Automatizzare le risorse nel centro dati o nel cloud con i ruoli di lavoro ibrido per runbook

I runbook in Automazione di Azure non possono accedere alle risorse in altri cloud o negli ambienti locali perché vengono eseguiti nel cloud di Azure. La funzionalità Ruolo di lavoro ibrido per runbook di Automazione di Azure consente di eseguire runbook direttamente sul computer che ospita il ruolo e su risorse nell'ambiente per gestire tali risorse locali. I runbook vengono infatti archiviati e gestiti in Automazione di Azure e quindi distribuiti a uno o più computer designati.

Questa funzionalità è illustrata nell'immagine seguente:

Panoramica di Hybrid Runbook Workers

Per una panoramica tecnica delle considerazioni sulla distribuzione e sui ruoli di lavoro ibrido per runbook, vedere Cenni preliminari sull'architettura di automazione.

Gruppi di computer di lavoro runbook ibridi

Ogni computer di lavoro runbook ibrido è un membro di un gruppo di computer di lavoro runbook ibridi che è possibile specificare quando si installa l'agente. Un gruppo può includere un solo agente, ma è possibile installarvi più agenti per garantire una disponibilità elevata.

Quando si avvia un runbook in un ruolo di lavoro ibrido per runbook, è necessario specificare il gruppo in cui verrà eseguito. I membri del gruppo determinano il ruolo di lavoro che gestirà la richiesta. Non è possibile scegliere un computer di lavoro specifico.

Relazione con Service Management Automation

Service Management Automation (SMA) consente di eseguire gli stessi runbook supportati da Automazione di Azure nel data center locale. SMA viene in genere distribuito insieme a Windows Azure Pack, dal momento che Windows Azure Pack contiene un'interfaccia grafica per la gestione di SMA. A differenza di Automazione di Azure, SMA richiede un'installazione locale che include server Web per ospitare l'API, un database per contenere i runbook e la configurazione SMA e ruoli di lavoro per runbook per eseguire i processi del runbook. Automazione di Azure offre questi servizi nel cloud e richiede solo di gestire i computer di lavoro runbook ibridi nell'ambiente locale.

Gli utenti SMA già esistenti possono spostare i runbook in Automazione di Azure affinché vengano usati con Hybrid Runbook Workers senza alcuna modifica, presupponendo che eseguano la propria autenticazione per le risorse come illustrato in Esecuzione dei runbook per Hybrid Runbook Workers. I runbook in SMA vengono eseguiti nel contesto dell'account del servizio nel server di lavoro, che può garantire tale autenticazione per i runbook.

Per determinare se per le proprie esigenze sia più opportuno ricorrere ad Automazione di Azure con Hybrid Runbook Workers o a Service Management Automation, è possibile usare i criteri seguenti.

  • Se è necessaria un'interfaccia di gestione grafica, SMA richiede un'installazione locale di componenti sottostanti connessi a Windows Azure Pack. Sono necessarie più risorse locali con costi di manutenzione superiori rispetto ad Automazione di Azure, che richiede solo l'installazione di un agente nei ruoli lavoro per runbook locali. Gli agenti vengono gestiti da Operations Management Suite, riducendo ulteriormente i costi di manutenzione.
  • Automazione di Azure archivia i runbook nel cloud e li distribuisce ai computer di ruolo di lavoro ibrido per runbook in locale. Se i criteri di sicurezza non consentono questo comportamento, è consigliabile usare SMA.
  • SMA è incluso in System Center e richiede pertanto una licenza di System Center 2012 R2. Automazione di Azure si basa su un modello di sottoscrizione a livelli.
  • Automazione di Azure offre funzionalità avanzate, tra cui runbook grafici, non disponibili in SMA.

Installazione del ruolo di lavoro ibrido per runbook di Windows

Per installare e configurare un ruolo di lavoro ibrido per runbook di Windows, sono disponibili due metodi. Il metodo consigliato consiste nell'usare un runbook di Automazione per automatizzare completamente il processo necessario per configurare un computer Windows. Il secondo metodo prevede l'esecuzione di una procedura dettagliata per installare e configurare il ruolo manualmente.

Nota

Per gestire la configurazione dei server che supportano il ruolo di lavoro ibrido per runbook con DSC (Desired State Configuration), è necessario aggiungerli come nodi DSC. Per informazioni sul caricamento dei server per la gestione con DSC, vedere Caricamento di computer per la gestione con Automation DSC per Azure.

Se si abilita la soluzione di gestione aggiornamenti, qualsiasi computer Windows connesso all'area di lavoro OMS viene automaticamente configurato come ruolo di lavoro ibrido per runbook per supportare i runbook che fanno parte di questa soluzione. Non viene però eseguita la registrazione con i gruppi di ruoli di lavoro ibridi già definiti nell'account di Automazione. È possibile aggiungere il computer a un gruppo ruolo di lavoro ibrido per runbook nell'account di Automazione per supportare i runbook di Automazione, purché si usi lo stesso account sia per la soluzione che per l'appartenenza al gruppo ruolo di lavoro ibrido per runbook. Questa funzionalità è stata aggiunta alla versione 7.2.12024.0 del ruolo di lavoro ibrido per runbook.

Esaminare le informazioni seguenti per quanto riguarda i requisiti hardware e software e le informazioni per preparare la rete prima di iniziare la distribuzione di un ruolo di lavoro ibrido per runbook. Dopo avere distribuito correttamente un ruolo di lavoro per runbook, esaminare Esecuzione dei runbook per Hybrid Runbook Workers per informazioni su come configurare i runbook per automatizzare i processi nel centro dati locale o un altro ambiente cloud.

Distribuzione automatizzata

Seguire questa procedura per automatizzare l'installazione e la configurazione del ruolo di lavoro ibrido di Windows.

  1. Scaricare lo script New-OnPremiseHybridWorker.ps1 da PowerShell Gallery direttamente dal computer che esegue il ruolo di lavoro ibrido per runbook o da un altro computer nell'ambiente e copiarlo nel ruolo di lavoro.

    Per l'esecuzione dello script New-OnPremiseHybridWorker.ps1 sono necessari i parametri seguenti:

    • AutomationAccountName (obbligatorio) - nome dell'account di Automazione.
    • ResourceGroupName (obbligatorio) - nome del gruppo di risorse associato all'account di Automazione.
    • HybridGroupName (obbligatorio) - nome di un gruppo di ruoli di lavoro ibridi per runbook che si specifica come destinazione per i runbook che supportano questo scenario.
    • SubscriptionID (obbligatorio) - ID della sottoscrizione di Azure in cui si trova l'account di Automazione.
    • WorkspaceName (facoltativo) - nome dell'area di lavoro OMS. Se non si ha un'area di lavoro OMS, lo script ne crea e configura una.

      Nota

      Le uniche aree di Automazione supportate per l'integrazione con OMS sono attualmente: Australia sud-orientale, Stati Uniti orientali 2, Asia sud-orientale ed Europa occidentale. Se l'account di Automazione non si trova in una di queste aree, lo script crea un'area di lavoro OMS ma avvisa l'utente che non sarà possibile eseguire il collegamento.

  2. Nel computer in uso avviare Windows PowerShell dalla schermata Start in modalità amministratore.
  3. Dalla shell della riga di comando di PowerShell passare alla cartella che contiene lo script scaricato ed eseguirlo modificando i valori per i parametri -AutomationAccountName, -ResourceGroupName, -HybridGroupName, -SubscriptionId e -WorkspaceName.

    Nota

    Verrà chiesto di eseguire l'autenticazione con Azure dopo aver eseguito lo script. È necessario accedere con un account membro del ruolo Amministratori della sottoscrizione e coamministratore della sottoscrizione.

     .\New-OnPremiseHybridWorker.ps1 -AutomationAccountName <NameofAutomationAccount> `
     -ResourceGroupName <NameofOResourceGroup> -HybridGroupName <NameofHRWGroup> `
     -SubscriptionId <AzureSubscriptionId> -WorkspaceName <NameOfOMSWorkspace>
    
  4. Verrà chiesto di accettare di installare NuGet e di eseguire l'autenticazione con le credenziali di Azure.

    Esecuzione dello script New-OnPremiseHybridWorker

  5. Dopo il completamento dello script, il pannello Gruppi di ruoli di lavoro ibridi mostrerà il nuovo gruppo e il numero di membri oppure, nel caso di un gruppo esistente, il numero di membri verrà incrementato. È possibile selezionare il gruppo nell'elenco nel pannello Gruppi di ruoli di lavoro ibridi e selezionare il riquadro Ruoli di lavoro per runbook. Nel pannello Ruoli di lavoro per runbook sono elencati i membri del gruppo.

Distribuzione manuale

Eseguire i primi due passaggi una volta per l'ambiente di automazione e quindi ripetere i passaggi rimanenti per ogni computer di lavoro.

1. Creare l'area di lavoro di Operations Management Suite

Se non si ha ancora un'area di lavoro di Operations Management Suite, crearne una seguendo le istruzioni in Gestire le aree di lavoro. Se già si dispone di un'area di lavoro, è possibile usarla.

2. Aggiungere la soluzione di automazione all'area di lavoro di Operations Management Suite

Le soluzioni aggiungono funzionalità a Operations Management Suite. La soluzione di automazione aggiunge funzionalità per Automazione di Azure, incluso il supporto per il ruolo di lavoro ibrido per runbook. Quando si aggiunge la soluzione all'area di lavoro, i componenti del ruolo di lavoro vengono automaticamente propagati al computer dell'agente che verrà installato nel passaggio successivo.

Per aggiungere la soluzione Automazione all'area di lavoro di Operations Management Suite, seguire le istruzioni contenute nell'articolo relativo a come aggiungere una soluzione tramite la raccolta soluzioni .

3. Installare Microsoft Monitoring Agent

Microsoft Monitoring Agent connette i computer a Operations Management Suite. Quando si installa l'agente nel computer locale e lo si connette all'area di lavoro, viene eseguito automaticamente il download dei componenti necessari per il ruolo di lavoro ibrido per runbook.

Per installare l'agente nel computer locale, seguire le istruzioni contenute in Connettere computer Windows a Log Analytics. È possibile ripetere questo processo per più computer per aggiungere più ruoli di lavoro nell'ambiente.

Dopo che l'agente si è connesso a Operations Management Suite, viene elencato nella scheda Origini connesse del riquadro Impostazioni di Operations Management Suite. È possibile verificare che l'agente abbia scaricato correttamente la soluzione di automazione se include una cartella AzureAutomationFiles in C:\Programmi\Microsoft Monitoring Agent\Agent. Per verificare la versione del ruolo di lavoro ibrido per runbook, passare a C:\Programmi\Microsoft Monitoring Agent\Agent\AzureAutomation\ e prendere nota della sottocartella \version.

4. Installare l'ambiente runbook e connettersi ad Automazione di Azure

Quando si aggiunge un agente a Operations Management Suite, la soluzione di automazione esegue il push del modulo HybridRegistration di PowerShell che contiene il cmdlet Add-HybridRunbookWorker. È possibile usare questo cmdlet per installare l'ambiente runbook nel computer e registrarlo in Automazione di Azure.

Aprire una sessione di PowerShell in modalità amministratore ed eseguire i comandi seguenti per importare il modulo.

cd "C:\Program Files\Microsoft Monitoring Agent\Agent\AzureAutomation\<version>\HybridRegistration"
Import-Module HybridRegistration.psd1

Eseguire quindi il cmdlet Add-HybridRunbookWorker con la sintassi seguente:

Add-HybridRunbookWorker –GroupName <String> -EndPoint <Url> -Token <String>

È possibile ottenere le informazioni necessarie per questo cmdlet dal pannello Gestisci chiavi del portale di Azure. Aprire il pannello selezionando l'opzione Chiavi nel pannello Impostazioni nell'account di Automazione.

Panoramica di Hybrid Runbook Workers

  • GroupName è il nome del gruppo di computer di lavoro runbook ibridi. Se il gruppo già esiste nell'account di automazione, il computer corrente vi verrà aggiunto direttamente. Se il gruppo ancora non esiste, verrà aggiunto.
  • EndPoint è il valore del campo URL del pannello Gestisci chiavi.
  • Token è il valore Chiave di accesso primaria nel pannello Gestisci chiavi.

Usare l'opzione -Verbose con Add-HybridRunbookWorker per ricevere informazioni dettagliate sull'installazione.

5. Installare i moduli di PowerShell

I runbook possono usare tutte le attività e i cmdlet definiti nei moduli installati nell'ambiente di Automazione di Azure. Questi moduli tuttavia non vengono distribuiti automaticamente nei computer locali, pertanto è necessario installarli manualmente. L'unica eccezione è rappresentata dal modulo Azure, che viene installato per impostazione predefinita, garantendo l'accesso ai cmdlet per tutti i servizi e le attività di Azure per Automazione di Azure.

Poiché lo scopo principale della funzionalità ruolo di lavoro ibrido per runbook è gestire le risorse locali, probabilmente sarà necessario installare i moduli che supportano queste risorse. Per informazioni sull'installazione dei moduli di Windows PowerShell, vedere il relativo articolo . I moduli installati devono trovarsi in un percorso a cui fa riferimento la variabile di ambiente PSModulePath, in modo da venire importati automaticamente dal ruolo di lavoro ibrido. Per altre informazioni, vedere Modifying the PSModulePath Installation Path (Modifica del percorso di installazione di PSModulePath).

Installazione del ruolo di lavoro ibrido per runbook di Linux

La procedura per installare e configurare manualmente un ruolo di lavoro ibrido per runbook in Linux è molto semplice. È necessario abilitare la soluzione Ruolo di lavoro ibrido per runbook di Automazione nell'area di lavoro di OMS e quindi eseguire un set di comandi per registrare il computer come ruolo di lavoro e aggiungerlo a un gruppo nuovo o esistente.

  1. Abilitare la soluzione "Ruolo di lavoro ibrido per runbook di Automazione" in OMS. A tale scopo, è possibile:

    1. Dalla Raccolta soluzioni nel portale di OMS abilitare la soluzione Ruolo di lavoro ibrido per runbook di Automazione
    2. Eseguire il cmdlet seguente:

      $null = Set-AzureRmOperationalInsightsIntelligencePack -ResourceGroupName <ResourceGroupName> -WorkspaceName <WorkspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true

  2. Run the following command with the proper parameters (endpoint and key can be taken from the portal from the automation account linked to the workspace used in the steps above): sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w -k --groupname -e

Removing Hybrid Runbook Worker

You can remove one or more Hybrid Runbook Workers from a group or you can remove the group, depending on your requirements. To remove a Hybrid Runbook Worker from an on-premises computer, perform the following steps.

  1. In the Azure portal, navigate to your Automation account.
  2. From the Settings blade, select Keys and note the values for field URL and Primary Access Key. You need this information for the next step.
  3. Open a PowerShell session in Administrator mode and run the following command - Remove-HybridRunbookWorker -url <URL> -key <PrimaryAccessKey>. Use the -Verbose switch for a detailed log of the removal process.
Nota

This does not remove the Microsoft Monitoring Agent from the computer, only the functionality and configuration of the Hybrid Runbook Worker role.

Remove Hybrid Worker groups

To remove a group, you first need to remove the Hybrid Runbook Worker from every computer that is a member of the group using the procedure shown earlier, and then you perform the following steps to remove the group.

  1. Open the Automation account in the Azure portal.
  2. Select the Hybrid Worker Groups tile and in the Hybrid Worker Groups blade, select the group you wish to delete. After selecting the specific group, the Hybrid worker group properties blade is displayed.
    Hybrid Runbook Worker Group Blade
  3. On the properties blade for the selected group, click Delete. A message appears asking you to confirm this action, select Yes if you are sure you want to proceed.
    Delete Group Confirmation Dialog
    This process can take several seconds to complete and you can track its progress under Notifications from the menu.

Troubleshooting

The Hybrid Runbook Worker depends on the Microsoft Monitoring Agent to communicate with your Automation account to register the worker, receive runbook jobs, and report status. If registration of the worker fails, here are some possible causes for the error:

  1. The hybrid worker is behind a proxy or firewall.
    Verify the computer has outbound access to *.azure-automation.net on port 443.

  2. The computer the hybrid worker is running on has less than the minimum hardware requirements.
    Computers running the Hybrid Runbook Worker should meet the minimum hardware requirements before designating it to host this feature. Otherwise, depending on the resource utilization of other background processes and contention caused by runbooks during execution, the computer will become over utilized and cause runbook job delays or timeouts. Confirm the computer designated to run the Hybrid Runbook Worker feature meets the minimum hardware requirements. If it does, monitor CPU and memory utilization to determine any correlation between the performance of Hybrid Runbook Worker processes and Windows. If there is memory or CPU pressure, this may indicate the need to upgrade or add additional processors, or increase memory to address the resource bottleneck and resolve the error. Alternatively, select a different compute resource that can support the minimum requirements and scale when workload demands indicate an increase is necessary.

  3. The Microsoft Monitoring Agent service is not running.
    If the Microsoft Monitoring Agent Windows service is not running, this prevents the Hybrid Runbook Worker from communicating with Azure Automation. Verify the agent is running by entering the following command in PowerShell: get-service healthservice. If the service is stopped, enter the following command in PowerShell to start the service: start-service healthservice.

  4. In the Application and Services Logs\Operations Manager event log, you see event 4502 and EventMessage containing Microsoft.EnterpriseManagement.HealthService.AzureAutomation.HybridAgent with the following description: The certificate presented by the service .oms.opinsights.azure.com was not issued by a certificate authority used for Microsoft services. Please contact your network administrator to see if they are running a proxy that intercepts TLS/SSL communication. The article KB3126513 has additional troubleshooting information for connectivity issues. This can be caused by your proxy or network firewall blockking communication to Microsoft Azure. Verify the computer has outbound access to *.azure-automation.net on ports 443.

Logs are stored locally on each hybrid worker at C:\ProgramData\Microsoft\System Center\Orchestrator\7.2\SMA\Sandboxes. You can check if there are any warning or error events written to the Application and Services Logs\Microsoft-SMA\Operations and Application and Services Logs\Operations Manager event log that would indicate a connectivity or other issue affecting onboarding of the role to Azure Automation or issue while performing normal operations.

Next steps

Review run runbooks on a Hybrid Runbook Worker to learn how to configure your runbooks to automate processes in your on-premises datacenter or other cloud environment.