Automation Hybrid Runbook Worker の概要

重要

Azure Automation エージェント ベースのユーザー Hybrid Runbook Worker (Windows と Linux) は 2024 年 8 月 31 日に廃止され、その日以降はサポートされません。 2024 年 8 月 31 日より前に、既存のエージェント ベースのユーザー Hybrid Runbook Worker の、拡張機能ベースの Worker への移行を、完了する必要があります。 さらに、2023 年 11 月 1 日からは、新しいエージェント ベースのハイブリッド worker を作成できなくなります。 詳細情報 を参照してください。

Azure Automation の Runbook は Azure クラウド プラットフォームで実行されるため、他のクラウドやオンプレミス環境のリソースにはアクセスできないことがあります。 Azure Automation の Hybrid Runbook Worker 機能により、ロールをホスティングしているマシン上で直接、環境中のリソースに対して Runbook を実行することで、それらのローカル リソースを管理できます。 Runbook は Azure Automation で格納および管理された後、1 つ以上の割り当て済みマシンに配信されます。

Azure Automation では、Azure 仮想マシン (VM) 拡張フレームワークにより、Hybrid Runbook Worker ロールのネイティブ統合をサポートしています。 Azure VM エージェントがこの拡張機能の管理を担当しているのは、Windows および Linux VM 上の Azure VM と、Azure Arc 対応サーバーAzure Arc 対応 VMware vSphere (プレビュー) などの非 Azure マシン上の Azure Connected Machine エージェントです。 Azure Automation でサポートしている、Hybrid Runbook Worker インストール プラットフォームは 2 つあります。

プラットフォーム 説明
拡張機能ベース (V2) Hybrid Runbook Worker VM 拡張機能を使用してインストールします。Log Analytics エージェントから Azure Monitor Log Analytics ワークスペースへのレポートは必要ありません。 こちらのプラットフォームを推奨します
エージェント ベース (V1) Log Analytics エージェント から Azure Monitor Log Analytics ワークスペース へのレポート送信を完了した後でインストールします。

Screenshot of hybrid worker group showing platform field.

インストール後の Hybrid Runbook Worker の操作でも、Hybrid Runbook Worker で Runbook を実行するプロセスは同じです。 拡張機能ベースのバージョンの目的は、Hybrid Runbook Worker ロールのインストールと管理を単純化し、エージェント ベースのバージョンを使用する場合に生じる複雑さをなくすことです。 拡張機能ベースのものを新たにインストールしても、インストール済みのエージェント ベース Hybrid Runbook Worker ロールとその管理には影響がありません。 いずれの Hybrid Runbook Worker も同じコンピューター上で共存できます。

拡張機能ベースの Hybrid Runbook Worker は、ユーザー Hybrid Runbook Worker だけをサポートしており、Update Management 機能に必要なシステム Hybrid Runbook Worker は含まれていません。

拡張機能ベースのユーザー ハイブリッド worker の利点

拡張機能ベースのアプローチにより、User Hybrid Runbook Worker のインストールと管理が大幅に簡素化され、エージェントベースのアプローチの操作の複雑さが解消されます。 主な利点を次に示します。

  • シームレスなオンボード – Hybrid Runbook Worker をオンボードするためのエージェントベースのアプローチは、Log Analytics エージェントに依存します。これは、マルチステップで時間がかかり、エラーが発生しやすいプロセスです。 拡張機能ベースのアプローチは、Log Analytics エージェントに依存しなくなりました。
  • 管理のしやすさ - ARM ID と Hybrid Runbook Worker のネイティブ統合をサポートしています。ポリシーとテンプレートにより大規模なガバナンスを柔軟に実行できます。
  • Microsoft Entra ID ベースの認証 – Microsoft Entra ID によって提供される VM システム割り当てマネージド ID を使用します。 これにより、ID およびリソースの資格情報の制御と管理を一元化できます。
  • 統合エクスペリエンス – Azure と Azure 以外の Arc 対応マシンを管理するための同じエクスペリエンスが提供されます。
  • 複数のオンボード チャネル – Azure portal、PowerShell コマンドレット、Bicep、ARM テンプレート、REST API、Azure CLI を使用して、拡張機能ベースのワーカーをオンボードおよび管理することができます。 [拡張機能] ブレードを使用して、そのマシンの Azure portal エクスペリエンス内の既存の Azure VM または Arc 対応サーバーに拡張機能をインストールすることもできます。
  • 既定の自動アップグレード – 既定ではマイナー バージョンの自動アップグレードが提供されるため、最新バージョンでの更新を維持する管理性が大幅に低下します。 自動アップグレードを有効にして、手動のオーバーヘッドなしでセキュリティや機能更新プログラムを利用することをお勧めします。 いつでも自動アップグレードをオプトアウトすることもできます。 メジャー バージョンのアップグレードは現在サポートされていないため、手動で管理する必要があります。

Runbook Worker の種類

Runbook Worker には、システムとユーザーの 2 種類があります。 次の表は、それらの違いについて説明しています。

説明
システム Windows および Linux マシンにユーザー指定の更新プログラムをインストールするために設計された Update Management 機能によって使用される、非表示の一連の Runbook がサポートされます。
この種類の Hybrid Runbook Worker は、Hybrid Runbook Worker グループのメンバーではないため、Hybrid Runbook Worker グループをターゲットにした Runbook は実行できません。
User Windows と Linux のマシン上で直接実行することを目的としたユーザー定義の Runbook がサポートされます。

エージェントベース (V1) の Hybrid Runbook Worker は、Azure Monitor Log Analytics ワークスペースへのレポートのために、Log Analytics エージェントに依存します。 ワークスペースは、コンピューターから監視データを収集するだけでなく、エージェントベースの Hybrid Runbook Worker のインストールに必要なコンポーネントをダウンロードするためのものでもあります。

Azure Automation Update Management を有効にすると、Log Analytics ワークスペースに接続されたマシンはすべてシステム Hybrid Runbook Worker として自動的に構成されます。 ユーザー Windows Hybrid Runbook Worker として設定するには、Automation でエージェント ベースの Windows Hybrid Runbook Worker をデプロイする方法に関する記事をご覧ください。Linux の場合は、Automation でエージェント ベースの Linux Hybrid Runbook Worker をデプロイする方法に関する記事をご覧ください。

Runbook Worker の制限

次の表は、Automation アカウントにおけるシステムとユーザーの Hybrid Runbook Worker の最大数を示しています。 管理するマシンが 4,000 台を超える場合は、別の Automation アカウントを作成することをお勧めします。

作業者タイプ Automation アカウントあたりの対応最大数。
システム 4000
User 4000

それはどのように機能しますか?

各ユーザー Hybrid Runbook Worker は、Worker のインストール時に指定する Hybrid Runbook Worker グループのメンバーです。 グループに 1 の worker を含めることは可能ですが、高可用性を実現するために、複数の worker をグループに含めることができます。 マシン 1 台につき、Automation アカウントにレポートを送信する Hybrid Runbook Worker を 1 つホスティングできます。1 つのハイブリッド worker を複数の Automation アカウントに登録することはできません。 ハイブリッド worker は、単一の Automation アカウントからしかジョブをリッスンできません。

User Hybrid Runbook Worker technical diagram

Update Management によって管理されているシステム Hybrid Runbook Worker をホストしているマシンの場合は、Hybrid Runbook Worker グループに追加できます。 しかし、Update Management と Hybrid Runbook Worker グループ メンバーシップの両方に同じ Automation アカウントを使用する必要があります。

System Hybrid Runbook Worker technical diagram

複数の Hybrid Runbook Worker を使用するハイブリッド worker グループは、複数の worker にジョブを割り当てることで、高可用性と負荷分散を実現するように設計されています。 Runbook を正常に実行するには、ハイブリッド worker が正常で、ハートビートを提供している必要があります。 ハイブリッド worker は、ジョブを取得するためのポーリング メカニズムで機能します。 ハイブリッド worker グループ内のどの worker も過去 30 分間に Automation サービスに ping を実行していない場合、そのグループにはアクティブな worker が存在しなかったことを意味します。 このシナリオでは、3 回の再試行の後にジョブが中断されます。

ユーザー Hybrid Runbook Worker で Runbook を始めるときは、どのグループで実行するかを指定します。特定の worker を指定することはできません。 グループ内のアクティブな各ハイブリッド worker は、30 秒ごとにジョブをポーリングして、使用可能なジョブがあるかどうかを確認します。 worker は、先着順でジョブを選択します。 ジョブがプッシュされたタイミングに応じて、ハイブリッド worker グループ内で Automation サービスに最初に ping を実行したハイブリッド worker が、ジョブを取得します。 ジョブ キューの処理時間は、ハイブリッド worker のハードウェア プロファイルと負荷によっても異なります。

通常、1 つのハイブリッド worker で取得できるジョブは、ping ごと (つまり、30秒ごと) に 4 つです。 ジョブをプッシュする速さが 30 秒あたり 4 個より多く、他の worker がジョブを取得しない場合、ジョブがエラーで停止する可能性があります。

Hybrid Runbook Worker には、ディスク領域、メモリ、またはネットワーク ソケットに関する Azure サンドボックス リソースの制限の多くがありません。 ハイブリッド worker に対する制限は、worker のリソースのみに関連し、Azure サンドボックスのフェア シェアの時間制限には制限されません。

Hybrid Runbook Worker での Runbook のディストリビューション、およびジョブがトリガーされるタイミングや方法を制御するには、Automation アカウント内のさまざまな Hybrid Runbook Worker グループに対してハイブリッド worker を登録します。 独自の実行の配置に合うよう、ジョブの対象を特定の 1 つのグループや複数のグループにします。

ユーザー Hybrid Runbook Worker の一般的なシナリオ

  • 既存の Azure 仮想マシン (VM) と Azure Arc 対応サーバーまたは Azure Arc 対応 VMware VM (プレビュー) として登録されている Azure 以外のサーバーで、ゲスト内 VM 管理用のAzure Automation Runbook を直接実行するには。 Azure Arc 対応サーバーは、Azure の外部、企業ネットワーク上、または他のクラウド プロバイダー上でホストされている Windows や Linux の物理サーバーと仮想マシンにすることができます。
  • Azure Automation のサンドボックスの制限を克服する - 一般的なシナリオには、クラウド ジョブの 3 時間の制限を超える実行時間の長い操作の実行、リソース集中型の自動化処理の実行、オンプレミスまたはハイブリッド環境で動作するローカル サービスとのやり取り、管理者特権のアクセス許可が必要なスクリプトの実行が含まれます。
  • ガバナンスとセキュリティ上の理由により、データを Azure に保存することに対する組織の制約を克服する - クラウド上では Automation ジョブを実行できないため、User Hybrid Runbook Worker としてオンボードされているオンプレミス マシン上で実行することができます。
  • オンプレミスまたはマルチ クラウド環境を実行している複数の Azure 以外のリソースに対する操作を自動化します。 これらのマシンの 1 つを Hybrid Runbook Worker としてオンボードし、ローカル環境にある残りのマシンで自動化をターゲットにすることができます。
  • インターネットへの送信接続を開く必要なく、Azure Virtual Network (VNet) から他のサービスにプライベートでアクセスする。Azure VNet に接続したハイブリッド worker で Runbook を実行することができます。

Hybrid Runbook Worker のインストール

ユーザー Hybrid Runbook Worker をインストールするプロセスは、オペレーティング システムによって異なります。 次の表に、デプロイのタイプを定義します。

オペレーティング システム デプロイのタイプ
Windows 自動
[手動]
Linux [手動]
接続前/接続後 ユーザー Hybrid Runbook Worker については、Automation で、拡張機能ベースの Windows または Linux ユーザー Hybrid Runbook Worker をデプロイする方法に関する記事をご覧ください。 これが推奨される方法です。

Note

Hybrid Runbook Worker は現在、VM スケール セットではサポートされていません。

ネットワークの計画

Hybrid Runbook Worker に必要なポート、URL、およびその他のネットワークの詳細については、Azure Automation のネットワーク構成を確認してください。

プロキシ サーバーの使用

Azure Automation と、Log Analytics エージェントを実行しているマシンとの間の通信にプロキシ サーバーを使用する場合は、適切なリソースにアクセスできることを確認してください。 Hybrid Runbook Worker および Automation サービスからの要求のタイムアウトは 30 秒です。 3 回試行した後で、要求は失敗します。

ファイアウォールの使用

ファイアウォールを使用してインターネットへのアクセスを制限する場合は、アクセスを許可するようにファイアウォールを構成する必要があります。 Log Analytics ゲートウェイをプロキシとして使用する場合は、Hybrid Runbook Worker に対してこれを設定してください。 Automation Hybrid Runbook Worker 用の Log Analytics ゲートウェイの構成に関するページをご覧ください。

サービス タグ

Azure Automation では、サービス タグ GuestAndHybridManagement で始まる Azure 仮想ネットワーク サービス タグがサポートされています。 サービス タグを使用して、ネットワーク セキュリティ グループまたは Azure Firewall でのネットワーク アクセス制御を定義できます。 セキュリティ規則を作成するときに、特定の IP アドレスの代わりにサービス タグを使用できます。 規則の適切なソースまたは宛先フィールドにサービス タグ名 GuestAndHybridManagement を指定することで、Automation サービスのトラフィックを許可または拒否できます。 このサービス タグでは、IP 範囲を特定のリージョンに制限することによる、より詳細な制御はサポートされていません。

Azure Automation サービスのサービス タグでは、以下のシナリオで使用される IP のみが提供されます。

  • 仮想ネットワーク内から Webhook をトリガーする
  • VNet 上の Hybrid Runbook Worker または State Configuration エージェントに Automation サービスとの通信を許可する

Note

現時点で、サービス タグ GuestAndHybridManagement は、Azure サンドボックスでの Runbook ジョブの実行をサポートしていません。Hybrid Runbook Worker での直接の実行のみがサポートされています。

影響レベル 5 (IL5) のサポート

Azure Government で Azure Automation Hybrid Runbook Worker を使用すると、次の 2 つの構成のいずれかで、影響レベル 5 のワークロードをサポートできます。

  • 分離された仮想マシン。 デプロイすると、IL5 ワークロードをサポートするために必要な分離レベルを提供する、そのマシンの物理ホスト全体が消費されます。

  • Azure Dedicated Hosts は、1 つの Azure サブスクリプションに対して専用の、1 つ以上の仮想マシンをホストできる物理サーバーを提供します。

Note

Hybrid Runbook Worker ロールを使用したコンピューティングの分離は、Azure 商用と米国政府のクラウドで利用できます。

Hybrid Runbook Worker の Update Management アドレス

Hybrid Runbook Worker に必要な標準のアドレスとポートに加えて、Update Management には、「ネットワークの計画」セクションで説明されている他のネットワーク構成要件があります。

Hybrid Runbook Worker での Azure Automation State Configuration

Hybrid Runbook Worker で Azure Automation State Configuration を実行できます。 Hybrid Runbook Worker をサポートするサーバーの構成を管理するには、サーバーを DSC ノードとして追加する必要があります。 Azure Automation State Configuration による管理のためのマシンの有効化に関するページを参照してください。

Hybrid Runbook Worker での Runbook

ローカル マシン上のリソースを管理したり、ユーザー Hybrid Runbook Worker が展開されているローカル環境のリソースに対して実行したりする Runbook があるとします。 この場合は、Automation アカウントではなく、ハイブリッド worker で Runbook を実行できます。 Hybrid Runbook Worker で実行される Runbook は、Automation アカウントで実行する Runbook と同じ構造になります。 詳細については、「Hybrid Runbook Worker での Runbook の実行」を参照してください。

Hybrid Runbook Worker ジョブ

Hybrid Runbook Worker ジョブは、Windows ではローカルのシステム アカウントで実行され、Linux では nxautomation アカウントで実行されます。 Azure Automation による Hybrid Runbook Worker でのジョブの処理は、Azure サンドボックスで実行されるジョブとは異なります。 「Runbook の実行環境」を参照してください。

Hybrid Runbook Worker のホスト コンピューターが再起動された場合、実行中の Runbook ジョブは最初から再起動されるか、PowerShell ワークフロー Runbook の最後のチェックポイントから再起動されます。 Runbook ジョブは 4 回以上再起動すると一時停止します。

Hybrid Runbook Worker に対する Runbook のアクセス許可

ユーザー Hybrid Runbook Worker で実行される Runbook は Azure 以外のリソースにアクセスするため、Azure リソースへの認証に Runbook で通常使用される認証メカニズムを使用できません。 Runbook では、ローカル リソースに対して独自の認証を提供するか、または Azure リソース用のマネージド ID を使用して認証を構成します。 また、すべての Runbook にユーザー コンテキストを提供する実行アカウントを指定することもできます。

システム Hybrid Runbook Worker を表示する

Windows または Linux マシンで Update Management 機能を有効にしたら、Azure portal 内のシステム Hybrid Runbook Worker グループ一覧のインベントリを作成できます。 選択した Automation アカウントの左側のペインにある [Hybrid worker groups]\(ハイブリッド worker グループ\) オプションから [System hybrid worker groups]\(システム ハイブリッド worker グループ\) タブを選択することにより、ポータル内で最大 2,000 の worker を表示できます。

Automation account system hybrid worker groups page

ハイブリッド worker の数が 2,000 を超えている場合、そのすべての一覧を取得するには、次の PowerShell スクリプトを実行します。

"Get-AzSubscription -SubscriptionName "<subscriptionName>" | Set-AzContext
$workersList = (Get-AzAutomationHybridWorkerGroup -ResourceGroupName "<resourceGroupName>" -AutomationAccountName "<automationAccountName>").Runbookworker
$workersList | export-csv -Path "<Path>\output.csv" -NoClobber -NoTypeInformation"

次のステップ