Översikt Hybrid Runbook Worker Automation
Runbooks i Azure Automation kanske inte har åtkomst till resurser i andra moln eller i din lokala miljö eftersom de körs på Azure-molnplattformen. Du kan använda Hybrid Runbook Worker i Azure Automation för att köra runbooks direkt på den dator som är värd för rollen och mot resurser i miljön för att hantera de lokala resurserna. Runbooks lagras och hanteras i Azure Automation och levereras sedan till en eller flera tilldelade datorer.
Azure Automation ger intern integrering av Hybrid Runbook Worker-rollen via tilläggsramverket för virtuella Azure-datorer (VM). Azure VM-agenten ansvarar för hanteringen av tillägget på virtuella Azure-datorer på virtuella Windows- och Linux-datorer, och på datorer som inte är Azure-datorer via Arc-aktiverade servrar Connected Machine-agenten. Nu finns det två Hybrid Runbook Workers-installationsplattformar som stöds av Azure Automation.
| Plattform | Description |
|---|---|
| Agentbaserad (V1) | Installeras när Log Analytics-agenten som rapporterar till Azure Monitor Log Analytics-arbetsytan har slutförts. |
| Tilläggsbaserad (V2) | Installeras med Hybrid Runbook Worker VM-tillägget, utan beroende av Log Analytics-agenten som rapporterar till en Azure Monitor Log Analytics-arbetsyta. Det här är den rekommenderade plattformen. |
Här är en lista över fördelar som är tillgängliga med den tilläggsbaserade Hybrid Runbook Worker rollen:
| Fördelar | Description |
|---|---|
| Sömlös onboarding | Tar bort beroendet av en Log Analytics-lösning för registrering av Hybrid Runbook Workers, som är en process i flera steg, är tidskrävande och felbenägen. |
| Enhetlig onboarding-upplevelse | Installationen hanteras med samma metoder som stöds för Azure- och icke-Azure-datorer. |
| Enkel hanterbarhet | Intern integrering med ARM-identitet för Hybrid Runbook Worker och ger flexibiliteten för styrning i stor skala via principer och mallar. |
| Azure AD-baserad autentisering | Använder systemidentiteter för virtuella datorer som tillhandahålls av Azure AD. Detta centraliserar kontroll och hantering av identiteter och resursautentiseringsuppgifter. |
För Hybrid Runbook Worker-åtgärder efter installationen är processen för att köra runbooks på Hybrid Runbook Workers densamma. Syftet med den tilläggsbaserade metoden är att förenkla installationen och hanteringen av Hybrid Runbook Worker-rollen och ta bort komplexiteten med den agentbaserade versionen. Den nya tilläggsbaserade installationen påverkar inte installationen eller hanteringen av en agentbaserad Hybrid Runbook Worker roll. Båda Hybrid Runbook Worker-typerna kan finnas på samma dator.
Den tilläggsbaserade Hybrid Runbook Worker stöder endast användartypen Hybrid Runbook Worker och inkluderar inte den systemtyp Hybrid Runbook Worker krävs för Uppdateringshantering-funktionen.
Anteckning
PowerShell-stöd för att installera tilläggsbaserade Hybrid Runbook Worker stöds inte för närvarande.
Runbook Worker-typer
Det finns två typer av Runbook Workers – system och användare. I följande tabell beskrivs skillnaden mellan dem.
| Typ | Description |
|---|---|
| System | Stöder en uppsättning dolda runbooks som används av Uppdateringshantering-funktionen som är utformad för att installera användar angivna uppdateringar på Windows- och Linux-datorer. Den här Hybrid Runbook Worker är inte medlem i en Hybrid Runbook Worker och kör därför inte runbooks som är mål för en Runbook Worker-grupp. |
| Användare | Stöder användardefinierade runbooks som är avsedda att köras direkt på Windows och Linux-dator som är medlemmar i en eller flera Runbook Worker-grupper. |
Agentbaserad (V1) Hybrid Runbook Workers förlitar sig på log analytics-agenten som rapporterar till en Azure Monitor Log Analytics-arbetsyta. Arbetsytan är inte bara till för att samla in övervakningsdata från datorn, utan även för att ladda ned de komponenter som krävs för att installera den agentbaserade Hybrid Runbook Worker.
När Azure Automation Uppdateringshantering aktiverats konfigureras alla maskiner som är anslutna till Log Analytics-arbetsytan automatiskt som ett system Hybrid Runbook Worker. Information om hur du konfigurerar den som en Windows Hybrid Runbook Worker finns i Distribuera en agentbaserad Windows Hybrid Runbook Worker i Automation och för Linux. Se Distribuera en agentbaserad Linux-Hybrid Runbook Worker i Automation.
Runbook Worker-gränser
I följande tabell visas det maximala antalet Hybrid Runbook Workers för system och användare i ett Automation-konto. Om du har fler än 4 000 datorer att hantera rekommenderar vi att du skapar ett annat Automation-konto.
| Arbetstyp | Maximalt antal som stöds per Automation-konto. |
|---|---|
| System | 4000 |
| Användare | 4000 |
Hur fungerar det?
Varje användare Hybrid Runbook Worker är medlem i en Hybrid Runbook Worker grupp som du anger när du installerar arbetsrollen. En grupp kan innehålla en enda arbetsroll, men du kan inkludera flera arbetare i en grupp för hög tillgänglighet. Varje dator kan vara värd för en Hybrid Runbook Worker rapporterar till ett Automation-konto. du kan inte registrera Hybrid Worker över flera Automation-konton. En Hybrid Worker kan bara lyssna efter jobb från ett enda Automation-konto.
För datorer som är värdar för systemet Hybrid Runbook Worker som hanteras Uppdateringshantering kan de läggas till i en Hybrid Runbook Worker grupp. Men du måste använda samma Automation-konto för både Uppdateringshantering och Hybrid Runbook Worker gruppmedlemskap.
När du startar en runbook på en Hybrid Runbook Worker anger du den grupp som den körs på. Varje arbetsroll i gruppen avsöker Azure Automation för att se om några jobb är tillgängliga. Om ett jobb är tillgängligt tar den första arbetsrollen som får jobbet det. Bearbetningstiden för jobbkön beror på hybrid worker-maskinvaruprofilen och belastningen. Du kan inte ange en viss arbetsroll. Hybrid Worker arbetar med en avsökningsmekanism (var 30:e sekund) och följer ordningen först-till-plats. Beroende på när ett jobb push-ades, hämtar den hybrid worker-robot som pingar Automation-tjänsten jobbet. En enskild Hybrid Worker kan normalt hämta fyra jobb per ping (det vill säga var 30:e sekund). Om din frekvens för att push-pusha jobb är högre än fyra per 30 sekunder finns det en hög möjlighet att en annan hybridarbetare i Hybrid Runbook Worker-gruppen hämtade jobbet.
En Hybrid Runbook Worker har inte många av azures resursbegränsningar för sandbox-miljön på diskutrymme, minne eller nätverkssocketar. Gränserna för en Hybrid Worker är bara relaterade till arbetarens egna resurser och de är inte begränsade av tidsfördelningsgränsen som Azure-sandbox-miljöerna har.
Om du vill styra distributionen av runbooks i Hybrid Runbook Worker och när eller hur jobben utlöses kan du registrera Hybrid Worker mot olika Hybrid Runbook Worker grupper i ditt Automation-konto. Rikta jobben mot den specifika gruppen eller grupperna för att stödja din körningsordning.
Hybrid Runbook Worker installation
Processen för att installera en Hybrid Runbook Worker beror på operativsystemet. Tabellen nedan definierar distributionstyperna.
| Operativsystem | Distributionstyper |
|---|---|
| Windows | Automatiserad Manuell . |
| Linux | Manuell |
| Vilken som helst | Information om Hybrid Runbook Workers-användare finns i Distribuera en tilläggsbaserad Windows eller Linux-Hybrid Runbook Worker i Automation. Det här är den rekommenderade metoden. |
Nätverksplanering
Kontrollera Azure Automation nätverkskonfiguration för detaljerad information om portar, URL:er och annan nätverksinformation som krävs för Hybrid Runbook Worker.
Proxyserveranvändning
Om du använder en proxyserver för kommunikation mellan Azure Automation datorer som kör Log Analytics-agenten ska du se till att lämpliga resurser är tillgängliga. Tidsgränsen för begäranden från Hybrid Runbook Worker- och Automation-tjänsterna är 30 sekunder. Efter tre försök misslyckas en begäran.
Brandväggsanvändning
Om du använder en brandvägg för att begränsa åtkomsten till Internet måste du konfigurera brandväggen så att den tillåter åtkomst. Om du använder Log Analytics-gatewayen som proxyserver måste du kontrollera att den är konfigurerad för Hybrid Runbook Workers. Se Konfigurera Log Analytics-gatewayen för Automation Hybrid Runbook Workers.
Tjänsttaggar
Azure Automation har stöd för tjänsttaggar för virtuella Azure-nätverk, från och med tjänsttaggen GuestAndHybridManagement. Du kan använda tjänsttaggar för att definiera nätverksåtkomstkontroller för nätverkssäkerhetsgrupper eller Azure Firewall. Tjänsttaggar kan användas i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange tjänsttaggnamnet GuestAndHybridManagement i rätt käll- eller målfält för en regel kan du tillåta eller neka trafik för Automation-tjänsten. Den här tjänsttaggen stöder inte mer detaljerad kontroll genom att IP-intervallen begränsas till en viss region.
Tjänsttaggen för Azure Automation tillhandahåller endast IP-adresser som används för följande scenarier:
- Utlösa webhooks inifrån ditt virtuella nätverk
- Tillåt Hybrid Runbook Workers eller State Configuration-agenter i ditt VNet för att kommunicera med Automation-tjänsten
Anteckning
Tjänsttaggen GuestAndHybridManagement stöder för närvarande inte runbook-jobbkörning i en Azure-sandbox-miljö, endast direkt på en Hybrid Runbook Worker.
Stöd för effektnivå 5 (IL5)
Azure Automation Hybrid Runbook Worker kan användas i Azure Government för att stödja arbetsbelastningar på effektnivå 5 i någon av följande två konfigurationer:
Isolerad virtuell dator. När de distribueras förbrukar de hela den fysiska värden för den datorn, vilket ger den isoleringsnivå som krävs för att stödja IL5-arbetsbelastningar.
Dedikerade Azure-värdar, som tillhandahåller fysiska servrar som kan vara värdar för en eller flera virtuella datorer som är dedikerade till en Azure-prenumeration.
Anteckning
Beräkningsisolering via Hybrid Runbook Worker är tillgängligt för Azure Commercial- och US Government-moln.
Uppdateringshantering adresser för Hybrid Runbook Worker
Förutom de standardadresser och portar som krävs för Hybrid Runbook Worker har Uppdateringshantering andra krav för nätverkskonfiguration som beskrivs i avsnittet nätverksplanering.
Azure Automation State Configuration på en Hybrid Runbook Worker
Du kan köra Azure Automation State Configuration på en Hybrid Runbook Worker. Om du vill hantera konfigurationen av servrar som stöder Hybrid Runbook Worker måste du lägga till servrarna som DSC-noder. Se Aktivera datorer för hantering genom att Azure Automation State Configuration.
Runbooks på en Hybrid Runbook Worker
Du kan ha runbooks som hanterar resurser på den lokala datorn eller körs mot resurser i den lokala miljön där en användare Hybrid Runbook Worker distribueras. I det här fallet kan du välja att köra dina runbooks på Hybrid Worker i stället för i ett Automation-konto. Runbooks som körs på en Hybrid Runbook Worker är identiska i struktur med de som du kör i Automation-kontot. Se Köra runbooks på en Hybrid Runbook Worker.
Hybrid Runbook Worker jobb
Hybrid Runbook Worker jobb körs under det lokala systemkontot på Windows eller nxautomation-kontot i Linux. Azure Automation hanterar jobb på Hybrid Runbook Workers på ett annat sätt än jobb som körs i Azure-sandbox-miljö. Se Runbook-körningsmiljö.
Om Hybrid Runbook Worker värddatorn startas om startar alla runbook-jobb som körs om från början eller från den senaste kontrollpunkten för PowerShell Workflow-runbooks. När ett Runbook-jobb har startats om mer än tre gånger pausas det.
Runbook-behörigheter för en Hybrid Runbook Worker
Eftersom de har åtkomst till icke-Azure-resurser kan runbooks som körs på Hybrid Runbook Worker användare inte använda autentiseringsmekanismen som vanligtvis används av runbooks som autentiserar till Azure-resurser. En runbook tillhandahåller antingen sin egen autentisering till lokala resurser eller konfigurerar autentisering med hjälp av hanterade identiteter för Azure-resurser. Du kan också ange ett Kör som-konto för att tillhandahålla en användarkontext för alla runbooks.
Visa systemet Hybrid Runbook Workers
När funktionen Uppdateringshantering har aktiverats på Windows- eller Linux-datorer kan du inventera listan över systemets Hybrid Runbook Workers-grupp i Azure Portal. Du kan visa upp till 2 000 arbetare i portalen genom att välja fliken System hybrid workers group (Systemhybridarbetare) i alternativet Hybrid workers group (Hybrid Workers-grupp) i det vänstra fönstret för det valda Automation-kontot.
Om du har fler än 2 000 hybridarbetare kan du köra följande PowerShell-skript för att hämta en lista över alla:
"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"
Nästa steg
Information om hur du konfigurerar dina runbooks för att automatisera processer i ditt lokala datacenter eller i en annan molnmiljö finns i Run runbooks on a Hybrid Runbook Worker.
Information om hur du felsöker Hybrid Runbook Workers finns i Felsöka Hybrid Runbook Worker problem.