Automation-runbookok futtatása hibrid runbook-feldolgozón

A hibrid runbook-feldolgozón futó runbookok általában a helyi számítógépen vagy azon a helyi környezetben lévő erőforrásokon kezelik az erőforrásokat, ahol a feldolgozó telepítve van. Az Azure Automation runbookjai általában az Azure-felhőben kezelik az erőforrásokat. Annak ellenére, hogy másként használják őket, az Azure Automationben futó runbookok és a hibrid runbook-feldolgozón futó runbookok struktúrája megegyezik.

Amikor egy hibrid runbook-feldolgozón futtatandó runbookot hoz létre, szerkessze és tesztelje a runbookot azon a gépen, amely a feldolgozót üzemelteti. A gazdagép rendelkezik a helyi erőforrások kezeléséhez szükséges összes PowerShell-modullal és hálózati hozzáféréssel. Miután tesztelte a runbookot a hibrid runbook-feldolgozó gépen, feltöltheti azt az Azure Automation-környezetbe, ahol futtatható a feldolgozón.

Tűzfallal védett Azure-szolgáltatások tervezése

Ha engedélyezi az Azure Firewallt az Azure Storage-on, az Azure Key Vaulton vagy az Azure SQL-en, letiltja az Azure Automation-runbookok hozzáférését ezekhez a szolgáltatásokhoz. A hozzáférés akkor is le lesz tiltva, ha engedélyezi a megbízható Microsoft-szolgáltatásokat az arra vonatkozó tűzfalkivétellel, mivel az Automation nem szerepel a megbízható szolgáltatások listáján. Engedélyezett tűzfal esetén a hozzáférés csak hibrid Runbook-feldolgozóval és virtuális hálózati szolgáltatásvégponttal érhető el.

Runbook-feladatok viselkedésének tervezése

Az Azure Automation a hibrid runbook-feldolgozók feladatait a felhőalapú tesztkörnyezetekben futtatott feladatoktól eltérően kezeli. Ha hosszú ideig futó runbookja van, győződjön meg arról, hogy rugalmas a lehetséges újraindításhoz. A feladat viselkedésének részleteiért lásd a hibrid runbook-feldolgozói feladatokat.

Szolgáltatásfiókok

Hibrid Windows-feldolgozó

A hibrid runbook-feldolgozók feladatai a helyi rendszerfiókban futnak.

Hibrid Linux-feldolgozó

Runbook-engedélyek konfigurálása

A hibrid runbook-feldolgozón való futtatáshoz szükséges engedélyek meghatározása a következő módokon:

• A runbook biztosítson saját hitelesítést a helyi erőforrások számára.
• Konfigurálja a hitelesítést felügyelt identitásokkal az Azure-erőforrásokhoz.
• Adja meg a hibrid feldolgozó hitelesítő adatait, hogy felhasználói környezetet biztosítson az összes runbookhoz.

Runbook-hitelesítés használata helyi erőforrásokhoz

Ha olyan runbookot készít elő, amely saját hitelesítést biztosít az erőforrások számára, használjon hitelesítő adatokat és tanúsítványegységeket a runbookban. Több parancsmag is lehetővé teszi a hitelesítő adatok megadását, hogy a runbook hitelesíthesse magát a különböző erőforrásokon. Az alábbi példa egy olyan runbook egy részét mutatja be, amely újraindít egy számítógépet. Lekéri a hitelesítő adatokat egy hitelesítő adategységből és a számítógép nevét egy változó objektumból, majd ezeket az értékeket használja a Restart-Computer parancsmaggal.

$Cred = Get-AutomationPSCredential -Name "MyCredential"
$Computer = Get-AutomationVariable -Name "ComputerName"

Restart-Computer -ComputerName $Computer -Credential $Cred

InlineScript-tevékenységet is használhat. InlineScript lehetővé teszi kódblokkok futtatását egy másik számítógépen hitelesítő adatokkal.

Runbook-hitelesítés használata felügyelt identitásokkal

Az Azure-beli virtuális gépek hibrid runbook-feldolgozói felügyelt identitásokkal hitelesíthetik magukat az Azure-erőforrásokban. Ha felügyelt identitásokat használ az Azure-erőforrásokhoz futtató fiókok helyett, az előnyökkel jár, mert nem kell:

• Exportálja a futtató tanúsítványt, majd importálja a hibrid runbook-feldolgozóba.
• Újítsa meg a futtató fiók által használt tanúsítványt.
• A runbook kódjában kezelje a futtató kapcsolat objektumot.

A felügyelt identitások kétféleképpen használhatók hibrid runbook-feldolgozó szkriptekben.

1. Használja a rendszer által hozzárendelt felügyelt identitást az Automation-fiókhoz:

   1. Konfiguráljon egy rendszer által hozzárendelt felügyelt identitást az Automation-fiókhoz.

   2. Adja meg ennek az identitásnak a szükséges engedélyeket az előfizetésen belül a feladat elvégzéséhez.

   3. Frissítse a runbookot, hogy a Connect-AzAccount parancsmagot használja a paraméterrel az Identity Azure-erőforrások hitelesítéséhez. Ez a konfiguráció csökkenti a futtató fiók használatának és a társított fiókkezelés végrehajtásának szükségességét.

      # Ensures you do not inherit an AzContext in your runbook
      Disable-AzContextAutosave -Scope Process
      
      # Connect to Azure with system-assigned managed identity
      $AzureContext = (Connect-AzAccount -Identity).context
      
      # set and store context
      $AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile
      $AzureContext
      
      # Get all VM names from the subscription
      Get-AzVM -DefaultProfile $AzureContext | Select Name
      

   Feljegyzés

   Az Automation-fiók felhasználói felügyelt identitása nem használható hibrid runbook-feldolgozón, hanem az Automation-fiók rendszer által felügyelt identitásának kell lennie.

2. Hibrid runbook-feldolgozóként futó Azure-beli virtuális gépekhez használja a virtuális gép felügyelt identitását. Ebben az esetben használhatja a virtuális gép felhasználó által hozzárendelt felügyelt identitását vagy a virtuális gép rendszer által hozzárendelt felügyelt identitását.

   Feljegyzés

   Ez NEM működik olyan Automation-fiókban, amely felügyelt Automation-fiókkal lett konfigurálva. Amint az Automation-fiók felügyelt identitása engedélyezve van, már nem lehet használni a virtuális gép felügyelt identitását, majd csak a fenti 1. lehetőségben említett Automation-fiók rendszer által hozzárendelt felügyelt identitása használható.

   A következő felügyelt identitások bármelyikét használhatja:

   • A virtuális gép rendszer által hozzárendelt felügyelt identitása
   • A virtuális gép felhasználó által hozzárendelt felügyelt identitása

   1. Rendszer által felügyelt identitás konfigurálása a virtuális géphez.
   2. Adja meg ennek az identitásnak a szükséges engedélyeket az előfizetésen belül a feladatai elvégzéséhez.
   3. Frissítse a runbookot úgy, hogy a Connect-Az-Account parancsmagot használja a paraméterrel az Identity Azure-erőforrások hitelesítéséhez. Ez a konfiguráció csökkenti a futtató fiók használatának és a társított fiókkezelés végrehajtásának szükségességét.

       # Ensures you do not inherit an AzContext in your runbook
       Disable-AzContextAutosave -Scope Process
   
       # Connect to Azure with system-assigned managed identity
       $AzureContext = (Connect-AzAccount -Identity).context
   
       # set and store context
       $AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile
       $AzureContext
   
       # Get all VM names from the subscription
       Get-AzVM -DefaultProfile $AzureContext | Select Name
   

Az Arc-kompatibilis kiszolgálók vagy az Arc-kompatibilis VMware vSphere virtuális gépek hibrid runbook-feldolgozóként futnak, már rendelkezik hozzá egy beépített rendszer által felügyelt identitással, amely a hitelesítéshez használható.

1. Ezt a felügyelt identitást a megfelelő szerepkör-hozzárendelés hozzáadásával engedélyezheti az előfizetésében lévő erőforrásokhoz az erőforrás Hozzáférés-vezérlés (IAM) paneljén.

   

2. Szükség szerint adja hozzá az Azure Arc felügyelt identitást a választott szerepkörhöz.

   

Runbook-hitelesítés használata hibrid feldolgozói hitelesítő adatokkal

Előfeltétel

• A hibrid feldolgozót üzembe kell helyezni, és a gépnek futó állapotban kell lennie a runbook végrehajtása előtt.

A hibrid feldolgozó hitelesítő adatai ahelyett, hogy a runbook saját hitelesítést biztosítanának a helyi erőforrások számára, hibrid feldolgozói hitelesítő adatokat adhat meg egy hibrid runbook-feldolgozó csoporthoz. Hibrid feldolgozói hitelesítő adatok megadásához meg kell adnia egy hitelesítőadat-objektumot , amely hozzáfér a helyi erőforrásokhoz. Ezek az erőforrások tanúsítványtárolókat tartalmaznak, és az összes runbook ezen hitelesítő adatok alatt fut a csoport hibrid runbook-feldolgozóján.

• A hitelesítő adatok felhasználónévnek az alábbi formátumok egyikében kell lennie:

  • tartomány\felhasználónév
  • username@domain
  • felhasználónév (a helyszíni számítógépen helyi fiókok esetén)

• Az Export-RunAsCertificateToHybridWorker PowerShell-runbook használatához telepítenie kell az Azure Automationhez készült Az-modulokat a helyi gépen.

Hitelesítő adategység használata hibrid runbook-feldolgozói csoporthoz

Alapértelmezés szerint a hibrid feladatok a rendszerfiók környezetében futnak. Ha azonban hibrid feladatokat szeretne futtatni egy másik hitelesítőadat-objektum alatt, kövesse az alábbi lépéseket:

1. Hozzon létre egy hitelesítőadat-eszközt a helyi erőforrásokhoz való hozzáféréssel.
2. Nyissa meg az Automation-fiókot az Azure Portalon.
3. Válassza a Hibrid feldolgozócsoportok lehetőséget, majd válassza ki az adott csoportot.
4. Válassza a Beállítások lehetőséget.
5. Módosítsa a hibrid feldolgozó hitelesítő adatai értékét AlapértelmezettrőlEgyénire.
6. Jelölje ki a hitelesítő adatokat, és kattintson a Mentés gombra.
7. Ha a következő engedélyek nincsenek hozzárendelve egyéni felhasználókhoz, a feladatok felfüggeszthetők.

Runbook indítása hibrid runbook-feldolgozón

Runbook indítása az Azure Automationben a runbook indításának különböző módszereit ismerteti. Egy runbook hibrid runbook-feldolgozón való indítása egy Futtatás beállítással lehetővé teszi egy hibrid runbook-feldolgozó csoport nevének megadását. Ha egy csoport meg van adva, a csoport egyik feldolgozója lekéri és futtatja a runbookot. Ha a runbook nem adja meg ezt a beállítást, az Azure Automation a szokásos módon futtatja a runbookot.

Amikor elindít egy runbookot az Azure Portalon, megjelenik a Futtatás lehetőség, amelyhez kiválaszthatja az Azure-t vagy a hibrid feldolgozót. Válassza a Hibrid feldolgozó lehetőséget a hibrid runbook-feldolgozó csoport legördülő listából való kiválasztásához.

Runbook PowerShell-lel való indításakor használja a RunOn paramétert a Start-AzAutomationRunbook parancsmaggal. Az alábbi példa a Windows PowerShell használatával indít el egy Test-Runbook nevű runbookot egy MyHybridGroup nevű hibrid runbook-feldolgozó csoporton.

Start-AzAutomationRunbook -AutomationAccountName "MyAutomationAccount" -Name "Test-Runbook" -RunOn "MyHybridGroup"

Aláírt runbookok használata windowsos hibrid runbook-feldolgozón

A Windows hibrid runbook-feldolgozót konfigurálhatja úgy, hogy csak aláírt runbookokat futtasson.

Aláíró tanúsítvány létrehozása

Az alábbi példa egy önaláírt tanúsítványt hoz létre, amely runbookok aláírására használható. Ez a kód létrehozza és exportálja a tanúsítványt, hogy a hibrid runbook-feldolgozó később importálhassa. Az ujjlenyomat a tanúsítványra való későbbi hivatkozáshoz is vissza lesz adva.

# Create a self-signed certificate that can be used for code signing
$SigningCert = New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\my `
    -Subject "CN=contoso.com" `
    -KeyAlgorithm RSA `
    -KeyLength 2048 `
    -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
    -KeyExportPolicy Exportable `
    -KeyUsage DigitalSignature `
    -Type CodeSigningCert

# Export the certificate so that it can be imported to the hybrid workers
Export-Certificate -Cert $SigningCert -FilePath .\hybridworkersigningcertificate.cer

# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root

# Retrieve the thumbprint for later use
$SigningCert.Thumbprint

Tanúsítvány importálása és feldolgozók konfigurálása aláírás-ellenőrzéshez

Másolja a létrehozott tanúsítványt a csoport minden hibrid runbook-feldolgozójához. Futtassa a következő szkriptet a tanúsítvány importálásához, és konfigurálja a feldolgozókat az aláírás-ellenőrzés runbookokon való használatára.

# Install the certificate into a location that will be used for validation.
New-Item -Path Cert:\LocalMachine\AutomationHybridStore
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\AutomationHybridStore

# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root

# Configure the hybrid worker to use signature validation on runbooks.
Set-HybridRunbookWorkerSignatureValidation -Enable $true -TrustedCertStoreLocation "Cert:\LocalMachine\AutomationHybridStore"

Runbookok aláírása a tanúsítvány használatával

Ha a hibrid runbook-feldolgozók úgy vannak konfigurálva, hogy csak aláírt runbookokat használjanak, olyan runbookokat kell aláírnia, amelyeket a hibrid runbook-feldolgozóban kell használni. A runbookok aláírásához használja az alábbi PowerShell-mintakódot.

$SigningCert = ( Get-ChildItem -Path cert:\LocalMachine\My\<CertificateThumbprint>)
Set-AuthenticodeSignature .\TestRunbook.ps1 -Certificate $SigningCert

Ha egy runbook aláírása megtörtént, importálnia kell azt az Automation-fiókjába, és közzé kell tennie az aláírási blokkal. A runbookok importálásáról a Runbook importálása című témakörben olvashat.

Aláírt runbookok használata linuxos hibrid runbook-feldolgozón

Az aláírt runbookok használatához a linuxos hibrid runbook-feldolgozónak rendelkeznie kell a GPG végrehajthatójával a helyi gépen.

A konfiguráció végrehajtásához hajtsa végre a következő lépéseket:

• GPG-kulcstartó és kulcspair létrehozása
• A kulcstartó elérhetővé tétele a hibrid runbook-feldolgozó számára
• Ellenőrizze, hogy be van-e kapcsolva az aláírás ellenőrzése
• Runbook aláírása

GPG-kulcstartó és kulcspair létrehozása

A GPG-kulcsok és kulcspairok létrehozásához használja a Hibrid Runbook-feldolgozó nxautomation fiókját.

1. A sudo alkalmazás használatával jelentkezzen be nxautomation-fiókként.

   sudo su - nxautomation
   

2. Ha nxautomationt használ, hozza létre a GPG-kulcspairt gyökérként. A GPG végigvezeti a lépéseken. Meg kell adnia a nevet, az e-mail-címet, a lejárati időt és a jelszót. Ezután várjon, amíg elegendő entrópia van a gépen a kulcs létrehozásához.

   sudo gpg --generate-key
   

3. Mivel a GPG-címtár a sudo használatával lett létrehozva, a tulajdonosát nxautomációra kell módosítania az alábbi parancs gyökérként való használatával.

   sudo chown -R nxautomation ~/.gnupg
   

A kulcstartó elérhetővé tétele a hibrid runbook-feldolgozó számára

A kulcstartó létrehozása után tegye elérhetővé a hibrid runbook-feldolgozó számára. Módosítsa a home/nxautomation/state/worker.conf beállításfájlt úgy, hogy az tartalmazza a következő példakódot a fájlszakaszban[worker-optional].

gpg_public_keyring_path = /home/nxautomation/run/.gnupg/pubring.kbx

Ellenőrizze, hogy be van-e kapcsolva az aláírás ellenőrzése

Ha az aláírás érvényesítése le van tiltva a gépen, akkor az alábbi parancs gyökérként való futtatásával be kell kapcsolnia. Cserélje le <LogAnalyticsworkspaceId> a munkaterület azonosítóját.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --true <LogAnalyticsworkspaceId>

Runbook aláírása

Miután konfigurálta az aláírás-ellenőrzést, az alábbi GPG-paranccsal írja alá a runbookot.

gpg --clear-sign <runbook name>

Az aláírt runbook neve runbook name.asc>.<

Most már feltöltheti az aláírt runbookot az Azure Automationbe, és normál runbookként futtathatja.

Naplózás

A hibrid runbook-feldolgozón futó runbookokkal kapcsolatos problémák elhárításához a naplókat a rendszer helyileg tárolja a következő helyen:

• Windows rendszeren a C:\ProgramData\Microsoft\System Center\Orchestrator\<version>\SMA\Sandboxes feladatok futásidejű folyamatának részletes naplózásához. A runbook magas szintű feladatállapot-eseményei az alkalmazás- és szolgáltatási naplók\Microsoft-Automation\Operations eseménynaplóba vannak beírva.

• Linux rendszeren a felhasználó hibrid feldolgozói naplói a következő helyen /home/nxautomation/run/worker.logtalálhatók, és a rendszer runbook-feldolgozói naplói a következő helyen /var/opt/microsoft/omsagent/run/automationworker/worker.logtalálhatók: .

Következő lépések

• További információ a hibrid runbook-feldolgozóról: Automation Hybrid Runbook Worker.
• Ha a runbookok nem fejeződnek be sikeresen, tekintse át a runbookok végrehajtási hibáinak hibaelhárítási útmutatóját.
• A PowerShell-lel kapcsolatos további információkért, beleértve a nyelvi referencia- és képzési modulokat, tekintse meg a PowerShell Docsot.
• Megtudhatja, hogyan kezelheti a runbook-végrehajtást az Azure Policy használatával a hibrid runbook-feldolgozókkal.
• PowerShell-parancsmagra vonatkozó referencia: Az.Automation.