Automation-runbookok futtatása hibrid runbook-feldolgozón

  • Cikk

Fontos

  • Az Azure Automation ügynökalapú (Windows- és Linux-) felhasználói hibrid runbook-feldolgozója 2024. augusztus 31-én megszűnik, és ezt követően nem lesz támogatott. 2024. augusztus 31. előtt be kell fejeznie a meglévő ügynökalapú felhasználói hibrid runbook-feldolgozókról bővítményalapú feldolgozókra történő migrálást. Ezenkívül 2023. november 1-től nem lenne lehetséges új ügynökalapú hibrid feldolgozók létrehozása. További információ.
  • Az Azure Automation futtató fiókja 2023. szeptember 30-án megszűnik, és a felügyelt identitások helyébe lép. Ezen dátum előtt el kell kezdenie a runbookok migrálását felügyelt identitások használatára. További információt a runbookok 2023. szeptember 30-a előtti, futtató fiókról felügyelt identitásokra történő migrálásáról a meglévő futtató fiókokról a felügyelt identitásokra való migrálásról olvashat.

A hibrid runbook-feldolgozón futó runbookok általában a helyi számítógépen vagy azon a helyi környezetben lévő erőforrásokon kezelik az erőforrásokat, ahol a feldolgozó telepítve van. Az Azure Automation runbookjai általában az Azure-felhőben kezelik az erőforrásokat. Annak ellenére, hogy másként használják őket, az Azure Automationben futó runbookok és a hibrid runbook-feldolgozón futó runbookok struktúrája megegyezik.

Amikor egy hibrid runbook-feldolgozón futtatandó runbookot hoz létre, szerkessze és tesztelje a runbookot azon a gépen, amely a feldolgozót üzemelteti. A gazdagép rendelkezik a helyi erőforrások kezeléséhez szükséges összes PowerShell-modullal és hálózati hozzáféréssel. Miután tesztelte a runbookot a hibrid runbook-feldolgozó gépen, feltöltheti azt az Azure Automation-környezetbe, ahol futtatható a feldolgozón.

Tűzfallal védett Azure-szolgáltatások tervezése

Ha engedélyezi az Azure Firewallt az Azure Storage-on, az Azure Key Vaulton vagy az Azure SQL-en, letiltja az Azure Automation-runbookok hozzáférését ezekhez a szolgáltatásokhoz. A hozzáférés akkor is le lesz tiltva, ha engedélyezi a megbízható Microsoft-szolgáltatásokat az arra vonatkozó tűzfalkivétellel, mivel az Automation nem szerepel a megbízható szolgáltatások listáján. Engedélyezett tűzfal esetén a hozzáférés csak hibrid Runbook-feldolgozóval és virtuális hálózati szolgáltatásvégponttal érhető el.

Runbook-feladatok viselkedésének tervezése

Az Azure Automation a hibrid runbook-feldolgozók feladatait a felhőalapú tesztkörnyezetekben futtatott feladatoktól eltérően kezeli. Ha hosszú ideig futó runbookja van, győződjön meg arról, hogy rugalmas a lehetséges újraindításhoz. A feladat viselkedésének részleteiért lásd a hibrid runbook-feldolgozói feladatokat.

Szolgáltatásfiókok

Hibrid Windows-feldolgozó

A hibrid runbook-feldolgozók feladatai a helyi rendszerfiókban futnak.

Feljegyzés

  • A PowerShell 5.1, a PowerShell 7.1 (előzetes verzió), a Python 2.7 és a Python 3.8 runbookok bővítményalapú és ügynökalapú hibrid Runbook-feldolgozókon egyaránt támogatottak. Ügynökalapú feldolgozók esetén győződjön meg arról, hogy a Windows Hibrid feldolgozó verziója a 7.3.12960-es vagy újabb verzió.
  • A PowerShell 7.2 és a Python 3.10 (előzetes verzió) runbookok csak bővítményalapú Windows Hibrid feldolgozók esetén támogatottak. Győződjön meg arról, hogy a Windows Hibrid feldolgozó bővítményének verziója 1.1.11-es vagy újabb.

Feljegyzés

Környezeti változó windowsos rendszerekben való létrehozásához kövesse az alábbi lépéseket:

  1. Lépjen a Vezérlőpult> System>Advanced System Gépház.
  2. A Rendszertulajdonságok területen válassza ki a környezeti változókat.
  3. A rendszerváltozókban válassza az Új lehetőséget.
  4. Adja meg a változó nevét és a változó értékét, majd kattintson az OK gombra.
  5. Indítsa újra a virtuális gépet vagy jelentkezzen ki az aktuális felhasználótól, és jelentkezzen be a környezeti változó módosításainak implementálásához.

PowerShell 7.2

A PowerShell 7.2-runbookok Hibrid Windows-feldolgozón való futtatásához telepítse a PowerShellt a hibrid feldolgozóra. Lásd: A PowerShell telepítése Windows rendszeren.

A PowerShell 7.2 telepítése után hozzon létre egy változó nevű környezeti változót powershell_7_2_path és változó értéket a végrehajtható PowerShell helyeként. Indítsa újra a hibrid runbook-feldolgozót a környezeti változó sikeres létrehozása után.

PowerShell 7.1

A PowerShell 7.1 runbookok Hibrid Windows-feldolgozón való futtatásához telepítse a PowerShellt a hibrid feldolgozóra. Lásd: A PowerShell telepítése Windows rendszeren. Győződjön meg arról, hogy hozzáadja a PowerShell-fájlt a PATH környezeti változóhoz, és a telepítés után indítsa újra a hibrid runbook-feldolgozót.

Python 3.10

Python 3.10-runbookok windowsos hibrid feldolgozón való futtatásához telepítse a Pythont a hibrid feldolgozóra. Lásd: Python telepítése Windows rendszeren.

A Python 3.10 telepítése után hozzon létre egy környezeti változót változó néven python_3_10_path és változó értékkel a végrehajtható Python helyeként. Indítsa újra a hibrid runbook-feldolgozót a környezeti változó sikeres létrehozása után.

Python 3.8

A Python 3.8 runbookok Hibrid Windows-feldolgozón való futtatásához telepítse a Pythont a hibrid feldolgozóra. Lásd: Python telepítése Windows rendszeren. Hozzon létre környezeti változótPYTHON_3_PATH Python 3.8 runbookokhoz, és győződjön meg arról, hogy a végrehajtható Python helyét változó értékként adja hozzá. Indítsa újra a hibrid runbook-feldolgozót a környezeti változó sikeres létrehozása után.

Ha a Python végrehajtható fájl a C:\WPy64-3800\python-3.8.0.amd64\python.exe alapértelmezett helyen található, akkor nem kell létrehoznia a környezeti változót.

Python 2.7

A Python 2.7 runbookok windowsos hibrid feldolgozón való futtatásához telepítse a Pythont a hibrid feldolgozóra. Lásd: Python telepítése Windows rendszeren. Hozzon létre környezeti változótPYTHON_2_PATH Python 2.7-runbookokhoz, és győződjön meg arról, hogy a végrehajtható Python-fájl helyét változó értékként adja hozzá. Indítsa újra a hibrid runbook-feldolgozót a környezeti változó sikeres létrehozása után.

Ha a Python végrehajtható fájlja az alapértelmezett C:\Python27\python.exe helyen található, akkor nem kell létrehoznia a környezeti változót.

Hibrid Linux-feldolgozó

Feljegyzés

  • A PowerShell 5.1, a PowerShell 7.1 (előzetes verzió), a Python 2.7 és a Python 3.8 runbookok bővítményalapú és ügynökalapú hibrid Runbook-feldolgozókon egyaránt támogatottak. Ügynökalapú feldolgozók esetén győződjön meg arról, hogy a Linux hibrid runbook feldolgozójának verziója 1.7.5.0-s vagy újabb.
  • A PowerShell 7.2 és a Python 3.10 (előzetes verzió) runbookok csak bővítményalapú Linux hibrid feldolgozók esetén támogatottak. Győződjön meg arról, hogy a Linux hibrid feldolgozó bővítményének verziója az 1.1.11-es vagy újabb.

Feljegyzés

A környezeti változó linuxos rendszerekben való létrehozásához kövesse az alábbi lépéseket:

  1. Nyissa meg a /etc/environment elemet.
  2. Hozzon létre egy új környezeti változót úgy, hogy VARIABLE_NAME="variable_value" értéket ad hozzá a /etc/environment új sorához (VARIABLE_NAME az új környezeti változó neve, variable_value pedig a hozzárendelni kívánt értéket jelöli).
  3. Indítsa újra a virtuális gépet vagy jelentkezzen ki az aktuális felhasználótól, és jelentkezzen be, miután a módosításokat a /etc/environment fájlba mentette a környezeti változók módosításának implementálásához.

PowerShell 7.2

A PowerShell 7.2 runbookok Linux hibrid feldolgozón való futtatásához telepítse a PowerShell-fájlt a hibrid feldolgozóra. További információ: A PowerShell telepítése Linuxon.

A PowerShell 7.2 telepítése után hozzon létre egy környezeti változót a végrehajtható PowerShell-fájl helyeként változónévvelpowershell_7_2_path és változó értékkel. Indítsa újra a hibrid runbook-feldolgozót egy környezeti változó sikeres létrehozása után.

Python 3.10

A Python 3.10 runbookok Linux hibrid feldolgozón való futtatásához telepítse a Pythont a hibrid feldolgozóra. További információ: Python 3.10 telepítése Linux rendszeren.

A Python 3.10 telepítése után hozzon létre egy környezeti változót a végrehajtható Python-fájl helyeként változó néven python_3_10_path és változó értékkel. Indítsa újra a hibrid runbook-feldolgozót a környezeti változó sikeres létrehozása után.

Python 3.8

A Python 3.8 runbookok Linux hibrid feldolgozón való futtatásához telepítse a Pythont a hibrid feldolgozóra. Győződjön meg arról, hogy hozzáadja a végrehajtható Python-fájlt a PATH környezeti változóhoz, és a telepítés után indítsa újra a hibrid runbook-feldolgozót.

Python 2.7

A Python 2.7 runbookok Linux hibrid feldolgozón való futtatásához telepítse a Pythont a hibrid feldolgozóra. Győződjön meg arról, hogy hozzáadja a végrehajtható Python-fájlt a PATH környezeti változóhoz, és a telepítés után indítsa újra a hibrid runbook-feldolgozót.

Runbook-engedélyek konfigurálása

A hibrid runbook-feldolgozón való futtatáshoz szükséges engedélyek meghatározása a következő módokon:

Runbook-hitelesítés használata helyi erőforrásokhoz

Ha olyan runbookot készít elő, amely saját hitelesítést biztosít az erőforrások számára, használjon hitelesítő adatokat és tanúsítványegységeket a runbookban. Több parancsmag is lehetővé teszi a hitelesítő adatok megadását, hogy a runbook hitelesíthesse magát a különböző erőforrásokon. Az alábbi példa egy olyan runbook egy részét mutatja be, amely újraindít egy számítógépet. Lekéri a hitelesítő adatokat egy hitelesítő adategységből és a számítógép nevét egy változó objektumból, majd ezeket az értékeket használja a Restart-Computer parancsmaggal.

$Cred = Get-AutomationPSCredential -Name "MyCredential"
$Computer = Get-AutomationVariable -Name "ComputerName"

Restart-Computer -ComputerName $Computer -Credential $Cred

InlineScript-tevékenységet is használhat. InlineScript lehetővé teszi kódblokkok futtatását egy másik számítógépen hitelesítő adatokkal.

Runbook-hitelesítés használata felügyelt identitásokkal

Az Azure-beli virtuális gépek hibrid runbook-feldolgozói felügyelt identitásokkal hitelesíthetik magukat az Azure-erőforrásokban. Ha felügyelt identitásokat használ az Azure-erőforrásokhoz futtató fiókok helyett, az előnyökkel jár, mert nem kell:

  • Exportálja a futtató tanúsítványt, majd importálja a hibrid runbook-feldolgozóba.
  • Újítsa meg a futtató fiók által használt tanúsítványt.
  • A runbook kódjában kezelje a futtató kapcsolat objektumot.

A felügyelt identitások kétféleképpen használhatók hibrid runbook-feldolgozó szkriptekben.

  1. Használja a rendszer által hozzárendelt felügyelt identitást az Automation-fiókhoz:

    1. Konfiguráljon egy rendszer által hozzárendelt felügyelt identitást az Automation-fiókhoz.

    2. Adja meg ennek az identitásnak a szükséges engedélyeket az előfizetésen belül a feladat elvégzéséhez.

    3. Frissítse a runbookot úgy, hogy az Csatlakozás-AzAccount parancsmagot használja a paraméterrel az Identity Azure-erőforrások hitelesítéséhez. Ez a konfiguráció csökkenti a futtató fiók használatának és a társított fiókkezelés végrehajtásának szükségességét.

      # Ensures you do not inherit an AzContext in your runbook
Disable-AzContextAutosave -Scope Process

# Connect to Azure with system-assigned managed identity
$AzureContext = (Connect-AzAccount -Identity).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile
$AzureContext

# Get all VM names from the subscription
Get-AzVM -DefaultProfile $AzureContext | Select Name

    Feljegyzés

    Az Automation-fiók felhasználói felügyelt identitása nem használható hibrid runbook-feldolgozón, hanem az Automation-fiók rendszer által felügyelt identitásának kell lennie.

  2. Hibrid runbook-feldolgozóként futó Azure-beli virtuális gépekhez használja a virtuális gép felügyelt identitását. Ebben az esetben használhatja a virtuális gép felhasználó által hozzárendelt felügyelt identitását vagy a virtuális gép rendszer által hozzárendelt felügyelt identitását.

    Feljegyzés

    Ez NEM működik olyan Automation-fiókban, amely felügyelt Automation-fiókkal lett konfigurálva. Amint az Automation-fiók felügyelt identitása engedélyezve van, már nem lehet használni a virtuális gép felügyelt identitását, majd csak a fenti 1. lehetőségben említett Automation-fiók rendszer által hozzárendelt felügyelt identitása használható.

    A következő felügyelt identitások bármelyikét használhatja:

    1. Rendszer által felügyelt identitás konfigurálása a virtuális géphez.
    2. Adja meg ennek az identitásnak a szükséges engedélyeket az előfizetésen belül a feladatai elvégzéséhez.
    3. Frissítse a runbookot úgy, hogy az Csatlakozás-Az-Account parancsmagot használja a paraméterrel az Identity Azure-erőforrások hitelesítéséhez. Ez a konfiguráció csökkenti a futtató fiók használatának és a társított fiókkezelés végrehajtásának szükségességét.
        # Ensures you do not inherit an AzContext in your runbook
    Disable-AzContextAutosave -Scope Process

    # Connect to Azure with system-assigned managed identity
    $AzureContext = (Connect-AzAccount -Identity).context

    # set and store context
    $AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile
    $AzureContext

    # Get all VM names from the subscription
    Get-AzVM -DefaultProfile $AzureContext | Select Name

Az Arc-kompatibilis kiszolgálók vagy az Arc-kompatibilis VMware vSphere virtuális gépek hibrid runbook-feldolgozóként futnak, már rendelkezik hozzá egy beépített rendszer által felügyelt identitással, amely a hitelesítéshez használható.

  1. Ezt a felügyelt identitást a megfelelő szerepkör-hozzárendelés hozzáadásával engedélyezheti az előfizetésében lévő erőforrásokhoz az erőforrás Hozzáférés-vezérlés (IAM) paneljén.

    Screenshot of how to select managed identities.

  2. Szükség szerint adja hozzá az Azure Arc felügyelt identitást a választott szerepkörhöz.

    Screenshot of how to add role assignment in the Access control blade.

Feljegyzés

Ez NEM működik olyan Automation-fiókban, amely felügyelt Automation-fiókkal lett konfigurálva. Amint az Automation-fiók felügyelt identitása engedélyezve van, már nem lehet használni az Arc felügyelt identitást, majd csak a fenti 1. lehetőségben említett Automation-fiókhoz rendelt felügyelt identitást lehet használni.

Feljegyzés

Alapértelmezés szerint az Azure-környezetek a PowerShell-munkamenetek közötti használatra vannak mentve. Lehetséges, hogy ha a hibrid runbook-feldolgozó egy korábbi runbookja hitelesítve lett az Azure-ral, az a rendszer PowerShell-profiljában megmarad a lemezen, az Azure-környezetek és a bejelentkezési hitelesítő adatok szerint | Microsoft Docs. Egy runbook Get-AzVM például az előfizetés összes virtuális gépét vissza tudja adni hívás Connect-AzAccountnélkül, és a felhasználó anélkül férhet hozzá az Azure-erőforrásokhoz, hogy a runbookon belül hitelesítést kellene végeznie. Az Azure PowerShellben letilthatja a környezet automatikus mentését, az itt leírtak szerint.

Runbook-hitelesítés használata hibrid feldolgozói hitelesítő adatokkal

Ahelyett, hogy a runbook saját hitelesítést biztosít a helyi erőforrások számára, hibrid feldolgozói hitelesítő adatokat adhat meg egy hibrid runbook-feldolgozó csoporthoz. Hibrid feldolgozói hitelesítő adatok megadásához meg kell adnia egy hitelesítőadat-objektumot , amely hozzáfér a helyi erőforrásokhoz. Ezek az erőforrások tanúsítványtárolókat tartalmaznak, és az összes runbook ezen hitelesítő adatok alatt fut a csoport hibrid runbook-feldolgozóján.

  • A hitelesítő adatok felhasználónévnek az alábbi formátumok egyikében kell lennie:

    • Tartomány\felhasználónév
    • username@domain
    • felhasználónév (a helyszíni számítógépen helyi fiókok esetén)

  • Az Export-RunAsCertificateToHybridWorker PowerShell-runbook használatához telepítenie kell az Azure Automationhez készült Az-modulokat a helyi gépen.

Hitelesítő adategység használata hibrid runbook-feldolgozói csoporthoz

Alapértelmezés szerint a hibrid feladatok a rendszerfiók környezetében futnak. Ha azonban hibrid feladatokat szeretne futtatni egy másik hitelesítőadat-objektum alatt, kövesse az alábbi lépéseket:

  1. Hozzon létre egy hitelesítőadat-objektumot a helyi erőforrásokhoz való hozzáféréssel.
  2. Nyissa meg az Automation-fiókot az Azure Portalon.
  3. Válassza a Hibrid feldolgozócsoportok lehetőséget, majd válassza ki az adott csoportot.
  4. Válassza a Beállítások lehetőséget.
  5. Módosítsa a hibrid feldolgozó hitelesítő adatai értékét AlapértelmezettrőlEgyénire.
  6. Jelölje ki a hitelesítő adatokat, és kattintson a Mentés gombra.
  7. Ha a következő engedélyek nincsenek hozzárendelve egyéni felhasználókhoz, a feladatok felfüggeszthetők.
Erőforrás típusa Mappaengedélyek
Azure VM C:\Packages\Plugins\Microsoft.Azure.Automation.HybridWorker.HybridWorkerForWindows (olvasás és végrehajtás)
ARC-kompatibilis kiszolgáló C:\ProgramData\Azure Csatlakozás edMachineAgent\Tokens (olvasás)
C:\Packages\Plugins\Microsoft.Azure.Automation.HybridWorker.HybridWorkerForWindows (olvasás és végrehajtás)

Feljegyzés

A Linux hibrid feldolgozó nem támogatja a hibrid feldolgozó hitelesítő adatait.

Runbook indítása hibrid runbook-feldolgozón

Runbook indítása az Azure Automationben a runbook indításának különböző módszereit ismerteti. Egy runbook hibrid runbook-feldolgozón való indítása egy Futtatás beállítással lehetővé teszi egy hibrid runbook-feldolgozó csoport nevének megadását. Ha egy csoport meg van adva, a csoport egyik feldolgozója lekéri és futtatja a runbookot. Ha a runbook nem adja meg ezt a beállítást, az Azure Automation a szokásos módon futtatja a runbookot.

Amikor elindít egy runbookot az Azure Portalon, megjelenik a Futtatás lehetőség, amelyhez kiválaszthatja az Azure-t vagy a hibrid feldolgozót. Válassza a Hibrid feldolgozó lehetőséget a hibrid runbook-feldolgozó csoport legördülő listából való kiválasztásához.

Screenshot showing how to select the Hybrid Runbook Worker group.

Runbook PowerShell-lel való indításakor használja a RunOn paramétert a Start-AzAutomationRunbook parancsmaggal. Az alábbi példa a Windows PowerShell használatával indít el egy Test-Runbook nevű runbookot egy MyHybridGroup nevű hibrid runbook-feldolgozó csoporton.

Start-AzAutomationRunbook -AutomationAccountName "MyAutomationAccount" -Name "Test-Runbook" -RunOn "MyHybridGroup"

Aláírt runbookok használata windowsos hibrid runbook-feldolgozón

A Windows hibrid runbook-feldolgozót konfigurálhatja úgy, hogy csak aláírt runbookokat futtasson.

Fontos

Miután úgy konfigurált egy hibrid runbook-feldolgozót, hogy csak aláírt runbookokat futtasson, az aláíratlan runbookok végrehajtása nem sikerült a feldolgozón.

Feljegyzés

A PowerShell 7.x nem támogatja az aláírt runbookok használatát Windowsos és Linuxos hibrid runbook-feldolgozókon.

Aláíró tanúsítvány létrehozása

Az alábbi példa egy önaláírt tanúsítványt hoz létre, amely runbookok aláírására használható. Ez a kód létrehozza és exportálja a tanúsítványt, hogy a hibrid runbook-feldolgozó később importálhassa. Az ujjlenyomat a tanúsítványra való későbbi hivatkozáshoz is vissza lesz adva.

# Create a self-signed certificate that can be used for code signing
$SigningCert = New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\my `
    -Subject "CN=contoso.com" `
    -KeyAlgorithm RSA `
    -KeyLength 2048 `
    -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
    -KeyExportPolicy Exportable `
    -KeyUsage DigitalSignature `
    -Type CodeSigningCert

# Export the certificate so that it can be imported to the hybrid workers
Export-Certificate -Cert $SigningCert -FilePath .\hybridworkersigningcertificate.cer

# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root

# Retrieve the thumbprint for later use
$SigningCert.Thumbprint

Tanúsítvány importálása és feldolgozók konfigurálása aláírás-ellenőrzéshez

Másolja a létrehozott tanúsítványt a csoport minden hibrid runbook-feldolgozójához. Futtassa a következő szkriptet a tanúsítvány importálásához, és konfigurálja a feldolgozókat az aláírás-ellenőrzés runbookokon való használatára.

# Install the certificate into a location that will be used for validation.
New-Item -Path Cert:\LocalMachine\AutomationHybridStore
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\AutomationHybridStore

# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root

# Configure the hybrid worker to use signature validation on runbooks.
Set-HybridRunbookWorkerSignatureValidation -Enable $true -TrustedCertStoreLocation "Cert:\LocalMachine\AutomationHybridStore"

Runbookok aláírása a tanúsítvány használatával

Ha a hibrid runbook-feldolgozók úgy vannak konfigurálva, hogy csak aláírt runbookokat használjanak, olyan runbookokat kell aláírnia, amelyeket a hibrid runbook-feldolgozóban kell használni. A runbookok aláírásához használja az alábbi PowerShell-mintakódot.

$SigningCert = ( Get-ChildItem -Path cert:\LocalMachine\My\<CertificateThumbprint>)
Set-AuthenticodeSignature .\TestRunbook.ps1 -Certificate $SigningCert

Ha egy runbook aláírása megtörtént, importálnia kell azt az Automation-fiókjába, és közzé kell tennie az aláírási blokkal. A runbookok importálásáról a Runbook importálása című témakörben olvashat.

Feljegyzés

Csak egyszerű szöveges karaktereket használjon a runbook kódjában, beleértve a megjegyzéseket is. Ha olyan karaktereket használ, mint az á vagy az ñ, hibát eredményez. Amikor az Azure Automation letölti a kódot, a karaktereket kérdőjel váltja fel, az aláírás pedig egy "aláíráskivonat-érvényesítési hiba" üzenettel hiúsul meg.

Aláírt runbookok használata linuxos hibrid runbook-feldolgozón

Az aláírt runbookok használatához a linuxos hibrid runbook-feldolgozónak rendelkeznie kell a GPG végrehajthatójával a helyi gépen.

Fontos

Miután úgy konfigurált egy hibrid runbook-feldolgozót, hogy csak aláírt runbookokat futtasson, az aláíratlan runbookok végrehajtása nem sikerült a feldolgozón.

A konfiguráció végrehajtásához hajtsa végre a következő lépéseket:

  • GPG-kulcstartó és kulcspair létrehozása
  • A kulcstartó elérhetővé tétele a hibrid runbook-feldolgozó számára
  • Ellenőrizze, hogy be van-e kapcsolva az aláírás ellenőrzése
  • Runbook aláírása

Feljegyzés

  • A PowerShell 7.x nem támogatja az ügynökalapú Windows és az ügynökalapú hibrid Linux runbook-feldolgozó aláírt runbookjait.
  • Az aláírt PowerShell- és Python-runbookok nem támogatottak a bővítményalapú Linux hibrid feldolgozókban.

GPG-kulcstartó és kulcspair létrehozása

Feljegyzés

A GPG-kulcstartó és kulcspair létrehozása csak az ügynökalapú hibrid feldolgozókra vonatkozik.

A GPG-kulcsok és kulcspairok létrehozásához használja a Hibrid Runbook-feldolgozó nxautomation fiókját.

  1. A sudo alkalmazás használatával jelentkezzen be nxautomation-fiókként.

    sudo su - nxautomation

  2. Ha nxautomationt használ, hozza létre a GPG-kulcspairt gyökérként. A GPG végigvezeti a lépéseken. Meg kell adnia a nevet, az e-mail-címet, a lejárati időt és a jelszót. Ezután várjon, amíg elegendő entrópia van a gépen a kulcs létrehozásához.

    sudo gpg --generate-key

  3. Mivel a GPG-címtár a sudo használatával lett létrehozva, a tulajdonosát nxautomációra kell módosítania az alábbi parancs gyökérként való használatával.

    sudo chown -R nxautomation ~/.gnupg

A kulcstartó elérhetővé tétele a hibrid runbook-feldolgozó számára

A kulcstartó létrehozása után tegye elérhetővé a hibrid runbook-feldolgozó számára. Módosítsa a home/nxautomation/state/worker.conf beállításfájlt úgy, hogy az tartalmazza a következő példakódot a fájlszakaszban[worker-optional].

gpg_public_keyring_path = /home/nxautomation/run/.gnupg/pubring.kbx

Ellenőrizze, hogy be van-e kapcsolva az aláírás ellenőrzése

Ha az aláírás érvényesítése le van tiltva a gépen, akkor az alábbi parancs gyökérként való futtatásával be kell kapcsolnia. Cserélje le <LogAnalyticsworkspaceId> a munkaterület azonosítóját.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --true <LogAnalyticsworkspaceId>

Runbook aláírása

Miután konfigurálta az aláírás-ellenőrzést, az alábbi GPG-paranccsal írja alá a runbookot.

gpg --clear-sign <runbook name>

Az aláírt runbook neve runbook name.asc>.<

Most már feltöltheti az aláírt runbookot az Azure Automationbe, és normál runbookként futtathatja.

Naplózás

A hibrid runbook-feldolgozón futó runbookokkal kapcsolatos problémák elhárításához a naplókat a rendszer helyileg tárolja a következő helyen:

  • Windows rendszeren a C:\ProgramData\Microsoft\System Center\Orchestrator\<version>\SMA\Sandboxes feladatok futásidejű folyamatának részletes naplózásához. A runbook magas szintű feladatállapot-eseményei az alkalmazás- és szolgáltatási naplók\Microsoft-Automation\Operations eseménynaplóba vannak beírva.

  • Linux rendszeren a felhasználó hibrid feldolgozói naplói a következő helyen /home/nxautomation/run/worker.logtalálhatók, és a rendszer runbook-feldolgozói naplói a következő helyen /var/opt/microsoft/omsagent/run/automationworker/worker.logtalálhatók: .

Következő lépések