Ringkasan Azure Automation Hybrid Runbook Worker

Runbook di Azure Automation mungkin tidak memiliki akses ke sumber daya di cloud lain atau di lingkungan lokal Anda karena dijalankan di platform cloud Azure. Anda dapat menggunakan fitur Hybrid Runbook Worker dari Azure Automation untuk menjalankan runbook langsung pada komputer yang meng-host peran dan terhadap sumber daya di lingkungan untuk mengelola sumber daya lokal tersebut. Runbook disimpan dan dikelola di Azure Automation lalu dikirim ke satu atau beberapa komputer yang ditetapkan.

Azure Automation menyediakan integrasi asli dari peran Hybrid Runbook Worker melalui kerangka ekstensi Azure virtual machine (VM). Agen Azure VM bertanggung jawab untuk pengelolaan ekstensi pada VM Azure pada VM Windows dan Linux, dan pada komputer non-Azure melalui agen Connected Machine dengan server yang mendukung Arc. Sekarang ada dua platform instalasi Hybrid Runbook Workers yang didukung oleh Azure Automation.

Platform Deskripsi
Berbasis ekstensi (V2) Dipasang menggunakan ekstensi VM Hybrid Runbook Worker, tanpa ketergantungan pada agen Log Analytics yang melapor ke ruang kerja Log Analytics Azure Monitor. Ini adalah platform yang direkomendasikan.
Berbasis agen (V1) Dipasang setelah pelaporan agen Log Analytics ke ruang kerja Log Analytics Azure Monitor selesai.

Hybrid worker group showing platform field

Berikut adalah daftar manfaat yang tersedia dengan peran Hybrid Runbook Worker berbasis ekstensi:

Manfaat Deskripsi
Onboarding mulus Menghilangkan ketergantungan pada solusi Log Analytics untuk onboarding Hybrid Runbook Workers, yang merupakan proses multi langkah, akan memakan waktu, dan rawan kesalahan.
Pengalaman onboarding terpadu Instalasi dikelola menggunakan metode dukungan yang sama untuk komputer Azure dan non-Azure.
Kemudahan Pengelolaan Integrasi asli dengan identitas ARM untuk Hybrid Runbook Worker dan menyediakan fleksibilitas untuk tata kelola dalam skala besar melalui kebijakan dan templat.
Autentikasi berbasis Azure Active Directory Menggunakan sistem VM yang diberikan identitas yang disediakan oleh Azure AD. Sistem ini memusatkan kontrol dan pengelolaan identitas dan kredensial sumber daya.

Untuk operasi Hybrid Runbook Worker setelah instalasi, proses yang mengeksekusi runbooks pada Hybrid Runbook Workers adalah sama. Tujuan dari pendekatan berbasis ekstensi adalah untuk menyederhanakan instalasi dan pengelolaan peran Hybrid Runbook Worker dan menghilangkan kompleksitas yang bekerja dengan versi berbasis agen. Instalasi berbasis ekstensi baru tidak mempengaruhi instalasi atau manajemen peran Hybrid Runbook Worker berbasis agen. Kedua jenis Hybrid Runbook Worker dapat bekerja berdampingan di mesin yang sama.

Hybrid Runbook Worker berbasis ekstensi hanya mendukung tipe Hybrid Runbook Worker pengguna, dan tidak termasuk sistem Hybrid Runbook Worker yang diperlukan untuk fitur Manajemen Pembaruan.

Catatan

Dukungan PowerShell untuk menginstal Hybrid Runbook Worker berbasis ekstensi tidak didukung saat ini.

Jenis Runbook Worker

Ada dua jenis Runbook Worker - sistem dan pengguna. Tabel berikut ini menjelaskan perbedaan keduanya.

Jenis Deskripsi
Sistem Hybrid Runbook Worker sistem mendukung set runbook tersembunyi yang digunakan oleh fitur Update Management yang dirancang untuk memasang pembaruan yang ditentukan pengguna pada komputer Windows dan Linux.
Jenis Hybrid Runbook Worker ini bukan anggota grup Hybrid Runbook Worker, dan karenanya, tidak menjalankan runbook yang menargetkan grup Runbook Worker.
Pengguna Mendukung runbook yang ditentukan pengguna yang dimaksudkan untuk berjalan langsung pada komputer Windows dan Linux yang merupakan anggota dari satu atau beberapa grup Runbook Worker.

Hybrid Runbook Workers berbasis agen (V1) bergantung pada pelaporan agen Log Analytics ke ruang kerja Log Analytics Azure Monitor. Ruang kerja tidak hanya untuk mengumpulkan data pemantauan dari mesin, tetapi juga untuk mengunduh komponen yang diperlukan untuk menginstal Hybrid Runbook Worker berbasis agen.

Saat Azure Automation Update Management diaktifkan, komputer apa pun yang terhubung ke ruang kerja Log Analytics Anda secara otomatis dikonfigurasi sebagai Hybrid Runbook Worker sistem. Untuk mengonfigurasinya sebagai pengguna Windows Hybrid Runbook Worker, lihat Menerapkan Windows Hybrid Runbook Worker berbasis agen di Azure Automation dan untuk Linux, lihat Menerapkan Linux Hybrid Runbook Worker berbasis agen di Azure Automation.

Batas Runbook Worker

Tabel berikut menunjukkan jumlah maksimum sistem dan pengguna Hybrid Runbook Workers di akun Automation. Jika Anda memiliki lebih dari 4.000 komputer untuk dikelola, sebaiknya buat akun Automation lain.

Jenis pekerja Jumlah maksimum yang didukung per Akun Automation.
Sistem 4000
Pengguna 4000

Bagaimana cara kerjanya?

Setiap pengguna Hybrid Runbook Worker adalah anggota grup Hybrid Runbook Worker yang Anda tentukan saat Anda memasang pekerja. Grup dapat menyertakan satu pekerja, tetapi Anda dapat menyertakan beberapa pekerja dalam grup untuk ketersediaan tinggi. Setiap komputer dapat meng-host satu pelaporan Hybrid Runbook Worker ke satu akun Automation; Anda tidak dapat mendaftarkan Hybrid Worker di beberapa akun Automation. Pekerja hibrid hanya dapat mendengarkan pekerjaan dari satu akun Automation.

User Hybrid Runbook Worker technical diagram

Untuk komputer yang meng-host sistem Hybrid Runbook worker yang dikelola oleh Update Management, komputer dapat ditambahkan ke grup Hybrid Runbook Worker. Tetapi, Anda harus menggunakan akun Automation yang sama untuk Update Management dan keanggotaan grup Hybrid Runbook Worker.

System Hybrid Runbook Worker technical diagram

Saat Anda memulai runbook pada Hybrid Runbook Worker pengguna, Anda menentukan grup yang dijalankannya. Setiap pekerja dalam kelompok melakukan polling Azure Automation untuk melihat apakah ada pekerjaan yang tersedia. Jika pekerjaan tersedia, pekerja pertama yang mendapatkan pekerjaan mengambilnya. Waktu pemrosesan antrean pekerjaan tergantung pada profil dan beban perangkat keras pekerja hibrid. Anda tidak dapat menentukan pekerja tertentu. Pekerja hibrid bekerja pada mekanisme polling (setiap 30 detik) dan mengikuti urutan pertama datang, pertama ditangani. Pekerja hibrid mana pun yang melakukan ping layanan Automation mengambil pekerjaan, bergantung pada waktu pekerjaan didorong. Seorang pekerja hibrid tunggal umumnya dapat mengambil empat pekerjaan per ping (artinya, setiap 30 detik). Jika tingkat Anda mendorong pekerjaan lebih tinggi dari empat per 30 detik, maka ada kemungkinan besar hybrid worker lain dalam kelompok Pekerja Runbook Hybrid mengambil pekerjaan tersebut.

Hybrid Runbook Worker tidak memiliki banyak batas sumber daya Azure sandbox pada ruang disk, memori, atau soket jaringan. Batasan pada pekerja hibrid hanya terkait dengan sumber daya pekerja sendiri, dan mereka tidak dibatasi oleh batas waktu pembagian yang adil yang dimiliki Azure sandbox.

Untuk mengontrol distribusi runbook pada Hybrid Runbook Worker dan waktu atau cara pekerjaan dipicu, Anda dapat mendaftarkan pekerja hibrid untuk berbagai grup Hybrid Runbook Worker dalam akun Automation Anda. Targetkan pekerjaan terhadap kelompok atau grup tertentu untuk mendukung pengaturan eksekusi Anda.

Pemasangan Hybrid Runbook Worker

Proses untuk memasang Hybrid Runbook Worker pengguna bergantung pada sistem operasi. Tabel di bawah ini menentukan jenis penyebaran.

Sistem Operasi Jenis Penyebaran
Windows Otomatis
Manual.
Linux Manual
Baik Untuk Hybrid Runbook Workers pengguna, lihat Menyebarkan Hybrid Runbook Worker pengguna berbasis ekstensi Windows atau Linux di Automation. Ini adalah metode yang direkomendasikan.

Catatan

Hybrid Runbook Worker saat ini tidak didukung pada Set Skala VM.

Perencanaan jaringan

Periksa Azure Automation Network Configuration untuk mengetahui informasi terperinci tentang port, URL, dan detail jaringan lainnya yang diperlukan untuk Hybrid Runbook Worker.

Penggunaan server proksi

Jika Anda menggunakan server proksi untuk komunikasi antara Azure Automation dan komputer yang menjalankan agen Log Analytics, pastikan sumber daya yang sesuai dapat diakses. Batas waktu untuk permintaan dari layanan Hybrid Runbook Worker dan Automation adalah 30 detik. Setelah tiga upaya, permintaan gagal.

Penggunaan firewall

Jika menggunakan firewall untuk membatasi akses ke internet, Anda harus mengonfigurasi firewall untuk mengizinkan akses. Jika menggunakan gateway Log Analytics sebagai proksi, pastikan bahwa gateway tersebut dikonfigurasi untuk Hybrid Runbook Worker. Lihat Mengonfigurasi gateway Log Analytics untuk Automation Hybrid Runbook Worker.

Tag layanan

Azure Automation mendukung tag layanan jaringan virtual Azure, khususnya GuestAndHybridManagement. Anda dapat menggunakan tag layanan jaringan virtual untuk menentukan kontrol pada akses jaringan pada kelompok keamanan jaringan atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan GuestAndHybridManagement di bidang sumber atau tujuan aturan yang sesuai, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan Automation. Tag layanan ini tidak mendukung diizinkannya kontrol yang lebih terperinci dengan membatasi rentang IP untuk wilayah tertentu.

Tag layanan untuk layanan Automation Azure hanya menyediakan IP yang digunakan untuk skenario berikut:

  • Memicu webhook dari dalam jaringan virtual Anda
  • Mengizinkan Hybrid Runbook Worker atau agen State Configuration di VNet Anda untuk berkomunikasi dengan layanan Automation

Catatan

Tag layanan GuestAndHybridManagement saat ini tidak mendukung eksekusi pekerjaan runbook di Azure sandbox, hanya langsung pada Hybrid Runbook Worker.

Dukungan untuk Impact Level 5 (IL5)

Azure Automation Hybrid Runbook Worker dapat digunakan di Azure Government untuk mendukung beban kerja Impact Level 5 di satu dari dua konfigurasi berikut:

  • komputer virtual terpisah. Ketika disebarkan, ini menggunakan seluruh host fisik untuk komputer yang menyediakan tingkat isolasi yang diperlukan untuk mendukung beban kerja IL5.

  • Azure Dedicated Host yang menyediakan server fisik yang mampu meng-host satu atau beberapa komputer virtual, yang didedikasikan untuk satu langganan Azure.

Catatan

Menghitung isolasi melalui peran Hybrid Runbook Worker tersedia untuk cloud Azure Commercial dan US Government.

Memperbarui alamat Management untuk Hybrid Runbook Worker

Selain alamat standar dan port yang diperlukan untuk Hybrid Runbook Worker, Update Management memiliki persyaratan konfigurasi jaringan lain yang dijelaskan di bagian perencanaan jaringan.

Azure Automation State Configuration pada Hybrid Runbook Worker

Anda dapat menjalankan Azure Automation State Configuration pada Hybrid Runbook Worker. Untuk mengelola konfigurasi server yang mendukung Hybrid Runbook Worker, Anda harus menambahkan server sebagai node DSC. Lihat Mengaktifkan komputer untuk manajemen berdasarkan Azure Automation State Configuration.

Runbook di Hybrid Runbook Worker

Anda mungkin memiliki runbook yang mengelola sumber daya pada komputer lokal atau dijalankan terhadap sumber daya di lingkungan lokal tempat pengguna Hybrid Runbook Worker disebarkan. Dalam hal ini, Anda dapat memilih untuk menjalankan runbook Anda pada pekerja hibrid alih-alih di akun Automation. Runbook yang dijalankan pada Hybrid Runbook Worker identik dalam struktur dengan yang Anda jalankan di akun Automation. Lihat Menjalankan runbook di Hybrid Runbook Worker.

Pekerjaan Hybrid Runbook Worker

Pekerjaan untuk Hybrid Runbook Worker berjalan pada akun Sistem lokal di Windows, atau akun nxautomation di Linux. Azure Automation menangani pekerjaan di Hybrid Runbook Worker secara berbeda dari pekerjaan yang dijalankan di Azure sandbox. Lihat Lingkungan eksekusi Runbook.

Jika komputer host Hybrid Runbook Worker di-reboot, pekerjaan runbook apa pun yang berjalan dimulai ulang dari awal, atau dari titik pemeriksaan terakhir untuk runbook PowerShell Workflow. Setelah dimulai ulang lebih dari tiga kali, pekerjaan runbook ditangguhkan.

Izin runbook untuk Hybrid Runbook Worker

Karena mengakses sumber daya di luar Azure, runbook yang berjalan pada Hybrid Runbook Worker pengguna tidak dapat menggunakan mekanisme autentikasi yang biasanya digunakan oleh runbook yang mengautentikasi ke sumber daya Azure. Runbook menyediakan autentikasinya sendiri ke sumber daya lokal, atau mengonfigurasi autentikasi menggunakan identitas terkelola untuk sumber daya Azure. Anda juga dapat menentukan akun Jalankan Sebagai untuk menyediakan konteks pengguna untuk semua runbook.

Melihat sistem Hybrid Runbook Worker

Setelah fitur Update Management diaktifkan pada komputer Windows atau Linux, Anda dapat menginventarisasi daftar grup Hybrid Runbook Worker sistem di portal Microsoft Azure. Anda dapat menampilkan hingga 2.000 pekerja di portal dengan memilih tab grup pekerja hibrid Sistem dari opsi Grup pekerja hibrid dari panel sebelah kiri untuk akun Automation yang dipilih.

Automation account system hybrid worker groups page

Jika Anda memiliki lebih dari 2.000 pekerja hibrid, untuk mendapatkan daftar lengkapnya, Anda dapat menjalankan skrip PowerShell berikut ini:

"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"

Langkah berikutnya