Viktigt!
Azure Automation-agentbaserad Hybrid Runbook Worker för användare (Windows och Linux) dras tillbaka den 31 augusti 2024 och stöds inte efter det datumet. Du måste slutföra migreringen av befintliga agentbaserade Hybrid Runbook Workers för användare till tilläggsbaserade arbetsroller före den 31 augusti 2024. Från och med den 1 oktober 2023 är det inte heller möjligt att skapa nya agentbaserade Hybrid Workers. Läs mer
Runbooks i Azure Automation körs på Azure-molnplattformen och kanske inte har åtkomst till resurser som finns i andra moln eller i din lokala miljö. Du kan använda funktionen Hybrid Runbook Worker i Azure Automation för att köra runbooks direkt på datorn som är värd för rollen och mot resurser i miljön för att hantera dessa lokala resurser. Runbooks lagras och hanteras i Azure Automation och levereras sedan till en eller flera tilldelade datorer.
Arkitektur
Ladda ned en Visio-fil med den här arkitekturen.
Workflow
Hybrid Runbook Worker-arkitekturen består av följande:
- Automation-konto: En molntjänst som automatiserar konfiguration och hantering i dina Azure- och icke-Azure-miljöer.
- Hybrid Runbook Worker: En dator som har konfigurerats med funktionen Hybrid Runbook Worker och som kan köra runbooks direkt på datorn och mot resurserna i den lokala miljön.
- Hybrid Runbook Worker-grupp: Gruppera med flera Hybrid Runbook-arbetare för högre tillgänglighet och skala för att köra en uppsättning runbooks.
- Runbook: En samling med en eller flera länkade aktiviteter som tillsammans automatiserar en process eller åtgärd. Läs mer.
- Lokala datorer och virtuella datorer: Lokala Windows- eller Linux-datorer och virtuella datorer som finns i ett privat lokalt nätverk.
- Komponenter som gäller för den tilläggsbaserade metoden (V2):
- Hybrid Runbook Worker VM-tillägg: Ett litet program som är installerat på en dator. Programmet konfigurerar datorn som en Hybrid Runbook Worker.
- Arc-aktiverad server: Azure Arc-aktiverade servrar gör det möjligt för dig att hantera Windows- och Linux-datorer och virtuella datorer som finns utanför Azure, oavsett om de finns i företagets nätverk eller på en annan molnleverantör. Den här hanteringsupplevelsen är utformad för att vara konsekvent med hur du hanterar interna virtuella Azure-datorer. Läs mer.
- Komponenter som gäller för den agentbaserade metoden (V1):
- Log Analytics-arbetsyta: En Log Analytics-arbetsyta är en datalagringsplats för loggdata som samlas in från resurser som körs i Azure, lokalt eller i en annan molnleverantör.
- Automation Hybrid Worker-lösning: Med den här lösningen kan du skapa Hybrid Runbook Workers för att köra Azure Automation-runbooks på dina Azure- och icke-Azure-datorer.
Hybrid Runbook Worker för användare
Ladda ned en Visio-fil med den här arkitekturen.
Varje användares Hybrid Runbook Worker är medlem i en Hybrid Runbook Worker-grupp som du anger när du installerar arbetaren. En grupp kan innehålla en enskild arbetare, men du kan inkludera flera arbetare i en grupp för hög tillgänglighet. Varje dator kan vara värd för en Hybrid Runbook Worker-rapportering till ett Automation-konto. Du kan inte registrera hybridarbetaren på flera Automation-konton. En hybridarbetare kan bara lyssna efter jobb från ett enda Automation-konto.
System Hybrid Runbook Worker
Ladda ned en Visio-fil med den här arkitekturen.
Datorer som är värdar för systemet Hybrid Runbook Worker som hanteras av Uppdateringshantering kan läggas till i en Hybrid Runbook Worker-grupp. Men du måste använda samma Automation-konto för både Uppdateringshantering och Hybrid Runbook Worker-gruppmedlemskap.
Jobbkörning på Hybrid Runbook Worker
När du startar en runbook på en Hybrid Runbook Worker-användare anger du den grupp som den körs på. Varje arbetare i gruppen avsöker Azure Automation för att se om några jobb är tillgängliga. Om ett jobb är tillgängligt tar den första medarbetaren som får jobbet det. Bearbetningstiden för jobbkön beror på maskinvaruprofilen och belastningen för hybridarbetaren. Du kan inte ange en viss arbetare. Hybrid worker arbetar med en avsökningsmekanism (var 30:e sekund) och följer en ordning på först till kvarn-principen.
Komponenter
- Azure Automation är en Azure-tjänst för att automatisera molnhanteringsuppgifter. Funktionen Hybrid Runbook Worker gör det möjligt att köra runbooks på datorer som finns i ditt datacenter för att hantera lokala resurser.
- Azure Monitor ger dig fullständig observerbarhet i program, infrastruktur och nätverk. Azure Monitor-loggar är en funktion i Azure Monitor som samlar in och organiserar logg- och prestandadata från övervakade resurser. Log Analytics är ett verktyg i Azure-portalen för att fråga efter loggar och analysera resultaten
Information om scenario
Installationsmetod för Hybrid Runbook Worker
Azure Automation tillhandahåller intern integrering av Hybrid Runbook Worker-rollen via azure-tillägget för virtuella datorer. Azure VM-agenten ansvarar för att hantera tillägget på virtuella Azure-datorer, både Windows och Linux, och på datorer som inte är Azure via den Arc-aktiverade serveranslutna datoragenten. Det finns två installationsplattformar för Hybrid Runbook Workers som stöds av Azure Automation.
| Plattform | Beskrivning |
|---|---|
| Tilläggsbaserad(V2) | Installeras med hjälp av tillägget Hybrid Runbook Worker VM utan något beroende av rapporteringsaktiviteten för Log Analytics-agenten som rapporterar till en Azure Monitor Log Analytics-arbetsyta. Detta är den rekommenderade metoden, eftersom den erbjuder sömlös registrering och är lätt att hantera. |
| Agentbaserad(V1) | Installeras när Log Analytics-agenten har slutfört rapporteringen till en Azure Monitor Log Analytics-arbetsyta. |
En hybridarbetare kan samexistera med båda plattformarna: Agentbaserad (V1) och tilläggsbaserad (V2). Om du installerar Tilläggsbaserat (V2) på en hybridarbetare som redan kör Agentbaserad (V1) visas två poster i Hybrid Runbook Worker i gruppen. Ett med plattformstilläggsbaserat (V2) och det andra agentbaserat (V1). Läs mer
Runbook-arbetstyper
Det finns två typer av Runbook-arbetare, System och Användare.
Systemet stöder en uppsättning dolda runbooks som används av funktionen Uppdateringshantering. Runbooks är utformade för att installera användardefinierade uppdateringar på Windows- och Linux-datorer. Den här typen av Hybrid Runbook Worker är inte medlem i en Hybrid Runbook Worker-grupp och kör därför inte runbooks som riktar sig mot en Runbook Worker-grupp.
Användaren stöder användardefinierade runbooks som är avsedda att köras direkt på Windows- och Linux-datorer som är medlemmar i en eller flera Runbook Worker-grupper.
Den tilläggsbaserade Hybrid Runbook Worker stöder endast användarens Hybrid Runbook Worker-typ och innehåller inte systemet Hybrid Runbook Worker som krävs för funktionen Uppdateringshantering.
Agentbaserad (V1) Hybrid Runbook Workers förlitar sig på Log Analytics-agentrapportering till en Azure Monitor Log Analytics-arbetsyta. Arbetsytan är inte bara för att samla in övervakningsdata från datorn, utan även för att ladda ned de komponenter som krävs för att installera den agentbaserade Hybrid Runbook Worker. När Azure Automation Update Management är aktiverat konfigureras alla datorer som är anslutna till Log Analytics-arbetsytan automatiskt som ett system för Hybrid Runbook Worker.
Potentiella användningsfall
- Så här kör du Azure Automation-runbooks direkt på en befintlig virtuell Azure-dator (VM) eller lokal Arc-aktiverad server.
- För att övervinna sandbox-begränsningen i Azure Automation. Vanliga scenarier är att köra långvariga åtgärder utöver tretimmarsgränsen för molnjobb, utföra resursintensiva automatiseringsåtgärder, interagera med lokala tjänster som körs lokalt eller i hybridmiljöer, köra skript som kräver förhöjd behörighet och så vidare.
- För att övervinna organisationens begränsningar för att lagra data i Azure av styrnings- och säkerhetsskäl. Även om du inte kan köra Automation-jobb i molnet kan du köra dem på en lokal dator som registreras som en Hybrid Runbook Worker.
- Automatisera åtgärder på flera icke-Azure-resurser som körs i lokala miljöer, hybridmiljöer eller miljöer med flera moln. Du kan registrera en av dessa datorer som en Hybrid Runbook Worker och målautomatisering på de återstående lokala datorerna.
- Om du vill komma åt andra tjänster privat från Azure Virtual Network (VNet) utan att behöva öppna en utgående anslutning till Internet kan du köra runbooks på en Hybrid Worker som är ansluten till det virtuella Azure-nätverket.
Överväganden
Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.
Tillförlitlighet
Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden som du gör gentemot dina kunder. Mer information finns i Översikt över tillförlitlighetspelare.
- En Hybrid Runbook Worker-grupp med fler än en dator som konfigurerats med Hybrid Worker-rollen ger hög tillgänglighet eftersom runbooks endast startar på servrar som körs och är felfria.
- Den tilläggsbaserade (V1) Hybrid Runbook Worker stöder endast typen User Hybrid Runbook Worker och innehåller inte den System Hybrid Runbook Worker som krävs för funktionen Uppdateringshantering.
- Följande gäller endast för den agentbaserade metoden (V1). För närvarande stöds mappningar mellan en Log Analytics-arbetsyta och ett Automation-konto i flera regioner. Mer information finns i Regioner som stöds för länkad Log Analytics-arbetsyta.
Säkerhet
Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.
- Kryptering av känsliga tillgångar i Automation: Ett Azure Automation-konto kan innehålla känsliga tillgångar som autentiseringsuppgifter, certifikat, anslutning och krypterade variabler som kan användas av runbooks. Varje säker tillgång krypteras som standard med hjälp av en datakrypteringsnyckel som genereras för varje Automation-konto. Dessa nycklar krypteras och lagras i Azure Automation med en kontokrypteringsnyckel (AEK) som kan lagras i nyckelvalvet för kunder som vill hantera kryptering med sina egna nycklar. Som standard krypteras AEK med hjälp av Microsoft-hanterade nycklar. Använd följande riktlinjer för att tillämpa kryptering av säkra tillgångar i Azure Automation.
- Runbook-behörighet: Som standard körs runbook-behörigheter för en Hybrid Runbook Worker i en systemkontext på datorn där de distribueras. En runbook tillhandahåller sin egen autentisering till lokala resurser. Autentisering kan konfigureras med hjälp av hanterade identiteter för Azure-resurser eller genom att ange ett Kör som-konto för att tillhandahålla en användarkontext för alla runbooks.
- Nätverksplanering:
- Om du använder en proxyserver för kommunikation mellan Azure Automation och datorerna som kör Hybrid Runbook Worker kontrollerar du att lämpliga resurser är tillgängliga. Tidsgränsen för begäranden från Hybrid Runbook Worker- och Automation-tjänsterna är 30 sekunder. Efter tre försök misslyckas begäran.
- Hybrid Runbook Worker kräver utgående Internetåtkomst via TCP-port 443 för att kommunicera med Automation. Om du använder en brandvägg för att begränsa åtkomsten till Internet måste du konfigurera brandväggen för att tillåta åtkomst. För agentbaserade datorer (V1) med begränsad internetåtkomst använder du Log Analytics-gatewayen för att konfigurera kommunikation med Azure Automation och Azure Log Analytics-arbetsytan.
- Det finns en cpu-kvotgräns på 5 % när du konfigurerar tilläggsbaserad Linux Hybrid Runbook Worker. Det finns ingen sådan gräns för Windows-tilläggsbaserad Hybrid Runbook Worker.
- Azure-säkerhetsbaslinje för Automation: Azures säkerhetsbaslinje för Automation innehåller rekommendationer om hur du kan förbättra din säkerhetskonfiguration för att skydda dina tillgångar genom att följa riktlinjerna för bästa praxis.
Kostnadsoptimering
Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra driftseffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.
- Azure Automation-kostnader prissätts för jobbkörning per minut. Varje månad är de första 500 minuterna av processautomation kostnadsfritt. Normalt beräknar du kostnader med hjälp av priskalkylatorn för Azure. Mer information om prissättningsmodellerna för Azure Automation finns i Prissättning för Automation.
- För den agentbaserade metoden (V1) kan Azure Log Analytics-arbetsytan generera ytterligare kostnader som är relaterade till mängden loggdata som lagras i Azure Log Analytics. Prismodellen baseras på förbrukning. Kostnaderna är associerade för datainmatning och datakvarhållning. Om du vill mata in data i Azure Log Analytics använder du Kapacitetsreservation eller modellen Betala per användning som innehåller 5 GB (gigabyte) kostnadsfritt per faktureringskonto per månad. Datakvarhållning under de första 31 dagarna är kostnadsfritt. Prismodeller för Log Analytics finns i Prissättning för Azure Monitor.
Driftsäkerhet
Driftskvalitet omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Översikt över grundpelare för driftskvalitet.
Hanterbarhet
- Den tilläggsbaserade metoden (V2) ger enkel hanterbarhet jämfört med agentbaserad metod (V1) via:
- Intern integrering med ARM-identitet för Hybrid Runbook Worker och ger flexibilitet för styrning i stor skala via principer och mallar.
- Centraliserad kontroll och hantering av identiteter och resursautentiseringsuppgifter, eftersom den använder systemtilldelade identiteter för virtuella datorer som tillhandahålls av Microsoft Entra-ID.
- Enhetlig upplevelse för både Azure- och icke-Azure-datorer vid registrering och avboarding av Hybrid Runbook Workers.
- Gäller endast för agentbaserad metod (V1):
- Om du vill påskynda distributionen av Log Analytics-agenten med Hybrid Worker-rollen som körs på Windows-datorn använder du PowerShell-skriptet New-OnPremiseHybridWorker.ps1
- Distribution av många agenter i den lokala infrastrukturen kan samordnas med hjälp av kommandoradsskript och distribueras med hjälp av grupprincip eller System Center Configuration Manager.
DevOps
- Azure Automation möjliggör integrering med populära källkontrollsystem, Azure DevOps och GitHub. Med källkontroll kan du integrera den befintliga utvecklingsmiljön som innehåller dina skript och anpassad kod som tidigare har testats i en isolerad miljö.
- Information om hur du integrerar Azure Automation med källkontrollmiljön finns i Använda källkontrollintegrering.
Deltagare
Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.
Huvudförfattare:
- Mike Martin | Senior Cloud Solution Architect
Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.
Nästa steg
Mer om Azure Automation:
- Översikt över Hybrid Runbook Worker
- Distribuera tilläggsbaserad Windows- eller Linux-användares Hybrid Runbook Worker
- Distribuera en agentbaserad Hybrid Runbook Worker för Windows i Automation
- Distribuera en agentbaserad Hybrid Runbook Worker för Linux i Automation
- Skapa ett Azure Automation-konto
- Skapa en runbook i Azure Automation med hjälp av hanterade identiteter
- Köra Automation runbooks på Hybrid Runbook Worker
- Förutsättningar: Information om Azure Automation-nätverkskonfiguration
- Översikt över Azure Arc
- Vad är Azure Arc-aktiverade servrar?
Mer om Azure Monitor- och Monitor-loggar: