Dela via


Översikt över Automation Hybrid Runbook Worker

Viktigt!

Runbooks i Azure Automation kanske inte har åtkomst till resurser i andra moln eller i din lokala miljö eftersom de körs på Azure-molnplattformen. Du kan använda funktionen Hybrid Runbook Worker i Azure Automation för att köra runbooks direkt på datorn som är värd för rollen och mot resurser i miljön för att hantera dessa lokala resurser. Runbooks lagras och hanteras i Azure Automation och levereras sedan till en eller flera tilldelade datorer.

Azure Automation tillhandahåller intern integrering av Hybrid Runbook Worker-rollen via azure virtual machine(VM)-tilläggsramverket. Azure VM-agenten ansvarar för hanteringen av tillägget på virtuella Azure-datorer på virtuella Windows- och Linux-datorer och Azure Connected Machine-agenten på datorer som inte är Azure-datorer, inklusive Azure Arc-aktiverade servrar och Azure Arc-aktiverade VMware vSphere (förhandsversion). Nu finns det två installationsplattformar för Hybrid Runbook Worker som stöds av Azure Automation.

Plattform beskrivning
Tilläggsbaserad (V2) Installerad med tillägget Hybrid Runbook Worker VM utan något beroende av Log Analytics-agenten som rapporterar till en Azure Monitor Log Analytics-arbetsyta. Det här är den rekommenderade plattformen.
Agentbaserad (V1) Installeras när Log Analytics-agentens rapportering till en Azure Monitor Log Analytics-arbetsyta har slutförts.

Skärmbild av en hybridarbetsgrupp som visar plattformsfältet.

För Hybrid Runbook Worker-åtgärder efter installationen är processen med att köra runbooks på Hybrid Runbook Workers densamma. Syftet med den tilläggsbaserade metoden är att förenkla installationen och hanteringen av rollen Hybrid Runbook Worker och ta bort komplexiteten i arbetet med den agentbaserade versionen. Den nya tilläggsbaserade installationen påverkar inte installationen eller hanteringen av en agentbaserad Hybrid Runbook Worker-roll. Båda Hybrid Runbook Worker-typerna kan finnas på samma dator.

Den tilläggsbaserade Hybrid Runbook Worker stöder endast användarens Hybrid Runbook Worker-typ och inkluderar inte systemet Hybrid Runbook Worker som krävs för funktionen Uppdateringshantering.

Fördelar med tilläggsbaserade användarhybridarbetare

Den tilläggsbaserade metoden förenklar installationen och hanteringen av User Hybrid Runbook Worker avsevärt, vilket tar bort komplexiteten i att arbeta med den agentbaserade metoden. Här är några viktiga fördelar:

  • Sömlös registrering – Den agentbaserade metoden för registrering av Hybrid Runbook Worker är beroende av Log Analytics-agenten, som är en process med flera steg, tidskrävande och felbenägen process. Den tilläggsbaserade metoden är inte längre beroende av Log Analytics-agenten.
  • Enkel hanterbarhet – Den erbjuder intern integrering med ARM-identitet för Hybrid Runbook Worker och ger flexibiliteten för styrning i stor skala via principer och mallar.
  • Microsoft Entra ID-baserad autentisering – Den använder en systemtilldelad hanterad identitet för virtuella datorer som tillhandahålls av Microsoft Entra-ID. Detta centraliserar kontrollen och hanteringen av identiteter och resursautentiseringsuppgifter.
  • Enhetlig upplevelse – Det ger en identisk upplevelse för att hantera Azure- och Azure Arc-aktiverade datorer.
  • Flera onboarding-kanaler – Du kan välja att registrera och hantera tilläggsbaserade arbetare via Azure Portal, PowerShell-cmdletar, Bicep, ARM-mallar, REST API och Azure CLI. Du kan också installera tillägget på en befintlig virtuell Azure-dator eller Arc-aktiverad server i Azure Portal upplevelse av datorn via bladet Tillägg.
  • Automatisk standarduppgradering – Den erbjuder automatisk uppgradering av mindre versioner som standard, vilket avsevärt minskar hanterbarheten för att hålla sig uppdaterad om den senaste versionen. Vi rekommenderar att du aktiverar automatiska uppgraderingar för att dra nytta av eventuella säkerhets- eller funktionsuppdateringar utan manuella omkostnader. Du kan också välja bort automatiska uppgraderingar när som helst. Alla större versionsuppgraderingar stöds för närvarande inte och bör hanteras manuellt.

Runbook Worker-typer

Det finns två typer av Runbook Workers – system och användare. I följande tabell beskrivs skillnaden mellan dem.

Typ Beskrivning
System Stöder en uppsättning dolda runbooks som används av funktionen Uppdateringshantering som är utformad för att installera användardefinierade uppdateringar på Windows- och Linux-datorer.
Den här typen av Hybrid Runbook Worker är inte medlem i en Hybrid Runbook Worker-grupp och kör därför inte runbooks som riktar sig mot en Runbook Worker-grupp.
Användare Stöder användardefinierade runbooks som är avsedda att köras direkt på Windows- och Linux-datorerna.

Agentbaserad (V1) Hybrid Runbook Workers förlitar sig på Log Analytics-agentrapportering till en Azure Monitor Log Analytics-arbetsyta. Arbetsytan är inte bara för att samla in övervakningsdata från datorn, utan även för att ladda ned de komponenter som krävs för att installera den agentbaserade Hybrid Runbook Worker.

När Azure Automation Update Management är aktiverat konfigureras alla datorer som är anslutna till Log Analytics-arbetsytan automatiskt som ett system för Hybrid Runbook Worker. Information om hur du konfigurerar det som en Windows Hybrid Runbook Worker för användare finns i Distribuera en agentbaserad Windows Hybrid Runbook Worker i Automation och för Linux. Mer information finns i Distribuera en agentbaserad Linux Hybrid Runbook Worker i Automation.

Gränser för Runbook Worker

I följande tabell visas det maximala antalet system- och hybrid runbook-användare i ett Automation-konto. Om du har fler än 4 000 datorer att hantera rekommenderar vi att du skapar ett annat Automation-konto.

Typ av medarbetare Maximalt antal som stöds per Automation-konto.
System 4000
User 4000

Hur fungerar det?

Varje användares Hybrid Runbook Worker är medlem i en Hybrid Runbook Worker-grupp som du anger när du installerar arbetaren. En grupp kan innehålla en enskild arbetare, men du kan inkludera flera arbetare i en grupp för hög tillgänglighet. Varje dator kan vara värd för en Hybrid Runbook Worker-rapportering till ett Automation-konto. Du kan inte registrera hybridarbetaren på flera Automation-konton. En hybridarbetare kan bara lyssna efter jobb från ett enda Automation-konto.

Tekniskt diagram över Hybrid Runbook Worker för användare

För datorer som är värdar för systemets Hybrid Runbook Worker som hanteras av Uppdateringshantering kan de läggas till i en Hybrid Runbook Worker-grupp. Men du måste använda samma Automation-konto för både Uppdateringshantering och Hybrid Runbook Worker-gruppmedlemskap.

Tekniskt diagram över System Hybrid Runbook Worker

En Hybrid Worker-grupp med Hybrid Runbook Workers är utformad för hög tillgänglighet och belastningsutjämning genom att allokera jobb mellan flera Workers. För en lyckad körning av runbooks måste Hybrid Workers vara felfria och ge ett pulsslag. Hybrid Worker arbetar med en avsökningsmekanism för att hämta jobb. Om ingen av arbetarna i gruppen Hybrid Worker har pingat Automation-tjänsten under de senaste 30 minuterna innebär det att gruppen inte hade några aktiva arbetare. I det här scenariot pausas jobben efter tre återförsök.

När du startar en runbook på en Hybrid Runbook Worker-användare anger du den grupp som den körs på och kan inte ange en viss arbetare. Varje aktiv Hybrid Worker i gruppen söker efter jobb var 30:e sekund för att se om några jobb är tillgängliga. Arbetaren väljer jobb enligt principen först till kvarn. Beroende på när ett jobb push-överfördes, kommer den hybridarbetare i Hybrid Worker-gruppen att pinga automationstjänsten som först hämtar jobbet. Bearbetningstiden för jobbkön beror också på hybridarbetarens maskinvaruprofil och belastning.

En enda hybridarbetare kan vanligtvis hämta 4 jobb per ping (det vill: var 30:e sekund). Om antalet push-jobb är högre än 4 per 30 sekunder och ingen annan arbetare hämtar jobbet kan jobbet inaktiveras med ett fel.

En Hybrid Runbook Worker har inte många av Azures sandbox-resursgränser för diskutrymme, minne eller nätverksuttag. Gränserna för en hybridarbetare är bara relaterade till arbetarens egna resurser och de begränsas inte av den tidsgräns för rättvis resurs som Azure-sandbox-miljöerna har.

För att styra fördelningen av runbooks på Hybrid Runbook Workers och när eller hur jobben utlöses kan du registrera hybridarbetaren mot olika Hybrid Runbook Worker-grupper i ditt Automation-konto. Rikta jobben mot den specifika gruppen eller grupperna för att stödja ditt körningsarrangemang.

Vanliga scenarier för Användare Hybrid Runbook Worker

  • Så här kör du Azure Automation-runbooks för hantering av virtuella datorer direkt på en befintlig virtuell Azure-dator (VM) och utanför Azure-servern som är registrerad som Azure Arc-aktiverad server eller Azure Arc-aktiverad virtuell VMware-dator (förhandsversion). Azure Arc-aktiverade servrar kan vara fysiska Windows- och Linux-servrar och virtuella datorer som finns utanför Azure, i företagets nätverk eller andra molnleverantörer.
  • För att övervinna sandbox-begränsningen i Azure Automation – vanliga scenarier är att köra långvariga åtgärder utöver tre timmars gräns för molnjobb, utföra resursintensiva automatiseringsåtgärder, interagera med lokala tjänster som körs lokalt eller i hybridmiljö, köra skript som kräver förhöjd behörighet.
  • För att övervinna organisationsbegränsningar för att behålla data i Azure av styrnings- och säkerhetsskäl – eftersom du inte kan köra Automation-jobb i molnet kan du köra dem på en lokal dator som är registrerad som en Hybrid Runbook Worker för användare.
  • Automatisera åtgärder på flera – Off-Azure-resurser som kör lokala miljöer eller miljöer med flera moln. Du kan registrera en av dessa datorer som en Hybrid Runbook Worker för användare och målautomation på de återstående datorerna i den lokala miljön.
  • Om du vill komma åt andra tjänster privat från Azure Virtual Network (VNet) utan att öppna en utgående Internetanslutning kan du köra runbooks på en Hybrid Worker som är ansluten till det virtuella Azure-nätverket.

Hybrid Runbook Worker-installation

Processen för att installera en Hybrid Runbook Worker för användare beror på operativsystemet. Tabellen nedan definierar distributionstyperna.

Operativsystem Distributionstyper
Windows Automatiserad
Manuell.
Linux Manuell
Vilken som helst För hybrid runbook-användare, se Distribuera en tilläggsbaserad Windows- eller Linux-användare Hybrid Runbook Worker i Automation. Detta är den rekommenderade metoden.

Kommentar

Hybrid Runbook Worker stöds för närvarande inte i VM Scale Sets.

Planera för nätverk

Mer information om portar, URL:er och annan nätverksinformation som krävs för Hybrid Runbook Worker finns i Nätverkskonfiguration för Azure Automation.

Användning av proxyserver

Om du använder en proxyserver för kommunikation mellan Azure Automation och datorer som kör Log Analytics-agenten kontrollerar du att lämpliga resurser är tillgängliga. Tidsgränsen för begäranden från Hybrid Runbook Worker- och Automation-tjänsterna är 30 sekunder. Efter tre försök misslyckas en begäran.

Användning av brandvägg

Om du använder en brandvägg för att begränsa åtkomsten till internet måste du konfigurera brandväggen att tillåta åtkomst. Om du använder Log Analytics-gatewayen som proxy kontrollerar du att den är konfigurerad för Hybrid Runbook Workers. Se Konfigurera Log Analytics-gatewayen för Automation Hybrid Runbook Workers.

Tjänsttaggar

Azure Automation stöder tjänsttaggar för virtuella Azure-nätverk, från och med tjänsttaggen GuestAndHybridManagement. Du kan använda tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange tjänsttaggen GuestAndHybridManagement i lämpligt käll- eller målfält för en regel kan du tillåta eller neka trafik för Automation-tjänsten. Den här tjänsttaggen har inte stöd för att tillåta mer detaljerad kontroll genom att begränsa IP-intervall till en viss region.

Tjänsttaggen för Azure Automation-tjänsten tillhandahåller endast IP-adresser som används för följande scenarier:

  • Utlösa webhooks inifrån ditt virtuella nätverk
  • Tillåt att Hybrid Runbook Worker- eller State Configuration-agenter på ditt virtuella nätverk kommunicerar med Automation-tjänsten

Kommentar

Tjänsttaggen GuestAndHybridManagement stöder för närvarande inte körning av runbook-jobb i en Azure-sandbox-miljö, bara direkt på en Hybrid Runbook Worker.

Stöd för effektnivå 5 (IL5)

Azure Automation Hybrid Runbook Worker kan användas i Azure Government för att stödja arbetsbelastningar på effektnivå 5 i någon av följande två konfigurationer:

  • Isolerad virtuell dator. När de distribueras använder de hela den fysiska värden för den datorn och tillhandahåller den isoleringsnivå som krävs för att stödja IL5-arbetsbelastningar.

  • Azure Dedicated Hosts, som tillhandahåller fysiska servrar som kan vara värdar för en eller flera virtuella datorer, dedikerade till en Azure-prenumeration.

Kommentar

Beräkningsisolering via rollen Hybrid Runbook Worker är tillgänglig för Azure Commercial- och US Government-moln.

Uppdateringshanteringsadresser för Hybrid Runbook Worker

Förutom de standardadresser och portar som krävs för Hybrid Runbook Worker har Uppdateringshantering andra krav för nätverkskonfiguration som beskrivs i avsnittet nätverksplanering .

Azure Automation State Configuration på en Hybrid Runbook Worker

Du kan köra Azure Automation State Configuration på en Hybrid Runbook Worker. Om du vill hantera konfigurationen av servrar som stöder Hybrid Runbook Worker måste du lägga till servrarna som DSC-noder. Se Aktivera datorer för hantering av Azure Automation State Configuration.

Runbooks på en Hybrid Runbook Worker

Du kan ha runbooks som hanterar resurser på den lokala datorn eller som körs mot resurser i den lokala miljön där en Hybrid Runbook Worker-användare distribueras. I så fall kan du välja att köra dina runbook-flöden på Hybrid Worker i stället för i ett Automation-konto. Runbooks som körs på en Hybrid Runbook Worker är identiska i struktur med de som du kör i Automation-kontot. Se Köra runbooks på en Hybrid Runbook Worker.

Hybrid Runbook Worker-jobb

Hybrid Runbook Worker-jobb körs under det lokala systemkontot i Windows eller nxautomation-kontot i Linux. Azure Automation hanterar jobb på Hybrid Runbook Workers på ett annat sätt än jobb som körs i Azure-sandbox-miljöer. Se Körningsmiljön för Runbook.

Om Hybrid Runbook Worker-värddatorn startas om startas alla runbook-jobb som körs från början eller från den sista kontrollpunkten för PowerShell Workflow-runbooks. När ett runbook-jobb har startats om mer än tre gånger pausas det.

Runbook-behörigheter för en Hybrid Runbook Worker

Eftersom de har åtkomst till icke-Azure-resurser kan runbooks som körs på en Hybrid Runbook Worker-användare inte använda den autentiseringsmekanism som vanligtvis används av runbooks som autentiserar till Azure-resurser. En runbook tillhandahåller antingen egen autentisering till lokala resurser eller konfigurerar autentisering med hanterade identiteter för Azure-resurser. Du kan också ange ett Kör som-konto för att tillhandahålla en användarkontext för alla runbook-flöden.

Visa System Hybrid Runbook Workers

När funktionen Uppdateringshantering har aktiverats på Windows- eller Linux-datorer kan du inventera listan över gruppen Hybrid Runbook Worker-system i Azure Portal. Du kan visa upp till 2 000 arbetare i portalen genom att välja fliken System hybrid worker group from the option Hybrid workers group from the left-hand pane for the selected Automation account (System hybrid workers group from the option Hybrid workers group from the left-hand pane for the selected Automation account).

Sidan Hybrid Worker-grupper för Automation-kontosystem

Om du har fler än 2 000 hybridarbetare kan du köra följande PowerShell-skript för att få en lista över dem alla:

Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation

Nästa steg