Развертывание гибридной рабочей роли Runbook Windows на основе агента в Службе автоматизации

  • Статья

Внимание

31 августа 2024 г. поддержка пользовательской гибридной рабочей роли runbook (Windows и Linux) на основе агента Службы автоматизации Azure будет прекращена. Необходимо перенести существующие пользовательские гибридные рабочие роли runbook на основе агента в рабочие роли на основе расширения до 31 августа 2024 г. Кроме того, начиная с 1 ноября 2023 года создание гибридных рабочих ролей на основе агента невозможно. Подробнее.

Вы можете использовать функцию гибридной рабочей роли Runbook пользователя в службе автоматизации Azure, чтобы запускать модули Runbook непосредственно на компьютере, размещенном на платформе Azure или вне ее, включая серверы, зарегистрированные на серверах с поддержкой Azure Arc. С компьютера или сервера, на котором размещается эта роль, можно напрямую запускать модули runbook для ресурсов в среде, чтобы управлять этими локальными ресурсами.

служба автоматизации Azure хранит модули Runbook и управляет ими, а затем предоставляет их на один или несколько выбранных компьютеров. В этой статье описывается, как развернуть гибридную рабочую роль Runbook на компьютере Windows, как удалить отдельную рабочую роль и их группу. Сведения о гибридных рабочих ролей Runbook см. в статье "Развертывание гибридной рабочей роли Runbook с расширением" windows или Linux в службе автоматизации

После успешного развертывания рабочей роли Runbook ознакомьтесь с запуском модулей runbook в гибридной рабочей роли Runbook, чтобы узнать, как настроить модули runbook для автоматизации процессов в локальном центре обработки данных или другой облачной среде.

Примечание.

Гибридная рабочая роль может совместно существовать с обеими платформами: на основе агента (версии 1) и на основе расширений (V2). Если установить расширение на основе версии 2 на гибридной рабочей роли, уже работающей под управлением агента (V1), вы увидите две записи гибридной рабочей роли Runbook в группе. Один с расширением платформы (версии 2) и другим агентом (V1). Подробнее.

Необходимые компоненты

Прежде чем приступить к работе, необходимо подготовить следующие компоненты.

Рабочая область Log Analytics

Гибридная рабочая роль Runbook зависит от рабочей области Log Analytics для Azure Monitor, для которой устанавливается и настраивается роль. Вы можете создать ее, используя Azure Resource Manager, PowerShell или портал Azure.

Если у вас еще нет рабочей области Log Analytics для Azure Monitor, создайте ее, предварительно ознакомившись с руководством по разработке для журналов Azure Monitor.

Агент Log Analytics

Для работы гибридной рабочей роли Runbook требуется агент Log Analytics для поддерживаемой операционной системы Windows. Для серверов или компьютеров, размещенных за пределами Azure, вы можете установить агент Log Analytics, используя серверы с поддержкой Azure Arc.

Поддерживаемая операционная система Windows

Операционные системы, поддерживаемые функцией гибридной рабочей роли Runbook:

  • Windows Server 2022 (включая Server Core)
  • Windows Server 2019 (включая Server Core)
  • Windows Server 2016, версии 1709 и 1803 (за исключением Server Core)
  • Windows Server 2012, 2012 R2
  • Windows Server 2008 (x64) с пакетом обновления 2 (SP2), 2008 R2
  • Все устройства с Windows 10 Корпоративная (с несколькими сеансами), и Профессиональная
  • Windows 8 Корпоративная и Профессиональная
  • Windows 7 с пакетом обновления 1 (SP1)

Примечание.

Гибридная рабочая роль будет соответствовать временная шкала поставщику ОС.

Минимальные требования

Минимальные требования для гибридной рабочей роли Runbook пользователя и системы Windows:

  • Windows PowerShell 5.1 (загрузка WMF 5.1). PowerShell Core не поддерживается.
  • .NET Framework 4.6.2 или более поздней версии.
  • два ядра;
  • 4 ГБ ОЗУ;
  • Порт 443 (исходящий).

Сетевая конфигурация

Требования к сети для гибридной рабочей роли Runbook см. в разделе Настройка сети.

Добавление компьютера в группу гибридных рабочих ролей Runbook

Вы можете добавить компьютер рабочей роли в группу гибридных рабочих ролей Runbook в одной из учетных записей службы автоматизации. Компьютеры, на которых размещена системная гибридная рабочая роль Runbook, управляемая компонентом "Управление обновлениями", можно добавлять в группу гибридных рабочих ролей Runbook. При этом нужно использовать одну и ту же учетную запись как для компонента "Управление обновлениями", так и для членства в группе гибридной рабочей роли Runbook.

Примечание.

Управление обновлениями в службе автоматизации Azure автоматически устанавливает гибридную рабочую роль Runbook системы на компьютере, размещенном на платформе Azure или вне ее, для которого включено Управление обновлениями. Но эта рабочая роль не регистрируется в группах гибридных рабочих ролей Runbook, которые определены в учетной записи службы автоматизации. Чтобы запустить модули runbook на этих компьютерах, необходимо добавить их в группу гибридных рабочих ролей Runbook. Выполните шаг 6 раздела Развертывание вручную, чтобы добавить их в группу.

Подготовка серверов для управления из State Configuration службы автоматизации Azure

Сведения о включении управления компьютерами с помощью State Configuration службы автоматизации Azure см. в этой статье.

Примечание.

Чтобы управлять конфигурацией компьютеров, поддерживающих гибридную рабочую роль Runbook и DSC (Desired State Configuration), добавьте такие компьютеры в качестве узлов DSC.

Варианты установки

Ниже описаны методы установки и настройки гибридной рабочей роли Runbook для пользователя Windows.

  • Используйте предоставленный сценарий PowerShell, чтобы полностью автоматизировать процесс настройки одного или нескольких компьютеров с ОС Windows. Мы рекомендуем этот способ для компьютеров в центре обработки данных или в другой облачной среде.
  • Вручную импортируйте решение службы автоматизации, установите агент Log Analytics для Windows и настройте рабочую роль на компьютере.
  • Гибридная рабочая роль на основе агента использует параметр прокси-сервера MMA. При установке расширения log analytics (MMA) необходимо передать параметр прокси-сервера, и этот параметр будет храниться в разделе конфигурации MMA (реестр) на виртуальной машине.

Автоматизированное развертывание

Существует два способа автоматического развертывания гибридной рабочей роли Runbook. Вы можете импортировать модуль Runbook из коллекции Runbook на портале Azure и запустить его, или же можно вручную скачать сценарий из коллекции PowerShell.

Процедура импорта подробно описана в статье Импорт модулей runbook с GitHub с помощью портала Azure. Имя импортируемого runbook — Create Automation Windows HybridWorker.

Для этого runbook используются следующие параметры.

Параметр Состояние Description
Location Обязательно Расположение учетной записи службы автоматизации, в которой выполняется скрипт.
ResourceGroupName Обязательно Группа ресурсов для учетной записи службы автоматизации.
AccountName Обязательно Имя учетной записи службы автоматизации, в которой будет зарегистрирована гибридная рабочая роль Runbook.
CreateLA Обязательно Если значение — true, использует значение WorkspaceName для создания рабочей области Log Analytics. Если значение — false, то значение WorkspaceName должно ссылаться на существующую рабочую область.
LAlocation Необязательно Расположение, в котором будет создана рабочая область Log Analytics или в котором она уже существует.
WorkspaceName Необязательно Имя используемой рабочей области Log Analytics
CreateVM Обязательно Если значение — true, то значение VMName используется в качестве имени новой виртуальной машины. Если значение — false, значение VMName используется для поиска и регистрации существующей виртуальной машины.
VMName Необязательно Имя виртуальной машины, которая либо создается, либо регистрируется, в зависимости от значения CreateVM.
VMImage Необязательно Имя образа создаваемой виртуальной машины.
VMlocation Необязательно Расположение виртуальной машины, которая либо создается, либо регистрируется. Если это расположение не указано, используется значение LAlocation .
RegisterHW Обязательно Если значение — true, то виртуальная машина регистрируется в качестве гибридной рабочей роли.
WorkerGroupName Обязательно Имя группы гибридных рабочих ролей.

В этом методе автоматизированного развертывания скрипт PowerShell New-OnPremiseHybridWorker.ps1 используется для автоматизации и настройки роли гибридных рабочих ролей Runbook Windows. Он выполняет следующие задачи:

  • установка необходимых модулей;
  • вход в систему с использованием учетной записи Azure;
  • проверка существования указанной группы ресурсов и учетной записи службы автоматизации;
  • создание ссылки на атрибуты учетной записи службы автоматизации;
  • создание рабочей области Log Analytics Azure Monitor, если она не указана;
  • включение решения службы автоматизации Azure в рабочей области;
  • загрузка и установка агента Log Analytics для Windows;
  • регистрация компьютера в качестве гибридной рабочей роли Runbook.

Выполните следующие действия, чтобы установить роль на компьютере с Windows с помощью скрипта.

  1. Скачайте скрипт New-OnPremiseHybridWorker.ps1 из коллекции PowerShell. После скачивания скрипта скопируйте или запустите его на целевом компьютере. Скрипт использует следующие параметры.

    Параметр Состояние Description
    AAResourceGroupName Обязательно имя группы ресурсов, связанной с вашей учетной записью службы автоматизации.
    AutomationAccountName Обязательно имя учетной записи службы автоматизации.
    Credential Необязательно Учетные данные для входа в среду Azure.
    HybridGroupName Обязательно имя группы гибридных рабочих ролей Runbook, которую вы указываете в качестве целевой для модулей runbook, поддерживающих этот сценарий.
    OMSResourceGroupName Необязательно имя группы ресурсов для рабочей области Log Analytics. Если эта группа ресурсов не указана, используется значение AAResourceGroupName .
    SubscriptionID Обязательно Идентификатор подписки Azure, которая связана с учетной записью службы автоматизации.
    TenantID Необязательно Идентификатор организации клиента, которая связана с учетной записью службы автоматизации.
    WorkspaceName Необязательно Имя рабочей области Log Analytics. Если у вас нет рабочей области Log Analytics, сценарий создаст и настроит ее.

  2. Откройте 64-разрядную командную строку PowerShell с повышенными привилегиями.

  3. Из командной строки PowerShell перейдите в папку, которая содержит загруженный сценарий. Измените значения параметров AutomationAccountName, AAResourceGroupName, OMSResourceGroupName, HybridGroupName, SubscriptionID и WorkspaceName. Затем выполните сценарий.

    После выполнения сценария вы увидите запрос на аутентификацию в Azure. Для входа нужно использовать учетную запись, которая является участником роли администраторов подписки и соадминистратором подписки.

    $NewOnPremiseHybridWorkerParameters = @{
  AutomationAccountName = <nameOfAutomationAccount>
  AAResourceGroupName   = <nameOfResourceGroup>
  OMSResourceGroupName  = <nameOfResourceGroup>
  HybridGroupName       = <nameOfHRWGroup>
  SubscriptionID        = <subscriptionId>
  WorkspaceName         = <nameOfLogAnalyticsWorkspace>
}
.\New-OnPremiseHybridWorker.ps1 @NewOnPremiseHybridWorkerParameters

  4. Вы получите предложение подтвердить установку пакета NuGet и указать учетные данные Azure для аутентификации. Если у вас нет последней версии NuGet, ее можно загрузить на странице доступных версий дистрибутивов NuGet.

  5. Проверьте развертывание после завершения сценария. На странице Hybrid Runbook Worker Groups (Группы гибридных рабочих ролей Runbook) в учетной записи службы автоматизации на вкладке User hybrid runbook workers group (Группы гибридных рабочих ролей Runbook пользователя) отображается новая группа и число элементов в ней. Если указать имеющуюся группу, количество элементов в ней увеличивается. Вы можете выбрать группу из списка на странице. В меню слева выберите Гибридные рабочие роли. На странице Гибридные рабочие роли отображается полный список элементов группы.

Ручное развертывание

Чтобы установить и настроить гибридную рабочую роль Runbook для Windows, выполните следующие действия.

  1. Включите решение службы автоматизации Azure в рабочей области Log Analytics, выполнив приведенную ниже команду в командной строке PowerShell с повышенными привилегиями или в Cloud Shell на портале Azure.

    Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true

  2. Разверните агент Log Analytics на целевом компьютере.

    • Для виртуальных машин Azure установите агент Log Analytics для Windows с помощью расширения виртуальной машины для Windows. Это расширение устанавливает агент Log Analytics на виртуальных машинах Azure и регистрирует виртуальные машины в существующей рабочей области Log Analytics. Вы можете использовать шаблон Azure Resource Manager, PowerShell или Политику Azure, чтобы назначить определение встроенной политики Развертывание агента Log Analytics для виртуальных машин Linux или Windows. После установки агента компьютер можно будет добавить в группу гибридных рабочих ролей Runbook в учетной записи службы автоматизации.

    • На компьютеры, размещенные не в Azure, агент Log Analytics можно установить с помощью серверов с поддержкой Azure Arc. Серверы с поддержкой Azure Arc поддерживают развертывание агента Log Analytics с помощью следующих методов.

      • Использование платформы расширений виртуальной машины.

        Эта функция на серверах с поддержкой Azure Arc позволяет развернуть расширение виртуальной машины агента Log Analytics на сервере, отличном от Azure или Linux. Для управления расширениями виртуальной машины на гибридных компьютерах или серверах, управляемых с помощью серверов с поддержкой ARC, можно использовать следующие методы:

      • Использование Политики Azure.

      С помощью этого подхода вы используете агент Log Analytics Политика Azure развернуть агент Log Analytics на компьютерах Linux или Microsoft Azure Arc, встроенных в политике, чтобы проверить, установлен ли сервер с поддержкой Arc агент Log Analytics. Если агент не установлен, он будет развернут автоматически с помощью задачи исправления. Если вы планируете отслеживать компьютеры с Azure Monitor для виртуальных машин, используйте инициативу "Включить Azure Monitor для виртуальных машин" для установки и настройки агента Log Analytics.

    Мы рекомендуем установить агент Log Analytics для Windows или Linux с помощью Политики Azure.

  3. Убедитесь, что агент передает сведения в рабочую область.

    Агент Log Analytics для Windows подключает компьютеры к рабочей области Log Analytics в Azure Monitor. Когда агент устанавливается на компьютер и подключается к рабочей области, он автоматически скачивает обязательные компоненты для гибридной рабочей роли Runbook.

    После успешного подключения агента к рабочей области Log Analytics через несколько минут можно выполнить следующий запрос, чтобы убедиться, что он отправляет данные пульса в рабочую область.

    Heartbeat 
| where Category == "Direct Agent"
| where TimeGenerated > ago(30m)

    В результатах поиска должны отображаться записи пульса для компьютера, указывающие, что она подключена и сообщает службе. По умолчанию каждый агент перенаправляет запись пульса в назначенную ему рабочую область. Выполните следующие шаги, чтобы завершить установку и настройку агента.

  4. Подтвердите версию гибридной рабочей роли Runbook на компьютере, на котором размещен агент Log Analytics, перейдите к C:\Program Files\Microsoft Monitoring Agent\Agent\AzureAutomation\ вложенной папке версии и запишите ее. Эта папка будет отображаться на компьютере несколько минут после включения решения в рабочей области.

  5. Установите среду модулей Runbook и выполните подключение к службе автоматизации Azure. Когда вы настраиваете отчет агента для рабочей области Log Analytics и импортируете решение Автоматизация, решение отправляет модуль PowerShell HybridRegistration. Этот модуль содержит командлет Add-HybridRunbookWorker. Примените этот командлет для установки среды runbook на компьютере и ее регистрации в службе автоматизации Azure.

    Откройте сеанс PowerShell с правами администратора и импортируйте модуль, выполнив указанные ниже команды.

    cd "C:\Program Files\Microsoft Monitoring Agent\Agent\AzureAutomation\<version>\HybridRegistration"
Import-Module .\HybridRegistration.psd1

  6. Выполните командлет Add-HybridRunbookWorker, указав значения для параметров Url, Key и GroupName.

    Add-HybridRunbookWorker –GroupName <String> -Url <Url> -Key <String>

    Сведения, необходимые для задания параметров Url и Key, можно получить на странице Ключи в учетной записи службы автоматизации. Выберите Ключи в разделе Параметры учетной записи в левой части страницы.

    Страница

    • Для параметра Url скопируйте значение поля URL-адрес.

    • Для параметра Key скопируйте значение поля Первичный ключ доступа.

    • Для параметра GroupName укажите имя группы гибридных рабочих ролей Runbook. Если эта группа уже существует в учетной записи службы автоматизации, то к ней будет добавлен текущий компьютер. Если эта группа не существует, она добавляется.

    • При необходимости задайте Verbose параметр для получения сведений об установке.

  7. Проверьте развертывание после выполнения команды. На странице Hybrid Runbook Worker Groups (Группы гибридных рабочих ролей Runbook) в учетной записи службы автоматизации на вкладке User hybrid runbook workers group (Группы гибридных рабочих ролей Runbook пользователя) отображается новая или существующая группа и число элементов в ней. Если указать имеющуюся группу, количество элементов в ней увеличивается. Вы можете выбрать группу из списка на странице. В меню слева выберите Гибридные рабочие роли. На странице Гибридные рабочие роли отображается полный список элементов группы.

Установка модулей PowerShell

Модули Runbook могут использовать любые из действий и командлетов, которые определены в модулях, установленных в вашей среде службы автоматизации Azure. Так как эти модули не развертываются автоматически на локальных компьютерах, их необходимо установить вручную. Исключением является модуль Azure. Этот модуль устанавливается по умолчанию и предоставляет доступ к командлетам для всех служб и действий службы автоматизации Azure.

Так как главной целью гибридной рабочей роли Runbook является управление локальными ресурсами, вам с большой вероятностью потребуются модули, которые поддерживают эти ресурсы (в частности, модуль PowerShellGet). Сведения об установке модулей Windows PowerShell см. в этой статье.

Устанавливаемые модули должны находиться в расположении, указанном в переменной среды PSModulePath, чтобы гибридная рабочая роль автоматически импортировала их. Дополнительные сведения см. в разделе Установка модулей в PSModulePath.

Удаление гибридной рабочей роли Runbook

  1. Откройте сеанс PowerShell в режиме Администратор istrator и выполните следующую команду:

        Remove-Item -Path "HKLM:\SOFTWARE\Microsoft\HybridRunbookWorker\<AutomationAccountID>\<HybridWorkerGroupName>" -Force -Verbose

  2. В разделе Автоматизация процессов выберите Группы гибридных рабочих ролей, а затем соответствующую группу, чтобы перейти на страницу Группа гибридных рабочих ролей.

  3. На странице Группа гибридных рабочих ролей выберите Гибридные рабочие роли.

  4. Установите флажок рядом с компьютерами, которые нужно удалить из группы гибридных рабочих ролей.

  5. Выберите "Удалить", чтобы удалить гибридную рабочую роль Windows на основе агента.

    Примечание.

    • После отключения Приватный канал в учетной записи службы автоматизации может потребоваться до 60 минут, чтобы удалить гибридную рабочую роль Runbook.
    • После удаления гибридной рабочей роли сертификат проверки подлинности гибридной рабочей роли на компьютере действителен в течение 45 минут.

Удаление группы гибридных рабочих ролей

Чтобы удалить группу гибридных рабочих ролей Runbook, сначала удалите гибридную рабочую роль Runbook с каждого компьютера, который является членом этой группы. Затем выполните указанные ниже действия для удаления группы:

  1. На портале Azure перейдите в раздел Учетная запись службы автоматизации.

  2. В разделе Автоматизация процессов выберите Группы гибридных рабочих ролей. Выберите группу, которую нужно удалить. Откроется страница свойств этой группы.

    Страница Свойства

  3. На странице свойств выбранной группы выберите Удалить. Появится предупреждающее сообщение об удалении всех компьютеров, определенных как гибридные рабочие роли в группе гибридных рабочих ролей. Если в группу добавлена рабочая роль, сначала необходимо удалить рабочую роль из группы.

  4. Выберите Да, если хотите продолжить.

Для завершения процесса может потребоваться несколько секунд. Ход создания можно просмотреть в разделе Уведомления в меню.

Управление разрешениями роли для гибридных рабочих групп и гибридных рабочих ролей

Вы можете создать пользовательские роли служба автоматизации Azure и предоставить следующие разрешения гибридным рабочим группам и гибридным рабочим группам. Дополнительные сведения о создании пользовательских ролей служба автоматизации Azure см. в статье о пользовательских ролях Azure

Действия Description
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Считывает группы гибридных рабочих ролей runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/write Создает гибридную рабочую группу Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/delete Удаляет гибридную рабочую группу Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/read Считывает гибридную рабочую роль Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/delete Удаляет гибридную рабочую роль Runbook.

Проверка версии гибридной рабочей роли

Чтобы проверка версии гибридной рабочей роли Runbook на основе агента, перейдите к следующему пути:

C:\ProgramFiles\Microsoft Monitoring Agent\Agent\AzureAutomation\

Папка служба автоматизации Azure содержит вложенную папку с номером версии в качестве имени вложенной папки.

Обновление агента Log Analytics до последней версии

служба автоматизации Azure гибридной рабочей роли Runbook на основе агента (V1) требуется агент Log Analytics (также известный как агент MMA) во время установки гибридной рабочей роли. Мы рекомендуем обновить агент Log Analytics до последней версии, чтобы уменьшить уязвимости безопасности и воспользоваться исправлениями ошибок.

Версии агента Log Analytics до версии 10.20.18053 (пакет) и 1.0.18053.0 (расширение) используют старый метод обработки сертификатов, поэтому не рекомендуется. Гибридные рабочие роли устаревших агентов не смогут подключаться к Azure, и служба автоматизации Azure задания, выполняемые этими гибридными рабочими ролей, будут остановлены.

Чтобы обновить агент Log Analytics до последней версии, выполните следующие действия.

  1. Проверьте текущую версию агента Log Analytics для гибридной рабочей роли Windows: перейдите к пути установки C:\ProgramFiles\Microsoft Monitoring Agent\Agent и щелкните правой кнопкой мыши HealthService.exe, чтобы проверка свойства. Версия поля Product предоставляет номер версии агента Log Analytics.
  2. Если версия агента Log Analytics установлена до версии 10.20.18053 (пакет) и 1.0.18053.0 (расширение), выполните обновление до последней версии агента Windows Log Analytics, следуя этим рекомендациям.

Примечание.

Все задания служба автоматизации Azure, выполняемые в гибридной рабочей роли во время процесса обновления, могут остановиться. Убедитесь, что во время обновления агента Log Analytics нет заданий, выполняемых или запланированных.

Следующие шаги