Hybrid Runbook Worker の概要Hybrid Runbook Worker overview

Azure Automation の Runbook は Azure クラウド プラットフォームで実行されるため、他のクラウドやオンプレミス環境のリソースにはアクセスできないことがあります。Runbooks in Azure Automation might not have access to resources in other clouds or in your on-premises environment because they run on the Azure cloud platform. Azure Automation の Hybrid Runbook Worker 機能を使うと、ロールをホスティングしているマシン上で環境内のリソースに対して Runbook を直接実行して、これらのローカル リソースを管理できます。You can use the Hybrid Runbook Worker feature of Azure Automation to run runbooks directly on the machine that's hosting the role and against resources in the environment to manage those local resources. Runbook は Azure Automation で格納および管理された後、1 つ以上の割り当て済みマシンに配信されます。Runbooks are stored and managed in Azure Automation and then delivered to one or more assigned machines.

次の図にこの機能を示します。The following image illustrates this functionality:

Hybrid Runbook Worker の概要

Hybrid Runbook Worker は、Windows と Linux のいずれのオペレーティング システム上でも実行できます。A Hybrid Runbook Worker can run on either the Windows or the Linux operating system. Azure Monitor Log Analytics ワークスペースにレポートする Log Analytics エージェントに依存します。It depends on the Log Analytics agent reporting to an Azure Monitor Log Analytics workspace. ワークスペースは、サポートされているオペレーティング システムのマシンを監視するだけでなく、Hybrid Runbook Worker に必要なコンポーネントをダウンロードするためのものでもあります。The workspace is not only to monitor the machine for the supported operating system, but also to download the components required for the Hybrid Runbook Worker.

各 Hybrid Runbook Worker は、エージェントのインストール時に指定する Hybrid Runbook Worker グループのメンバーです。Each Hybrid Runbook Worker is a member of a Hybrid Runbook Worker group that you specify when you install the agent. グループには単一のエージェントを含めることができますが、高可用性グループに複数のエージェントをインストールすることができます。A group can include a single agent, but you can install multiple agents in a group for high availability. それぞれのマシンでは、1 つのハイブリッド worker レポートを 1 つの Automation アカウントにホストできます。Each machine can host one hybrid worker reporting to one Automation account.

Hybrid Runbook Worker で Runbook を開始する場合は、実行されるグループを指定します。When you start a runbook on a Hybrid Runbook Worker, you specify the group that it runs on. グループの各ワーカーは、実行可能なジョブがあるかどうかを確認するために Azure Automation をポーリングします。Each worker in the group polls Azure Automation to see if any jobs are available. ジョブが実行可能な場合、ジョブに最初に到達した worker がこれを実行します。If a job is available, the first worker to get the job takes it. ジョブ キューの処理時間は、ハイブリッド worker のハードウェア プロファイルと負荷によって異なります。The processing time of the jobs queue depends on the hybrid worker hardware profile and load. 特定の worker を指定することはできません。You can't specify a particular worker.

Azure サンドボックスの代わりに Hybrid Runbook Worker を 使用します。これには、ディスク領域、メモリ、またはネットワーク ソケットに関するサンドボックスの多くの制限がないためです。Use a Hybrid Runbook Worker instead of an Azure sandbox because it doesn't have many of the sandbox limits on disk space, memory, or network sockets. ハイブリッド worker の制限は、ワーカーそのもののリソースにのみ関連します。The limits on a hybrid worker are only related to the worker's own resources.

注意

Hybrid Runbook Worker には、Azure サンドボックスに存在するようなフェア シェアによる時間制限はありません。Hybrid Runbook Workers aren't constrained by the fair share time limit that Azure sandboxes have.

Hybrid Runbook Worker のインストールHybrid Runbook Worker installation

Hybrid Runbook Worker をインストールするプロセスは、オペレーティング システムによって異なります。The process to install a Hybrid Runbook Worker depends on the operating system. 次の表に、デプロイのタイプを定義します。The table below defines the deployment types.

オペレーティング システムOperating System デプロイのタイプDeployment Types
WindowsWindows 自動Automated
手動Manual
LinuxLinux PythonPython

Azure Automation Runbook を使用して、Windows マシンを構成するプロセスを完全に自動化するインストール方法をお勧めします。The recommended installation method is to use an Azure Automation runbook to completely automate the process of configuring a Windows machine. それができない場合は、ステップごとの手順に従って、ロールを手動でインストールして構成します。If that isn't feasible, you can follow a step-by-step procedure to manually install and configure the role. Linux マシンでは、コンピューターにエージェントをインストールする Python スクリプトを実行します。For Linux machines, you run a Python script to install the agent on the machine.

ネットワークの計画Network planning

Hybrid Runbook Worker が Azure Automation に接続して登録するには、このセクションで説明されているポート番号と URL へのアクセスが必要です。For the Hybrid Runbook Worker to connect to and register with Azure Automation, it must have access to the port number and URLs described in this section. worker は、Azure Monitor Log Analytics ワークスペースに接続するために Log Analytics エージェントに必要なポートと URL へのアクセスも必要です。The worker must also have access to the ports and URLs required for Log Analytics agent to connect to the Azure Monitor Log Analytics workspace.

注意

この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。We are updating the terminology to better reflect the role of logs in Azure Monitor. 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。See Azure Monitor terminology changes for details.

Hybrid Runbook Worker には、次のポートと URL が必要です。The following port and URLs are required for the Hybrid Runbook Worker:

  • ポート: 送信インターネット アクセスには TCP 443 のみが必要ですPort: Only TCP 443 required for outbound internet access
  • グローバル URL: *.azure-automation.netGlobal URL: *.azure-automation.net
  • US Gov バージニアのグローバル URL: *.azure-automation.usGlobal URL of US Gov Virginia: *.azure-automation.us
  • エージェント サービス: https://<workspaceId>.agentsvc.azure-automation.netAgent service: https://<workspaceId>.agentsvc.azure-automation.net

特定のリージョンに対して定義された Automation アカウントがある場合は、そのリージョン データセンターへの Hybrid Runbook Worker の通信を制限できます。If you have an Automation account that's defined for a specific region, you can restrict Hybrid Runbook Worker communication to that regional datacenter. 必要な DNS レコードについては、Azure Automation によって使用される DNS レコードに関するページを参照してください。Review the DNS records used by Azure Automation for the required DNS records.

プロキシ サーバーの使用Proxy server use

Azure Automation と、Log Analytics エージェントを実行しているマシンとの間の通信にプロキシ サーバーを使用する場合は、適切なリソースにアクセスできることを確認してください。If you use a proxy server for communication between Azure Automation and machines running the Log Analytics agent, ensure that the appropriate resources are accessible. Hybrid Runbook Worker および Automation サービスからの要求のタイムアウトは 30 秒です。The timeout for requests from the Hybrid Runbook Worker and Automation services is 30 seconds. 3 回試行した後で、要求は失敗します。After three attempts, a request fails.

ファイアウォールの使用Firewall use

ファイアウォールを使用してインターネットへのアクセスを制限する場合は、アクセスを許可するようにファイアウォールを構成する必要があります。If you use a firewall to restrict access to the internet, you must configure the firewall to permit access. Log Analytics ゲートウェイをプロキシとして使用した場合、Hybrid Runbook Worker 用に構成されていることを確認してください。If using the Log Analytics gateway as a proxy, ensure that it is configured for Hybrid Runbook Workers. Automation Hybrid Runbook Worker 用の Log Analytics ゲートウェイの構成に関するページをご覧ください。See Configure the Log Analytics gateway for Automation Hybrid Runbook Workers.

サービス タグService tags

Azure Automation では、サービス タグ GuestAndHybridManagement で始まる Azure 仮想ネットワーク サービス タグがサポートされています。Azure Automation supports Azure virtual network service tags, starting with the service tag GuestAndHybridManagement. サービス タグを使用して、ネットワーク セキュリティ グループまたは Azure Firewall でのネットワーク アクセス制御を定義できます。You can use service tags to define network access controls on network security groups or Azure Firewall. セキュリティ規則を作成するときに、特定の IP アドレスの代わりにサービス タグを使用できます。Service tags can be used in place of specific IP addresses when you create security rules. 規則の適切なソースまたは宛先フィールドにサービス タグ名 GuestAndHybridManagement を指定することで、Automation サービスのトラフィックを許可または拒否できます。By specifying the service tag name GuestAndHybridManagement in the appropriate source or destination field of a rule, you can allow or deny the traffic for the Automation service. このサービス タグでは、IP 範囲を特定のリージョンに制限することによる、より詳細な制御はサポートされていません。This service tag does not support allowing more granular control by restricting IP ranges to a specific region.

Azure Automation サービスのサービス タグでは、以下のシナリオで使用される IP のみが提供されます。The service tag for the Azure Automation service only provides IPs used for the following scenarios:

  • 仮想ネットワーク内から Webhook をトリガーするTrigger webhooks from within your virtual network
  • VNet 上の Hybrid Runbook Worker または State Configuration エージェントに Automation サービスとの通信を許可するAllow Hybrid Runbook Workers or State Configuration agents on your VNet to communicate with the Automation service

注意

現時点で、サービス タグ GuestAndHybridManagement は、Azure サンドボックスでの Runbook ジョブの実行をサポートしていません。Hybrid Runbook Worker での直接の実行のみがサポートされています。The service tag GuestAndHybridManagement currently doesn't support runbook job execution in an Azure sandbox, only directly on a Hybrid Runbook Worker.

影響レベル 5 (IL5) のサポートSupport for Impact Level 5 (IL5)

Azure Government で Azure Automation Hybrid Runbook Worker を使用すると、次の 2 つの構成のいずれかで、影響レベル 5 のワークロードをサポートできます。Azure Automation Hybrid Runbook Worker can be used in Azure Government to support Impact Level 5 workloads in either of the following two configurations:

  • 分離された仮想マシンIsolated virtual machine. デプロイすると、IL5 ワークロードをサポートするために必要な分離レベルを提供する、その VM の物理ホスト全体が消費されます。When deployed, they consume the entire physical host for that VM providing the necessary level of isolation required to support IL5 workloads.

  • Azure Dedicated Hosts は、1 つの Azure サブスクリプションに対して専用の、1 つ以上の仮想マシンをホストできる物理サーバーを提供します。Azure Dedicated Hosts, which provides physical servers that are able to host one or more virtual machines, dedicated to one Azure subscription.

注意

Hybrid Runbook Worker ロールを使用したコンピューティングの分離は、Azure 商用と米国政府のクラウドで利用できます。Compute isolation through the Hybrid Runbook Worker role is available for Azure Commercial and US Government clouds.

Hybrid Runbook Worker の Update ManagementUpdate Management on Hybrid Runbook Worker

Azure Automation Update Management を有効にすると、Log Analytics ワークスペースに接続されたマシンはすべて Hybrid Runbook Worker として自動的に構成されます。When Azure Automation Update Management is enabled, any machine connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker. 各 worker は、対象の Runbook を更新の管理でサポートできます。Each worker can support runbooks targeted at update management.

このように構成されたマシンは、Automation アカウントで既に定義された Hybrid Runbook Worker グループには登録されません。A machine configured this way is not registered with any Hybrid Runbook Worker groups already defined in your Automation account. このマシンを Hybrid Runbook Worker グループに追加できますが、Update Management と Hybrid Runbook Worker グループ メンバーシップの両方に同じアカウントを使用する必要があります。You can add the machine to a Hybrid Runbook Worker group, but you must use the same account for both Update Management and the Hybrid Runbook Worker group membership. この機能は、Hybrid Runbook Worker のバージョン 7.2.12024.0 に追加されました。This functionality was added to version 7.2.12024.0 of Hybrid Runbook Worker.

Hybrid Runbook Worker の Update Management アドレスUpdate Management addresses for Hybrid Runbook Worker

Hybrid Runbook Worker に必要な標準のアドレスとポートに加えて、Update Management には、「ネットワークの計画」セクションで説明されている追加のネットワーク構成要件があります。On top of the standard addresses and ports required for the Hybrid Runbook Worker, Update Management has additional network configuration requirements described under the network planning section.

Hybrid Runbook Worker での Azure Automation State ConfigurationAzure Automation State Configuration on a Hybrid Runbook Worker

Hybrid Runbook Worker で Azure Automation State Configuration を実行できます。You can run Azure Automation State Configuration on a Hybrid Runbook Worker. Hybrid Runbook Worker をサポートするサーバーの構成を管理するには、サーバーを DSC ノードとして追加する必要があります。To manage the configuration of servers that support the Hybrid Runbook Worker, you must add the servers as DSC nodes. Azure Automation State Configuration による管理のためのマシンの有効化に関するページを参照してください。See Enable machines for management by Azure Automation State Configuration.

Hybrid Runbook Worker での RunbookRunbooks on a Hybrid Runbook Worker

ローカル マシン上のリソースを管理したり、Hybrid Runbook Worker が展開されているローカル環境のリソースに対して実行したりする Runbook があるとします。You might have runbooks that manage resources on the local machine or run against resources in the local environment where a Hybrid Runbook Worker is deployed. この場合は、Automation アカウントではなく、ハイブリッド worker で Runbook を実行できます。In this case, you can choose to run your runbooks on the hybrid worker instead of in an Automation account. Hybrid Runbook Worker で実行される Runbook は、Automation アカウントで実行する Runbook と同じ構造になります。Runbooks run on a Hybrid Runbook Worker are identical in structure to those that you run in the Automation account. 詳細については、「Hybrid Runbook Worker での Runbook の実行」を参照してください。See Run runbooks on a Hybrid Runbook Worker.

Hybrid Runbook Worker ジョブHybrid Runbook Worker jobs

Hybrid Runbook Worker ジョブは、Windows ではローカルのシステム アカウントで実行され、Linux では nxautomation アカウントで実行されます。Hybrid Runbook Worker jobs run under the local System account on Windows or the nxautomation account on Linux. Azure Automation による Hybrid Runbook Worker でのジョブの処理は、Azure サンドボックスで実行されるジョブとは若干異なります。Azure Automation handles jobs on Hybrid Runbook Workers somewhat differently from jobs run in Azure sandboxes. Runbook の実行環境」を参照してください。See Runbook execution environment.

Hybrid Runbook Worker のホスト コンピューターが再起動された場合、実行中の Runbook ジョブは最初から再起動されるか、PowerShell ワークフロー Runbook の最後のチェックポイントから再起動されます。If the Hybrid Runbook Worker host machine reboots, any running runbook job restarts from the beginning, or from the last checkpoint for PowerShell Workflow runbooks. Runbook ジョブの再起動が 3 回を超えると、そのジョブは中断されます。After a runbook job is restarted more than three times, it is suspended.

Hybrid Runbook Worker に対する Runbook のアクセス許可Runbook permissions for a Hybrid Runbook Worker

Hybrid Runbook Worker で実行される Runbook は Azure 以外のリソースにアクセスするため、Azure リソースへの認証に Runbook で通常使用される認証メカニズムを使用できません。Since they access non-Azure resources, runbooks running on a Hybrid Runbook Worker can't use the authentication mechanism typically used by runbooks authenticating to Azure resources. Runbook では、ローカル リソースに対して独自の認証を提供するか、または Azure リソース用のマネージド ID を使用して認証を構成します。A runbook either provides its own authentication to local resources, or configures authentication using managed identities for Azure resources. また、すべての Runbook にユーザー コンテキストを提供する実行アカウントを指定することもできます。You can also specify a Run As account to provide a user context for all runbooks.

Hybrid Runbook Worker を表示するView Hybrid Runbook Workers

Windows サーバーまたは VM で Update Management 機能を有効にしたら、Azure portal 内のシステム Hybrid Runbook Worker グループ一覧のインベントリを作成できます。After the Update Management feature is enabled on Windows servers or VMs, you can inventory the list of system Hybrid Runbook Workers group in the Azure portal. 選択した Automation アカウントの左側のペインにある [Hybrid worker groups](ハイブリッド worker グループ) オプションから [System hybrid worker groups](システム ハイブリッド worker グループ) タブを選択することにより、ポータル内で最大 2,000 の worker を表示できます。You can view up to 2,000 workers in the portal by selecting the tab System hybrid workers group from the option Hybrid workers group from the left-hand pane for the selected Automation account.

Automation アカウントの [System hybrid worker groups]\(システム ハイブリッド worker グループ\) ページ

ハイブリッド worker の数が 2,000 を超えている場合、そのすべての一覧を取得するには、次の PowerShell スクリプトを実行します。If you have more than 2,000 hybrid workers, to get a list of all of them, you can run the following PowerShell script:

"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"

次のステップNext steps