Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
- A partire dal 1° aprile 2025, tutte le attività in esecuzione su un ruolo di lavoro Ibrido basato su agente verranno interrotte.
- Il ruolo di lavoro ibrido per runbook utente basato su agente di Automazione di Azure (Windows e Linux) è stato ritirato il 31 agosto 2024 e non è più supportato. Seguire le linee guida su come effettuare la migrazione da un ruoli di lavoro ibrido per i runbook basati su agente a ruoli di lavoro ibrido basati su estensione.
I runbook in Automazione di Azure potrebbero non avere accesso alle risorse in altri cloud o negli ambienti locali perché vengono eseguiti nella piattaforma cloud di Azure. È possibile usare la funzionalità Ruolo di lavoro ibrido per runbook di Automazione di Azure per eseguire runbook direttamente nel computer che ospita il ruolo e su risorse nell'ambiente per gestire tali risorse locali. I runbook vengono infatti archiviati e gestiti in Automazione di Azure e successivamente distribuiti a uno o più computer assegnati.
Automazione di Azure offre l'integrazione nativa del ruolo di lavoro ibrido per runbook tramite il framework di estensione macchina virtuale di Azure installando l'estensione macchina virtuale del ruolo di lavoro ibrido per runbook. L'agente di macchine virtuali di Azure è responsabile della gestione dell'estensione nelle macchine virtuali di Azure in macchine virtuali Windows e Linux e dell'agente di Azure Connected Machine in computer non Azure, inclusi i server abilitati per Azure Arc e VMware vSphere abilitato per Azure Arc. Ora sono disponibili due piattaforme di installazione di ruoli di lavoro ibridi per runbook:
| Piattaforma | Descrizione |
|---|---|
| Basato su estensione (V2) | Installato usando l'estensione macchina virtuale del ruolo di lavoro ibrido per runbook, senza alcuna dipendenza dall'agente di Log Analytics che segnala a un'area di lavoro Log Analytics di Monitoraggio di Azure. Questa è la piattaforma supportata. |
| Basato sull'agente (V1) - Ritirato | Installato dopo che il reporting dell'agente di Log Analytics a un'area di lavoro Log Analytics di Monitoraggio di Azure è stato completato. |
Per le operazioni del ruolo di lavoro ibrido per runbook dopo l'installazione, il processo di esecuzione di runbook nei ruoli di lavoro ibridi per runbook è lo stesso. Lo scopo dell'approccio basato su estensione consiste nel semplificare l'installazione e la gestione del ruolo di lavoro ibrido per runbook e rimuovere la complessità del lavorare con la versione basata su agente. La nuova installazione basata su estensione non influisce sull'installazione o sulla gestione di un ruolo di lavoro ibrido basato su runbook basato su agente. Entrambi i tipi di ruolo di lavoro ibrido per runbook possono coesistere nello stesso computer.
Vantaggi dei ruoli di lavoro ibridi utente basati su estensione
L'approccio basato su estensione semplifica significativamente l'installazione e la gestione del ruolo di lavoro ibrido per runbook utente, rimuovendo la complessità del lavorare con l'approccio basato su agente. Ecco alcuni vantaggi principali:
- Onboarding facile: l'approccio basato su agente per l'onboarding del ruolo di lavoro ibrido per runbook dipende dall'agente di Log Analytics, che è un processo a più passaggi, dispendioso in termini di tempo e soggetto a errori. L'approccio basato su estensione non dipende più dall'agente di Log Analytics.
- Facilità di gestione : offre l'integrazione nativa con l'identità di ARM per il ruolo di lavoro ibrido per runbook e offre la flessibilità per la governance su larga scala tramite criteri e modelli.
- Autenticazione basata su Microsoft Entra ID: usa le identità gestite assegnate dal sistema della macchina virtuale fornite da Microsoft Entra ID. Consente di centralizzare il controllo e la gestione delle identità e delle credenziali delle risorse.
- Esperienza unificata : offre un'esperienza identica per la gestione di computer abilitati per Azure e off-Azure Arc.
- Più canali di onboarding: è possibile scegliere di eseguire l'onboarding e gestire i ruoli di lavoro basati su estensioni tramite il portale di Azure, i cmdlet di PowerShell, Bicep, i modelli di ARM, l'API REST e l'interfaccia della riga di comando di Azure. È anche possibile installare l'estensione in una macchina virtuale di Azure esistente o in un server abilitato per Arc all'interno dell'esperienza del portale di Azure del computer tramite il pannello Estensioni.
- Aggiornamento automatico predefinito: offre l'aggiornamento automatico delle versioni secondarie per impostazione predefinita, riducendo significativamente la gestibilità dell'aggiornamento nella versione più recente. È consigliabile abilitare gli aggiornamenti automatici per sfruttare eventuali aggiornamenti della sicurezza o delle funzionalità senza il sovraccarico manuale. È anche possibile rifiutare esplicitamente gli aggiornamenti automatici in qualsiasi momento. Gli aggiornamenti delle versioni principali non sono attualmente supportati e devono essere gestiti manualmente.
Limiti del ruolo di lavoro runbook
La tabella seguente mostra il numero massimo di ruoli di lavoro ibridi per runbook di sistema e utente in un account di Automazione. Se sono presenti più di 4.000 computer da gestire, è consigliabile creare un altro account di Automazione.
| Tipo di ruolo di lavoro | Numero massimo supportato per account di Automazione. |
|---|---|
| Sistema | 4000 |
| Utente | 4000 |
Come funziona?
Ogni ruolo di lavoro runbook ibrido utente è un membro di un gruppo di ruoli di lavoro runbook ibridi specificati quando si installa il ruolo di lavoro. Un gruppo può includere un singolo ruolo di lavoro, ma è possibile includere più ruoli di lavoro in un gruppo per la disponibilità elevata. Ogni computer è in grado di ospitare un ruolo di lavoro ibrido per runbook che segnala a un account di Automazione; non è possibile registrare il ruolo di lavoro ibrido tra più account di Automazione. Un ruolo di lavoro ibrido può restare in ascolto dei processi solo da un singolo account di Automazione.
Un gruppo di ruoli di lavoro ibridi con ruoli di lavoro ibridi per runbook è progettato per la disponibilità elevata e il bilanciamento del carico assegnando processi in più ruoli di lavoro. Per eseguire correttamente i runbook, i ruoli di lavoro ibridi devono essere integri e inviare un heartbeat. Il ruolo di lavoro ibrido opera su un meccanismo di polling per la raccolta dei processi. Se nessuno dei lavoratori all'interno del gruppo di ruolo di lavoro ibrido ha eseguito il ping del servizio di Automazione negli ultimi 30 minuti, ciò indica che il gruppo non disponeva di ruoli di lavoro attivi. In questo scenario, i processi verranno sospesi dopo tre tentativi.
Quando si avvia un runbook in un ruolo di lavoro ibrido per runbook di un utente, è necessario specificare il gruppo in cui verrà eseguito e non si può specificare un particolare ruolo di lavoro. Ciascun ruolo di lavoro ibrido attivo nel gruppo esegue il polling per i processi ogni 30 secondi per verificare la disponibilità di eventuali processi. Il ruolo di lavoro seleziona i processi in base all'ordine di arrivo. A seconda del momento in cui è stato eseguito il push di un processo, il ruolo di lavoro ibrido all'interno del gruppo di ruoli di lavoro ibridi che esegue per primo il ping del servizio di Automazione è quello che ottiene il processo. Il tempo di elaborazione della coda processi dipende anche dal profilo hardware e dal carico del ruolo di lavoro ibrido.
Un singolo ruolo di lavoro ibrido in genere può raccogliere quattro processi per ping (ovvero ogni 30 secondi). Se il tasso di push di processi è superiore a quattro ogni 30 secondi e nessun altro ruolo di lavoro seleziona il processo, quest'ultimo potrebbe essere sospeso con un errore.
Un ruolo di lavoro ibrido per runbook non ha molti dei limiti delle risorse sandbox di Azure relativi a spazio su disco, memoria o socket di rete. I limiti per un ruolo di lavoro ibrido sono correlati solo alle risorse del ruolo di lavoro e non sono vincolati dal limite di tempo di condivisione equa di cui dispongono le sandbox di Azure.
Per controllare la distribuzione dei runbook nei ruoli di lavoro ibridi per runbook e determinare il momento o la modalità con cui vengono attivati i processi, è possibile registrare il ruolo di lavoro ibrido in gruppi di ruoli di lavoro ibridi per runbook all'interno dell'account di Automazione. Per supportare la disposizione dell'esecuzione, specificare come destinazione i processi rispetto al gruppo o ai gruppi specifici.
Scenari comuni per i ruoli di lavoro ibridi per runbook utente
- Per eseguire runbook di Automazione di Azure per la gestione di macchine virtuali guest direttamente in una macchina virtuale (VM) di Azure esistente e in un server fuori Azure registrato come server abilitato per Azure Arc o macchina virtuale VMware abilitata per Azure Arc (anteprima). I server con abilitazione di Azure Arc possono essere server fisici e macchine virtuali Windows e Linux ospitati all'esterno di Azure, nella rete aziendale o in un altro provider di servizi cloud.
- Per superare la limitazione della sandbox di Automazione di Azure: gli scenari comuni includono l'esecuzione di operazioni a esecuzione prolungata oltre il limite di tre ore per i processi cloud, l'esecuzione di operazioni di automazione a elevato utilizzo di risorse, l'interazione con i servizi locali in esecuzione in locale o in ambiente ibrido, eseguire script che richiedono autorizzazioni elevate.
- Per superare le restrizioni dell'organizzazione per mantenere i dati in Azure per motivi di governance e sicurezza, poiché non è possibile eseguire processi di automazione nel cloud, è possibile eseguirli in un computer locale di cui è stato eseguito l'onboarding come ruolo di lavoro ibrido per runbook utente.
- Per automatizzare le operazioni su più risorse off-Azure in esecuzione in ambienti locali o multicloud. È possibile eseguire l'onboarding di uno di questi computer come ruolo di lavoro ibrido per runbook utente e l'automazione di destinazione nei computer rimanenti nell'ambiente locale.
- Per accedere ad altri servizi privatamente dalla rete virtuale (VNet) di Azure senza aprire una connessione Internet in uscita, è possibile eseguire runbook in un ruolo di lavoro ibrido connesso alla rete virtuale di Azure.
Installazione di un ruolo di lavoro ibrido per runbook
Per installare, vedere Distribuire un ruolo di lavoro ibrido per runbook Windows o Linux basato su estensioni in Automazione.
| Sistema operativo | Tipi distribuzione |
|---|---|
| Windows/Linux | Per i ruoli di lavoro utente ibridi per runbook, vedere Distribuire un ruolo di lavoro utente ibrido per runbook Windows o Linux basato su estensioni in Automazione. Questo è il metodo consigliato. |
Note
Hybrid Runbook Worker non è attualmente supportato sui set di scalabilità delle macchine virtuali di Azure.
Pianificazione della rete
Vedere Configurazione di rete di Automazione di Azure per ottenere informazioni dettagliate sulle porte, gli URL e altri dettagli di rete necessari per il ruolo di lavoro ibrido per runbook.
Tag di servizio
Automazione di Azure supporta i tag del servizio di rete virtuale di Azure, a partire dal tag del servizio GuestAndHybridManagement. È possibile usare i tag del servizio per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o in Firewall di Azure. Quando si creano regole di sicurezza è possibile usare i tag del servizio anziché indirizzi IP specifici. Se si specifica il nome del tag del servizio GuestAndHybridManagement nel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio Automazione. Questo tag del servizio non supporta il controllo più granulare limitando gli intervalli IP a un'area specifica.
Il tag del servizio per il servizio Automazione di Azure fornisce solo gli indirizzi IP usati per gli scenari seguenti:
- Attivare webhook dall'interno della rete virtuale.
- Consentire ai ruoli di lavoro ibridi per runbook o agenti di State Configuration nella rete virtuale di comunicare con il servizio di automazione.
Note
Il tag del servizio GuestAndHybridManagement attualmente non supporta l'esecuzione del processo runbook in un ambiente sandbox di Azure, solo direttamente in un ruolo di lavoro ibrido per runbook.
Supporto per il livello di impatto 5 (IL5)
Il ruolo di lavoro ibrido per runbook di Automazione di Azure può essere usato in Azure per enti pubblici per supportare i carichi di lavoro di livello di impatto 5 in una delle due configurazioni seguenti:
Macchina virtuale isolata. Quando vengono distribuiti, usano l'intero host fisico per il computer che fornisce il livello di isolamento necessario per supportare i carichi di lavoro IL5.
Host dedicati di Azure, che offre server fisici in grado di ospitare una o più macchine virtuali, dedicati a una sottoscrizione di Azure.
Note
L'isolamento del calcolo tramite il ruolo di lavoro ibrido per runbook è disponibile per i cloud di Azure Commercial e US Government.
Runbook in un ruolo di lavoro ibrido per runbook
Alcuni runbook gestiscono risorse sul computer locale o vengono eseguiti su risorse nell'ambiente locale in cui è stato distribuito il ruolo di lavoro ibrido per runbook utente. In questo caso, è possibile scegliere di eseguire i runbook nel ruolo di lavoro ibrido anziché in un account di Automazione. I runbook eseguiti in un ruolo di lavoro ibrido per runbook hanno una struttura identica a quelli eseguiti nell'account di Automazione. Vedere Eseguire runbook in un ruolo di lavoro ibrido per runbook.
Processi per i ruoli di lavoro ibridi per runbook
I processi dei ruoli di lavoro ibridi per runbook vengono eseguiti con l'account System locale in Windows o con l'account nxautomation in Linux. Automazione di Azure gestisce i processi nei ruoli di lavoro ibridi per runbook in modo differente rispetto ai processi eseguiti all'interno degli ambienti sandbox di Azure. Vedere Ambiente di esecuzione dei runbook.
In caso di riavvio del computer host con il ruolo di lavoro ibrido per runbook, qualsiasi processo di runbook in esecuzione viene riavviato dall'inizio o dall'ultimo checkpoint per i runbook del flusso di lavoro di PowerShell. Dopo oltre tre riavvii di un processo del runbook, viene sospeso.
Autorizzazioni runbook per un ruolo di lavoro ibrido per runbook
Poiché accedono a risorse non di Azure, i runbook eseguiti in un ruolo di lavoro ibrido per runbook utente non possono usare il meccanismo di autenticazione generalmente usato per l'autenticazione dei runbook in risorse di Azure. Il runbook può fornire la propria autenticazione alle risorse locali o configurare l'autenticazione mediante identità gestite per le risorse di Azure. È anche possibile specificare un account RunAs per fornire un contesto utente per tutti i runbook.
Passaggi successivi
Per informazioni su come configurare i runbook per automatizzare i processi nel centro dati locale o un altro ambiente cloud, vedere Eseguire runbook in un ruolo di lavoro ibrido per runbook.
Per informazioni su come risolvere i problemi relativi ai ruoli di lavoro ibridi per runbook, vedere Risolvere i problemi dei ruoli di lavoro ibridi per runbook.