Поделиться через

Развертывание гибридной рабочей роли Runbook Linux на основе агента в Службе автоматизации

  • Статья

Внимание

31 августа 2024 г. служба автоматизации Azure гибридная рабочая роль Runbook на основе агента (Windows и Linux) не поддерживается. Следуйте инструкциям по миграции из существующих рабочих ролей Runbook на основе агента в гибридные рабочие роли на основе расширений.

Вы можете использовать пользовательскую гибридную рабочую группу Runbook в службе автоматизации Azure для запуска модулей Runbook непосредственно на компьютере Azure или не-Azure, включая серверы, зарегистрированные на Серверах с поддержкой Azure Arc. С компьютера или сервера, на котором размещается эта роль, можно напрямую запускать модули runbook для ресурсов в среде, чтобы управлять этими локальными ресурсами.

Гибридная рабочая роль Runbook Linux запускает модули runbook от имени особого пользователя, для которого можно повысить разрешения, чтобы выполнить команды, требующие повышения разрешений. служба автоматизации Azure хранит модули Runbook и управляет ими, а затем предоставляет их на один или несколько выбранных компьютеров. В этой статье описывается, как установить гибридную рабочую роль Runbook на компьютере Linux, удалить рабочую роль и удалить гибридную рабочую роль Runbook. Сведения о гибридных рабочих ролей Runbook для пользователей см. в статье "Развертывание гибридной рабочей роли Runbook на основе расширений Windows или Linux в службе автоматизации"

После успешного развертывания рабочей роли Runbook ознакомьтесь с запуском модулей runbook в гибридной рабочей роли Runbook, чтобы узнать, как настроить модули runbook для автоматизации процессов в локальном центре обработки данных или другой облачной среде.

Примечание.

Гибридная рабочая роль может совместно существовать с обеими платформами: на основе агента (версии 1) и на основе расширений (V2). Если установить расширение на основе версии 2 для гибридной рабочей роли, уже работающей под управлением агента (V1), в группе появится две записи гибридной рабочей роли Runbook. Один с расширением платформы (версии 2) и другим агентом (V1). Подробнее.

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть следующее.

Рабочая область Log Analytics

Гибридная рабочая роль Runbook зависит от рабочей области Log Analytics для Azure Monitor, для которой устанавливается и настраивается роль. Вы можете создать ее, используя Azure Resource Manager, PowerShell или портал Azure.

Если у вас еще нет рабочей области Log Analytics для Azure Monitor, создайте ее, предварительно ознакомившись с руководством по разработке для журналов Azure Monitor.

Агент Log Analytics

Для работы гибридной рабочей роли Runbook требуется агент Log Analytics для поддерживаемой операционной системы Linux. Для серверов или компьютеров, размещенных за пределами Azure, вы можете установить агент Log Analytics, используя серверы с поддержкой Azure Arc. Агент устанавливается с определенными учетными записями служб, выполняющими команды, требующие корневых разрешений. Дополнительные сведения см. в разделе "Учетные записи службы".

Поддерживаемые операционные системы Linux

Дистрибутивы, поддерживаемые функцией гибридной рабочей роли Runbook: Предполагается, что все операционные системы имеют архитектуру x64. Архитектура x86 не поддерживается для любой операционной системы.

  • Amazon Linux 2012.09–2015.09;

  • Oracle Linux 6, 7 и 8

  • Red Hat Enterprise Linux Server 5, 6, 7 и 8;

  • Debian GNU/Linux 6, 7 и 8;

  • SUSE Linux Enterprise Server 12, 15 и 15.1 (версии SUSE 13 или 14 не были выпущены).

  • Ubuntu

    ОС Linux Имя
    20.04 LTS Фокус Фосса
    18.04 LTS Бионик Бивер
    16.04 LTS Xenial Xerus
    14.04 LTS Трасти Тахр

Примечание.

Гибридная рабочая роль будет следовать временной шкале поддержки поставщика ОС.

Внимание

Перед включением функции "Управление обновлениями", которая зависит от гибридной рабочей роли Runbook системы, ознакомьтесь с дистрибутивами, которые она поддерживает.

Минимальные требования

Минимальные требования для гибридной рабочей роли Runbook пользователя и системы Linux:

  • два ядра;
  • 4 ГБ ОЗУ;
  • Порт 443 (исходящий).
Требуемый пакет Description Минимальная версия
Glibc Библиотека C GNU 2.5-12
Openssl Библиотеки OpenSSL 1.0 (поддерживается TLS 1.1 и TLS 1.2)
Curl Веб-клиент cURL 7.15.5
Python-ctypes Библиотека внешних функций для Python Требуется Python 2.x или Python 3.x
PAM Подключаемые модули аутентификации
Дополнительный пакет Description Минимальная версия
PowerShell Core Для выполнения модулей runbook PowerShell требуется установить PowerShell Core. Подробные сведения об установке см. в статье Установка PowerShell Core в Linux. 6.0.0

Добавление компьютера в группу гибридных рабочих ролей Runbook

Вы можете добавить компьютер рабочей роли в группу гибридных рабочих ролей Runbook в одной из учетных записей службы автоматизации. Компьютеры, на которых размещена системная гибридная рабочая роль Runbook, управляемая компонентом "Управление обновлениями", можно добавлять в группу гибридных рабочих ролей Runbook. При этом нужно использовать одну и ту же учетную запись как для компонента "Управление обновлениями", так и для членства в группе гибридной рабочей роли Runbook.

Примечание.

Управление обновлениями в службе автоматизации Azure автоматически устанавливает гибридную рабочую роль Runbook системы на компьютере, размещенном на платформе Azure или вне ее, для которого включено Управление обновлениями. Но эта рабочая роль не регистрируется в группах гибридных рабочих ролей Runbook, которые определены в учетной записи службы автоматизации. Чтобы запустить модули runbook на этих компьютерах, необходимо добавить их в группу гибридных рабочих ролей Runbook. Выполните шаг 4 в разделе Установка гибридной рабочей роли Runbook для Linux, чтобы добавить компьютер в группу.

Поддерживаемое усиление безопасности Linux

Следующие функции еще не поддерживаются:

  • CIS

Поддерживаемые типы runbook

Гибридные рабочие роли Runbook Linux поддерживают ограниченный набор типов runbook в служба автоматизации Azure, и они описаны в следующей таблице.

Тип runbook Поддерживается
Python 3 (предварительная версия) Да, требуется только для этих дистрибутивов: SUSE LES 15, RHEL 8
Python 2 Да, для любых дистрибутив, не требующих Python 31
PowerShell Да2
Рабочий процесс PowerShell No
Графический No
Графический рабочий процесс PowerShell No

1Ознакомьтесь с поддерживаемыми операционными системами Linux.

2Модули runbook powerShell требуют установки PowerShell Core на компьютере Linux. Подробные сведения об установке см. в статье Установка PowerShell Core в Linux.

Сетевая конфигурация

Требования к сети для гибридной рабочей роли Runbook см. в разделе Настройка сети.

Установка гибридной рабочей роли Runbook для Linux

Существуют два способа развертывания гибридной рабочей роли Runbook. Модуль Runbook можно импортировать и запустить из коллекции Runbook в портал Azure или выполнить несколько команд PowerShell вручную.

Процедура импорта подробно описана в статье Импорт модулей runbook с GitHub с помощью портала Azure. Имя импортируемого runbook — Create Automation Linux HybridWorker.

Для этого runbook используются следующие параметры.

Параметр Состояние Description
Location Обязательно Расположение рабочей области Log Analytics.
ResourceGroupName Обязательно Группа ресурсов для учетной записи службы автоматизации.
AccountName Обязательно Имя учетной записи службы автоматизации, в которой будет зарегистрирована гибридная рабочая роль Runbook.
CreateLA Обязательно Если значение — true, использует значение WorkspaceName для создания рабочей области Log Analytics. Если значение — false, то значение WorkspaceName должно ссылаться на существующую рабочую область.
LAlocation Необязательно Расположение, в котором будет создана рабочая область Log Analytics или в котором она уже существует.
WorkspaceName Необязательно Имя создаваемой или используемой рабочей области Log Analytics.
CreateVM Обязательно Если значение — true, то значение VMName используется в качестве имени новой виртуальной машины. Если значение — false, значение VMName используется для поиска и регистрации существующей виртуальной машины.
VMName Необязательно Имя виртуальной машины, которая либо создается, либо регистрируется, в зависимости от значения CreateVM.
VMImage Необязательно Имя образа создаваемой виртуальной машины.
VMlocation Необязательно Расположение виртуальной машины, которая либо создается, либо регистрируется. Если это расположение не указано, используется значение LAlocation .
RegisterHW Обязательно Если значение — true, то виртуальная машина регистрируется в качестве гибридной рабочей роли.
WorkerGroupName Обязательно Имя группы гибридных рабочих ролей.

Выполнение команд PowerShell вручную

Чтобы установить и настроить гибридную рабочую роль Runbook для Linux, выполните следующие действия.

  1. Включите решение службы автоматизации Azure в рабочей области Log Analytics, выполнив приведенную ниже команду в командной строке PowerShell с повышенными привилегиями или в Cloud Shell на портале Azure:

    Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true

  2. Разверните агент Log Analytics на целевом компьютере.

    • На виртуальных машинах Azure установите агент Log Analytics для Windows с помощью расширения виртуальной машины для Windows. Это расширение устанавливает агент Log Analytics на виртуальных машинах Azure и регистрирует виртуальные машины в существующей рабочей области Log Analytics. Вы можете использовать шаблон Azure Resource Manager, Azure CLI или политику Azure, чтобы назначить определение встроенной политики Развернуть агент Log Analytics для виртуальных машин Linux или Windows. После установки агента компьютер можно будет добавить в группу гибридных рабочих ролей Runbook в учетной записи службы автоматизации.

    • На компьютеры, размещенные не в Azure, агент Log Analytics можно установить с помощью серверов с поддержкой Azure Arc. Серверы с поддержкой Azure Arc поддерживают развертывание агента Log Analytics с помощью следующих методов.

      • Использование платформы расширений виртуальной машины.

        Эта функция на серверах с поддержкой Azure Arc позволяет развернуть расширение виртуальной машины для агента Log Analytics на сервере Windows и (или) Linux, размещенном вне Azure. Расширения виртуальных машин можно управлять с помощью следующих методов на гибридных компьютерах или серверах, управляемых серверами с поддержкой Azure Arc:

      • Использование Политики Azure.

        С помощью этого подхода вы используете агент Log Analytics Политика Azure развернуть агент Log Analytics на компьютерах Linux или Microsoft Azure Arc, встроенных в политике, чтобы проверить, установлен ли сервер с поддержкой Arc агент Log Analytics. Если агент не установлен, он будет развернут автоматически с помощью задачи исправления. Если вы планируете отслеживать компьютеры с Azure Monitor для виртуальных машин, используйте инициативу "Включить Azure Monitor для виртуальных машин" для установки и настройки агента Log Analytics.

      Мы рекомендуем установить агент Log Analytics для Windows или Linux с помощью Политики Azure.

    Примечание.

    Чтобы управлять конфигурацией компьютеров, поддерживающих гибридную рабочую роль Runbook и DSC (Desired State Configuration), добавьте такие компьютеры в качестве узлов DSC.

    Примечание.

    Во время установки гибридной рабочей роли Linux должна присутствовать учетная запись nxautomation с соответствующими разрешениями для работы команды sudo. Если вы попытаетесь установить рабочую роль, а учетная запись отсутствует или не имеет соответствующих разрешений, установка завершится сбоем.

  3. Убедитесь, что агент передает сведения в рабочую область.

    Агент Log Analytics для Linux подключает компьютеры к рабочей области Log Analytics в Azure Monitor. Когда агент устанавливается на компьютер и подключается к рабочей области, он автоматически скачивает обязательные компоненты для гибридной рабочей роли Runbook.

    После успешного подключения агента к рабочей области Log Analytics через несколько минут можно выполнить следующий запрос, чтобы убедиться, что он отправляет данные пульса в рабочую область.

    Heartbeat
| where Category == "Direct Agent"
| where TimeGenerated > ago(30m)

    В результатах поиска должны отображаться записи пульса для компьютера, указывающие, что она подключена и сообщает службе. По умолчанию каждый агент перенаправляет запись пульса в назначенную ему рабочую область.

  4. Выполните приведенную ниже команду, чтобы добавить компьютер в группу гибридных рабочих ролей Runbook, указав значения параметров -w, -k, -g и -e.

    Сведения, необходимые для задания параметров -k на -e, можно получить странице Ключи в учетной записи службы автоматизации. Выберите Ключи в разделе Параметры учетной записи в левой части страницы.

    Страница

    • Для параметра -e скопируйте значение поля URL-адрес.

    • Для параметра -k скопируйте значение поля Первичный ключ доступа.

    • Для параметра -g укажите имя группы гибридных рабочих ролей Runbook, к которой требуется присоединить новую гибридную рабочую роль Runbook для Linux. Если эта группа уже существует в учетной записи службы автоматизации, то к ней будет добавлен текущий компьютер. Если эта группа не существует, она создается с таким именем.

    • Для параметра -w укажите идентификатор рабочей области Log Analytics.

    sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w <logAnalyticsworkspaceId> -k <automationSharedKey> -g <hybridGroupName> -e <automationEndpoint>

  5. Проверьте развертывание после выполнения сценария. На странице Hybrid Runbook Worker Groups (Группы гибридных рабочих ролей Runbook) в учетной записи службы автоматизации на вкладке User hybrid runbook workers group (Группы гибридных рабочих ролей Runbook пользователя) отображается новая или существующая группа и число элементов в ней. Если указать имеющуюся группу, количество элементов в ней увеличивается. Вы можете выбрать группу из списка на странице. В меню слева выберите Гибридные рабочие роли. На странице Гибридные рабочие роли отображается полный список элементов группы.

    Примечание.

    Если вы используете для виртуальной машины Azure расширение виртуальной машины Log Analytics для Linux, рекомендуется установить для параметра autoUpgradeMinorVersion значение false, так как автообновление версий может привести к проблемам с гибридной рабочей ролью Runbook. Сведения об обновлении расширения вручную см. в разделе Развертывание с помощью Azure CLI.

Отключение проверки подписи

По умолчанию для гибридных рабочих ролей Runbook Linux требуется проверка подписи. При запуске неподписанной последовательности runbook для рабочей роли отображается ошибка Signature validation failed. Чтобы отключить проверку подписи, выполните следующую команду в качестве корневого каталога. Замените второй параметр идентификатором вашей рабочей области Log Analytics.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --false <logAnalyticsworkspaceId>

Удаление гибридной рабочей роли Runbook

  1. Выполните следующие команды в качестве корневого каталога в гибридной рабочей роли Linux на основе агента:

    sudo bash
rm -r /home/nxautomation

  2. В разделе Автоматизация процессов выберите Группы гибридных рабочих ролей, а затем соответствующую группу, чтобы перейти на страницу Группа гибридных рабочих ролей.

  3. На странице Группа гибридных рабочих ролей выберите Гибридные рабочие роли.

  4. Установите флажок рядом с компьютерами, которые нужно удалить из группы гибридных рабочих ролей.

  5. Выберите "Удалить", чтобы удалить гибридную рабочую роль Linux на основе агента.

    Примечание.

    • Этот сценарий не удаляет агент Log Analytics для Linux с компьютера. Он удаляет только функциональные возможности и конфигурацию гибридной рабочей роли Runbook.
    • После отключения Приватный канал в учетной записи службы автоматизации может потребоваться до 60 минут, чтобы удалить гибридную рабочую роль Runbook.
    • После удаления гибридной рабочей роли сертификат проверки подлинности гибридной рабочей роли на компьютере действителен в течение 45 минут.

Удаление группы гибридных рабочих ролей

Чтобы удалить группу гибридных рабочих ролей Runbook с компьютеров Linux, используйте те же действия, что и для группы гибридных рабочих ролей в Windows. См. раздел Удаление группы гибридных рабочих ролей.

Управление разрешениями роли для гибридных рабочих групп и гибридных рабочих ролей

Вы можете создать пользовательские роли служба автоматизации Azure и предоставить следующие разрешения гибридным рабочим группам и гибридным рабочим группам. Дополнительные сведения о создании пользовательских ролей служба автоматизации Azure см. в статье о пользовательских ролях Azure

Действия Description
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Считывает группы гибридных рабочих ролей runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/write Создает гибридную рабочую группу Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/delete Удаляет гибридную рабочую группу Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/read Считывает гибридную рабочую роль Runbook.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/delete Удаляет гибридную рабочую роль Runbook.

Проверка версии гибридной рабочей роли

Чтобы проверить версию гибридной рабочей роли Runbook на основе агента, перейдите по следующему пути:

   sudo cat /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/VERSION

Версия файла содержит номер версии гибридной рабочей роли Runbook.

Следующие шаги