Distribuire un ruolo di lavoro ibrido per runbook Linux basato su agente in Automazione
Attenzione
Questo articolo fa riferimento a CentOS, una distribuzione Linux prossima allo stato EOL (End of Life, fine del ciclo di vita). Valutare le proprie esigenze e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.
Importante
Il ruolo di lavoro per runbook ibrido utente basato su agente di Automazione di Azure (Windows e Linux) verrà ritirato il 31 agosto 2024 e non sarà supportato dopo tale data. Prima del 31 agosto 2024 sarà necessario completare la migrazione dei ruoli di lavoro ibridi per runbook ibridi utente basati su agenti. Inoltre, a partire dal 1° novembre 2023, la creazione di nuovi ruoli di lavoro ibridi basati su agente non sarebbe possibile. Altre informazioni.
È possibile usare la funzionalità ruolo di lavoro ibrido per runbook di Automazione di Azure per eseguire runbook direttamente nel computer Azure o non Azure, inclusi i server registrati con i server abilitati per Azure Arc. Dal computer o dal server che ospita il ruolo, è possibile eseguire runbook direttamente e sulle risorse nell'ambiente per gestire tali risorse locali.
Il ruolo di lavoro ibrido per runbook di Linux esegue i runbook come un utente speciale a cui possono essere garantiti privilegi elevati per eseguire i comandi che richiedono l'elevazione. Automazione di Azure archivia e gestisce i runbook e li distribuisce a uno o più computer scelti. Questo articolo descrive come installare il ruolo di lavoro ibrido per runbook in un computer Linux, rimuovere il ruolo di lavoro e rimuovere un gruppo di ruoli di lavoro ibrido per runbook. Per i ruoli di lavoro ibridi per runbook utente, vedere anche Distribuire un ruolo di lavoro ibrido ibrido per runbook windows o Linux basato su estensioni in Automazione
Dopo avere distribuito correttamente un ruolo di lavoro per runbook, esaminare Esecuzione dei runbook per Hybrid Runbook Worker per informazioni su come configurare i runbook per automatizzare i processi nel data center locale o un altro ambiente cloud.
Nota
Un ruolo di lavoro ibrido può coesistere con entrambe le piattaforme: basato su agente (V1) e basato su estensione (V2). Se si installa l'estensione basata su V2 in un ruolo di lavoro ibrido che esegue già Agent basato su V1, nel gruppo verranno visualizzate due voci del ruolo di lavoro ibrido per runbook. Uno con estensione della piattaforma (V2) e l'altro basato su agente (V1). Altre informazioni.
Prerequisiti
Prima di iniziare, assicurarsi di aver eseguito le operazioni seguenti.
Un'area di lavoro Log Analytics
Il ruolo di lavoro ibrido per runbook dipende da un'area di lavoro Log Analytics di Monitoraggio di Azure per installare e configurare il ruolo. È possibile crearlo tramite Azure Resource Manager, tramite PowerShell o nel portale di Azure.
Se non si ha un'area di lavoro Log Analytics di Monitoraggio di Azure, esaminare le linee guida per la progettazione dei log di Monitoraggio di Azure prima di creare l'area di lavoro.
Agente di Log Analytics
Il ruolo di lavoro ibrido per runbook richiede l'agente di Log Analytics per il sistema operativo Linux supportato. Per i server o i computer ospitati all'esterno di Azure, è possibile installare l'agente di Log Analytics usando i server abilitati per Azure Arc. L'agente viene installato con determinati account di servizio che eseguono comandi che richiedono autorizzazioni radice. Per altre informazioni, vedere Account del servizio.
Sistemi operativi Linux supportati
La funzionalità ruolo di lavoro ibrido per runbook supporta le distribuzioni seguenti. Si presuppone che tutti i sistemi operativi siano x64. x86 non è supportato per nessun sistema operativo.
Amazon Linux da 2012.09 a 2015.09
CentOS Linux 5, 6, 7 e 8
Oracle Linux 6, 7 e 8
Red Hat Enterprise Linux Server 5, 6, 7 e 8
Debian GNU/Linux 6, 7 e 8
SUSE Linux Enterprise Server 12, 15 e 15.1 (SUSE non ha rilasciato le versioni 13 o 14)
Ubuntu
Sistema operativo Linux Nome 20.04 LTS Fossa focale 18.04 LTS Bionic Beaver 16.04 LTS Xenial Xerus 14.04 LTS Trusty Tahr
Nota
Il ruolo di lavoro ibrido seguirà le sequenze temporali del supporto del fornitore del sistema operativo.
Importante
Prima di abilitare la funzionalità Gestione aggiornamenti, che dipende dal ruolo di lavoro ibrido per runbook di sistema, verificare le distribuzioni supportate qui.
Requisiti minimi
I requisiti minimi per un ruolo di lavoro ibrido per runbook del sistema e degli utenti Linux sono i seguenti:
- Due core
- 4 GB di RAM
- Porta 443 (in uscita)
Pacchetto obbligatorio | Descrizione | Versione minima |
---|---|---|
Glibc | Libreria GNU C | 2.5-12 |
Openssl | Librerie OpenSSL | 1.0 (sono supportati TLS 1.1 e TLS 1.2) |
Curl | Client Web cURL | 7.15.5 |
Python-ctypes | Libreria di funzioni esterne per Python | È necessario Python 2.x o Python 3.x |
PAM | Moduli di autenticazione modulare |
Pacchetto facoltativo | Descrizione | Versione minima |
---|---|---|
PowerShell Core | Per eseguire runbook di PowerShell, è necessario installare PowerShell Core. Vedere Installazione di PowerShell Core in Linux per informazioni su come installarlo. | 6.0.0 |
Aggiunta di un computer a un gruppo di ruoli di lavoro ibrido per runbook
È possibile aggiungere il computer di lavoro a un gruppo di ruoli di lavoro ibridi per runbook in uno degli account di Automazione. Per i computer che ospitano il ruolo di lavoro ibrido per runbook gestito da Gestione aggiornamenti, possono essere aggiunti a un gruppo di ruoli di lavoro ibrido per runbook. È tuttavia necessario usare lo stesso account di Automazione sia per gestione aggiornamenti che per l'appartenenza al gruppo di lavoro ibrido per runbook.
Nota
Automazione di Azure Gestione aggiornamenti installa automaticamente il ruolo di lavoro ibrido per runbook di sistema in un computer Azure o non Azure abilitato per Gestione aggiornamenti. Tale ruolo di lavoro, tuttavia, non è registrato con alcun gruppo di ruoli di lavoro ibridi per runbook nell'account di automazione. Per eseguire i runbook in tali computer, è necessario aggiungerli a un gruppo di ruoli di lavoro ibrido per runbook. Seguire il passaggio 4 nella sezione Installare un ruolo di lavoro ibrido per runbook Linux per aggiungerlo a un gruppo.
Protezione avanzata di Linux supportata
Le opzioni seguenti non sono ancora supportate:
- CIS
Tipi di runbook supportati
I ruoli di lavoro ibridi per runbook Linux supportano un set limitato di tipi di runbook in Automazione di Azure e sono descritti nella tabella seguente.
Tipo di runbook | Supportata |
---|---|
Python 3 (anteprima) | Sì, obbligatorio solo per queste distribuzioni: SU edizione Standard LES 15, RHEL 8 e CentOS 8 |
Python 2 | Sì, per qualsiasi distribuzione che non richiede Python 31 |
PowerShell | Sì2 |
Flusso di lavoro PowerShell | No |
Grafico | No |
Grafico del flusso di lavoro di PowerShell | No |
1Vedere Sistemi operativi Linux supportati.
2I runbook di PowerShell richiedono l'installazione di PowerShell Core nel computer Linux. Vedere Installazione di PowerShell Core in Linux per informazioni su come installarlo.
Configurazione di rete
Per i requisiti di rete per il ruolo di lavoro ibrido per runbook, vedere Configurazione della rete.
Installare un ruolo di lavoro ibrido per runbook di Linux
Esistono due metodi per distribuire un ruolo di lavoro ibrido per runbook. È possibile importare ed eseguire un runbook dalla raccolta di runbook nella portale di Azure oppure eseguire manualmente una serie di comandi di PowerShell.
Importazione di un runbook dalla raccolta runbook
La procedura di importazione è descritta in dettaglio in Importare runbook da GitHub con il portale di Azure. Il nome del runbook da importare è Create Automation Linux HybridWorker.The name of the runbook to import is Create Automation Linux HybridWorker.
Il runbook usa i parametri seguenti.
Parametro | Stato | Descrizione |
---|---|---|
Location |
Obbligatorio | Percorso per l'area di lavoro Log Analytics. |
ResourceGroupName |
Obbligatorio | Gruppo di risorse per l'account di Automazione. |
AccountName |
Obbligatorio | Nome dell'account di Automazione in cui verrà registrato il ruolo di lavoro ibrido per l'esecuzione. |
CreateLA |
Obbligatorio | Se true, usa il valore di per creare un'area di WorkspaceName lavoro Log Analytics. Se false, il valore di WorkspaceName deve fare riferimento a un'area di lavoro esistente. |
LAlocation |
Facoltativo | Percorso in cui verrà creata l'area di lavoro Log Analytics o in cui esiste già. |
WorkspaceName |
Facoltativo | Nome dell'area di lavoro Log Analytics da creare o usare. |
CreateVM |
Obbligatorio | Se true, usare il valore di VMName come nome di una nuova macchina virtuale. Se false, usare VMName per trovare e registrare una macchina virtuale esistente. |
VMName |
Facoltativo | Nome della macchina virtuale creata o registrata, a seconda del valore di CreateVM . |
VMImage |
Facoltativo | Nome dell'immagine della macchina virtuale da creare. |
VMlocation |
Facoltativo | Posizione della macchina virtuale creata o registrata. Se questa posizione non è specificata, viene usato il valore di LAlocation . |
RegisterHW |
Obbligatorio | Se true, registrare la macchina virtuale come ruolo di lavoro ibrido. |
WorkerGroupName |
Obbligatorio | Nome del gruppo di ruoli di lavoro ibridi. |
Eseguire manualmente i comandi di PowerShell
Per installare e configurare un ruolo di lavoro ibrido per runbook Linux, seguire questa procedura.
Abilitare la soluzione Automazione di Azure nell'area di lavoro Log Analytics eseguendo il comando seguente in un prompt dei comandi di PowerShell con privilegi elevati o in Cloud Shell nel portale di Azure:
Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true
Distribuire l'agente di Log Analytics nel computer di destinazione.
Per le macchine virtuali di Azure, installare l'agente di Log Analytics per Linux usando l'estensione macchina virtuale per Linux. L'estensione installa l'agente di Log Analytics in macchine virtuali di Azure e registra le macchine virtuali in un'area di lavoro Log Analytics esistente. È possibile usare un modello di Azure Resource Manager, l'interfaccia della riga di comando di Azure o Criteri di Azure per assegnare la definizione di criteri predefinita Deploy Log Analytics agent for Linux or Windows VMS (Distribuire l'agente di Log Analytics per macchine virtuali Linux o Windows). Dopo aver installato l'agente, il computer può essere aggiunto a un gruppo di ruoli di lavoro ibrido per runbook nell'account di Automazione.
Per i computer non Azure, è possibile installare l'agente di Log Analytics usando i server abilitati per Azure Arc. I server abilitati per Azure Arc supportano la distribuzione dell'agente di Log Analytics usando i metodi seguenti:
Uso del framework delle estensioni della macchina virtuale.
Questa funzionalità nei server abilitati per Azure Arc consente di distribuire l'estensione della macchina virtuale dell'agente Log Analytics in un server Windows e/o Linux non Azure. Le estensioni delle macchine virtuali possono essere gestite con i metodi seguenti nei computer ibridi o nei server gestiti dai server abilitati per Azure Arc:
Utilizzo di Criteri di Azure.
Usando questo approccio, si usa la definizione dei criteri predefinita Criteri di Azure Deploy Log Analytics agent to Linux or Microsoft Azure Arc machines (Distribuire l'agente di Log Analytics in Linux o nei computer Microsoft Azure Arc) per controllare se nel server abilitato per Arc è installato l'agente di Log Analytics. Se l'agente non è installato, viene distribuito automaticamente usando un'attività di correzione. Se si prevede di monitorare i computer con Monitoraggio di Azure per le macchine virtuali, usare l'iniziativa Abilita Monitoraggio di Azure per le macchine virtuali per installare e configurare l'agente di Log Analytics.
È consigliabile installare l'agente di Log Analytics per Windows o Linux usando Criteri di Azure.
Nota
Per gestire la configurazione dei computer che supportano il ruolo di lavoro ibrido per runbook con DSC (Desired State Configuration), è necessario aggiungere i computer come nodi DSC.
Nota
L'account nxautomation deve essere presente con le autorizzazioni sudo corrispondenti durante l'installazione di un ruolo di lavoro ibrido per runbook di Linux. Se si tenta di installare il ruolo di lavoro e l'account non è presente o non dispone delle autorizzazioni appropriate, l'installazione non riesce.
Verificare che l'agente stia segnalando all'area di lavoro.
L'agente di Log Analytics per Linux connette i computer a un'area di lavoro Log Analytics di Monitoraggio di Azure. Quando si installa l'agente nel computer e lo si connette all'area di lavoro, vengono scaricati automaticamente i componenti necessari per il ruolo di lavoro ibrido per runbook.
Quando l'agente è connesso correttamente all'area di lavoro Log Analytics dopo alcuni minuti, è possibile eseguire la query seguente per verificare che invii dati heartbeat all'area di lavoro.
Heartbeat | where Category == "Direct Agent" | where TimeGenerated > ago(30m)
Nei risultati della ricerca dovrebbero essere visualizzati i record heartbeat per il computer, a indicare che è connesso e segnala al servizio. Per impostazione predefinita, ogni agente trasmette un record di heartbeat all'area di lavoro assegnata.
Eseguire il comando seguente per aggiungere il computer a un gruppo di ruoli di lavoro ibrido per runbook, specificando i valori per i
-w
parametri ,-k
,-g
e-e
.È possibile ottenere le informazioni necessarie per i
-k
parametri e-e
dalla pagina Chiavi nell'account di Automazione. Selezionare Chiavi nella sezione Impostazioni account dal lato sinistro della pagina.Per il
-e
parametro copiare il valore per URL.Per il
-k
parametro copiare il valore per PRIMARY ACCESS KEY.Per il
-g
parametro specificare il nome del gruppo ruolo di lavoro ibrido per runbook a cui deve essere aggiunto il nuovo ruolo di lavoro ibrido per runbook linux. Se questo gruppo esiste già nell'account di Automazione, il computer corrente viene aggiunto. Se questo gruppo non esiste, viene creato con tale nome.Per il parametro specificare l'ID
-w
dell'area di lavoro Log Analytics.
sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/onboarding.py --register -w <logAnalyticsworkspaceId> -k <automationSharedKey> -g <hybridGroupName> -e <automationEndpoint>
Verificare la distribuzione al termine dello script. Nella pagina Gruppi di ruoli di lavoro ibridi per runbook nell'account di Automazione, nella scheda Gruppo Ruoli di lavoro ibridi per runbook utente vengono visualizzati il gruppo nuovo o esistente e il numero di membri. Se si tratta di un gruppo esistente, il numero di membri viene incrementato. È possibile selezionare il gruppo dall'elenco nella pagina, nel menu a sinistra scegliere Ruoli di lavoro ibridi. Nella pagina Ruoli di lavoro ibridi è possibile visualizzare ogni membro del gruppo elencato.
Nota
Se si usa l'estensione macchina virtuale Log Analytics per Linux per una macchina virtuale di Azure, è consigliabile impostare
autoUpgradeMinorVersion
sufalse
come le versioni di aggiornamento automatico possono causare problemi con il ruolo di lavoro ibrido per runbook. Per informazioni su come aggiornare manualmente l'estensione, vedere Distribuzione dell'interfaccia della riga di comando di Azure.
Disattivare la convalida della firma
Per impostazione predefinita, i ruoli di lavoro ibridi per runbook di Linux richiedono la convalida della firma. Se si esegue un runbook senza firma in un ruolo di lavoro, viene visualizzato un errore Signature validation failed
. Per disattivare la convalida della firma, eseguire il comando seguente come radice. Sostituire il secondo parametro con l'ID dell'area di lavoro Log Analytics.
sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --false <logAnalyticsworkspaceId>
Rimuovere il ruolo di lavoro ibrido per runbook
Eseguire i comandi seguenti come radice nel ruolo di lavoro ibrido Linux basato su agente:
sudo bash rm -r /home/nxautomation
In Automazione processi, selezionare Gruppi di ruoli di lavoro ibridi e quindi selezionare il gruppo di ruoli di lavoro ibridi per passare alla pagina Gruppo di ruoli di lavoro ibridi.
In Gruppo di ruoli di lavoro ibridi selezionare Ruoli di lavoro ibridi.
Selezionare la casella di controllo accanto ai computer da eliminare dal gruppo di ruoli di lavoro ibridi.
Selezionare Elimina per rimuovere il ruolo di lavoro ibrido Linux basato su agente.
Nota
- Questo script non rimuove l'agente di Log Analytics per Linux dal computer. Rimuove solo la funzionalità e la configurazione del ruolo di lavoro ibrido per runbook.
- Dopo aver disabilitato il collegamento privato nell'account di Automazione, potrebbero essere necessari fino a 60 minuti per rimuovere il ruolo di lavoro ibrido per runbook.
- Dopo aver rimosso il ruolo di lavoro ibrido, il certificato di autenticazione del ruolo di lavoro ibrido nel computer è valido per 45 minuti.
Remove a Hybrid Worker group (Rimuovere un gruppo di ruoli di lavoro ibridi)
Per rimuovere un gruppo di ruoli di lavoro ibrido per runbook di computer Linux, usare gli stessi passaggi di un gruppo di ruoli di lavoro ibridi di Windows. Vedere Rimuovere un gruppo di ruoli di lavoro ibridi.
Gestire le autorizzazioni dei ruoli per i gruppi di ruoli di lavoro ibridi e i ruoli di lavoro ibridi
È possibile creare ruoli di Automazione di Azure personalizzati e concedere le autorizzazioni seguenti ai gruppi di ruoli di lavoro ibridi e ai ruoli di lavoro ibridi. Per altre informazioni su come creare Automazione di Azure ruoli personalizzati, vedere Ruoli personalizzati di Azure
Azioni | Descrizione |
---|---|
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | Legge un gruppo di ruoli di lavoro ibridi per runbook |
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/write | Crea un gruppo di lavoro ibrido per runbook. |
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/delete | Elimina un gruppo di lavoro ibrido per runbook. |
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/read | Legge un ruolo di lavoro ibrido per runbook. |
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/delete | Elimina un ruolo di lavoro ibrido per runbook. |
Controllare la versione del ruolo di lavoro ibrido
Per controllare la versione del ruolo di lavoro ibrido per runbook Linux basato su agente, passare al percorso seguente:
sudo cat /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/VERSION
Il file VERSION ha il numero di versione del ruolo di lavoro ibrido per runbook.
Passaggi successivi
Per informazioni su come configurare i runbook per automatizzare i processi nel centro dati locale o un altro ambiente cloud, vedere Eseguire runbook in un ruolo di lavoro ibrido per runbook.
Per informazioni su come risolvere i problemi dei ruoli di lavoro ibridi per runbook, vedere Risolvere i problemi dei ruoli di lavoro ibridi per runbook - Linux.