Automation-runbooks uitvoeren op een Hybrid Runbook Worker

Runbooks die worden uitgevoerd op een Hybrid Runbook Worker beheren doorgaans resources op de lokale computer of op resources in de lokale omgeving waarin de werkrol wordt geïmplementeerd. Runbooks in Azure Automation beheren doorgaans resources in de Azure-cloud. Hoewel ze anders worden gebruikt, zijn runbooks die worden uitgevoerd in Azure Automation en runbooks die worden uitgevoerd op een Hybrid Runbook Worker identiek in structuur.

Wanneer u een runbook maakt dat moet worden uitgevoerd op een Hybrid Runbook Worker, moet u het runbook bewerken en testen op de computer waarop de werkrol wordt gehost. Op de hostcomputer zijn alle PowerShell-modules en netwerktoegang vereist om de lokale resources te beheren. Zodra u het runbook op de Hybrid Runbook Worker-machine hebt getest, kunt u het uploaden naar de Azure Automation-omgeving, waar het kan worden uitgevoerd op de werkrol.

Plannen voor Azure-services die worden beveiligd door firewall

Als u de Azure Firewall inschakelt in Azure Storage, Azure Key Vault of Azure SQL, blokkeert u de toegang vanuit Azure Automation-runbooks voor deze services. De toegang wordt geblokkeerd, zelfs als de firewall-uitzondering om vertrouwde Microsoft-services toe te staan is ingeschakeld, omdat Automation geen deel uitmaakt van de lijst met vertrouwde services. Met een ingeschakelde firewall kan alleen toegang worden gemaakt met behulp van een Hybrid Runbook Worker en een service-eindpunt voor een virtueel netwerk.

Gedrag van runbooktaak plannen

Azure Automation verwerkt taken op Hybrid Runbook Workers anders dan taken die worden uitgevoerd in cloud-sandboxes. Als u een langlopend runbook hebt, moet u ervoor zorgen dat het bestand bestand is tegen mogelijk opnieuw opstarten. Zie Hybrid Runbook Worker-taken voor meer informatie over het gedrag van de taak.

Serviceaccounts

Windows Hybrid Worker

Taken voor Hybrid Runbook Workers worden uitgevoerd onder het lokale systeemaccount .

Linux Hybrid Worker

Runbookmachtigingen configureren

Definieer machtigingen voor uw runbook om op de Hybrid Runbook Worker uit te voeren op de volgende manieren:

• Zorg ervoor dat het runbook een eigen verificatie biedt voor lokale resources.
• Configureer verificatie met behulp van beheerde identiteiten voor Azure-resources.
• Geef Hybrid Worker-referenties op om een gebruikerscontext te bieden voor alle runbooks.

Runbookverificatie gebruiken voor lokale resources

Als u een runbook voorbereidt dat een eigen verificatie voor resources biedt, gebruikt u referentie - en certificaatassets in uw runbook. Er zijn verschillende cmdlets waarmee u referenties kunt opgeven, zodat het runbook kan worden geverifieerd bij verschillende resources. In het volgende voorbeeld ziet u een deel van een runbook waarmee een computer opnieuw wordt opgestart. Hiermee worden referenties opgehaald uit een referentieasset en de naam van de computer uit een variabele asset en worden deze waarden vervolgens gebruikt met de Restart-Computer cmdlet.

$Cred = Get-AutomationPSCredential -Name "MyCredential"
$Computer = Get-AutomationVariable -Name "ComputerName"

Restart-Computer -ComputerName $Computer -Credential $Cred

U kunt ook een InlineScript-activiteit gebruiken. InlineScript hiermee kunt u codeblokken uitvoeren op een andere computer met referenties.

Runbookverificatie gebruiken met beheerde identiteiten

Hybrid Runbook Workers op virtuele Azure-machines kunnen beheerde identiteiten gebruiken om te verifiëren bij Azure-resources. Het gebruik van beheerde identiteiten voor Azure-resources in plaats van Uitvoeren als-accounts biedt voordelen omdat u het volgende niet hoeft te doen:

• Exporteer het Uitvoeren als-certificaat en importeer het vervolgens in de Hybrid Runbook Worker.
• Vernieuw het certificaat dat wordt gebruikt door het Uitvoeren als-account.
• Het Run As-verbindingsobject in uw runbookcode verwerken.

Er zijn twee manieren om de beheerde identiteiten te gebruiken in Hybrid Runbook Worker-scripts.

1. Gebruik de door het systeem toegewezen beheerde identiteit voor het Automation-account:

   1. Configureer een door het systeem toegewezen beheerde identiteit voor het Automation-account.

   2. Verdeel deze identiteit de vereiste machtigingen binnen het abonnement om de taak uit te voeren.

   3. Werk het runbook bij om de cmdlet Verbinding maken-AzAccount te gebruiken met de Identity parameter voor verificatie bij Azure-resources. Deze configuratie vermindert de noodzaak om een Uitvoeren als-account te gebruiken en het bijbehorende accountbeheer uit te voeren.

      # Ensures you do not inherit an AzContext in your runbook
      Disable-AzContextAutosave -Scope Process
      
      # Connect to Azure with system-assigned managed identity
      $AzureContext = (Connect-AzAccount -Identity).context
      
      # set and store context
      $AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile
      $AzureContext
      
      # Get all VM names from the subscription
      Get-AzVM -DefaultProfile $AzureContext | Select Name
      

   Notitie

   Het is niet mogelijk om de door de gebruiker beheerde identiteit van het Automation-account te gebruiken op een Hybrid Runbook Worker. Dit moet de door het systeem beheerde identiteit van het Automation-account zijn.

2. Gebruik de beheerde identiteit van de VM voor een Azure-VM die wordt uitgevoerd als hybrid Runbook Worker. In dit geval kunt u de door de gebruiker toegewezen beheerde identiteit van de virtuele machine of de door het systeem toegewezen beheerde identiteit van de virtuele machine gebruiken.

   Notitie

   Dit werkt NIET in een Automation-account dat is geconfigureerd met een beheerde identiteit van een Automation-account. Zodra managed identity voor het Automation-account is ingeschakeld, is het niet meer mogelijk om de beheerde identiteit van de virtuele machine te gebruiken. Het is dan alleen mogelijk om de door het Automation-accountsysteem toegewezen beheerde identiteit te gebruiken, zoals vermeld in optie 1 hierboven.

   Gebruik een van de volgende beheerde identiteiten:

   • Door het systeem toegewezen beheerde identiteit van de VM
   • Door de gebruiker toegewezen beheerde identiteit van de VM

   1. Configureer een door het systeem beheerde identiteit voor de virtuele machine.
   2. Verdeel deze identiteit de vereiste machtigingen binnen het abonnement om de bijbehorende taken uit te voeren.
   3. Werk het runbook bij om de cmdlet Verbinding maken-Az-Account te gebruiken met de Identity parameter voor verificatie bij Azure-resources. Deze configuratie vermindert de noodzaak om een Uitvoeren als-account te gebruiken en het bijbehorende accountbeheer uit te voeren.

       # Ensures you do not inherit an AzContext in your runbook
       Disable-AzContextAutosave -Scope Process
   
       # Connect to Azure with system-assigned managed identity
       $AzureContext = (Connect-AzAccount -Identity).context
   
       # set and store context
       $AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile
       $AzureContext
   
       # Get all VM names from the subscription
       Get-AzVM -DefaultProfile $AzureContext | Select Name
   

Aan een server met Arc of een VMware vSphere-VM met Arc die wordt uitgevoerd als hybrid Runbook Worker, is al een ingebouwde door het systeem beheerde identiteit toegewezen die kan worden gebruikt voor verificatie.

1. U kunt deze beheerde identiteit toegang verlenen tot resources in uw abonnement op de blade Toegangsbeheer (IAM) voor de resource door de juiste roltoewijzing toe te voegen.

   

2. Voeg de door Azure Arc beheerde identiteit indien nodig toe aan uw gekozen rol.

   

Runbookverificatie gebruiken met Hybrid Worker-referenties

In plaats van uw runbook een eigen verificatie te laten opgeven voor lokale resources, kunt u Hybrid Worker-referenties opgeven voor een Hybrid Runbook Worker-groep. Als u een Hybrid Worker-referenties wilt opgeven, moet u een referentieasset definiëren die toegang heeft tot lokale resources. Deze resources omvatten certificaatarchieven en alle runbooks worden uitgevoerd onder deze referenties op een Hybrid Runbook Worker in de groep.

• De gebruikersnaam voor de referentie moet een van de volgende indelingen hebben:

  • Domein\gebruikersnaam
  • username@domain
  • gebruikersnaam (voor accounts lokaal naar de on-premises computer)

• Als u het PowerShell-runbook Export-RunAsCertificateToHybridWorker wilt gebruiken, moet u de Az-modules voor Azure Automation installeren op de lokale computer.

Een referentieasset gebruiken voor een Hybrid Runbook Worker-groep

Hybride taken worden standaard uitgevoerd in de context van Systeemaccount. Voer de stappen uit om hybride taken uit te voeren onder een andere referentieasset:

1. Maak een referentieasset met toegang tot lokale resources.
2. Open in Azure-portal het Automation-account.
3. Selecteer Hybrid Worker-groepen en selecteer vervolgens de specifieke groep.
4. Selecteer Instellingen.
5. Wijzig de waarde van Hybrid Worker-referenties van Standaard in Aangepast.
6. Selecteer de referentie en klik op Opslaan.
7. Als de volgende machtigingen niet zijn toegewezen voor aangepaste gebruikers, worden taken mogelijk onderbroken.

Een runbook starten op een Hybrid Runbook Worker

Een runbook starten in Azure Automation beschrijft verschillende methoden voor het starten van een runbook. Als u een runbook op een Hybrid Runbook Worker start, wordt een optie Uitvoeren gebruikt waarmee u de naam van een Hybrid Runbook Worker-groep kunt opgeven. Wanneer een groep is opgegeven, haalt een van de werknemers in die groep het runbook op en voert deze uit. Als uw runbook deze optie niet opgeeft, voert Azure Automation het runbook zoals gebruikelijk uit.

Wanneer u een runbook start in Azure Portal, ziet u de optie Uitvoeren op waarvoor u Azure of Hybrid Worker kunt selecteren. Selecteer Hybrid Worker om de Hybrid Runbook Worker-groep te kiezen in een vervolgkeuzelijst.

Wanneer u een runbook start met behulp van PowerShell, gebruikt u de RunOn parameter met de cmdlet Start-AzAutomationRunbook . In het volgende voorbeeld wordt Windows PowerShell gebruikt om een runbook met de naam Test-Runbook te starten in een Hybrid Runbook Worker-groep met de naam MyHybridGroup.

Start-AzAutomationRunbook -AutomationAccountName "MyAutomationAccount" -Name "Test-Runbook" -RunOn "MyHybridGroup"

Werken met ondertekende runbooks op een Windows Hybrid Runbook Worker

U kunt een Windows Hybrid Runbook Worker configureren om alleen ondertekende runbooks uit te voeren.

Handtekeningcertificaat maken

In het volgende voorbeeld wordt een zelfondertekend certificaat gemaakt dat kan worden gebruikt voor het ondertekenen van runbooks. Met deze code wordt het certificaat gemaakt en geëxporteerd, zodat hybrid Runbook Worker het later kan importeren. De vingerafdruk wordt ook geretourneerd voor later gebruik bij het verwijzen naar het certificaat.

# Create a self-signed certificate that can be used for code signing
$SigningCert = New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\my `
    -Subject "CN=contoso.com" `
    -KeyAlgorithm RSA `
    -KeyLength 2048 `
    -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
    -KeyExportPolicy Exportable `
    -KeyUsage DigitalSignature `
    -Type CodeSigningCert

# Export the certificate so that it can be imported to the hybrid workers
Export-Certificate -Cert $SigningCert -FilePath .\hybridworkersigningcertificate.cer

# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root

# Retrieve the thumbprint for later use
$SigningCert.Thumbprint

Certificaat importeren en werkrollen configureren voor handtekeningvalidatie

Kopieer het certificaat dat u hebt gemaakt naar elke Hybrid Runbook Worker in een groep. Voer het volgende script uit om het certificaat te importeren en de werkrollen te configureren voor het gebruik van handtekeningvalidatie op runbooks.

# Install the certificate into a location that will be used for validation.
New-Item -Path Cert:\LocalMachine\AutomationHybridStore
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\AutomationHybridStore

# Import the certificate into the trusted root store so the certificate chain can be validated
Import-Certificate -FilePath .\hybridworkersigningcertificate.cer -CertStoreLocation Cert:\LocalMachine\Root

# Configure the hybrid worker to use signature validation on runbooks.
Set-HybridRunbookWorkerSignatureValidation -Enable $true -TrustedCertStoreLocation "Cert:\LocalMachine\AutomationHybridStore"

Uw runbooks ondertekenen met behulp van het certificaat

Wanneer Hybrid Runbook Workers is geconfigureerd voor het gebruik van alleen ondertekende runbooks, moet u runbooks ondertekenen die moeten worden gebruikt in Hybrid Runbook Worker. Gebruik de volgende PowerShell-voorbeeldcode om deze runbooks te ondertekenen.

$SigningCert = ( Get-ChildItem -Path cert:\LocalMachine\My\<CertificateThumbprint>)
Set-AuthenticodeSignature .\TestRunbook.ps1 -Certificate $SigningCert

Wanneer een runbook is ondertekend, moet u het importeren in uw Automation-account en het publiceren met het handtekeningblok. Zie Een runbook importeren voor meer informatie over het importeren van runbooks.

Werken met ondertekende runbooks op een Hybrid Runbook Worker voor Linux

Als u wilt kunnen werken met ondertekende runbooks, moet een Linux Hybrid Runbook Worker het uitvoerbare GPG-bestand op de lokale computer hebben.

U voert de volgende stappen uit om deze configuratie te voltooien:

• Een GPG-sleutelring en keypair maken
• De sleutelhanger beschikbaar maken voor Hybrid Runbook Worker
• Controleer of handtekeningvalidatie is ingeschakeld
• Een runbook ondertekenen

Een GPG-sleutelring en keypair maken

Gebruik het Hybrid Runbook Worker nxautomation-account om de GPG-sleutelring en keypair te maken.

1. Gebruik de sudo-toepassing om u aan te melden als nxautomation-account.

   sudo su - nxautomation
   

2. Zodra u nxautomation gebruikt, genereert u de GPG-keypair als root. GPG begeleidt u door de stappen. U moet naam, e-mailadres, verlooptijd en wachtwoordzin opgeven. Vervolgens wacht u tot er voldoende entropie op de machine is om de sleutel te genereren.

   sudo gpg --generate-key
   

3. Omdat de GPG-map is gegenereerd met sudo, moet u de eigenaar wijzigen in nxautomation met behulp van de volgende opdracht als root.

   sudo chown -R nxautomation ~/.gnupg
   

De sleutelhanger beschikbaar maken voor Hybrid Runbook Worker

Zodra de sleutelring is gemaakt, maakt u deze beschikbaar voor Hybrid Runbook Worker. Wijzig het instellingenbestand home/nxautomation/state/worker.conf om de volgende voorbeeldcode onder de bestandssectie op te nemen [worker-optional].

gpg_public_keyring_path = /home/nxautomation/run/.gnupg/pubring.kbx

Controleer of handtekeningvalidatie is ingeschakeld

Als handtekeningvalidatie is uitgeschakeld op de computer, moet u deze inschakelen door de volgende opdracht uit te voeren als root. Vervang door <LogAnalyticsworkspaceId> uw werkruimte-id.

sudo python /opt/microsoft/omsconfig/modules/nxOMSAutomationWorker/DSCResources/MSFT_nxOMSAutomationWorkerResource/automationworker/scripts/require_runbook_signature.py --true <LogAnalyticsworkspaceId>

Een runbook ondertekenen

Nadat u de handtekeningvalidatie hebt geconfigureerd, gebruikt u de volgende GPG-opdracht om het runbook te ondertekenen.

gpg --clear-sign <runbook name>

Het ondertekende runbook heet runbook name.asc>.<

U kunt het ondertekende runbook nu uploaden naar Azure Automation en uitvoeren als een gewoon runbook.

Logboekregistratie

Om u te helpen bij het oplossen van problemen met uw runbooks die worden uitgevoerd op een hybrid runbook worker, worden logboeken lokaal opgeslagen op de volgende locatie:

• In Windows op C:\ProgramData\Microsoft\System Center\Orchestrator\<version>\SMA\Sandboxes voor gedetailleerde logboekregistratie van taakruntimeprocessen. Runbooktaakstatusgebeurtenissen op hoog niveau worden geschreven naar de toepassings- en serviceslogboeken\Microsoft-Automation\Operations-gebeurtenislogboek .

• In Linux zijn de hybrid worker-logboeken van de gebruiker te vinden op /home/nxautomation/run/worker.logen zijn de logboeken van systeemrunbook worker te vinden op /var/opt/microsoft/omsagent/run/automationworker/worker.log.

Volgende stappen

• Zie Automation Hybrid Runbook Worker voor meer informatie over Hybrid Runbook Worker.
• Als uw runbooks niet zijn voltooid, raadpleegt u de gids voor probleemoplossing voor fouten bij het uitvoeren van runbooks.
• Zie PowerShell-documenten voor meer informatie over PowerShell, inclusief taalreferentie- en leermodules.
• Meer informatie over het gebruik van Azure Policy voor het beheren van runbookuitvoering met Hybrid Runbook Workers.
• Zie Az.Automation voor een naslagdocumentatie voor een PowerShell-cmdlet.