restricción de los intervalos de IP a una región específica.This service tag does not support allowing more granular control by restricting IP ranges to a specific region.

La etiqueta de servicio de Azure Automation solo proporciona direcciones IP que se usan para los siguientes escenarios:The service tag for the Azure Automation service only provides IPs used for the following scenarios:

  • Desencadenar webhooks desde dentro de la red virtualTrigger webhooks from within your virtual network
  • Permitir que los agentes de Hybrid Runbook Worker o State Configuration de la red virtual se comuniquen con el servicio AutomationAllow Hybrid Runbook Workers or State Configuration agents on your VNet to communicate with the Automation service

Nota

La etiqueta de servicio GuestAndHybridManagement no admite actualmente la ejecución de trabajos de runbook en un espacio aislado de Azure, solo directamente en una instancia de Hybrid Runbook Worker.The service tag GuestAndHybridManagement currently doesn't support runbook job execution in an Azure sandbox, only directly on a Hybrid Runbook Worker.

Update Management en Hybrid Runbook WorkerUpdate Management on Hybrid Runbook Worker

Si habilita Update Management de Azure Automation, las máquinas conectadas al área de trabajo de Log Analytics se configurarán automáticamente como Hybrid Runbook Worker.When Azure Automation Update Management is enabled, any machine connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker. Cada rol de trabajo puede admitir runbooks destinados a Update Management.Each worker can support runbooks targeted at update management.

Una máquina configurada de esta manera no se registra en ningún grupo de Hybrid Runbook Worker ya definido en la cuenta de Automation.A machine configured this way is not registered with any Hybrid Runbook Worker groups already defined in your Automation account. Puede agregar la máquina a un grupo de Hybrid Runbook Worker, pero debe usar la misma cuenta para Update Management y la pertenencia al grupo de Hybrid Runbook Worker.You can add the machine to a Hybrid Runbook Worker group, but you must use the same account for both Update Management and the Hybrid Runbook Worker group membership. Esta funcionalidad se agregó a la versión 7.2.12024.0 de Hybrid Runbook Worker.This functionality was added to version 7.2.12024.0 of Hybrid Runbook Worker.

Direcciones de Update Management para Hybrid Runbook WorkerUpdate Management addresses for Hybrid Runbook Worker

Además de las direcciones y los puertos estándar que necesita Hybrid Runbook Worker, Update Management necesita las direcciones de la tabla siguiente.On top of the standard addresses and ports that the Hybrid Runbook Worker requires, Update Management needs the addresses in the next table. La comunicación con estas direcciones usa el puerto 443.Communication to these addresses uses port 443.

Azure PublicAzure Public Azure GovernmentAzure Government
*.ods.opinsights.azure.com *.ods.opinsights.azure.us
*.oms.opinsights.azure.com *.oms.opinsights.azure.us
*.blob.core.windows.net *.blob.core.usgovcloudapi.net

State Configuration de Azure Automation en una instancia de Hybrid Runbook WorkerAzure Automation State Configuration on a Hybrid Runbook Worker

Puede ejecutar State Configuration de Azure Automation en una instancia de Hybrid Runbook Worker.You can run Azure Automation State Configuration on a Hybrid Runbook Worker. Para administrar la configuración de los servidores que admiten la instancia de Hybrid Runbook Worker, debe agregar dichos servidores como nodos de DSC.To manage the configuration of servers that support the Hybrid Runbook Worker, you must add the servers as DSC nodes. Consulte el artículo Incorporación de máquinas para su administración mediante Azure Automation State Configuration.See Enable machines for management by Azure Automation State Configuration.

Runbooks en Hybrid Runbook WorkerRunbooks on a Hybrid Runbook Worker

Podría tener runbooks que administren recursos en la máquina local o se ejecuten con recursos en el entorno local en el que se implementa una instancia de Hybrid Runbook Worker.You might have runbooks that manage resources on the local machine or run against resources in the local environment where a Hybrid Runbook Worker is deployed. En este caso, puede elegir ejecutar los runbooks en la instancia de Hybrid Worker en lugar de en una cuenta de Automation.In this case, you can choose to run your runbooks on the hybrid worker instead of in an Automation account. La estructura de los runbooks que se ejecutan en una instancia de Hybrid Runbook Worker es idéntica a la de los que ejecuta en la cuenta de Automation.Runbooks run on a Hybrid Runbook Worker are identical in structure to those that you run in the Automation account. Consulte Ejecución de runbooks en Hybrid Runbook Worker.See Run runbooks on a Hybrid Runbook Worker.

Trabajos de Hybrid Runbook WorkerHybrid Runbook Worker jobs

Los trabajos de Hybrid Runbook Worker se ejecutan en la cuenta del sistema local en Windows o en la cuenta nxautomation en Linux.Hybrid Runbook Worker jobs run under the local System account on Windows or the nxautomation account on Linux. Azure Automation controla los trabajos en Hybrid Runbook Worker de forma ligeramente diferente a los trabajos que se ejecutan en espacios aislados de Azure.Azure Automation handles jobs on Hybrid Runbook Workers somewhat differently from jobs run in Azure sandboxes. Consulte Dónde ejecutar los runbooks.See Runbook execution environment.

Si la máquina host de Hybrid Runbook Worker se reinicia, cualquier trabajo de runbook en ejecución se reinicia desde el principio o desde el último punto de comprobación para runbooks de Flujo de trabajo de PowerShell.If the Hybrid Runbook Worker host machine reboots, any running runbook job restarts from the beginning, or from the last checkpoint for PowerShell Workflow runbooks. Si un trabajo de runbook se reinicia más de tres veces, se suspende.After a runbook job is restarted more than three times, it is suspended.

Permisos del runbook para una instancia de Hybrid Runbook WorkerRunbook permissions for a Hybrid Runbook Worker

Puesto que acceden a recursos que no son de Azure, los runbooks que se ejecutan en una instancia de Hybrid Runbook Worker no pueden usar el mecanismo de autenticación que usan normalmente los runbooks que se autentican en los recursos de Azure.Since they access non-Azure resources, runbooks running on a Hybrid Runbook Worker can't use the authentication mechanism typically used by runbooks authenticating to Azure resources. Un runbook proporciona su propia autenticación a los recursos locales o configura la autenticación mediante identidades administradas para los recursos de Azure.A runbook either provides its own authentication to local resources, or configures authentication using managed identities for Azure resources. También puede especificar una cuenta de ejecución para proporcionar un contexto de usuario para todos los runbooks.You can also specify a Run As account to provide a user context for all runbooks.

Pasos siguientesNext steps