Karma Runbook Çalışanı üzerinde Otomasyon runbook'larını çalıştırma

Karma Runbook Çalışanı üzerinde çalışan runbook'lar genellikle yerel bilgisayarda veya çalışanın dağıtılacağı yerel ortamdaki kaynaklara karşı kaynakları yönetir. Azure Otomasyonu runbook'lar genellikle Azure bulutlarında kaynakları yönetir. Farklı şekilde kullanılıyor olsalar da, Karma Runbook Çalışanı üzerinde Azure Otomasyonu runbook'larda çalışan runbook'lar yapıda aynıdır.

Karma Runbook Çalışanı üzerinde çalıştıracak bir runbook yazarken, runbook'ları çalışanı barındıran makinede düzenlemeniz ve test etmek gerekir. Konak makinede yerel kaynakları yönetmek için gereken tüm PowerShell modülleri ve ağ erişimi vardır. Runbook'un Karma Runbook Çalışanı makinesi üzerinde testini tamamladikten sonra, runbook'Azure Otomasyonu çalışma ortamına yükleyebilirsiniz. Burada, çalışan üzerinde sınanabilirsiniz.

Güvenlik duvarı tarafından korunan Azure hizmetlerini planlama

Azure Azure Güvenlik Duvarı , Azure Key Vault veya Azure Depolama'SQLetkinleştirerek bu hizmetler için Azure Otomasyonu runbook'lardan erişimi engeller. Otomasyon, güvenilen hizmetler listesinin bir parçası Microsoft hizmetleri izin vermek için güvenlik duvarı özel durumu etkinleştirilse bile erişim engellenir. Etkin bir güvenlik duvarı ile erişim yalnızca Karma Runbook Çalışanı ve sanal ağ hizmet uç noktası kullanılarak gerçekilebilir.

Runbook iş davranışını planlama

Azure Otomasyonu, Karma Runbook Çalışanları'nın işlerini Azure korumalı alanlarında çalışan işlerden farklı şekilde işler. Uzun süre çalışan bir runbook'uz varsa, olası yeniden başlatmaya karşı daha iyi olduğundan emin olun. İş davranışının ayrıntıları için bkz. Karma Runbook Çalışanı işleri.

Hizmet hesapları

Windows

Karma Runbook Çalışanları için işler yerel Sistem hesabı altında çalışıyor.

Yürütülebilir dosyanın bulunduğupwsh.exe path değerinin PATH ortam değişkenine eklendi olduğundan emin olun. Yükleme tamamlandıktan sonra Karma Runbook Çalışanı'ı yeniden başlatın.

Linux

Hizmet hesapları nxautomation ve omsagent oluşturulur. Oluşturma ve izin ataması betiği, 'de https://github.com/microsoft/OMS-Agent-for-Linux/blob/master/installer/datafiles/linux.data viewed. İlgili sudo izinlerine sahip hesapların Bir Linux Karma Runbook çalışanı yüklemesi sırasında mevcut olması gerekir. Çalışanı yüklemeye çalışıyorsanız ve hesap mevcut yoksa veya uygun izinlere sahip değilse yükleme başarısız olur. Klasörün veya sahiplik sudoers.d izinlerini değiştirme. Hesaplar için Sudo izni gereklidir ve izinler kaldırılmalıdır. Bunu belirli klasörler veya komutlarla kısıtlamak, yeni bir değişiklikle sonuçlandırabilirsiniz. Uygulamanın bir parçası olarak etkinleştiren nxautomation Güncelleştirme Yönetimi yalnızca imzalı runbook'ları yürütür.

Hizmet hesaplarının depolanan runbook modüllerine erişimi olduğundan emin olmak için:

• Linux'ta paketleri yüklemek için veya pip install apt install başka bir yöntem kullanırsanız, paketin tüm kullanıcılar için yüklü olduğundan emin olur. Örneğin, sudo -H pip install <package_name>.
• Linux üzerinde PowerShell kullanıyorsanız, Install-Module cmdlet'ini kullanırken parametresini AllUsers belirttiğinizden emin Scope olun.

Otomasyon çalışan günlüğü, üzerinde /var/opt/microsoft/omsagent/run/automationworker/worker.log bulunur.

Makine Karma Runbook Çalışanı olarak kaldırıldığı zaman hizmet hesapları kaldırılır.

Runbook izinlerini yapılandırma

Runbook'uz için Karma Runbook Çalışanı üzerinde aşağıdaki yollarla çalıştıracak izinleri tanımlayın:

• Runbook'un yerel kaynaklara kendi kimlik doğrulamasını sağlamasını sağlama.
• Azure kaynakları için yönetilen kimlikleri kullanarak kimlik doğrulamasını yapılandırma.
• Tüm runbook'lar için kullanıcı bağlamı sağlamak için bir Farklı Çalıştır hesabı belirtin.

Yerel kaynaklar için runbook kimlik doğrulamasını kullanma

Kaynaklara kendi kimlik doğrulamasını sağlayan bir runbook hazırlanıyorsa, runbook'uzda kimlik bilgilerini ve sertifika varlıklarını kullanın. Runbook'un farklı kaynaklarda kimlik doğrulaması yapmak için kimlik bilgilerini belirtmenize olanak sağlayan birkaç cmdlet vardır. Aşağıdaki örnek, bir bilgisayarı yeniden başlatan runbook'un bir bölümünü gösterir. Bir kimlik bilgisi varlığından kimlik bilgilerini ve bir değişken vardan bilgisayarın adını alan ve ardından bu değerleri Restart-Computer cmdlet'iyle kullanır.

$Cred = Get-AutomationPSCredential -Name "MyCredential"
$Computer = Get-AutomationVariable -Name "ComputerName"

Restart-Computer -ComputerName $Computer -Credential $Cred

InlineScript etkinliği de kullanabilirsiniz. InlineScript , kimlik bilgilerine sahip başka bir bilgisayarda kod bloklarını çalıştırmaya olanak sağlar.

Yönetilen kimliklerle runbook kimlik doğrulamasını kullanma

Azure sanal makinelerde Karma Runbook Çalışanları, Azure kaynaklarda kimlik doğrulaması yapmak için yönetilen kimlikleri kullanabilir. Farklı Çalıştır hesapları yerine Azure kaynakları için yönetilen kimlikleri kullanmak, aşağıdakilere gerek olmadığınız için avantajlar sağlar:

• Run As sertifikasını dışarı aktarın ve karma Runbook Çalışanına aktarın.
• Farklı Çalıştır hesabı tarafından kullanılan sertifikayı yenile.
• Runbook kodunda Başka Çalıştır bağlantı nesnesini işle.

Karma Runbook Çalışanı üzerinde Azure kaynakları için yönetilen kimlik kullanmak üzere sonraki adımları izleyin:

1. Azure VM oluşturma.

2. VM'de Azure kaynakları için yönetilen kimlikleri yapılandırma. Bkz. Vm'de Azure kaynakları için yönetilen kimlikleri yapılandırma Azure portal.

3. Vm'ye sanal makinede bir kaynak grubuna erişim Resource Manager. Sanal makineye erişmek Windows VM sistem tarafından atanan yönetilen kimliği kullanma Resource Manager.

4. Karma Runbook Çalışanı'nın VM'ye yükleyin. Bkz. Windows Karma Runbook Çalışanı Dağıtma veya Linux Karma Runbook Çalışanı Dağıtma.

5. Azure kaynaklarda kimlik doğrulaması yapmak için runbook'Bağlan parametresiyle Bağlan-AzAccount Identity cmdlet'ini kullanmak için güncelleştirin. Bu yapılandırma, Farklı Çalıştır hesabı kullanma ve ilişkili hesap yönetimini gerçekleştirme ihtiyacı azaltır.

   # Ensures you do not inherit an AzContext in your runbook
   Disable-AzContextAutosave -Scope Process
   
   # Connect to Azure with system-assigned managed identity
   $AzureContext = (Connect-AzAccount -Identity).context
   
   # set and store context
   $AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext
   
   # Get all VM names from the subscription
   Get-AzVM -DefaultProfile $AzureContext | Select Name
   

   Runbook'un sistem tarafından atanan yönetilen kimlikle yürütmesi için kodu olduğu gibi bırakın. Kullanıcı tarafından atanan yönetilen kimlik kullanmayı tercih ederseniz:

   1. 5. satırdan $AzureContext = (Connect-AzAccount -Identity).context kaldırın,
   2. , ve $AzureContext = (Connect-AzAccount -Identity -AccountId <ClientId>).context ile değiştirin
   3. İstemci Kimliğini girin.

Farklı Çalıştır hesabıyla runbook kimlik doğrulamasını kullanma

Runbook' un yerel kaynaklara kendi kimlik doğrulamasını sağlamasını sağlamak yerine, Karma Runbook Çalışanı grubu için bir Farklı Çalıştır hesabı belirtebilirsiniz. Farklı Çalıştır hesabı belirtmek için yerel kaynaklara erişimi olan bir kimlik bilgisi varlığı tanımlamanız gerekir. Bu kaynaklar sertifika depolarını içerir ve tüm runbook'lar gruptaki Karma Runbook Çalışanı'nda bu kimlik bilgileri altında çalıştırılıyor.

• Kimlik bilgisi için kullanıcı adı aşağıdaki biçimlerden biri içinde yer alalır:

  • etki alanı\kullanıcı adı
  • username@domain
  • username (şirket içi bilgisayarda yerel olan hesaplar için)

• Export-RunAsCertificateToHybridWorker PowerShell runbook'larını kullanmak için yerel makineye Azure Otomasyonu Az modüllerini yüklemeniz gerekir.

Farklı Çalıştır hesabı belirtmek için kimlik bilgisi varlığı kullanma

Karma Runbook Çalışanı grubu için bir Farklı Çalıştır hesabı belirtmek üzere aşağıdaki yordamı kullanın:

1. Yerel kaynaklara erişimi olan bir kimlik bilgisi varlığı oluşturun.
2. Otomasyon hesabını Azure portal.
3. Karma Çalışanı Grupları'nın ardından belirli bir grubu seçin.
4. Tüm ayarlar'ı ve ardından Karma çalışan grubu ayarları'ı seçin.
5. Varsayılan olarak Farklı Çalıştır değerini Özel olarak değiştirme.
6. Kimlik bilgilerini seçin ve Kaydet'e tıklayın.

Run As hesap sertifikasını yükleme

Azure'da kaynak dağıtmaya yönelik otomatik derleme işleminizin bir parçası olarak, dağıtım dizinizin bir görevini veya adımlarını desteklemek için şirket içi sistemlere erişmeniz gerekli olabilir. Farklı Çalıştır hesabını kullanarak Azure'da kimlik doğrulaması sağlamak için Farklı Çalıştır hesabı sertifikasını yüklemeniz gerekir.

Export-RunAsCertificateToHybridWorker adlı aşağıdaki PowerShell runbook'ları, Farklı Çalıştır sertifikasını Azure Otomasyonu dışarı aktarıyor. Runbook, sertifikayı indirir ve aynı hesaba bağlı Karma Runbook Çalışanı'nın yerel makine sertifika deposuna içeri aktarıyor. Bu adımı tamamlayan runbook, çalışanın Farklı Çalıştır hesabını kullanarak Azure'da başarıyla kimlik doğrulamasına sahip olduğunu doğrular.

<#PSScriptInfo
.VERSION 1.0
.GUID 3a796b9a-623d-499d-86c8-c249f10a6986
.AUTHOR Azure Automation Team
.COMPANYNAME Microsoft
.COPYRIGHT
.TAGS Azure Automation
.LICENSEURI
.PROJECTURI
.ICONURI
.EXTERNALMODULEDEPENDENCIES
.REQUIREDSCRIPTS
.EXTERNALSCRIPTDEPENDENCIES
.RELEASENOTES
#>

<#
.SYNOPSIS
Exports the Run As certificate from an Azure Automation account to a hybrid worker in that account.

.DESCRIPTION
This runbook exports the Run As certificate from an Azure Automation account to a hybrid worker in that account. Run this runbook on the hybrid worker where you want the certificate installed. This allows the use of the AzureRunAsConnection to authenticate to Azure and manage Azure resources from runbooks running on the hybrid worker.

.EXAMPLE
.\Export-RunAsCertificateToHybridWorker

.NOTES
LASTEDIT: 2016.10.13
#>

# Generate the password used for this certificate
Add-Type -AssemblyName System.Web -ErrorAction SilentlyContinue | Out-Null
$Password = [System.Web.Security.Membership]::GeneratePassword(25, 10)

# Stop on errors
$ErrorActionPreference = 'stop'

# Get the management certificate that will be used to make calls into Azure Service Management resources
$RunAsCert = Get-AutomationCertificate -Name "AzureRunAsCertificate"

# location to store temporary certificate in the Automation service host
$CertPath = Join-Path $env:temp  "AzureRunAsCertificate.pfx"

# Save the certificate
$Cert = $RunAsCert.Export("pfx",$Password)
Set-Content -Value $Cert -Path $CertPath -Force -Encoding Byte | Write-Verbose

Write-Output ("Importing certificate into $env:computername local machine root store from " + $CertPath)
$SecurePassword = ConvertTo-SecureString $Password -AsPlainText -Force
Import-PfxCertificate -FilePath $CertPath -CertStoreLocation Cert:\LocalMachine\My -Password $SecurePassword | Write-Verbose

Remove-Item -Path $CertPath -ErrorAction SilentlyContinue | Out-Null

# Test to see if authentication to Azure Resource Manager is working
$RunAsConnection = Get-AutomationConnection -Name "AzureRunAsConnection"

Connect-AzAccount `
    -ServicePrincipal `
    -Tenant $RunAsConnection.TenantId `
    -ApplicationId $RunAsConnection.ApplicationId `
    -CertificateThumbprint $RunAsConnection.CertificateThumbprint | Write-Verbose

Set-AzContext -Subscription $RunAsConnection.SubscriptionID | Write-Verbose

# List automation accounts to confirm that Azure Resource Manager calls are working
Get-AzAutomationAccount | Select-Object AutomationAccountName

Farklı Çalıştır hesabını hazırlamayı tamamlayacak:

1. Export-Runascercertificate Meditohybridworker runbook 'unu .ps1 uzantılı bilgisayarınıza kaydedin.
2. Otomasyon hesabınıza aktarın.
3. Değişkenin değerini kendi parolanızla değiştirerek runbook 'u düzenleyin Password .
4. Runbook 'u yayımlayın.
5. Çalıştıran karma runbook çalışanı grubunu hedefleyerek runbook 'u çalıştırın ve farklı çalıştır hesabını kullanarak runbook 'ların kimliğini doğrular.
6. Sertifikayı yerel makine deposuna aktarma girişimini rapor etmek ve ardından birden çok satır izlemek için iş akışını inceleyin. Bu davranış, aboneliğinizde kaç tane Otomasyon hesabı tanımladığınıza ve kimlik doğrulamasının başarı derecesine bağlıdır.

Windows karma runbook Worker üzerinde imzalı runbook 'larla çalışma

yalnızca imzalı runbook 'ları çalıştırmak için bir Windows karma Runbook çalışanı yapılandırabilirsiniz.

İmza sertifikası oluştur

Aşağıdaki örnek, runbook 'ları imzalamak için kullanılabilen, kendinden imzalı bir sertifika oluşturur. Bu kod sertifikayı oluşturur ve karma Runbook Worker 'ın daha sonra içeri aktarabilmesi için sertifikayı dışa aktarır. Parmak izi Ayrıca, daha sonra sertifikaya başvuruda bulunarak kullanılmak üzere döndürülür.

# Create a self-signed certificate that can be used for code signing
$SigningCert = New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\my `
    -Subject "CN=contoso.com" `
    -KeyAlgorithm RSA `
    -KeyLength 2048 `
    -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
    -KeyExportPolicy Exportable `
    -KeyUsage DigitalSignature `
    -Type CodeSigningCert

# Export the certificate so that it can be imported to the hybrid workers
Export-Certificate -Cert $SigningCert -FilePath .\hybridworkersigningcertificate.cer

# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root

# Retrieve the thumbprint for later use
$SigningCert.Thumbprint

İmza doğrulama için sertifikayı içeri aktarma ve çalışanları yapılandırma

Oluşturduğunuz sertifikayı bir gruptaki her karma runbook çalışanına kopyalayın. Sertifikayı içeri aktarmak ve çalışanları runbook 'larda imza doğrulamasını kullanacak şekilde yapılandırmak için aşağıdaki betiği çalıştırın.

# Install the certificate into a location that will be used for validation.
New-Item -Path Cert:\LocalMachine\AutomationHybridStore
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\AutomationHybridStore

# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root

# Configure the hybrid worker to use signature validation on runbooks.
Set-HybridRunbookWorkerSignatureValidation -Enable $true -TrustedCertStoreLocation "Cert:\LocalMachine\AutomationHybridStore"

Sertifikayı kullanarak runbook 'larınızı imzalama

Yalnızca imzalı runbook 'ları kullanacak şekilde yapılandırılmış karma runbook çalışanları sayesinde, karma Runbook Worker 'da kullanılacak runbook 'ları imzalamanız gerekir. Bu runbook 'ları imzalamak için aşağıdaki örnek PowerShell kodunu kullanın.

$SigningCert = ( Get-ChildItem -Path cert:\LocalMachine\My\<CertificateThumbprint>)
Set-AuthenticodeSignature .\TestRunbook.ps1 -Certificate $SigningCert

Bir runbook imzalanmışsa Otomasyon hesabınıza içeri aktarmanız ve imza bloğundan yayımlamanız gerekir. Runbook 'ların nasıl içeri aktarılacağını öğrenmek için bkz. runbook 'U Içeri aktarma.

Linux karma Runbook Worker 'da imzalı runbook 'larla çalışma

İmzalı runbook 'larla çalışabilmeniz için, bir Linux karma Runbook Worker 'ın yerel makinede GPG yürütülebilir dosyası olması gerekir.

Bu yapılandırmayı tamamlamak için aşağıdaki adımları yerine getirmeniz gerekir:

• GPG kimlik anahtarlığı ve KeyPair oluşturma
• Kimlik anahtarlığı karma Runbook Worker için kullanılabilir hale getirme
• İmza doğrulamasının açık olduğunu doğrulama
• Runbook 'u imzala

GPG kimlik anahtarlığı ve KeyPair oluşturma

GPG kimlik anahtarlığı ve KeyPair oluşturmak için karma Runbook Worker nxautomation hesabınıkullanın.

1. Sudo uygulamasını kullanarak nxautomation hesabı olarak oturum açın.

   sudo su - nxautomation
   

2. Nxautomation'ı kullanırken GPG KeyPair oluşturun. GPG, adımlarda size rehberlik eder. Ad, e-posta adresi, sona erme saati ve parola sağlamanız gerekir. Daha sonra, makinenin oluşturulması için makinede yeterli entropi olana kadar bekler.

   sudo gpg --generate-key
   

3. GPG dizini sudo ile oluşturulduğundan, aşağıdaki komutu kullanarak sahibini nxautomation olarak değiştirmeniz gerekir.

   sudo chown -R nxautomation ~/.gnupg
   

Kimlik anahtarlığı karma Runbook Worker için kullanılabilir hale getirme

Kimlik anahtarlığı oluşturulduktan sonra karma Runbook Worker için kullanılabilir hale getirin. Ana/nxautomation/State/Worker. conf ayarlar dosyasını, dosya bölümünün altına aşağıdaki örnek kodu içerecek şekilde değiştirin [worker-optional] .

gpg_public_keyring_path = /home/nxautomation/run/.gnupg/pubring.kbx

İmza doğrulamasının açık olduğunu doğrulama

Makinede imza doğrulaması devre dışıysa, aşağıdaki sudo komutunu çalıştırarak açmanız gerekir. <LogAnalyticsworkspaceId>Çalışma ALANıNıZıN kimliği ile değiştirin.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --true <LogAnalyticsworkspaceId>

Runbook 'u imzala

İmza doğrulamayı yapılandırdıktan sonra, runbook 'u imzalamak için aşağıdaki GPG komutunu kullanın.

gpg --clear-sign <runbook name>

İmzalı runbook <runbook name> . asc olarak adlandırılır.

Artık imzalı runbook 'u Azure Otomasyonu 'na yükleyebilir ve normal bir runbook gibi yürütebilirsiniz.

Karma runbook çalışanında runbook başlatma

Azure Otomasyonu 'nda runbook başlatma runbook başlatma için farklı Yöntemler tanımlar. Bir karma runbook çalışanında runbook 'u başlatmak, karma Runbook Worker grubunun adını belirtmenizi sağlayan bir Çalıştır seçeneği kullanır. Bir grup belirtildiğinde, o gruptaki çalışanlarından biri runbook 'u alır ve çalıştırır. Runbook 'larınız bu seçeneği belirtmezse, Azure Otomasyonu her zamanki gibi runbook 'u çalıştırır.

Azure portal bir runbook 'u başlattığınızda, Azure veya hibrit Worker' ı seçebileceğiniz Çalıştır seçeneği sunulur. Karma çalışanı seçerseniz, karma Runbook Worker grubunu bir açılan listeden seçebilirsiniz.

PowerShell kullanarak bir runbook 'u başlatırken, RunOn parametresini Start-AzAutomationRunbook cmdlet 'i ile birlikte kullanın. aşağıdaki örnek, myhybridgroup adlı karma runbook Worker grubunda Test-runbook adlı bir runbook 'u başlatmak için Windows PowerShell kullanır.

Start-AzAutomationRunbook -AutomationAccountName "MyAutomationAccount" -Name "Test-Runbook" -RunOn "MyHybridGroup"

Günlüğe Kaydetme

Karma Runbook Worker üzerinde çalışan runbook 'larınızla ilgili sorunları gidermeye yardımcı olmak için, günlükler yerel olarak şu konumda depolanır:

• C:\ProgramData\Microsoft\System Center\Orchestrator\<version>\SMA\Sandboxesayrıntılı iş çalışma zamanı işlem günlüğü için Windows. Üst düzey runbook iş durumu olayları, uygulama ve hizmetler Logs\Microsoft-Automation\Operations olay günlüğüne yazılır.

• Linux 'ta, Kullanıcı karma çalışanı günlükleri adresinde bulunabilir /home/nxautomation/run/worker.log ve sistem Runbook Worker günlükleri adresinde bulunabilir /var/opt/microsoft/omsagent/run/automationworker/worker.log .

Sonraki adımlar

• Runbook 'larınız başarıyla tamamlanmadığından, runbook yürütme hatalarıylailgili sorun giderme kılavuzunu gözden geçirin.
• Dil başvurusu ve öğrenme modülleri de dahil olmak üzere PowerShell hakkında daha fazla bilgi için bkz. PowerShell belgeleri.
• Karma runbook çalışanları ile runbook yürütmesini yönetmek Için Azure ilkesini kullanma hakkında bilgi edinin.
• PowerShell cmdlet başvurusu için bkz. az. Automation.