Implantar o Hybrid Runbook Worker do LinuxDeploy a Linux Hybrid Runbook Worker

Você pode usar o recurso Hybrid Runbook Worker do usuário da automação do Azure para executar runbooks diretamente no computador do Azure ou não Azure, incluindo servidores registrados com servidores habilitados para Arc do Azure.You can use the user Hybrid Runbook Worker feature of Azure Automation to run runbooks directly on the Azure or non-Azure machine, including servers registered with Azure Arc enabled servers. No computador ou servidor que está hospedando a função, você pode executar runbooks diretamente e em recursos no ambiente para gerenciar esses recursos locais.From the machine or server that's hosting the role, you can run runbooks directly it and against resources in the environment to manage those local resources.

O Linux Hybrid Runbook Worker executa runbooks como um usuário especial que pode ser elevado para executar comandos que precisam de elevação.The Linux Hybrid Runbook Worker executes runbooks as a special user that can be elevated for running commands that need elevation. A automação do Azure armazena e gerencia runbooks e, em seguida, os entrega a um ou mais computadores designados.Azure Automation stores and manages runbooks and then delivers them to one or more designated machines. Este artigo descreve como instalar o Hybrid Runbook Worker em um computador Linux, como remover o trabalho e como remover um grupo do Hybrid Runbook Worker.This article describes how to install the Hybrid Runbook Worker on a Linux machine, how to remove the worker, and how to remove a Hybrid Runbook Worker group.

Depois de implantar com êxito um trabalhador de runbook, revise Executar runbooks em um Hybrid Runbook Worker para saber como configurar seus runbooks para automatizar processos em seu datacenter local ou em outro ambiente de nuvem.After you successfully deploy a runbook worker, review Run runbooks on a Hybrid Runbook Worker to learn how to configure your runbooks to automate processes in your on-premises datacenter or other cloud environment.

Pré-requisitosPrerequisites

Antes de começar, verifique se você tem o seguinte.Before you start, make sure that you have the following.

Um espaço de trabalho Log AnalyticsA Log Analytics workspace

A função Hybrid Runbook Worker depende de um espaço de trabalho de Log Analytics de Azure Monitor para instalar e configurar a função.The Hybrid Runbook Worker role depends on an Azure Monitor Log Analytics workspace to install and configure the role. Você pode criá-lo por meio de Azure Resource Manager, por meio do PowerShell, ou no portal do Azure.You can create it through Azure Resource Manager, through PowerShell, or in the Azure portal.

Se você não tiver um Azure Monitor Log Analytics espaço de trabalho, examine as diretrizes de design do Azure monitor log antes de criar o espaço de trabalho.If you don't have an Azure Monitor Log Analytics workspace, review the Azure Monitor Log design guidance before you create the workspace.

Agente do Log AnalyticsLog Analytics agent

A função Hybrid Runbook Worker requer o agente de log Analytics para o sistema operacional Linux com suporte.The Hybrid Runbook Worker role requires the Log Analytics agent for the supported Linux operating system. Para servidores ou computadores hospedados fora do Azure, você pode instalar o agente de Log Analytics usando os servidores habilitados para Arc do Azure.For servers or machines hosted outside of Azure, you can install the Log Analytics agent using Azure Arc enabled servers.

Observação

Depois de instalar o agente de Log Analytics para Linux, você não deve alterar as permissões da sudoers.d pasta ou sua propriedade.After installing the Log Analytics agent for Linux, you should not change the permissions of the sudoers.d folder or its ownership. A permissão sudo é necessária para a conta nxautomation , que é o contexto do usuário no qual a Hybrid runbook Worker é executada.Sudo permission is required for the nxautomation account, which is the user context the Hybrid Runbook Worker runs under. As permissões não devem ser removidas.The permissions should not be removed. Restringir isso a determinadas pastas ou comandos pode resultar em uma alteração significativa.Restricting this to certain folders or commands may result in a breaking change.

Sistemas operacionais Linux com suporteSupported Linux operating systems

O recurso Hybrid Runbook Worker dá suporte às seguintes distribuições.The Hybrid Runbook Worker feature supports the following distributions. Todos os sistemas operacionais são considerados x64.All operating systems are assumed to be x64. Não há suporte para x86 em nenhum sistema operacional.x86 is not supported for any operating system.

  • Amazon Linux 2012, 9 a 2015, 9Amazon Linux 2012.09 to 2015.09
  • CentOS Linux 5, 6, 7 e 8CentOS Linux 5, 6, 7, and 8
  • Oracle Linux 5, 6 e 7Oracle Linux 5, 6, and 7
  • Red Hat Enterprise Linux Server 5, 6, 7 e 8Red Hat Enterprise Linux Server 5, 6, 7, and 8
  • Debian GNU/Linux 6, 7 e 8Debian GNU/Linux 6, 7, and 8
  • Ubuntu 12, 4 LTS, 14, 4 LTS, 16, 4 LTS e 18, 4 LTSUbuntu 12.04 LTS, 14.04 LTS, 16.04 LTS, and 18.04 LTS
  • SUSE Linux Enterprise Server 12 e 15 (o SUSE não liberou as versões 13 ou 14)SUSE Linux Enterprise Server 12 and 15 (SUSE did not release versions numbered 13 or 14)

Importante

Antes de habilitar o recurso Gerenciamento de Atualizações, que depende da função de Hybrid Runbook Worker do sistema, confirme as distribuições às quais ele dá suporte aqui.Before enabling the Update Management feature, which depends on the system Hybrid Runbook Worker role, confirm the distributions it supports here.

Requisitos mínimosMinimum requirements

Os requisitos mínimos para um sistema Linux e Hybrid Runbook Worker de usuário são:The minimum requirements for a Linux system and user Hybrid Runbook Worker are:

  • Dois núcleosTwo cores
  • 4 GB de RAM4 GB of RAM
  • Porta 443 (saída)Port 443 (outbound)
Pacote necessárioRequired package DescriçãoDescription Versão mínimaMinimum version
GlibcGlibc Biblioteca GNU CGNU C Library 2.5-122.5-12
OpensslOpenssl Bibliotecas OpenSSLOpenSSL Libraries 1.0 (há suporte para TLS 1.1 e TLS 1.2)1.0 (TLS 1.1 and TLS 1.2 are supported)
CurlCurl cliente Web cURLcURL web client 7.15.57.15.5
Python-ctypesPython-ctypes Python 2. x ou Python 3. x são necessáriosPython 2.x or Python 3.x are required
PAMPAM Módulos de autenticação conectáveisPluggable Authentication Modules
Pacotes opcionaisOptional package DescriçãoDescription Versão mínimaMinimum version
PowerShell CorePowerShell Core Para executar runbooks do PowerShell, o PowerShell Core precisa ser instalado.To run PowerShell runbooks, PowerShell Core needs to be installed. Consulte Instalar PowerShell Core no Linux para saber como instalá-lo.See Installing PowerShell Core on Linux to learn how to install it. 6.0.06.0.0

Adicionando um computador a um grupo de Hybrid Runbook WorkerAdding a machine to a Hybrid Runbook Worker group

Você pode adicionar o computador de trabalho a um grupo de Hybrid Runbook Worker em uma de suas contas de automação.You can add the worker machine to a Hybrid Runbook Worker group in one of your Automation accounts. Para computadores que hospedam o Hybrid runbook Worker do sistema gerenciado pelo Gerenciamento de Atualizações, eles podem ser adicionados a um grupo de Hybrid Runbook Worker.For machines hosting the system Hybrid Runbook worker managed by Update Management, they can be added to a Hybrid Runbook Worker group. Mas você deve usar a mesma conta de automação para Gerenciamento de Atualizações e a associação de grupo de Hybrid Runbook Worker.But you must use the same Automation account for both Update Management and the Hybrid Runbook Worker group membership.

Observação

A automação do Azure Gerenciamento de atualizações instala automaticamente o Hybrid runbook Worker do sistema em um computador Azure ou não Azure habilitado para gerenciamento de atualizações.Azure Automation Update Management automatically installs the system Hybrid Runbook Worker on an Azure or non-Azure machine that's enabled for Update Management. No entanto, esse trabalhador não está registrado com nenhum grupo de Hybrid Runbook Worker em sua conta de automação.However, this worker is not registered with any Hybrid Runbook Worker groups in your Automation account. Para executar seus runbooks nesses computadores, você precisa adicioná-los a um grupo de Hybrid Runbook Worker.To run your runbooks on those machines, you need to add them to a Hybrid Runbook Worker group. Siga a etapa 4 na seção instalar um Hybrid runbook Worker Linux para adicioná-lo a um grupo.Follow step 4 under the section Install a Linux Hybrid Runbook Worker to add it to a group.

Proteção do Linux com suporteSupported Linux hardening

Os itens a seguir ainda não têm suporte:The following are not yet supported:

  • ICSCIS

Tipos de runbook com suporteSupported runbook types

Os Hybrid runbook Workers do Linux dão suporte a um conjunto limitado de tipos de runbook na automação do Azure, e eles são descritos na tabela a seguir.Linux Hybrid Runbook Workers support a limited set of runbook types in Azure Automation, and they are described in the following table.

Tipo de runbookRunbook type Com suporteSupported
Python 3 (visualização)Python 3 (preview) Sim, necessário somente para esses distribuições: SUSE LES 15, RHEL 8 e CentOS 8Yes, required for these distros only: SUSE LES 15, RHEL 8 and CentOS 8
Python 2Python 2 Sim, para qualquer distribuição que não exija Python 31Yes, for any distro that doesn't require Python 31
PowerShellPowerShell Sim2Yes2
Fluxo de trabalho do PowerShellPowerShell Workflow NãoNo
GráficoGraphical NãoNo
Fluxo de Trabalho Gráfico do PowerShellGraphical PowerShell Workflow NãoNo

1 Consulte sistemas operacionais Linux com suporte.1See Supported Linux operating systems.

2 Os runbooks do PowerShell exigem que o PowerShell Core seja instalado no computador Linux.2PowerShell runbooks require PowerShell Core to be installed on the Linux machine. Consulte Instalar PowerShell Core no Linux para saber como instalá-lo.See Installing PowerShell Core on Linux to learn how to install it.

Configuração de redeNetwork configuration

Para os requisitos de rede para o Hybrid Runbook Worker, consulte Configurando sua rede.For networking requirements for the Hybrid Runbook Worker, see Configuring your network.

Instalar um Hybrid Runbook Worker do LinuxInstall a Linux Hybrid Runbook Worker

Para instalar e configurar um Hybrid Runbook Worker do Linux, execute as etapas a seguir.To install and configure a Linux Hybrid Runbook Worker, perform the following steps.

  1. Habilite a solução de automação do Azure em seu espaço de trabalho Log Analytics executando o seguinte comando em um prompt de comando do PowerShell com privilégios elevados ou em Cloud Shell no portal do Azure:Enable the Azure Automation solution in your Log Analytics workspace by running the following command in an elevated PowerShell command prompt or in Cloud Shell in the Azure portal:

    Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true
    
  2. Implante o agente de Log Analytics no computador de destino.Deploy the Log Analytics agent to the target machine.

    • Para VMs do Azure, instale o agente de Log Analytics para Linux usando a extensão de máquina virtual para Linux.For Azure VMs, install the Log Analytics agent for Linux using the virtual machine extension for Linux. A extensão instala o agente do Log Analytics em máquinas virtuais do Azure e registra máquinas virtuais em um espaço de trabalho do Log Analytics existente.The extension installs the Log Analytics agent on Azure virtual machines, and enrolls virtual machines into an existing Log Analytics workspace. Você pode usar um modelo de Azure Resource Manager, o CLI do Azure ou Azure Policy para atribuir a política de implantação do agente de log Analytics para Linux ou VMS do Windows integrada.You can use an Azure Resource Manager template, the Azure CLI, or Azure Policy to assign the Deploy Log Analytics agent for Linux or Windows VMs built-in policy. Depois que o agente é instalado, o computador pode ser adicionado a um grupo de Hybrid Runbook Worker em sua conta de automação.Once the agent is installed, the machine can be added to a Hybrid Runbook Worker group in your Automation account.

    • Para computadores não Azure, você pode instalar o agente de Log Analytics usando os servidores habilitados para Arc do Azure.For non-Azure machines, you can install the Log Analytics agent using Azure Arc enabled servers. Os servidores habilitados para Arc dão suporte à implantação do agente de Log Analytics usando os seguintes métodos:Arc enabled servers support deploying the Log Analytics agent using the following methods:

      • Usando a estrutura de extensões de VM.Using the VM extensions framework.

        Esse recurso nos servidores habilitados para Arc do Azure permite que você implante a extensão de VM do agente de Log Analytics em um servidor Windows e/ou Linux que não seja do Azure.This feature in Azure Arc enabled servers allows you to deploy the Log Analytics agent VM extension to a non-Azure Windows and/or Linux server. As extensões de VM podem ser gerenciadas usando os seguintes métodos em seus computadores híbridos ou servidores gerenciados por servidores habilitados para Arc:VM extensions can be managed using the following methods on your hybrid machines or servers managed by Arc enabled servers:

      • Usando Azure Policy.Using Azure Policy.

        Usando essa abordagem, você usa o Azure Policy implantar o agente log Analytics em uma política interna do Windows Azure ARC para máquinas de arco para a auditoria se o servidor habilitado para Arc tiver o agente de log Analytics instalado.Using this approach, you use the Azure Policy Deploy Log Analytics agent to Linux or Windows Azure Arc machines built-in policy to audit if the Arc enabled server has the Log Analytics agent installed. Se o agente não estiver instalado, ele o implantará automaticamente usando uma tarefa de correção.If the agent is not installed, it automatically deploys it using a remediation task. Como alternativa, se você planeja monitorar as máquinas com Azure Monitor para VMs, use a iniciativa habilitar Azure monitor para VMs para instalar e configurar o agente de log Analytics.Alternatively, if you plan to monitor the machines with Azure Monitor for VMs, instead use the Enable Azure Monitor for VMs initiative to install and configure the Log Analytics agent.

      É recomendável instalar o agente de Log Analytics para Windows ou Linux usando Azure Policy.We recommend installing the Log Analytics agent for Windows or Linux using Azure Policy.

    Observação

    Para gerenciar a configuração de computadores que dão suporte à função de Hybrid Runbook Worker com a DSC (configuração de estado desejado), você deve adicionar os computadores como nós DSC.To manage the configuration of machines that support the Hybrid Runbook Worker role with Desired State Configuration (DSC), you must add the machines as DSC nodes.

    Observação

    A conta de nxautomation com as permissões sudo correspondentes deve estar presente durante a instalação do Hybrid Worker do Linux.The nxautomation account with the corresponding sudo permissions must be present during installation of the Linux Hybrid Worker. Se você tentar instalar o trabalho e a conta não estiver presente ou não tiver as permissões apropriadas, a instalação falhará.If you try to install the worker and the account is not present or doesn’t have the appropriate permissions, the installation fails.

  3. Verifique se o agente está relatando para o espaço de trabalho.Verify agent is reporting to workspace.

    O agente de Log Analytics para Linux conecta computadores a um espaço de trabalho Azure Monitor Log Analytics.The Log Analytics agent for Linux connects machines to an Azure Monitor Log Analytics workspace. Quando você instala o agente em seu computador e o conecta ao seu espaço de trabalho, ele baixa automaticamente os componentes necessários para o Hybrid Runbook Worker.When you install the agent on your machine and connect it to your workspace, it automatically downloads the components that are required for the Hybrid Runbook Worker.

    Quando o agente tiver se conectado ao seu workspace do Log Analytics após alguns minutos, você poderá executar a consulta a seguir para verificar se ele está enviando dados de pulsação para o workspace.When the agent has successfully connected to your Log Analytics workspace after a few minutes, you can run the following query to verify that it is sending heartbeat data to the workspace.

    Heartbeat
    | where Category == "Direct Agent"
    | where TimeGenerated > ago(30m)
    

    Nos resultados da pesquisa, você deve ver os registros de pulsação do computador, indicando que ele está conectado e relatando para o serviço.In the search results, you should see heartbeat records for the machine, indicating that it is connected and reporting to the service. Por padrão, cada agente encaminha um registro de pulsação para seu workspace atribuído.By default, every agent forwards a heartbeat record to its assigned workspace.

  4. Execute o comando a seguir para adicionar o computador a um grupo de Hybrid runbook Worker, especificando os valores para os parâmetros -w , -k , -g e -e .Run the following command to add the machine to a Hybrid Runbook Worker group, specifying the values for the parameters -w, -k, -g, and -e.

    Você pode obter as informações necessárias para parâmetros -k e -e na página chaves em sua conta de automação.You can get the information required for parameters -k and -e from the Keys page in your Automation account. Selecione chaves na seção configurações de conta do lado esquerdo da página.Select Keys under the Account settings section from the left-hand side of the page.

    Página Gerenciar Chaves

    • Para o -e parâmetro, copie o valor para URL.For the -e parameter, copy the value for URL.

    • Para o -k parâmetro, copie o valor da chave de acesso primária.For the -k parameter, copy the value for PRIMARY ACCESS KEY.

    • Para o -g parâmetro, especifique o nome do grupo de Hybrid runbook Worker ao qual o novo Hybrid runbook Worker do Linux deve ingressar.For the -g parameter, specify the name of the Hybrid Runbook Worker group that the new Linux Hybrid Runbook worker should join. Se esse grupo já existir na conta de automação, o computador atual será adicionado a ele.If this group already exists in the Automation account, the current machine is added to it. Se esse grupo não existir, ele será criado com esse nome.If this group doesn't exist, it is created with that name.

    • Para o -w parâmetro, especifique sua ID de espaço de trabalho log Analytics.For the -w parameter, specify your Log Analytics workspace ID.

    sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w <logAnalyticsworkspaceId> -k <automationSharedKey> -g <hybridGroupName> -e <automationEndpoint>
    
  5. Verifique a implantação após a conclusão do script.Verify the deployment after the script is completed. Na página grupos de Hybrid runbook Worker em sua conta de automação, na guia grupo Hybrid runbook Workers do usuário , ele mostra o grupo novo ou existente e o número de membros.From the Hybrid Runbook Worker Groups page in your Automation account, under the User hybrid runbook workers group tab, it shows the new or existing group and the number of members. Se for um grupo existente, o número de membros é incrementado.If it's an existing group, the number of members is incremented. Você pode selecionar o grupo na lista na página, no menu à esquerda, escolher Hybrid Workers.You can select the group from the list on the page, from the left-hand menu choose Hybrid Workers. Na página Hybrid Workers , você pode ver cada membro do grupo listado.On the Hybrid Workers page, you can see each member of the group listed.

    Observação

    Se você estiver usando a extensão de máquina virtual Log Analytics para Linux para uma VM do Azure, é recomendável definir autoUpgradeMinorVersion false como as versões de atualização automática podem causar problemas com o Hybrid runbook Worker.If you are using the Log Analytics virtual machine extension for Linux for an Azure VM, we recommend setting autoUpgradeMinorVersion to false as auto-upgrading versions can cause issues with the Hybrid Runbook Worker. Para saber como atualizar a extensão manualmente, confira Implantação da CLI do Azure.To learn how to upgrade the extension manually, see Azure CLI deployment.

Desativar a validação de assinaturaTurn off signature validation

Por padrão, o Linux Hybrid Runbook Workers exige validação de assinatura.By default, Linux Hybrid Runbook Workers require signature validation. Se você executar um runbook não assinado em um trabalho, verá um erro Signature validation failed.If you run an unsigned runbook against a worker, you see a Signature validation failed error. Para desativar a validação de assinatura, execute o comando a seguir.To turn off signature validation, run the following command. Substitua o segundo parâmetro pela ID do workspace do Log Analytics.Replace the second parameter with your Log Analytics workspace ID.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --false <logAnalyticsworkspaceId>

Remover o Hybrid Runbook WorkerRemove the Hybrid Runbook Worker

Você pode usar o comando ls /var/opt/microsoft/omsagent no Hybrid Runbook Worker para obter a ID do workspace.You can use the command ls /var/opt/microsoft/omsagent on the Hybrid Runbook Worker to get the workspace ID. É criada uma pasta nomeada com a ID do workspace.A folder is created that is named with the workspace ID.

sudo python onboarding.py --deregister --endpoint="<URL>" --key="<PrimaryAccessKey>" --groupname="Example" --workspaceid="<workspaceId>"

Observação

Esse script não remove o agente de Log Analytics para Linux do computador.This script doesn't remove the Log Analytics agent for Linux from the machine. Ele remove apenas a funcionalidade e a configuração da função Hybrid Runbook Worker.It only removes the functionality and configuration of the Hybrid Runbook Worker role.

Remover um grupo de Hybrid WorkerRemove a Hybrid Worker group

Para remover um grupo de Hybrid Runbook Worker de computadores Linux, use as mesmas etapas de um grupo do Hybrid Worker do Windows.To remove a Hybrid Runbook Worker group of Linux machines, you use the same steps as for a Windows hybrid worker group. Confira Remover um grupo do Hybrid Worker.See Remove a Hybrid Worker group.

Próximas etapasNext steps