Azure Automation i en hybridmiljö

Den här referensarkitekturen illustrerar hur du utökar automatiseringen till lokala eller andra molnleverantörer. Den beskriver de tjänster som måste distribueras i Azure för att tillhandahålla automatiserad hantering och konfiguration mellan lokala eller andra molnleverantörer. Samma arkitektur kan tillämpas på virtuella Azure-datorer (VM) som finns bakom en brandvägg, med utgående anslutning via 443 TCP-porten.

Ladda ned en Visio-fil med den här arkitekturen.

Vanliga användningsområden för den här arkitekturen inkluderar:

• Automatiserad hantering och konfiguration i Azure, lokalt eller andra molnleverantörer.
• Automatisering av virtuella Azure-datorer (VM) som finns bakom en brandvägg, med utgående anslutning via 443 TCP-porten.

Arkitektur

Arkitekturen består av följande komponenter:

• Log Analytics-arbetsyta: En Log Analytics-arbetsyta är en datalagringsplats för loggdata som samlas in från resurser som körs i Azure, lokalt eller i en annan molnleverantör.
• Automation Hybrid Worker lösning: Med detta kan du skapa Hybrid Runbook Workers för att köra Azure Automation runbooks på dina Azure- och icke-Azure-datorer.
• Automation-konto: En molntjänst som automatiserar konfiguration och hantering i dina Azure- och icke-Azure-miljöer.
• Hybrid Runbook Worker: En dator som är konfigurerad med Hybrid Runbook Worker och kan köra runbooks direkt på datorn och mot resurserna i den lokala miljön.
• Hybrid Runbook Worker grupp: Grupperar flera Hybrid Runbook Workers för högre tillgänglighet och skalning för att köra en uppsättning runbooks.
• En Runbook: En samling med en eller flera länkade aktiviteter som tillsammans automatiserar en process eller åtgärd.
• Lokala datorer och virtuella datorer. Lokala datorer och virtuella datorer med Windows eller Linux-operativsystem som finns i ett privat lokalt nätverk.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Följande steg visar den faktiska implementeringen:

• Skapa en Log Analytics-arbetsyta
• Lägga till en Automation Hybrid Worker lösning
• Skapa ett Automation-konto
• Länka ett Automation-konto med Log Analytics-arbetsytan
• Distribuera en Log Analytics-agent och ansluta till en Log Analytics-arbetsyta
• Distribuera en Hybrid Runbook Worker grupp och Hybrid Runbook Worker på en lokal dator Windows (valfri virtuell Linux-dator)
• Skapa en Runbook i Azure Automation
• Skapa ett Kör som-konto för autentisering (om tillämpligt)
• Distribuera en Runbook på en Hybrid Runbook Worker grupp

Skapa en Log Analytics-arbetsyta

Innan du skapar en Log Analytics-arbetsyta måste du se till att du har minst behörighet som Log Analytics-deltagare. En Azure-prenumeration kan innehålla mer än en Log Analytics-arbetsyta för dataisolering eller för geografisk plats för datalagring, men Log Analytics-agenten kan konfigureras för att rapportera till en Log Analytics-arbetsyta. Mer information finns i designvägledningen Azure Monitor loggen innan du skapar arbetsytan. Använd följande steg för att skapa en Log Analytics-arbetsyta:

1. Logga in på Azure Portal på https://portal.azure.com.
2. I Azure Portal du Skapa en resurs. I Sök på Marketplace anger du Log Analytics. När du börjar ange filtreras listan baserat på dina indata. Välj Log Analytics-arbetsytor.
3. Välj Skapaoch välj sedan alternativ för följande objekt:
   1. Välj en prenumeration att länka till genom att välja från den listrutan om standardvalet inte är lämpligt.
   2. För Resursgruppanvänder du en befintlig resursgrupp som redan har ställts in eller skapar en ny.
   3. Ange ett unikt namn för den nya Log Analytics-arbetsytan,till exempel Hybrid-arbetsyta– ditt namn.
   4. Välj plats för distributionen.
   5. Välj Prisnivå för att fortsätta med ytterligare anpassning.
   6. Om du skapar en arbetsyta i en prenumeration som skapats efter den 2 april 2018 använder den automatiskt prisplanen Per GB. Alternativet att välja en prisnivå är inte tillgängligt. Om du skapar en arbetsyta för en befintlig prenumeration som skapats före den 2 april 2018 eller en prenumeration som var kopplad till en befintlig företagsavtal-registrering väljer du önskad prisnivå. Mer information om de olika nivåerna finns i Prisinformation för Log Analytics.
   7. Välj Taggar och ange eventuellt namn/värde för kategorisering av resurserna.
   8. Välj Granska + skapa.
4. När du har skapat den information som krävs i fönstret Log Analytics-arbetsyta väljer du Skapa.

Lägga till en Automation Hybrid Worker lösning

Förbered sedan Log Analytics-arbetsytan med de komponenter som krävs för Hybrid Runbook Worker. Använd följande steg för att lägga till Automation Hybrid Worker lösning:

1. I Azure Portal du Skapa en resurs.
2. I Sök på Marketplace anger du Automation Hybrid Worker. När du börjar ange filtreras listan baserat på dina indata. Välj Automation Hybrid Worker.
3. Välj Skapaoch välj sedan den Log Analytics-arbetsyta som du skapade i föregående steg. Till exempel HybridWorkspace-yourname.
4. När du har Automation Hybrid Worker informationen i fönstret .

Skapa ett Automation-konto

När Automation Hybrid Worker Solution har lagts till i Log Analytics Workplace fortsätter du med att skapa Azure Automation konto. Det är viktigt att du skapar ett Automation-konto i samma region och helst i samma resursgrupp som Log Analytics Workplace.

Använd följande steg för att skapa Automation-kontot:

1. I Azure Portal du Skapa en resurs.
2. I Sök på Marketplace anger du Automation. När du börjar filtrerar listan baserat på dina indata. Välj Automationoch välj sedan Skapa.
3. Välj Skapa och välj sedan alternativ för följande objekt:
   • Ange namnet på Automation-kontot, till exempel hybrid-auto.
   • Välj en prenumeration att länka till genom att välja från den listrutan om standardvalet inte är lämpligt.
   • För Resursgruppväljer du samma resursgrupp där du har skapat Log Analytics-arbetsytan.
   • Välj samma plats som Log Analytics-arbetsytan.
   • Skapa Ett Kör som-konto i Azure är valfritt. Detta ger endast autentisering med Azure för att hantera Azure-resurser från Automation-runbooks.
4. När du har lagt till nödvändig information i fönstret Lägg till Automation-konto väljer du Skapa.

Länka ett Automation-konto med Log Analytics-arbetsytan

Automation-konton använder komponenterna i Hybrid Runbook Worker som distribueras i Log Analytics-arbetsytan. Integrera dessa tjänster innan du distribuerar en Log Analytics-agent på en lokal dator. Om du planerar att använda samma Automation-konto för Uppdateringshantering och Ändringsspårning måste du mappa Log Analytics-arbetsytan och Automation-kontot. För närvarande stöds mappningar mellan Log Analytics-arbetsytan och Automation-kontot i flera regioner. Mer information finns i Regioner som stöds för länkad Log Analytics-arbetsyta.

Använd följande steg för att länka Automation-kontot till Log Analytics-arbetsytan:

1. I den Azure Portal väljer du Alla tjänsteroch anger sedan automation. När du börjar ange filtreras listan baserat på dina indata. Välj Automation-kontooch välj sedan det Automation-konto som skapades i föregående steg.
2. I fönstret Automation-konto i Uppdateringshantering väljer du Uppdateringshantering.
3. I Uppdateringshantering väljer du alternativ för följande objekt:
   • Välj en prenumeration att länka till genom att välja från den listrutan om standardvalet inte är lämpligt.
   • För Log Analytics-arbetsytaväljer du den Log Analytics-arbetsyta som du skapade. Till exempel HybridWorkspace-Marjan.
4. När du har Uppdateringshantering informationen i fönstret.

Distribuera en Log Analytics-agent och ansluta till en Log Analytics-arbetsyta

Distribution av en Hybrid Runbook Worker-komponent är en del av distributionen av Log Analytics-agenten.

Om du testar lösningen med hjälp av en virtuell Azure-dator installerar du Log Analytics-agenten och registrerar den virtuella datorn på en befintlig Log Analytics-arbetsyta med hjälp av VM-tillägget för både Linuxoch Windows. Distribuera agenten med Azure Automation Desired State Configuration (DSC), PowerShell-skript eller använd Resource Manager mallen för virtuella datorer. Mer information finns i följande artikel om hur Anslut Windows datorer Azure Monitor.

För virtuella datorer som inte är Azure-datorer distribuerar du agenten både på Windows och Linux-datorer, fysiska eller virtuella datorer, med hjälp av manuell eller automatiserad process.

För Windows datorer konfigurerar du agenten så att den kommunicerar med Log Analytics-arbetsytan med hjälp av TLS 1.2-protokollet. Distributionsproceduren beskrivs i detalj i följande artikel om hur Anslut Windows ska Azure Monitor.

Log Analytics-agenten för Linux kan distribueras:

• Manuellt använda ett shell-skriptpaket som innehåller Debian- och Red Hat Package Manager-paket (RPM) för var och en av agentkomponenterna. Detta rekommenderas när Linux-datorn inte har någon Internetanslutning och kommunicerar med Log Analytics-tjänsten via Log Analytics-gatewayen.
• Använda omslutningsskript som finns GitHub när datorn är ansluten till Internet.

Log Analytics-agenten måste konfigureras för att kommunicera med Log Analytics-arbetsytan med hjälp av arbetsytans ID och nyckeln för Log Analytics-arbetsytan.

Använd följande steg för att distribuera Log Analytics-agenten och ansluta till Log Analytics-arbetsytan:

1. I Azure Portal du efter och väljer Log Analytics-arbetsytor.
2. I listan över Log Analytics-arbetsytor väljer du den arbetsyta som du vill konfigurera agenten att rapportera till.
3. Välj Agenthantering.
4. Kopiera och klistra in i din favoritredigerare, arbetsyte-IDoch primärnyckel.
5. På Log Analytics-arbetsytan går du till sidan Windows-servrar som du navigerade till tidigare och väljer lämplig Ladda ned Windows Agent-version att ladda ned beroende på processorarkitekturen för Windows-operativsystemet.
6. Kör installationsprogrammet för att installera agenten på datorn.
7. På sidan Välkommen klickar du på Nästa.
8. På sidan Licensvillkor läser du licensen och väljer sedan Jag godkänner.
9. På sidan Målmapp ändrar eller behåller du standardinstallationsmappen och väljer sedan Nästa.
10. På sidan Installationsalternativ för agent väljer du att ansluta agenten till Azure Log Analytics och väljer sedan Nästa.
11. På sidan Azure Log Analytics gör du följande:
    • Klistra in Id för arbetsyta och Arbetsytenyckel (primär nyckel) som du kopierade tidigare. Om datorn ska rapportera till en Log Analytics-arbetsyta Azure Government molnet väljer du Azure US Government i listrutan Azure Cloud.
    • Om datorn behöver kommunicera via en proxyserver till Log Analytics-tjänsten väljer du Avancerat och anger URL och portnummer för proxyservern. Om proxyservern kräver autentisering anger du användarnamnet och lösenordet för att autentisera med proxyservern och väljer sedan Nästa.
12. Välj Nästa när du har slutfört de konfigurationsinställningar som krävs.

Distribuera Hybrid Runbook Worker grupp och Hybrid Runbook Worker på en lokal dator Windows (valfri virtuell Linux-dator)

Den Hybrid Runbook Worker rollen kräver Log Analytics-agenten för det operativsystem som stöds.

• Information Windows operativsystem finns i följande "förutsättningar"
• För Linux-operativsystem refererar du till följande "förutsättningar"

Distribuera Hybrid Worker på en Windows dator med hjälp av automatiserad och manuell distribution.

För automatiseraddistribution tillhandahåller Microsoft PowerShell-New-OnPremiseHybridWorker.ps1som kan laddas ned från PowerShell-galleriet.

För manuell distribution laddar Log Analytics-agenten ned de nödvändiga komponenter som krävs för Hybrid Runbook Worker från Log Analytics-arbetsytan. Länken mellan Log Analytics-arbetsytan och Azure Automation-kontot push-överför HybridRegistration PowerShell-modulen, som innehåller cmdleten Add-HybridRunbookWorker.

Använd följande procedur för att distribuera Hybrid Runbook Worker grupp och Hybrid Runbook Worker på en lokal Windows dator:

1. I Azure Portal du efter och väljer Automation-konto.
2. I listan över Automation-konton väljer du det Automation-konto som du vill konfigurera agenten att rapportera till.
3. I avsnittet Inställningar väljer du Nycklar.
4. Kopiera och klistra in den primära åtkomstnyckeln och URL:en i din favoritredigerare.
5. Växla på Windows-datorn, öppna en PowerShell-session i administratörsläge och kör sedan följande kommandon för att importera modulen:

cd "C:\Program Files\Microsoft Monitoring Agent\Agent\AzureAutomation\\<version>\HybridRegistration"

Import-Module .\HybridRegistration.psd1

1. Kör nu Add-HybridRunbookWorker cmdlet med följande syntax:

Add-HybridRunbookWorker –GroupName <String> -Url <Url> -Key <String>

Skapa en Runbook i Azure Automation

Om du vill hantera resurser på en lokal dator eller mot resurser i den lokala miljön där Hybrid Worker distribueras måste du skapa en Runbook. Lägg till en Runbook Azure Automation genom att antingen skapa en ny eller importera en befintlig från en fil eller Runbook-galleriet.

Använd följande steg för att skapa eller importera Runbook i Azure Automation:

1. I Azure Portal du efter och väljer sedan Automation-konto.
2. I listan över Automation-konton väljer du det Automation-konto som du vill konfigurera agenten att rapportera till.
3. I avsnittet Processautomatisering väljer du Runbooks.
4. Välj Skapa en Runbookeller Importera en Runbook för att konfigurera automationsaktiviteten som ska köras på lokala datorer.

Skapa ett Kör som-konto för autentisering (om tillämpligt)

Hybrid Runbook Workers på virtuella Azure-datorer kan använda hanterade identiteter från Azure Active Directory för att autentisera till Azure-resurser.

En Runbook som skapar jobb på Hybrid Runbook Worker körs som standard under det lokala systemkontot på Windows eller nxautomation-kontot i Linux.

Om du vill komma åt lokala resurser med annan autentisering anger du ett Kör som-konto för Hybrid Runbook Worker grupp. Kör som-kontot definieras med en autentiseringstillgång som har tillräcklig behörighet för att komma åt de lokala resurserna.

Använd följande steg för att skapa ett Kör som-konto för autentisering:

1. I Azure Portal du efter och väljer sedan Automation-konto.
2. I listan över Automation-konton väljer du det Automation-konto som du skapade tidigare.
3. I avsnittet Delade resurser väljer du Autentiseringsuppgifter.
4. Välj Lägg till en autentiseringsbehörighet för att skapa en autentiseringstillgång med åtkomst till lokala resurser.
5. I fönstret Automation-konto i avsnittet Processautomatisering väljer du Hybrid Worker grupperoch väljer sedan den specifika gruppen.
6. I Hybrid Worker gruppinställningar väljer du Gruppinställningar för Hybrid Worker.
7. Ändra värdet för Kör som från Standard tillAnpassad.
8. Välj de Kör som-autentiseringsuppgifter som skapades tidigare och välj sedan Spara.

Distribuera en Runbook på en Hybrid Runbook Worker grupp

Det sista steget är att distribuera en runbook som ska köras på en Hybrid Runbook Worker grupp. Runbooken måste publiceras och startas med någon av följande metoder:

• Azure Portal
• PowerShell
• Azure Automation API
• Webhooks
• Schema
• Svara på Azure-avisering
• Från en annan Runbook

Se följande artikel Starta en runbook i Azure Automation att fastställa metoden för att starta en runbook i Azure Automation.

Testa runbooken i ett utkast, men tänk på att runbook fortfarande körs normalt och utför mot resurser i miljön.

Använd följande steg för att testa och distribuera runbooken Hybrid Runbook Worker en grupp:

1. I Azure Portal du efter och väljer sedan Automation-konto.
2. I listan över Automation-konton väljer du det Automation-konto som du skapade tidigare.
3. I fönstret Automation-konto i avsnittet Processautomatisering väljer du Runbooks.
4. Välj din runbook som skapats innan och välj Redigera.
5. I redigerings-runbooken väljer du testfönstret.
6. I testfönstret ändrar du värdet för Kör på från Azure till Hybrid Worker.
7. I gruppen Välj Hybrid Worker väljer du den grupp som skapades i föregående steg.
8. Starta testet för att observera resultatet av runbooken.
9. Stäng testfönstret för att återgå till avsnittet Redigera.
10. Välj Publicera för att spara den slutliga versionen av runbooken.
11. I fönstret Runbooks väljer du Länka för att schemalägga.
12. I Schemat skapar eller länkar du det befintliga schemat för att definiera runbook-miljöns startmiljö.
13. I fönstret Schemalägg runbook väljer du Parametrar och Kör Inställningar och ändrar sedan värdet för Kör på från Azure till Hybrid Worker.
14. I gruppen Välj Hybrid Worker väljer du den grupp som skapades i föregående steg.
15. Bekräfta valen genom att välja OK för att slutföra publiceringen av runbooken på Hybrid Runbook Worker.

Skalbarhetsöverväganden

• Log Analytics-agenten för Windows och Linux har mycket minimal inverkan på datorns prestanda. Skala upp dina arbetare genom att konfigurera att köras på kraftfullare datorer med högre prestanda, inklusive (minne, CPU, IOPs).

• Ökade krav på bearbetning av ett stort antal jobb kan lösas genom att ordna flera hybridarbetare i Hybrid Worker grupper. Runbooks körs på varje Hybrid Worker med hjälp av kömekanismer. Hybrid Worker kontrollerar Automation-kontot en gång var 30:e sekund och hämtar fyra jobb att köra.

• Flera Hybrid Worker-grupper kan köra runbooks-automatiseringsuppgifter med hjälp av olika Kör som-konton.

Överväganden för tillgänglighet

• För närvarande stöds mappningar mellan Log Analytics-arbetsytan och Automation-kontot i flera regioner. Mer information finns i Regioner som stöds för länkad Log Analytics-arbetsyta.
• En Hybrid Runbook Worker grupp med mer än en dator som konfigurerats med Hybrid Worker roll ger hög tillgänglighet eftersom runbooks endast startar på servrar som körs och är felfria.

Överväganden för hantering

• Om du vill påskynda distributionen av Log Analytics-agenten Hybrid Worker roll som körs på Windows dator använder du PowerShell-skriptet New-OnPremiseHybridWorker.ps1. Skriptet utför följande steg:
  • Installerar de nödvändiga modulerna
  • Loggar in med ditt Azure-konto
  • Verifierar att det finns en angiven resursgrupp och ett Automation-konto
  • Skapar referenser till Automation-kontoattribut
  • Skapar en Azure Monitor Log Analytics-arbetsyta om inget annat anges
  • Aktiverar Azure Automation på arbetsytan
  • Laddar ned och installerar Log Analytics-agenten för Windows
  • Registrerar datorn som en Hybrid Runbook Worker
• Distribution av många agenter i en lokal infrastruktur kan samordnas med hjälp av kommandoradsskript och distribueras med hjälp av grupprincip eller System Center Configuration Manager.

Säkerhetsöverväganden

• Kryptering av känsliga tillgångar i Automation: Ett Azure Automation-konto kan innehålla känsliga tillgångar som autentiseringsuppgifter, certifikat, anslutning och krypterade variabler som kan användas av runbooks. Varje säker tillgång krypteras som standard med hjälp av en datakrypteringsnyckel som genereras för varje Automation-konto. Dessa nycklar krypteras och lagras i Azure Automation med en kontokrypteringsnyckel (AEK) som kan lagras i Key Vault för kunder som vill hantera kryptering med sina egna nycklar. Som standard krypteras AEK med Microsoft-hanterade nycklar. Använd följande riktlinjer för att tillämpa kryptering av säkra tillgångar i Azure Automation.
• Runbook-behörighet: Runbook-behörigheter för en Hybrid Runbook Worker körs i en systemkontext på den dator där de distribueras. En runbook tillhandahåller sin egen autentisering till lokala resurser. Autentisering kan konfigureras med hanterade identiteter för Azure-resurser eller genom att ange ett Kör som-konto för att tillhandahålla en användarkontext för alla runbooks.
• Nätverksplanering: Hybrid Runbook Worker kräver utgående Internetåtkomst via TCP-port 443 för att kommunicera med Automation. För datorer med begränsad Internetåtkomst använder du Log Analytics-gateway för att konfigurera kommunikation med Azure Automation och Azure Log Analytics-arbetsyta.
• Azure-säkerhetsbaslinje för Automation: Azures säkerhetsbaslinje för Automation innehåller rekommendationer om hur du ökar den övergripande säkerhetskonfigurationen för att skydda din tillgång enligt bästa praxis.

DevOps-överväganden

• Azure Automation möjliggör integrering med populära källkontrollsystem, Azure DevOps och GitHub. Med källkontroll kan du integrera den befintliga utvecklingsmiljön som innehåller dina skript och anpassad kod som tidigare har testats i en isolerad miljö.
• Information om hur du integrerar Azure Automation med din källkontrollmiljö finns i: Använda källkontrollsintegrering.

Kostnadsöverväganden

• Normalt beräknar du kostnader med hjälp av priskalkylatorn för Azure. Prismodeller för Azure Automation beskrivs här.
• Azure Automation kostnader prissätts för jobbkörning per minut eller för konfigurationshantering per nod. Varje månad är de första 500 minuterna av processautomatisering och konfigurationshantering på fem noder kostnadsfria.
• Azure Log Analytics-arbetsytan kan generera ytterligare kostnader relaterade till mängden loggdata som lagras i Azure Log Analytics. Prismodellen baseras på förbrukning. Kostnaderna är kopplade till datainmatning och datalagring. Om du vill mata in data i Azure Log Analytics använder du kapacitetsreservation eller betala per användning-modell som omfattar 5 gigabyte (GB) kostnadsfritt per faktureringskonto och månad. Datalagring under de första 31 dagarna är kostnadsfritt.
• Normalt beräknar du kostnader med hjälp av priskalkylatorn för Azure. Prissättningsmodeller för Log Analytics förklaras här.

Nästa steg

Mer information om Azure Automation:

• Azure Automation i en hybridmiljö
• Översikt över Hybrid Runbook Worker
• Skapa ett Azure Automation-konto
• Förutsättningar: Azure Automation information om nätverkskonfiguration
• Azure Automation – Uppdateringshantering
• Översikt över Log Analytics i Azure Monitor
• Översikt över VM-insikter
• Azure Arc översikt
• Vad är Azure Arc-aktiverade servrar?