Usługa Azure Automation w środowisku hybrydowym

Elementy Runbook w usłudze Azure Automation działają na platformie Azure w chmurze i mogą nie mieć dostępu do zasobów, które znajdują się w innych chmurach lub w środowisku lokalnym. Funkcja hybrydowego procesu roboczego elementu Runbook usługi Azure Automation umożliwia uruchamianie elementów Runbook bezpośrednio na maszynie, która hostuje rolę i względem zasobów w środowisku w celu zarządzania tymi zasobami lokalnymi. Elementy Runbook są przechowywane i zarządzane w usłudze Azure Automation, a następnie dostarczane do co najmniej jednej przypisanej maszyny.

Architektura

Pobierz plik programu Visio z tą architekturą.

Workflow

Architektura hybrydowego procesu roboczego elementu Runbook składa się z następujących elementów:

• Konto usługi Automation: usługa w chmurze, która automatyzuje konfigurację i zarządzanie w środowiskach platformy Azure i spoza platformy Azure.
• Hybrydowy proces roboczy elementu Runbook: komputer skonfigurowany z funkcją hybrydowego procesu roboczego elementu Runbook i może wykonywać elementy Runbook bezpośrednio na komputerze i względem zasobów w środowisku lokalnym.
• Hybrydowa grupa procesów roboczych elementu Runbook: grupuj z wieloma hybrydowymi procesami roboczymi runbook w celu uzyskania wyższej dostępności i skalowania w celu uruchomienia zestawu elementów Runbook.
• Element Runbook: kolekcja co najmniej jednego połączonego działania, które razem automatyzują proces lub operację. Dowiedz się więcej.
• Maszyny lokalne i maszyny wirtualne: lokalne komputery i maszyny wirtualne z systemem Windows lub Linux, które są hostowane w prywatnej sieci lokalnej.
• Składniki, które mają zastosowanie do podejścia opartego na rozszerzeniu (V2):
  • Rozszerzenie hybrydowej maszyny wirtualnej procesu roboczego elementu Runbook: mała aplikacja zainstalowana na komputerze. Aplikacja konfiguruje komputer jako hybrydowy proces roboczy elementu Runbook.
  • Serwer z obsługą usługi Arc: serwery z obsługą usługi Azure Arc umożliwiają zarządzanie komputerami i maszynami wirtualnymi z systemem Windows i Linux hostowanymi poza platformą Azure — zarówno w sieci firmowej, jak i u innego dostawcy usług w chmurze. To środowisko zarządzania zostało zaprojektowane tak, aby było zgodne ze sposobem zarządzania natywnymi maszynami wirtualnymi platformy Azure. Dowiedz się więcej.
• Składniki, które mają zastosowanie do podejścia opartego na agencie (V1):
  • Obszar roboczy usługi Log Analytics: obszar roboczy usługi Log Analytics to repozytorium danych dzienników, które są zbierane z zasobów uruchomionych na platformie Azure, lokalnie lub u innego dostawcy usług w chmurze.
  • Rozwiązanie hybrydowego procesu roboczego usługi Automation: dzięki temu rozwiązaniu można utworzyć hybrydowe procesy robocze elementu Runbook do uruchamiania elementów Runbook usługi Azure Automation na komputerach platformy Azure i innych niż azure.

Hybrydowy proces roboczy elementu Runbook użytkownika

Pobierz plik programu Visio z tą architekturą.

Każdy hybrydowy proces roboczy elementu Runbook użytkownika jest członkiem hybrydowej grupy procesów roboczych elementu Runbook określonego podczas instalowania procesu roboczego. Grupa może zawierać jeden proces roboczy, ale można uwzględnić wielu procesów roboczych w grupie w celu zapewnienia wysokiej dostępności. Każda maszyna może hostować jeden hybrydowy proces roboczy elementu Runbook raportowania do jednego konta usługi Automation; Nie można zarejestrować hybrydowego procesu roboczego na wielu kontach usługi Automation. Hybrydowy proces roboczy może nasłuchiwać tylko zadań z jednego konta usługi Automation.

Hybrydowy proces roboczy elementu Runbook systemu

Pobierz plik programu Visio z tą architekturą.

Maszyny hostujące hybrydowy proces roboczy elementu Runbook zarządzanego przez usługę Update Management można dodać do hybrydowej grupy procesów roboczych elementu Runbook. Należy jednak użyć tego samego konta usługi Automation zarówno do zarządzania aktualizacjami, jak i członkostwa w grupie hybrydowych procesów roboczych elementu Runbook.

Wykonywanie zadania w hybrydowym procesie roboczym elementu Runbook

Po uruchomieniu elementu Runbook w hybrydowym procesie roboczym elementu Runbook użytkownika należy określić grupę, w której jest ona uruchomiona. Każdy proces roboczy w grupie sonduje usługę Azure Automation, aby sprawdzić, czy są dostępne jakieś zadania. Jeśli zadanie jest dostępne, pierwszy proces roboczy, aby pobrać to zadanie. Czas przetwarzania kolejki zadań zależy od profilu sprzętu hybrydowego procesu roboczego i obciążenia. Nie można określić określonego procesu roboczego. Hybrydowy proces roboczy działa na mechanizmie sondowania (co 30 sekund) i następuje zgodnie z kolejnością pierwszej klasy.

Elementy

• Azure Automation to usługa platformy Azure służąca do automatyzowania zadań zarządzania chmurą. Funkcja hybrydowego procesu roboczego elementu Runbook umożliwia uruchamianie elementów Runbook na maszynach znajdujących się w centrum danych w celu zarządzania zasobami lokalnymi.
• Usługa Azure Monitor zapewnia pełną wgląd w aplikacje, infrastrukturę i sieć. Dzienniki usługi Azure Monitor to funkcja usługi Azure Monitor, która zbiera i organizuje dane dzienników i wydajności z monitorowanych zasobów. Log Analytics to narzędzie w witrynie Azure Portal do wykonywania zapytań dotyczących dzienników i analizowania wyników

Szczegóły scenariusza

Podejście do instalacji hybrydowego procesu roboczego elementu Runbook

Usługa Azure Automation zapewnia natywną integrację roli hybrydowego procesu roboczego elementu Runbook za pośrednictwem platformy rozszerzenia maszyny wirtualnej platformy Azure. Agent maszyny wirtualnej platformy Azure jest odpowiedzialny za zarządzanie rozszerzeniem na maszynach wirtualnych platformy Azure, zarówno z systemem Windows, jak i Linux, oraz na maszynach spoza platformy Azure za pośrednictwem serwera połączonego z usługą Arc agenta maszyny. Istnieją dwie hybrydowe platformy instalacji procesów roboczych runbook, które są obsługiwane przez usługę Azure Automation.

Hybrydowy proces roboczy może współistnieć z obydwoma platformami: opartym na agencie (V1) i opartym na rozszerzeniu (V2). W przypadku zainstalowania rozszerzenia opartego na rozszerzeniu (V2) w hybrydowym procesie roboczym, który jest już uruchomiony na podstawie agenta (V1), w grupie są widoczne dwa wpisy hybrydowego procesu roboczego elementu Runbook. Jeden z opartymi na rozszerzeniu platformy (V2) i drugim opartym na agencie (V1). Dowiedz się więcej

Typy procesów roboczych elementu Runbook

Istnieją dwa typy procesów roboczych elementów Runbook, System i Użytkownik.

System obsługuje zestaw ukrytych elementów Runbook używanych przez funkcję rozwiązania Update Management. Elementy Runbook są przeznaczone do instalowania aktualizacji określonych przez użytkownika na komputerach z systemami Windows i Linux. Ten typ hybrydowego procesu roboczego elementu Runbook nie należy do grupy hybrydowych procesów roboczych elementu Runbook i dlatego nie uruchamia elementów Runbook przeznaczonych dla grupy procesów roboczych elementu Runbook.

Użytkownik obsługuje zdefiniowane przez użytkownika elementy Runbook przeznaczone do uruchamiania bezpośrednio na maszynach z systemami Windows i Linux, które są członkami co najmniej jednej grupy procesów roboczych elementu Runbook.

Hybrydowy proces roboczy elementu Runbook oparty na rozszerzeniu obsługuje tylko typ hybrydowego procesu roboczego elementu Runbook użytkownika i nie obejmuje systemowego hybrydowego procesu roboczego elementu Runbook wymaganego dla funkcji Update Management.

Hybrydowe procesy robocze elementu Runbook oparte na agencie (V1) korzystają z agenta usługi Log Analytics raportowania do obszaru roboczego usługi Log Analytics usługi Azure Monitor. Obszar roboczy nie tylko służy do zbierania danych monitorowania z komputera, ale także pobierania składników wymaganych do zainstalowania hybrydowego procesu roboczego elementu Runbook opartego na agencie. Po włączeniu rozwiązania Azure Automation Update Management wszystkie maszyny połączone z obszarem roboczym usługi Log Analytics są automatycznie konfigurowane jako systemowy hybrydowy proces roboczy elementu Runbook.

Potencjalne przypadki użycia

• Aby wykonać elementy Runbook usługi Azure Automation bezpośrednio na istniejącej maszynie wirtualnej platformy Azure lub lokalnym serwerze z obsługą usługi Arc.
• Aby przezwyciężyć ograniczenie piaskownicy usługi Azure Automation. Typowe scenariusze obejmują wykonywanie długotrwałych operacji przekraczających trzygodzinny limit zadań w chmurze, wykonywanie operacji automatyzacji intensywnie korzystających z zasobów, interakcję z usługami lokalnymi, które działają lokalnie lub w środowiskach hybrydowych, uruchamiając skrypty wymagające podwyższonych uprawnień itd.
• Aby przezwyciężyć ograniczenia organizacyjne dotyczące utrzymywania danych na platformie Azure ze względów ładu i bezpieczeństwa. Mimo że nie można wykonywać zadań automatyzacji w chmurze, można uruchamiać je na maszynie lokalnej dołączonej jako hybrydowy proces roboczy elementu Runbook.
• Aby zautomatyzować operacje na wielu zasobach spoza platformy Azure uruchamianych w środowiskach lokalnych, hybrydowych lub wielochmurowych. Możesz dołączyć jedną z tych maszyn jako hybrydowy proces roboczy elementu Runbook i docelową automatyzację na pozostałych maszynach lokalnych.
• Aby uzyskać dostęp do innych usług prywatnie z sieci wirtualnej platformy Azure bez konieczności otwierania połączenia wychodzącego z Internetem, możesz wykonywać elementy Runbook w hybrydowym procesie roboczym połączonym z siecią wirtualną platformy Azure.

Zagadnienia do rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Niezawodność

Niezawodność gwarantuje, że aplikacja może spełnić zobowiązania, które należy wykonać dla klientów. Aby uzyskać więcej informacji, zobacz Omówienie filaru niezawodności.

• Hybrydowa grupa procesów roboczych elementu Runbook z więcej niż jedną maszyną skonfigurowaną z rolą hybrydowego procesu roboczego zapewnia wysoką dostępność, ponieważ elementy Runbook będą uruchamiane tylko na serwerach z systemem i w dobrej kondycji.
• Hybrydowy proces roboczy elementu Runbook oparty na rozszerzeniu (V1) obsługuje tylko typ hybrydowego procesu roboczego elementu Runbook użytkownika i nie obejmuje hybrydowego procesu roboczego elementu Runbook systemu, który jest wymagany w przypadku funkcji Update Management.
• Poniższe zasady dotyczą tylko podejścia opartego na agencie (V1). Obecnie mapowania między obszarem roboczym usługi Log Analytics i kontem usługi Automation są obsługiwane w kilku regionach. Aby uzyskać więcej informacji, zobacz Obsługiwane regiony połączonego obszaru roboczego usługi Log Analytics.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

• Szyfrowanie poufnych zasobów w usłudze Automation: Konto usługi Azure Automation może zawierać poufne zasoby, takie jak poświadczenia, certyfikat, połączenie i zaszyfrowane zmienne, które mogą być używane przez elementy Runbook. Każdy bezpieczny zasób jest domyślnie szyfrowany przy użyciu klucza szyfrowania danych generowanego dla każdego konta usługi Automation. Te klucze są szyfrowane i przechowywane w usłudze Azure Automation przy użyciu klucza szyfrowania konta (AEK), który może być przechowywany w magazynie kluczy dla klientów, którzy chcą zarządzać szyfrowaniem przy użyciu własnych kluczy. Domyślnie klucz AEK jest szyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft. Skorzystaj z poniższych wskazówek, aby zastosować szyfrowanie bezpiecznych zasobów w usłudze Azure Automation.
• Uprawnienie elementu Runbook: domyślnie uprawnienia elementu Runbook dla hybrydowego procesu roboczego elementu Runbook są uruchamiane w kontekście systemu na maszynie, na której są wdrażane. Element Runbook zapewnia własne uwierzytelnianie do zasobów lokalnych. Uwierzytelnianie można skonfigurować przy użyciu tożsamości zarządzanych dla zasobów platformy Azure lub przez określenie konta Uruchom jako w celu zapewnienia kontekstu użytkownika dla wszystkich elementów Runbook.
• Planowanie sieci:
  • Jeśli używasz serwera proxy do komunikacji między usługą Azure Automation i maszynami z uruchomionym hybrydowym procesem roboczym elementu Runbook, upewnij się, że odpowiednie zasoby są dostępne. Limit czasu żądań z hybrydowych usług Runbook Worker i Automation wynosi 30 sekund. Po trzech próbach żądanie kończy się niepowodzeniem.
  • Hybrydowy proces roboczy elementu Runbook wymaga wychodzącego dostępu do Internetu za pośrednictwem portu TCP 443 w celu komunikowania się z usługą Automation. Jeśli używasz zapory do ograniczania dostępu do Internetu, musisz skonfigurować zaporę, aby zezwolić na dostęp. W przypadku komputerów opartych na agentach (V1) z ograniczonym dostępem do Internetu użyj bramy usługi Log Analytics, aby skonfigurować komunikację z usługą Azure Automation i obszarem roboczym usługi Azure Log Analytics.
  • Limit przydziału procesora CPU wynosi 5% podczas konfigurowania hybrydowego procesu roboczego elementu Runbook systemu Linux opartego na rozszerzeniu. Nie ma takiego limitu dla hybrydowego procesu roboczego elementu Runbook opartego na rozszerzeniach systemu Windows.
• Punkt odniesienia zabezpieczeń platformy Azure dla usługi Automation: Punkt odniesienia zabezpieczeń platformy Azure dla usługi Automation zawiera zalecenia dotyczące ulepszania konfiguracji zabezpieczeń w celu ochrony zasobów, postępując zgodnie ze wskazówkami dotyczącymi najlepszych rozwiązań.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

• Koszty usługi Azure Automation są naliczane za wykonywanie zadań na minutę. Co miesiąc pierwsze 500 minut automatyzacji procesów jest bezpłatne. Koszty możesz szacować za pomocą kalkulatora cen platformy Azure. Aby uzyskać więcej informacji na temat modeli cen usługi Azure Automation, zobacz Cennik usługi Automation.
• W przypadku podejścia opartego na agentach (V1) obszar roboczy usługi Azure Log Analytics może wygenerować dodatkowe koszty związane z ilością danych dziennika przechowywanych w usłudze Azure Log Analytics. Model cen jest oparty na użyciu. Koszty są skojarzone z pozyskiwaniem danych i przechowywaniem danych. W przypadku pozyskiwania danych do usługi Azure Log Analytics użyj usługi Capacity Reservation lub modelu płatności zgodnie z rzeczywistym użyciem, który obejmuje 5 gigabajtów (GB) bezpłatnych na konto rozliczeniowe miesięcznie. Przechowywanie danych przez pierwsze 31 dni jest bezpłatne. Aby zapoznać się z modelami cenowymi usługi Log Analytics, zobacz Cennik usługi Azure Monitor.

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Omówienie filaru doskonałości operacyjnej.

Możliwości zarządzania

• Podejście oparte na rozszerzeniu (V2) zapewnia łatwość zarządzania w porównaniu z podejściem opartym na agentach (V1) za pośrednictwem:
  • Natywna integracja z tożsamością usługi ARM dla hybrydowego procesu roboczego elementu Runbook zapewnia elastyczność zapewniania ładu na dużą skalę za pomocą zasad i szablonów.
  • Scentralizowana kontrola tożsamości i poświadczeń zasobów oraz zarządzanie nimi, ponieważ używa tożsamości przypisanych przez system maszyn wirtualnych udostępnianych przez identyfikator firmy Microsoft Entra.
  • Ujednolicone środowisko zarówno dla maszyn platformy Azure, jak i spoza platformy Azure podczas dołączania i od dołączania hybrydowych procesów roboczych elementów Runbook.
• Dotyczy tylko podejścia opartego na agentach (V1):
  • Aby przyspieszyć wdrażanie agenta usługi Log Analytics z funkcją hybrydowego procesu roboczego uruchomionego na maszynie z systemem Windows, użyj skryptu programu PowerShell New-OnPremiseHybridWorker.ps1
  • Wdrożenie wielu agentów w infrastrukturze lokalnej można organizować przy użyciu skryptów wiersza polecenia i wdrażanych przy użyciu zasad grupy lub programu System Center Configuration Manager.

DevOps

• Usługa Azure Automation umożliwia integrację z popularnymi systemami kontroli źródła, usługami Azure DevOps i GitHub. Za pomocą kontroli źródła można zintegrować istniejące środowisko programistyczne zawierające skrypty i kod niestandardowy, które zostały wcześniej przetestowane w izolowanym środowisku.
• Aby uzyskać informacje na temat sposobu integrowania usługi Azure Automation ze środowiskiem kontroli źródła, zobacz Korzystanie z integracji kontroli źródła.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

• Mike Martin | Starszy architekt rozwiązań w chmurze

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

Więcej informacji o usłudze Azure Automation:

• Omówienie hybrydowego procesu roboczego elementu Runbook
• Wdrażanie hybrydowego procesu roboczego elementu Runbook opartego na rozszerzeniach systemu Windows lub Linux
• Wdrażanie hybrydowego procesu roboczego elementu Runbook systemu Windows opartego na agencie w usłudze Automation
• Wdrażanie hybrydowego procesu roboczego elementu Runbook systemu Linux opartego na agencie w usłudze Automation
• Tworzenie konta usługi Azure Automation
• Tworzenie elementu Runbook w usłudze Azure Automation przy użyciu tożsamości zarządzanych
• Uruchamianie elementów Runbook w hybrydowym procesie roboczym elementu Runbook w usłudze Automation
• Wymagania wstępne: szczegóły konfiguracji sieci usługi Azure Automation
• Omówienie usługi Azure Arc
• Co to są serwery z obsługą usługi Azure Arc?

Więcej informacji na temat usługi Azure Monitor i dzienników monitorowania:

• Omówienie dzienników usługi Azure Monitor
• Omówienie usługi Log Analytics w usłudze Azure Monitor

Powiązane zasoby

• Projektowanie architektury hybrydowej
• Połączenie sieci lokalnej na platformę Azure
• Monitorowanie przedsiębiorstwa za pomocą usługi Azure Monitor
• Łańcuch nadzoru komputerowego na platformie Azure
• Odzyskiwanie po awarii dla maszyn wirtualnych usługi Azure Stack Hub