Agentes de Linux autohospedados

Azure Pipelines | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2015

Para ejecutar los trabajos, necesitará al menos un agente. Un agente de Linux puede compilar e implementar diferentes tipos de aplicaciones, incluidas las aplicaciones De Java y Android. Se admite Ubuntu, Red Hat y CentOS.

Antes de empezar:

• Si las canalizaciones están Azure Pipelines y un agente hospedado por Microsoft satisface sus necesidades, puede omitir la configuración de un agente linux privado.
• De lo contrario, ha llegado al lugar adecuado para configurar un agente en Linux. Continúe con la sección siguiente.

Más información sobre los agentes

Si ya sabe qué es un agente y cómo funciona, no dude en ir directamente a las secciones siguientes. Pero si desea obtener más información sobre lo que hacen y cómo funcionan, consulte Azure Pipelines agentes.

Comprobación de los requisitos previos

Subversion

Si va a compilar desde un repositorio de Subversion, debe instalar el cliente de Subversion en la máquina.

Debe ejecutar el programa de instalación del agente manualmente la primera vez. Una vez que tenga una sensación de cómo funcionan los agentes o si desea automatizar la configuración de muchos agentes, considere la posibilidad de usar la configuración desatendida.

Preparación de permisos

Seguridad de la información para agentes auto hospedados

El usuario que configura el agente necesita permisos de administrador de grupo, pero el usuario que ejecuta el agente no.

Las carpetas controladas por el agente deben restringirse al menor número posible de usuarios y contienen secretos que se podrían descifrar o filtrar.

El agente de canalizaciones de ADO es un producto de software diseñado para ejecutar código que descarga desde orígenes externos. De forma inherente, podría ser un destino para los ataques de ejecución remota de código (RCE).

Por lo tanto, es importante tener en cuenta el modelo de amenazas que rodea cada uso individual de los agentes de Pipelines para realizar el trabajo y decidir cuáles son los permisos mínimos que se pueden conceder al usuario que ejecuta el agente, a la máquina donde se ejecuta el agente, a los usuarios que tienen acceso de escritura a la definición de canalización, a los repositorios git donde se almacena el yaml. o el grupo de usuarios que controlan el acceso al grupo para nuevas canalizaciones.

Es un procedimiento recomendado que la identidad que ejecuta el agente sea diferente de la identidad con permisos para conectar el agente al grupo. El usuario que genera las credenciales (y otros archivos relacionados con el agente) es diferente del usuario que necesita leerlas. Por lo tanto, es más seguro considerar cuidadosamente el acceso concedido a la propia máquina del agente y a las carpetas del agente que contienen archivos confidenciales, como registros y artefactos.

Tiene sentido conceder acceso a la carpeta del agente solo para DevOps administradores y la identidad de usuario que ejecuta el proceso del agente. Es posible que los administradores necesiten investigar el sistema de archivos para comprender los errores de compilación u obtener archivos de registro para poder notificar Azure DevOps errores.

Decidir qué usuario va a usar

Como paso único, debe registrar el agente. Alguien con permiso para administrar la cola del agente debe completar estos pasos. El agente no usará las credenciales de esta persona en la operación diaria, pero es necesario que complete el registro. Obtenga más información sobre cómo los agentes comunican.

Confirmación de que el usuario tiene permiso

Asegúrese de que la cuenta de usuario que va a usar tiene permiso para registrar el agente.

¿Es el usuario propietario Azure DevOps organización, TFS o Azure DevOps Server administrador? Detenga aquí, tiene permiso.

De lo contrario:

1. Abra un explorador y vaya a la pestaña Grupos de agentes de su Azure Pipelines organización o Azure DevOps Server o servidor TFS:

   1. Elija Azure DevOps, Configuración de la organización.

      

   2. Elija Grupos de agentes.

      

   1. Elija Azure DevOps, Configuración de colección.

      

   2. Elija Grupos de agentes.

      

   1. Elija Azure DevOps, Configuración de colección.

      

   2. Elija Grupos de agentes.

      

   1. Vaya al proyecto y elija Configuración (icono de engranaje) Colas del Agente.

      

   2. Elija Administrar grupos.

      

   1. Vaya al proyecto y elija Configuración (icono de engranaje) Colas del Agente.

      

   2. Elija Administrar grupos.

      

   1. Vaya al proyecto y elija Administrar proyecto (icono de engranaje).

      

   2. Elija Panel de control.

      

   3. Seleccione Grupos de agentes.

      

2. Seleccione el grupo en el lado derecho de la página y, a continuación, haga clic en Seguridad.

3. Si no se muestra la cuenta de usuario que va a usar, haga que un administrador la agregue. El administrador puede ser un administrador del grupo de agentes, un Azure DevOps propietario dela organización o un administrador de TFS Azure DevOps Server administrador.

   Si se trata de un agente de grupo de implementación, el administrador puede ser un administrador del grupo de implementación, un propietario de la organización de Azure DevOpso un administrador de TFS Azure DevOps Server .

   Puede agregar un usuario al rol de administrador del grupo de implementación en la pestaña Seguridad de la página Grupos de implementación Azure Pipelines.

Descarga y configuración del agente

Dirección URL del servidor

Tipo de autenticación

Azure Pipelines

Elija PATy pegue el token de PAT que creó en la ventana del símbolo del sistema.

TFS o Azure DevOps Server

Al configurar el agente para conectarse a TFS, tiene las siguientes opciones:

• Alternativa Conectar a TFS o Azure DevOps Server mediante la autenticación básica. Después de seleccionar Alternativa, se le pedirán sus credenciales.

• Integrado No se admite en macOS o Linux.

• Negociar (valor predeterminado) Conectar a TFS o Azure DevOps Server como un usuario distinto del usuario que ha iniciado sesión a través de un esquema de autenticación de Windows como NTLM o Kerberos. Después de seleccionar Negociar, se le pedirán las credenciales.

• PALMADITA Solo se admite en Azure Pipelines y TFS 2017 y versiones más recientes. Después de elegir PAT, pegue el token de PAT que creó en la ventana del símbolo del sistema. Use un token de acceso personal (PAT) si la instancia Azure DevOps Server o TFS y la máquina del agente no están en un dominio de confianza. La autenticación PAT se controla mediante la Azure DevOps Server o la instancia de TFS en lugar del controlador de dominio.

Ejecución interactiva

Para obtener instrucciones sobre si se debe ejecutar el agente en modo interactivo o como servicio, vea Agentes: interactivo frentea servicio.

Para ejecutar el agente de forma interactiva:

1. Si ha estado ejecutando el agente como servicio, desinstale el servicio.

2. Ejecute el agente.

   ./run.sh
   

Para reiniciar el agente, presione Ctrl+C y, a continuación, ejecute run.sh para reiniciarlo.

Para usar el agente, ejecute un trabajo con el grupo del agente. Si no ha elegido otro grupo, el agente estará en el grupo Predeterminado.

Ejecutar una vez

En el caso de los agentes configurados para ejecutarse de forma interactiva, puede optar por que el agente acepte solo un trabajo. Para ejecutar en esta configuración:

./run.sh --once

Los agentes de este modo solo aceptarán un trabajo y, a continuación, se pondrán en marcha correctamente (útil para ejecutarse en Docker en un servicio como Azure Container Instances).

Ejecución como un servicio systemd

Si el agente se ejecuta en estos sistemas operativos, puede ejecutarlo como systemd servicio:

• Ubuntu 16 LTS o posterior
• Red Hat 7.1 o posterior

Proporcionamos un ./svc.sh script de ejemplo para que ejecute y administre el agente como systemd servicio. Este script se generará después de configurar el agente. Le recomendamos que revise y, si es necesario, actualice el script antes de ejecutarlo.

Algunas advertencias importantes:

• Si ejecuta el agente como servicio, no podrá ejecutar el servicio del agente como root usuario.
• Los usuarios que ejecutan SELinux han notificado dificultades con el script proporcionado. Consulte este problema del agente como punto de partida. SELinux no es una configuración admitida oficialmente.

Comandos

Cambio al directorio del agente

Por ejemplo, si instaló en la myagent subcarpeta del directorio principal:

cd ~/myagent$

Instalar

Comando:

sudo ./svc.sh install [username]

Este comando crea un archivo de servicio que apunta a ./runsvc.sh . Este script configura el entorno (más detalles a continuación) e inicia el host de agentes. Si no se especifica el parámetro , el nombre de usuario se toma de la variable de entorno username $SUDO_USER que se establece mediante el comando sudo. Esta variable siempre es igual al nombre del usuario que invocó el sudo comando.

Inicio

sudo ./svc.sh start

Estado

sudo ./svc.sh status

Stop

sudo ./svc.sh stop

Desinstalación

Debe detenerse antes de desinstalar.

sudo ./svc.sh uninstall

Actualización de variables de entorno

Al configurar el servicio, toma una instantánea de algunas variables de entorno útiles para el usuario de inicio de sesión actual, como PATH, LANG, JAVA_HOME, ANT_HOME y MYSQL_PATH. Si necesita actualizar las variables (por ejemplo, después de instalar algún software nuevo):

./env.sh
sudo ./svc.sh stop
sudo ./svc.sh start

La instantánea de las variables de entorno se almacena en el archivo ( se almacena en ) en el directorio raíz del agente; también puede cambiar estos archivos directamente para aplicar cambios .env en las variables de PATH.path entorno.

Instrucciones de ejecución antes de que se inicie el servicio

También puede ejecutar sus propias instrucciones y comandos para que se ejecuten cuando se inicie el servicio. Por ejemplo, puede configurar el entorno o llamar a scripts.

1. Edite runsvc.sh.

2. Reemplace la siguiente línea por sus instrucciones:

   # insert anything to setup env when running as a service
   

Archivos de servicio

Al instalar el servicio, algunos archivos de servicio se ponen en su lugar.

archivo de servicio systemd

Se crea un archivo de servicio systemd:

/etc/systemd/system/vsts.agent.{tfs-name}.{agent-name}.service

Por ejemplo, ha configurado un agente (vea más arriba) con el nombre our-linux-agent . El archivo de servicio será:

• Azure Pipelines: el nombre de la organización. Por ejemplo, si se conecta a https://dev.azure.com/fabrikam , el nombre del servicio sería /etc/systemd/system/vsts.agent.fabrikam.our-linux-agent.service

• TFS o Azure DevOps Server: el nombre del servidor local. Por ejemplo, si se conecta a http://our-server:8080/tfs , el nombre del servicio sería /etc/systemd/system/vsts.agent.our-server.our-linux-agent.service

sudo ./svc.sh install genera este archivo a partir de esta plantilla: ./bin/vsts.agent.service.template

Archivo .service

sudo ./svc.sh start busca el servicio leyendo el archivo .service , que contiene el nombre del archivo de servicio systemd descrito anteriormente.

Mecanismos de servicio alternativos

Proporcionamos el script como una manera cómoda de ejecutar ./svc.sh y administrar el agente como un servicio systemd. Pero puede usar cualquier tipo de mecanismo de servicio que prefiera (por ejemplo: initd o upstart).

Puede usar la plantilla descrita anteriormente como para facilitar la generación de otros tipos de archivos de servicio.

Uso de un cgroup para evitar errores del agente

Es importante evitar situaciones en las que el agente produce un error o deja de ser utilizable porque, de lo contrario, el agente no puede transmitir registros de canalización ni notificar el estado de la canalización al servidor. Puede mitigar el riesgo de que este tipo de problema se deba a una presión de memoria alta mediante cgroups y un menor oom_score_adj . Una vez hecho esto, Linux reclama la memoria del sistema de los procesos de trabajo de canalización antes de reclamar memoria del proceso del agente. Obtenga información sobre cómo configurar cgroups y puntuación de OOM.

Reemplazo de un agente

Para reemplazar un agente, siga los pasos Descargar y configurar el agente de nuevo.

Al configurar un agente con el mismo nombre que un agente que ya existe, se le preguntará si desea reemplazar el agente existente. Si responde , asegúrese de quitar el agente (consulte a Y continuación) que va a reemplazar. De lo contrario, después de unos minutos de conflictos, uno de los agentes se apagará.

Quitar y volver a configurar un agente

Para eliminar el agente:

1. Detenga y desinstale el servicio como se explicó anteriormente.

2. Quite el agente.

   ./config.sh remove
   

3. Escriba sus credenciales.

Después de quitar el agente, puede volver a configurarlo.

Configuración desatendida

El agente se puede configurar desde un script sin intervención humana. Debe pasar y --unattended las respuestas a todas las preguntas.

./config.sh --help siempre enumera las respuestas obligatorias y opcionales más recientes.

Diagnóstico

Si tiene problemas con el agente auto hospedado, puede intentar ejecutar diagnósticos. Después de configurar el agente:

./run.sh --diagnostics

Esto se ejecutará a través de un conjunto de diagnósticos que puede ayudarle a solucionar el problema. La característica de diagnóstico está disponible a partir de la versión 2.165.0 del agente.

Ayuda sobre otras opciones

Para obtener información sobre otras opciones:

./config.sh --help

La ayuda proporciona información sobre las alternativas de autenticación y la configuración desatendida.

Funcionalidades

Las funcionalidades del agente se cataloga y anuncia en el grupo para que solo se le asignen las compilaciones y versiones que puede controlar. Consulte Build and release agent capabilities (Funcionalidades del agente de compilación y versión).

En muchos casos, después de implementar un agente, deberá instalar software o utilidades. Por lo general, debe instalar en los agentes el software y las herramientas que use en la máquina de desarrollo.

Por ejemplo, si la compilación incluye la tarea npm, la compilación no se ejecutará a menos que haya un agente de compilación en el grupo que tenga npm instalado.

Preguntas más frecuentes

Cómo asegúrese de que tengo la versión más reciente del agente v2?

1. Vaya a la pestaña Grupos de agentes:

   1. Elija Azure DevOps, Configuración de la organización.

      

   2. Elija Grupos de agentes.

      

   1. Elija Azure DevOps, Configuración de colección.

      

   2. Elija Grupos de agentes.

      

   1. Elija Azure DevOps, Configuración de colección.

      

   2. Elija Grupos de agentes.

      

   1. Vaya al proyecto y elija Configuración (icono de engranaje) Colas del Agente.

      

   2. Elija Administrar grupos.

      

   1. Vaya al proyecto y elija Configuración (icono de engranaje) Colas del Agente.

      

   2. Elija Administrar grupos.

      

   1. Vaya al proyecto y elija Administrar proyecto (icono de engranaje).

      

   2. Elija Panel de control.

      

   3. Seleccione Grupos de agentes.

      

2. Haga clic en el grupo que contiene el agente.

3. Asegúrese de que el agente está habilitado.

4. Vaya a la pestaña funcionalidades:

   1. En la pestaña Grupos de agentes, seleccione el grupo de agentes deseado.

      

   2. Seleccione Agentes y elija el agente deseado.

      

   3. Elija la pestaña Funcionalidades.

      

      Nota

      Los agentes hospedados por Microsoft no muestran las funcionalidades del sistema. Para obtener una lista de software instalado en agentes hospedados por Microsoft, consulte Uso de un agente hospedado por Microsoft.

   1. En la pestaña Grupos de agentes, seleccione el grupo deseado.

      

   2. Seleccione Agentes y elija el agente deseado.

      

   3. Elija la pestaña Funcionalidades.

      

   1. En la pestaña Grupos de agentes, seleccione el grupo deseado.

      

   2. Seleccione Agentes y elija el agente deseado.

      

   3. Elija la pestaña Funcionalidades.

      

   Seleccione el agente deseado y elija la pestaña Funcionalidades.

   

   Seleccione el agente deseado y elija la pestaña Funcionalidades.

   

   En la pestaña Grupos de agentes, seleccione el agente deseado y elija la pestaña Funcionalidades.

   

5. Busque la Agent.Version funcionalidad. Puede comprobar este valor con la versión más reciente del agente publicada. Consulte Azure Pipelines agente y compruebe en la página el número de versión más alto que aparece.

6. Cada agente se actualiza automáticamente cuando ejecuta una tarea que requiere una versión más reciente del agente. Si desea actualizar manualmente algunos agentes, haga clic con el botón derecho en el grupo y seleccione Actualizar todos los agentes.

¿Por qué se necesita sudo para ejecutar los comandos de servicio?

./svc.sh usa systemctl , que requiere sudo .

Código fuente: systemd.svc.sh.template en GitHub

Cómo ejecutar el agente con un certificado autofirmado?

Ejecución del agente con certificado autofirmado

Cómo ejecutar el agente detrás de un proxy web?

Ejecución del agente detrás de un proxy web

Cómo reiniciar el agente

Si ejecuta el agente de forma interactiva, consulte las instrucciones de reinicio de Ejecución interactiva. Si está ejecutando el agente como un servicio systemd, siga los pasos para Detener y, a continuación, Iniciar el agente.

https://login.microsoftonline.com
https://app.vssps.visualstudio.com 
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

https://dev.azure.com
https://*.dev.azure.com
https://login.microsoftonline.com
https://management.core.windows.net
https://vstsagentpackage.azureedge.net
https://vssps.dev.azure.com