Overzicht van Automation Hybrid Runbook Worker
Runbooks in Azure Automation mogelijk geen toegang tot resources in andere clouds of in uw on-premises omgeving omdat ze worden uitgevoerd op het Azure-cloudplatform. U kunt de functie Hybrid Runbook Worker van Azure Automation gebruiken om runbooks rechtstreeks uit te voeren op de computer die als host voor de rol en voor resources in de omgeving wordt gebruikt om deze lokale resources te beheren. Runbooks worden opgeslagen en beheerd in Azure Automation en vervolgens geleverd aan een of meer toegewezen machines.
Azure Automation biedt systeemeigen integratie van de Hybrid Runbook Worker-rol via het extensiekader voor virtuele Azure-machines (VM's). De Azure VM-agent is verantwoordelijk voor het beheer van de extensie op Azure-VM's op Windows- en Linux-VM's en op niet-Azure-machines via de Connected Machine-agent voor servers met Arc. Er zijn nu twee Hybrid Runbook Workers-installatieplatforms die worden ondersteund door Azure Automation.
| Platform | Beschrijving |
|---|---|
| Op basis van agent (V1) | Geïnstalleerd nadat de Log Analytics-agent aan een Azure Monitor Log Analytics-werkruimte is voltooid. |
| Extensies (V2) | Geïnstalleerd met behulp van Hybrid Runbook Worker VM-extensie, zonder enige afhankelijkheid van de Log Analytics-agent die rapporteert aan Azure Monitor Log Analytics-werkruimte. Dit is het aanbevolen platform. |
Hier is een lijst met voordelen die beschikbaar zijn met de extensie-Hybrid Runbook Worker rol:
| Voordeel | Description |
|---|---|
| Naadloze onboarding | Hiermee verwijdert u de afhankelijkheid van een Log Analytics-oplossing voor het onboarden van Hybrid Runbook Workers, een proces met meerdere stappen, dat tijdrovend en foutgevoelig is. |
| Uniforme onboarding-ervaring | De installatie wordt beheerd met dezelfde ondersteunde methoden voor Azure- en niet-Azure-machines. |
| Beheerbaarheidsgemak | Systeemeigen integratie met ARM-identiteit voor Hybrid Runbook Worker en biedt de flexibiliteit voor governance op schaal via beleid en sjablonen. |
| Verificatie op basis van Azure AD | Maakt gebruik van door het VM-systeem toegewezen identiteiten die worden geleverd door Azure AD. Dit centraliseert het beheer en beheer van identiteiten en resourcereferenties. |
Voor Hybrid Runbook Worker na de installatie is het proces voor het uitvoeren van runbooks op Hybrid Runbook Workers hetzelfde. Het doel van de uitbreidingsbenadering is het vereenvoudigen van de installatie en het beheer van de Hybrid Runbook Worker-rol en het verwijderen van de complexiteit van het werken met de versie op basis van een agent. De nieuwe installatie op basis van extensies heeft geen invloed op de installatie of het beheer van een op een agent gebaseerde Hybrid Runbook Worker rol. Beide Hybrid Runbook Worker kunnen naast elkaar bestaan op dezelfde computer.
De extensie-Hybrid Runbook Worker ondersteunt alleen het type Hybrid Runbook Worker gebruiker en bevat niet de systeemgegevens die Hybrid Runbook Worker zijn vereist voor de Updatebeheer functie.
Notitie
PowerShell-ondersteuning voor het installeren van de extensie-Hybrid Runbook Worker wordt op dit moment niet ondersteund.
Runbook Worker-typen
Er zijn twee typen Runbook Workers: systeem en gebruiker. In de volgende tabel wordt het verschil tussen deze twee beschreven.
| Type | Description |
|---|---|
| Systeem | Ondersteunt een set verborgen runbooks die worden gebruikt door de Updatebeheer-functie die zijn ontworpen voor het installeren van door de gebruiker opgegeven updates op Windows linux-machines. Dit type Hybrid Runbook Worker is geen lid van een Hybrid Runbook Worker-groep en daarom worden er geen runbooks uitgevoerd die zijn gericht op een Runbook Worker-groep. |
| Gebruiker | Ondersteunt door de gebruiker gedefinieerde runbooks die zijn bedoeld om rechtstreeks op de Windows en Linux-computer te worden uitgevoerd die lid zijn van een of meer Runbook Worker-groepen. |
Hybrid Runbook Workers op basis van een agent (V1) zijn afhankelijk van de Log Analytics-agent die rapporteert aan Azure Monitor Log Analytics-werkruimte. De werkruimte is niet alleen voor het verzamelen van bewakingsgegevens van de computer, maar ook voor het downloaden van de onderdelen die nodig zijn om de agent op basis van Hybrid Runbook Worker.
Wanneer Azure Automation Updatebeheer is ingeschakeld, wordt elke machine die is verbonden met uw Log Analytics-werkruimte automatisch geconfigureerd als een Hybrid Runbook Worker. Windows Hybrid Runbook Worker Zie Deploy an agent-based Windows Hybrid Runbook Worker in Automation (Een op een agent gebaseerde Windows Hybrid Runbook Worker implementeren in Automation) en voor Linux zie Deploy an agent-based Linux Hybrid Runbook Worker in Automation (Een op een agent gebaseerde Linux-Hybrid Runbook Worker implementeren in Automation)om deze te configureren als een gebruikersaccount.
Limieten voor Runbook Worker
In de volgende tabel ziet u het maximum aantal systeem- en gebruikers-Hybrid Runbook Workers in een Automation-account. Als u meer dan 4000 machines moet beheren, raden we u aan nog een Automation-account te maken.
| Werktype | Maximum aantal ondersteund per Automation-account. |
|---|---|
| Systeem | 4000 |
| Gebruiker | 4000 |
Hoe werkt het?
Elke gebruiker Hybrid Runbook Worker lid is van een Hybrid Runbook Worker die u opgeeft wanneer u de werkmedewerker installeert. Een groep kan één werker bevatten, maar u kunt meerdere werknemers in een groep opnemen voor hoge beschikbaarheid. Elke computer kan één computer hosten Hybrid Runbook Worker aan één Automation-account te rapporteren; u kunt de Hybrid Worker niet registreren voor meerdere Automation-accounts. Een hybrid worker kan alleen luisteren naar taken vanuit één Automation-account.
Voor machines die als host voor de Hybrid Runbook Worker van het systeem worden Updatebeheer, kunnen ze worden toegevoegd aan een Hybrid Runbook Worker groep. U moet echter hetzelfde Automation-account gebruiken voor zowel Updatebeheer als Hybrid Runbook Worker groepslidmaatschap.
Wanneer u een runbook start op een Hybrid Runbook Worker, geeft u de groep op waarop het wordt uitgevoerd. Elke werker in de groep peilt Azure Automation om te zien of er taken beschikbaar zijn. Als er een taak beschikbaar is, neemt de eerste werker die de taak krijgt deze. De verwerkingstijd van de takenwachtrij is afhankelijk van het hardwareprofiel en de belasting van de hybrid worker. U kunt een bepaalde werker niet opgeven. Hybrid Worker werkt op een polling-mechanisme (elke 30 seconden) en volgt de volgorde 'first come, first-serve'. Afhankelijk van wanneer een taak is gep pusht, wordt de taak door de Hybrid Worker door de Automation-service opgehaald. Eén hybrid worker kan doorgaans vier taken per ping ophalen (dat wil zeggen, elke 30 seconden). Als het aantal pushtaken hoger is dan vier per 30 seconden, is de kans groot dat een andere hybrid worker in de Hybrid Runbook Worker de taak heeft opgehaald.
Een Hybrid Runbook Worker heeft niet veel van de resourcelimieten van de Azure-sandbox voor schijfruimte, geheugen of netwerksockers. De limieten voor een hybrid worker zijn alleen gerelateerd aan de eigen resources van de werkmedewerker en worden niet beperkt door de tijdslimiet voor fair share die Azure-sandboxes hebben.
Als u de distributie van runbooks in Hybrid Runbook Workers wilt bepalen en wanneer of hoe de taken worden geactiveerd, kunt u de Hybrid Worker registreren voor verschillende Hybrid Runbook Worker-groepen binnen uw Automation-account. Richt de taken op de specifieke groep of groepen om uw uitvoeringsindeling te ondersteunen.
Hybrid Runbook Worker installeren
Het proces voor het installeren van een Hybrid Runbook Worker is afhankelijk van het besturingssysteem. De onderstaande tabel definieert de implementatietypen.
| Besturingssysteem | Implementatietypen |
|---|---|
| Windows | Geautomatiseerd Handmatig. |
| Linux | Handmatig |
| Ofwel | Zie Deploy an extension-based Windows or Linux user Hybrid Runbook Worker in Automation (Een op extensie gebaseerde Windows of Linux-Hybrid Runbook Worker implementeren in Automation)voor hybrid runbook workers. Dit is de aanbevolen methode. |
Netwerkplanning
Controleer Azure Automation netwerkconfiguratie voor gedetailleerde informatie over de poorten, URL's en andere netwerkgegevens die vereist zijn voor de Hybrid Runbook Worker.
Gebruik van proxyserver
Als u een proxyserver gebruikt voor communicatie tussen Azure Automation en computers met de Log Analytics-agent, moet u ervoor zorgen dat de juiste resources toegankelijk zijn. De time-out voor aanvragen van de Hybrid Runbook Worker- en Automation-services is 30 seconden. Na drie pogingen mislukt een aanvraag.
Firewall gebruiken
Als u een firewall gebruikt om de toegang tot internet te beperken, moet u de firewall configureren om toegang toe te staan. Als u de Log Analytics-gateway als proxy gebruikt, moet u ervoor zorgen dat deze is geconfigureerd voor Hybrid Runbook Workers. Zie Configure the Log Analytics gateway for Automation Hybrid Runbook Workers (De Log Analytics-gateway configureren voor Automation Hybrid Runbook Workers).
Servicetags
Azure Automation ondersteunt servicetags voor virtuele Azure-netwerken, te beginnen met de servicetag GuestAndHybridManagement. U kunt servicetags gebruiken voor het definiëren van besturingselementen voor netwerktoegang in netwerkbeveiligingsgroepen of Azure Firewall. Servicetags kunnen worden gebruikt in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de servicetagnaam GuestAndHybridManagement op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de Automation-service toestaan of weigeren. Deze servicetag biedt geen ondersteuning voor gedetailleerdere controle door IP-adresbereiken te beperken tot een specifieke regio.
De servicetag voor de Azure Automation service biedt alleen DEP's die worden gebruikt voor de volgende scenario's:
- Webhooks activeren vanuit uw virtuele netwerk
- Toestaan dat Hybrid Runbook Workers of State Configuration agents op uw VNet kunnen communiceren met de Automation-service
Notitie
De servicetag GuestAndHybridManagement biedt momenteel geen ondersteuning voor het uitvoeren van runbook-taak in een Azure-sandbox, alleen rechtstreeks op een Hybrid Runbook Worker.
Ondersteuning voor Impact Level 5 (IL5)
Azure Automation Hybrid Runbook Worker kunnen worden gebruikt in Azure Government ondersteuning voor Impact Level 5-workloads in een van de volgende twee configuraties:
Geïsoleerde virtuele machine. Wanneer ze worden geïmplementeerd, gebruiken ze de volledige fysieke host voor die machine, waardoor het benodigde isolatieniveau wordt geboden dat is vereist voor de ondersteuning van IL5-workloads.
Azure Dedicated Hosts,dat fysieke servers biedt die een of meer virtuele machines kunnen hosten, toegewezen aan één Azure-abonnement.
Notitie
Rekenisolatie via de Hybrid Runbook Worker-rol is beschikbaar voor commerciële clouds van Azure en clouds van de Amerikaanse overheid.
Updatebeheer adressen voor Hybrid Runbook Worker
Naast de standaardadressen en poorten die vereist zijn voor de Hybrid Runbook Worker, Updatebeheer andere netwerkconfiguratievereisten beschreven in de sectie Netwerkplanning.
Azure Automation State Configuration een Hybrid Runbook Worker
U kunt de Azure Automation State Configuration uitvoeren op een Hybrid Runbook Worker. Voor het beheren van de configuratie van servers die de Hybrid Runbook Worker, moet u de servers toevoegen als DSC-knooppunten. Zie Machines inschakelen voor beheer door Azure Automation State Configuration.
Runbooks op een Hybrid Runbook Worker
Mogelijk hebt u runbooks die resources op de lokale computer beheren of uitvoeren op resources in de lokale omgeving waarin een Hybrid Runbook Worker wordt geïmplementeerd. In dit geval kunt u ervoor kiezen om uw runbooks uit te voeren op de Hybrid Worker in plaats van in een Automation-account. Runbooks die worden uitgevoerd op Hybrid Runbook Worker zijn qua structuur identiek aan de runbooks die u in het Automation-account hebt uitgevoerd. Zie Runbooks uitvoeren op een Hybrid Runbook Worker.
Hybrid Runbook Worker taken
Hybrid Runbook Worker taken worden uitgevoerd onder het lokale systeemaccount op Windows of het nxautomation-account in Linux. Azure Automation verwerkt taken in Hybrid Runbook Workers anders dan taken die worden uitgevoerd in Azure-sandboxes. Zie Runbookuitvoeringsomgeving.
Als de Hybrid Runbook Worker-hostmachine opnieuw wordt opgestart, wordt elke runbooktaak opnieuw gestart vanaf het begin of vanaf het laatste controlepunt voor PowerShell Workflow-runbooks. Nadat een runbook-taak meer dan drie keer opnieuw is gestart, wordt deze tijdelijk opgeschort.
Runbookmachtigingen voor een Hybrid Runbook Worker
Omdat ze toegang hebben tot niet-Azure-resources, kunnen runbooks die worden uitgevoerd op een gebruikersaccount Hybrid Runbook Worker het verificatiemechanisme dat doorgaans wordt gebruikt door runbooks die worden gebruikt voor verificatie bij Azure-resources niet gebruiken. Een runbook biedt een eigen verificatie voor lokale resources of configureert verificatie met behulp van beheerde identiteiten voor Azure-resources. U kunt ook een Uitvoeren als-account opgeven om een gebruikerscontext voor alle runbooks op te geven.
Hybrid Runbook Workers van het systeem weergeven
Nadat de functie Updatebeheer is ingeschakeld op Windows- of Linux-machines, kunt u de lijst met hybrid runbook Workers-groepen van het systeem in de Azure Portal. U kunt maximaal 2000 werknemers weergeven in de portal door in het linkerdeelvenster voor het geselecteerde Automation-account het tabblad Systeemgroep hybrid workers te selecteren in de optie Hybrid Workers-groep.
Als u meer dan 2000 hybrid workers hebt, kunt u het volgende PowerShell-script uitvoeren om een lijst met al deze werksters op te halen:
"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"
Volgende stappen
Zie Runbooks uitvoeren op een Hybrid Runbook Worker voor meer informatie over het configureren van uw runbooks voor het automatiseren van processen in uw on-premises datacenter of andere cloudomgeving.
Zie Problemen met Hybrid Runbook Workers oplossen voor meer informatie over het oplossen Hybrid Runbook Worker problemen.