Panoramica del ruolo di lavoro ibrido per runbookHybrid Runbook Worker overview

I runbook in Automazione di Azure potrebbero non avere accesso alle risorse in altri cloud o negli ambienti locali perché vengono eseguiti nella piattaforma cloud di Azure.Runbooks in Azure Automation might not have access to resources in other clouds or in your on-premises environment because they run on the Azure cloud platform. È possibile usare la funzionalità Hybrid Runbook Worker di automazione di Azure per eseguire manuali operativi direttamente sul computer che ospita il ruolo e sulle risorse nell'ambiente per gestire tali risorse locali.You can use the Hybrid Runbook Worker feature of Azure Automation to run runbooks directly on the machine that's hosting the role and against resources in the environment to manage those local resources. Manuali operativi vengono archiviati e gestiti in automazione di Azure e quindi recapitati a uno o più computer assegnati.Runbooks are stored and managed in Azure Automation and then delivered to one or more assigned machines.

Tipi di Runbook WorkerRunbook Worker types

Esistono due tipi di Runbook Worker: sistema e utente.There are two types of Runbook Workers - system and user. La tabella seguente descrive la differenza tra di essi.The following table describes the difference between them.

TipoType DescrizioneDescription
SistemaSystem Supporta un set di manuali operativi nascoste usato dalla funzionalità Gestione aggiornamenti progettate per installare gli aggiornamenti specificati dall'utente nei computer Windows e Linux.Supports a set of hidden runbooks used by the Update Management feature that are designed to install user-specified updates on Windows and Linux machines.
Questo tipo di ruolo di lavoro ibrido per Runbook non è un membro di un gruppo di ruolo di lavoro ibrido per Runbook e pertanto non esegue manuali operativi che hanno come destinazione un gruppo di lavoro Runbook.This type of Hybrid Runbook Worker is not a member of a Hybrid Runbook Worker group, and therefore doesn't run runbooks that target a Runbook Worker group.
UtenteUser Supporta i manuali operativi definiti dall'utente destinati all'esecuzione diretta nel computer Windows e Linux che sono membri di uno o più gruppi di lavoro Runbook.Supports user-defined runbooks intended to run directly on the Windows and Linux machine that are members of one or more Runbook Worker groups.

Un ruolo di lavoro ibrido per Runbook può essere eseguito nel sistema operativo Windows o Linux e questo ruolo si basa sull' agente di log Analytics che invia report a un' area di lavoro log Analyticsdi monitoraggio di Azure.A Hybrid Runbook Worker can run on either the Windows or the Linux operating system, and this role relies on the Log Analytics agent reporting to an Azure Monitor Log Analytics workspace. L'area di lavoro non solo consente di monitorare il computer per il sistema operativo supportato, ma anche di scaricare i componenti necessari per installare il ruolo di lavoro ibrido per Runbook.The workspace is not only to monitor the machine for the supported operating system, but also to download the components required to install the Hybrid Runbook Worker.

Quando Gestione aggiornamenti di automazione di Azure è abilitata, tutti i computer connessi all'area di lavoro log Analytics vengono automaticamente configurati come ruolo di lavoro ibrido per Runbook di sistema.When Azure Automation Update Management is enabled, any machine connected to your Log Analytics workspace is automatically configured as a system Hybrid Runbook Worker. Per configurarlo come utente Windows Hybrid Runbook Worker, vedere distribuire un ruolo di lavoro ibrido per Runbook Windows e per Linux, vedere distribuire un ruolo di lavoro ibrido per Runbook Linux.To configure it as a user Windows Hybrid Runbook Worker, see Deploy a Windows Hybrid Runbook Worker and for Linux, see Deploy a Linux Hybrid Runbook Worker.

Come funziona?How does it work?

Panoramica del ruolo di lavoro ibrido per runbook

Ogni utente Hybrid Runbook Worker è membro di un gruppo di ruolo di lavoro ibrido per Runbook specificato durante l'installazione del ruolo di lavoro.Each user Hybrid Runbook Worker is a member of a Hybrid Runbook Worker group that you specify when you install the worker. Un gruppo può includere un solo thread di lavoro, ma è possibile includere più ruoli di lavoro in un gruppo per la disponibilità elevata.A group can include a single worker, but you can include multiple workers in a group for high availability. Ogni computer può ospitare un ruolo di lavoro ibrido per Runbook per un account di automazione. non è possibile registrare il ruolo di lavoro ibrido tra più account di automazione.Each machine can host one Hybrid Runbook Worker reporting to one Automation account; you cannot register the hybrid worker across multiple Automation accounts. Un ruolo di lavoro ibrido può restare in ascolto solo di processi da un singolo account di automazione.A hybrid worker can only listen for jobs from a single Automation account. Per i computer che ospitano il ruolo di lavoro ibrido per Runbook di sistema gestito da Gestione aggiornamenti, possono essere aggiunti a un gruppo di lavoro ibrido per Runbook.For machines hosting the system Hybrid Runbook worker managed by Update Management, they can be added to a Hybrid Runbook Worker group. È tuttavia necessario usare lo stesso account di automazione sia per Gestione aggiornamenti che per l'appartenenza al gruppo di lavoro ibrido per Runbook.But you must use the same Automation account for both Update Management and the Hybrid Runbook Worker group membership.

Quando si avvia un Runbook in un ruolo di lavoro ibrido per Runbook utente, viene specificato il gruppo in cui viene eseguito.When you start a runbook on a user Hybrid Runbook Worker, you specify the group that it runs on. Ogni ruolo di lavoro del gruppo esegue il polling di Automazione di Azure per vedere se sono disponibili processi.Each worker in the group polls Azure Automation to see if any jobs are available. Se è disponibile un processo, il primo ruolo di lavoro che raggiunge il processo lo ottiene.If a job is available, the first worker to get the job takes it. Il tempo di elaborazione della coda processi dipende dal profilo hardware e dal carico del ruolo di lavoro ibrido.The processing time of the jobs queue depends on the hybrid worker hardware profile and load. Non è possibile scegliere un computer di lavoro specifico.You can't specify a particular worker. Il ruolo di lavoro ibrido si basa su un meccanismo di polling (ogni 30 secondi) e segue un ordine di primo e primo tentativo.Hybrid worker works on a polling mechanism (every 30 secs) and follows an order of first-come, first-serve. A seconda del momento in cui è stato eseguito il push di un processo, il ruolo di lavoro ibrido che esegue il ping del servizio di automazione preleva il processo.Depending on when a job was pushed, whichever hybrid worker pings the Automation service picks up the job. Un singolo ruolo di lavoro ibrido può in genere prelevare quattro processi per ping (ovvero ogni 30 secondi).A single hybrid worker can generally pick up four jobs per ping (that is, every 30 seconds). Se la frequenza di push dei processi è superiore a quattro per 30 secondi, è possibile che un altro ruolo di lavoro ibrido nel gruppo di lavoro ibrido per Runbook abbia scelto il processo.If your rate of pushing jobs is higher than four per 30 seconds, then there is a high possibility another hybrid worker in the Hybrid Runbook Worker group picked up the job.

Un ruolo di lavoro ibrido per Runbook non ha molti limiti di risorse della sandbox di Azure su spazio su disco, memoria o socket di rete.A Hybrid Runbook Worker doesn't have many of the Azure sandbox resource limits on disk space, memory, or network sockets. I limiti di un ruolo di lavoro ibrido sono correlati solo alle risorse del ruolo di lavoro e non sono limitati dal limite di tempo di condivisione equo di Azure sandbox.The limits on a hybrid worker are only related to the worker's own resources, and they aren't constrained by the fair share time limit that Azure sandboxes have.

Per controllare la distribuzione di manuali operativi nei ruoli di lavoro ibridi per Runbook e quando o come vengono attivati i processi, è possibile registrare il ruolo di lavoro ibrido su diversi gruppi di ruoli di lavoro ibridi per Runbook nell'account di automazione.To control the distribution of runbooks on Hybrid Runbook Workers and when or how the jobs are triggered, you can register the hybrid worker against different Hybrid Runbook Worker groups within your Automation account. Individuare i processi in base al gruppo o ai gruppi specifici per supportare la disposizione di esecuzione.Target the jobs against the specific group or groups in order to support your execution arrangement.

Installazione di un ruolo di lavoro ibrido per runbookHybrid Runbook Worker installation

Il processo di installazione di un ruolo di lavoro ibrido per Runbook utente dipende dal sistema operativo.The process to install a user Hybrid Runbook Worker depends on the operating system. La tabella seguente definisce i tipi di distribuzione.The table below defines the deployment types.

Sistema operativoOperating System Tipi distribuzioneDeployment Types
WindowsWindows AutomatizzataAutomated
ManualeManual
LinuxLinux ManualeManual

Il metodo di installazione consigliato per un computer Windows consiste nell'usare un Runbook di automazione di Azure per automatizzare completamente il processo di configurazione.The recommended installation method for a Windows machine is to use an Azure Automation runbook to completely automate the process of configuring it. Se ciò non è possibile, è possibile seguire una procedura dettagliata per installare e configurare manualmente il ruolo.If that isn't feasible, you can follow a step-by-step procedure to manually install and configure the role. Per i computer Linux si esegue uno script Python per installare l'agente nel computer.For Linux machines, you run a Python script to install the agent on the machine.

Pianificazione della reteNetwork planning

Controllare la configurazione di rete di automazione di Azure per informazioni dettagliate su porte, URL e altri dettagli di rete necessari per il ruolo di lavoro ibrido per Runbook.Check Azure Automation Network Configuration for detailed information on the ports, URLs, and other networking details required for the Hybrid Runbook Worker.

Uso del server proxyProxy server use

Se si usa un server proxy per la comunicazione tra automazione di Azure e i computer che eseguono l'agente di Log Analytics, assicurarsi che le risorse appropriate siano accessibili.If you use a proxy server for communication between Azure Automation and machines running the Log Analytics agent, ensure that the appropriate resources are accessible. Il timeout per le richieste provenienti dal ruolo di lavoro ibrido per runbook e dai servizi di Automazione è di 30 secondi.The timeout for requests from the Hybrid Runbook Worker and Automation services is 30 seconds. Dopo tre tentativi, la richiesta ha esito negativo.After three attempts, a request fails.

Uso del firewallFirewall use

Se si usa un firewall per limitare l'accesso a Internet, è necessario configurare il firewall per consentire l'accesso.If you use a firewall to restrict access to the Internet, you must configure the firewall to permit access. Se si usa il gateway di Analisi dei log come proxy, assicurarsi che sia configurato per i ruoli di lavoro ibridi per runbook.If using the Log Analytics gateway as a proxy, ensure that it is configured for Hybrid Runbook Workers. Vedere configurare il gateway log Analytics per i ruoli di lavoro ibridi per Runbook di automazione.See Configure the Log Analytics gateway for Automation Hybrid Runbook Workers.

Tag di servizioService tags

Automazione di Azure supporta i tag del servizio rete virtuale di Azure, a partire dal tag del servizio GuestAndHybridManagement.Azure Automation supports Azure virtual network service tags, starting with the service tag GuestAndHybridManagement. È possibile usare i tag di servizio per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o nel firewall di Azure.You can use service tags to define network access controls on network security groups or Azure Firewall. I tag di servizio possono essere usati al posto di indirizzi IP specifici quando si creano regole di sicurezza.Service tags can be used in place of specific IP addresses when you create security rules. Specificando il nome del tag del servizio GuestAndHybridManagement nel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio di automazione.By specifying the service tag name GuestAndHybridManagement in the appropriate source or destination field of a rule, you can allow or deny the traffic for the Automation service. Questo tag di servizio non supporta l'abilitazione di un controllo più granulare limitando gli intervalli IP a un'area specifica.This service tag does not support allowing more granular control by restricting IP ranges to a specific region.

Il tag di servizio per il servizio automazione di Azure fornisce solo gli indirizzi IP usati per gli scenari seguenti:The service tag for the Azure Automation service only provides IPs used for the following scenarios:

  • Attivare webhook dall'interno della rete virtualeTrigger webhooks from within your virtual network
  • Consenti ai ruoli di lavoro ibridi per Runbook o agli agenti di configurazione dello stato nella VNet di comunicare con il servizio di automazioneAllow Hybrid Runbook Workers or State Configuration agents on your VNet to communicate with the Automation service

Nota

Il tag di servizio GuestAndHybridManagement attualmente non supporta l'esecuzione di processi Runbook in una sandbox di Azure, solo direttamente in un ruolo di lavoro ibrido per Runbook.The service tag GuestAndHybridManagement currently doesn't support runbook job execution in an Azure sandbox, only directly on a Hybrid Runbook Worker.

Supporto per il livello di Impact 5 (IL5)Support for Impact Level 5 (IL5)

Il ruolo di lavoro ibrido per Runbook di automazione di Azure può essere usato in Azure per enti pubblici per supportare carichi di lavoro di livello 5 di Impact in una delle due configurazioni seguenti:Azure Automation Hybrid Runbook Worker can be used in Azure Government to support Impact Level 5 workloads in either of the following two configurations:

  • Macchina virtuale isolata.Isolated virtual machine. Quando vengono distribuiti, utilizzano l'intero host fisico per il computer che fornisce il livello di isolamento necessario per supportare i carichi di lavoro IL5.When deployed, they consume the entire physical host for that machine providing the necessary level of isolation required to support IL5 workloads.

  • Host dedicati di Azure, che fornisce server fisici in grado di ospitare una o più macchine virtuali, dedicate a una sottoscrizione di Azure.Azure Dedicated Hosts, which provides physical servers that are able to host one or more virtual machines, dedicated to one Azure subscription.

Nota

L'isolamento di calcolo tramite il ruolo di lavoro ibrido per Runbook è disponibile per i cloud commerciali di Azure e per enti pubblici statunitensi.Compute isolation through the Hybrid Runbook Worker role is available for Azure Commercial and US Government clouds.

Indirizzi di Gestione aggiornamenti per i ruoli di lavoro ibridi per runbookUpdate Management addresses for Hybrid Runbook Worker

Oltre agli indirizzi e alle porte standard richiesti per il ruolo di lavoro ibrido per Runbook, Gestione aggiornamenti dispone di altri requisiti di configurazione di rete descritti nella sezione relativa alla pianificazione della rete .In addition to the standard addresses and ports required for the Hybrid Runbook Worker, Update Management has other network configuration requirements described under the network planning section.

State Configuration di Automazione di Azure in un ruolo di lavoro ibrido per runbookAzure Automation State Configuration on a Hybrid Runbook Worker

È possibile eseguire State Configuration di Automazione di Azure in un ruolo di lavoro ibrido per runbook.You can run Azure Automation State Configuration on a Hybrid Runbook Worker. Per gestire la configurazione di server che supportano il ruolo di lavoro ibrido per runbook, è necessario aggiungere i server come nodi DSC.To manage the configuration of servers that support the Hybrid Runbook Worker, you must add the servers as DSC nodes. Vedere Abilitare computer per la gestione tramite State Configuration di Automazione di Azure.See Enable machines for management by Azure Automation State Configuration.

Limiti di Runbook WorkerRunbook Worker limits

Il numero massimo di gruppi di ruoli di lavoro ibridi per account di automazione è 4000 ed è applicabile sia per i ruoli di lavoro ibridi dell'utente di sistema &.The maximum number of Hybrid Worker groups per Automation Account is 4000, and is applicable for both system & user hybrid workers. Se sono presenti più di 4.000 computer da gestire, è consigliabile creare un altro account di automazione.If you have more than 4,000 machines to manage, we recommend creating another Automation account.

Runbook in un ruolo di lavoro ibrido per runbookRunbooks on a Hybrid Runbook Worker

È possibile che si disponga di manuali operativi per la gestione delle risorse nel computer locale o per l'esecuzione su risorse nell'ambiente locale in cui viene distribuito un utente ibrido per Runbook di lavoro.You might have runbooks that manage resources on the local machine or run against resources in the local environment where a user Hybrid Runbook Worker is deployed. In questo caso, è possibile scegliere di eseguire i runbook nel ruolo di lavoro ibrido anziché in un account di Automazione.In this case, you can choose to run your runbooks on the hybrid worker instead of in an Automation account. I runbook eseguiti in un ruolo di lavoro ibrido per runbook hanno una struttura identica a quelli eseguiti nell'account di Automazione.Runbooks run on a Hybrid Runbook Worker are identical in structure to those that you run in the Automation account. Vedere Eseguire runbook in un ruolo di lavoro ibrido per runbook.See Run runbooks on a Hybrid Runbook Worker.

Processi per i ruoli di lavoro ibridi per runbookHybrid Runbook Worker jobs

Tenere presente che i processi per i ruoli di lavoro ibridi per runbook vengono eseguiti con l'account di sistema locale in Windows o con l'account nxautomation in Linux.Hybrid Runbook Worker jobs run under the local System account on Windows or the nxautomation account on Linux. Automazione di Azure gestisce i processi nei ruoli di lavoro ibridi per Runbook in modo diverso rispetto ai processi eseguiti in sandbox di Azure.Azure Automation handles jobs on Hybrid Runbook Workers differently from jobs run in Azure sandboxes. Vedere Ambiente di esecuzione dei runbook.See Runbook execution environment.

In caso di riavvio del computer host con il ruolo di lavoro ibrido per runbook, qualsiasi processo di runbook in esecuzione viene riavviato dall'inizio o dall'ultimo checkpoint per i runbook del flusso di lavoro di PowerShell.If the Hybrid Runbook Worker host machine reboots, any running runbook job restarts from the beginning, or from the last checkpoint for PowerShell Workflow runbooks. Se un processo di runbook viene riavviato più di tre volte, viene sospeso.After a runbook job is restarted more than three times, it is suspended.

Autorizzazioni runbook per un ruolo di lavoro ibrido per runbookRunbook permissions for a Hybrid Runbook Worker

Poiché accedono alle risorse non di Azure, manuali operativi in esecuzione in un ruolo di lavoro ibrido per Runbook utente non può usare il meccanismo di autenticazione usato in genere da manuali operativi per l'autenticazione alle risorse di Azure.Since they access non-Azure resources, runbooks running on a user Hybrid Runbook Worker can't use the authentication mechanism typically used by runbooks authenticating to Azure resources. Il runbook può fornire la propria autenticazione alle risorse locali o configurare l'autenticazione mediante identità gestite per le risorse di Azure.A runbook either provides its own authentication to local resources, or configures authentication using managed identities for Azure resources. È anche possibile specificare un account RunAs per fornire un contesto utente per tutti i runbook.You can also specify a Run As account to provide a user context for all runbooks.

Visualizza i ruoli di lavoro ibridi per Runbook di sistemaView system Hybrid Runbook Workers

Una volta abilitata la funzionalità Gestione aggiornamenti nei computer Windows o Linux, è possibile inventariare l'elenco di gruppi di ruoli di lavoro ibridi per Runbook di sistema nel portale di Azure.After the Update Management feature is enabled on Windows or Linux machines, you can inventory the list of system Hybrid Runbook Workers group in the Azure portal. È possibile visualizzare fino a 2.000 processi di lavoro nel portale selezionando il gruppo Tab System Hybrid Workers nell'opzione gruppo Hybrid Workers dal riquadro a sinistra per l'account di automazione selezionato.You can view up to 2,000 workers in the portal by selecting the tab System hybrid workers group from the option Hybrid workers group from the left-hand pane for the selected Automation account.

Pagina gruppi di lavoro ibridi del sistema di account di automazione

Se si dispone di più di 2.000 ruoli di lavoro ibridi, per ottenere un elenco di tutti i ruoli, è possibile eseguire lo script di PowerShell seguente:If you have more than 2,000 hybrid workers, to get a list of all of them, you can run the following PowerShell script:

"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"

Passaggi successiviNext steps