Agentes de Linux autohospedados

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

Para ejecutar los trabajos, necesita al menos un agente. Un agente de Linux puede compilar e implementar diferentes tipos de aplicaciones, incluidas las aplicaciones De Java y Android. Consulte Comprobación de los requisitos previos para obtener una lista de las distribuciones de Linux admitidas.

Más información acerca de los agentes

Si ya sabe qué es un agente y cómo funciona, vaya directamente a las secciones siguientes. Pero si desea más información sobre lo que hacen y cómo funcionan, consulte Agentes de Azure Pipelines.

Comprobación de los requisitos previos

La primera vez, debe ejecutar la instalación del agente manualmente. Después de hacerse una idea de cómo funcionan los agentes o si desea automatizar la configuración de muchos agentes, considere la posibilidad de usar la configuración desatendida.

Preparación de los permisos

Seguridad de la información para los agentes autohospedados

Para configurar el agente, el usuario necesita permisos de administrador del grupo, pero no para ejecutarlo.

Las carpetas controladas por el agente deben estar restringidas a los pocos usuarios como sea posible, ya que contienen secretos que se pueden descifrar o filtrar.

El agente de Azure Pipelines es un producto de software diseñado para ejecutar código que descarga de orígenes externos. De forma inherente, podría recibir ataques de ejecución remota de código (RCE).

Por lo tanto, es importante tener en cuenta el modelo de amenazas que rodea a cada uso individual de los agentes de canalizaciones para realizar el trabajo y decidir cuáles son los permisos mínimos que se pueden conceder al usuario que ejecuta el agente, al equipo donde se ejecuta el agente, a los usuarios que tienen acceso de escritura a la definición de canalización, los repositorios de Git donde se almacena el yaml, o el grupo de usuarios que controlan el acceso al grupo para las nuevas canalizaciones.

Es un procedimiento recomendado hacer que la identidad que ejecute el agente sea diferente de la identidad con permisos para conectar el agente al grupo. El usuario que genera las credenciales (y otros archivos relacionados con el agente) es diferente del usuario que necesita leerlas. Por lo tanto, es más seguro considerar cuidadosamente el acceso concedido a la propia máquina del agente y las carpetas del agente que contienen archivos confidenciales, como los registros y los artefactos.

Tiene sentido conceder acceso a la carpeta del agente solo a los administradores de DevOps y la identidad de usuario que ejecuta el proceso del agente. Es posible que los administradores necesiten investigar el sistema de archivos para comprender errores de compilación u obtener archivos de registro para poder notificar errores de Azure DevOps.

Decida el usuario que va a usar

Debe registrar el agente una vez. Alguien con permiso para administrar la cola del agente debe completar estos pasos. El agente no usará las credenciales de esta persona en las operaciones diarias, pero es necesario para completar el registro. Más información sobre cómo se comunican los agentes.

Confirmación de que el usuario tiene permiso

Asegúrese de que la cuenta de usuario que va a usar tiene permiso para registrar el agente.

¿Es el usuario propietario de una organización de Azure DevOps o TFS, o administrador de Azure DevOps Server? Deténgase aquí, tiene permiso.

De lo contrario:

1. Abra un explorador y vaya a la pestaña Grupos de agentes de la organización de Azure Pipelines, Azure DevOps Server o el servidor TFS:

   1. Inicie sesión en su organización (https://dev.azure.com/{yourorganization}).

   2. SeleccioneConfiguración de organización de >.

      

   3. Seleccione Grupos de agentes.

      

   1. Inicie sesión en la colección de proyectos (http://your-server/DefaultCollection).

   2. Seleccione Azure DevOpsCollection settings (Configuración de la colección de >).

      

   3. Seleccione Grupos de agentes.

      

   

2. Seleccione el grupo en el lado derecho de la página y haga clic en Seguridad.

3. Si no se muestra la cuenta de usuario que va a usar, que un administrador la agregue. El administrador puede ser administrador del grupo de agentes, propietario de la organización de Azure DevOps o administrador de TFS o Azure DevOps Server.

   Si se trata de un agente de grupo de implementación, el administrador puede ser administrador del grupo de implementación, propietario de la organización de Azure DevOps o administrador de TFS o Azure DevOps Server.

   Puede agregar un usuario al rol de administrador del grupo de implementación en la pestaña Seguridad de la página Grupos de implementación de Azure Pipelines.

Descarga y configuración del agente

Dirección URL del servidor

Tipo de autenticación

Cuando registre un agente, elija entre los siguientes tipos de autenticación, y la configuración del agente le pedirá la información adicional específica necesaria para cada tipo de autenticación. Para obtener más información, consulte Opciones de autenticación del agente autohospedado.

Ejecución de forma interactiva

Para instrucciones sobre la ejecución del agente en modo interactivo o como servicio, consulte Agentes: interactivos o como servicio.

Para ejecutar el agente en modo interactivo:

1. Si ha ejecutado el agente como servicio, desinstale el servicio.

2. Ejecute el agente.

   ./run.sh
   

Para reiniciar el agente, presione Ctrl+C y ejecute run.sh para reiniciarlo.

Para usar el agente, ejecute un trabajo mediante el grupo del agente. Si no ha elegido un grupo diferente, el agente se coloca en el grupo predeterminado .

Una ejecución

Para los agentes configurados para que se ejecuten de forma interactiva, puede elegir que el agente acepte solo un trabajo. Para la ejecución en esta configuración:

./run.sh --once

Los agentes en este modo solo aceptarán un trabajo y se retirarán fácilmente (útiles para la ejecución de un Docker en servicios como Azure Container Instances).

Ejecutar como servicio systemd

Si el agente se ejecuta en estos sistemas operativos, puede ejecutar el agente como servicio systemd:

• Ubuntu 16 LTS o versiones posteriores
• Red Hat 7.1 o posterior

Proporcionamos un script de ejemplo ./svc.sh para que ejecute y administre el agente como systemd servicio. Este script se generará una vez configurado el agente. Le recomendamos que revise y, si es necesario, actualice el script antes de ejecutarlo.

Algunas advertencias importantes:

• Si ejecutas tu agente como un servicio, no puedes ejecutar el servicio del agente como usuario root.
• Los usuarios que ejecutan SELinux han notificado dificultades con el script proporcionado svc.sh . Consulte este problema del agente como punto de partida. SELinux no es una configuración compatible oficialmente.

Órdenes

Cambio al directorio del agente

Por ejemplo, si realizó la instalación en la subcarpeta myagent del directorio principal:

cd ~/myagent$

Instalar

Comando:

sudo ./svc.sh install [username]

Este comando crea un archivo de servicio que apunta a ./runsvc.sh. Este script configura el entorno (más detalles a continuación) e inicia el host de agentes. Si username no se especifica el parámetro , el nombre de usuario se toma de la variable de entorno $SUDO_USER establecida por el comando sudo. Esta variable siempre es igual al nombre del usuario que invocó el sudo comando.

Comenzar

sudo ./svc.sh start

Estado

sudo ./svc.sh status

Parar

sudo ./svc.sh stop

Desinstalar

Deberías detenerte antes de desinstalar.

sudo ./svc.sh uninstall

Actualización de las variables de entorno

Al configurar el servicio, se toma una instantánea de algunas variables de entorno útiles para el usuario con sesión iniciada, como PATH, LANG, JAVA_HOME, ANT_HOME y MYSQL_PATH. Si necesita actualizar las variables (por ejemplo, después de instalar algún software nuevo):

./env.sh
sudo ./svc.sh stop
sudo ./svc.sh start

La instantánea de las variables de entorno se almacena en el archivo .env (PATH se almacena en .path) en el directorio raíz del agente; también puede cambiar estos archivos directamente para aplicar cambios en las variables de entorno.

Ejecución de instrucciones antes de que se inicie el servicio

También puede usar sus propias instrucciones y comandos para que ejecuten al inicio del servicio. Por ejemplo, podría configurar el entorno o los scripts de llamada.

1. Edite runsvc.sh.

2. Reemplace la siguiente línea por sus instrucciones:

   # insert anything to setup env when running as a service
   

Archivos de servicio

Al instalar el servicio, se colocan algunos archivos de servicio.

archivo de servicio systemd

Se crea un systemd archivo de servicio:

/etc/systemd/system/vsts.agent.{tfs-name}.{agent-name}.service

Por ejemplo, ha configurado un agente (consulte más arriba) con el nombre our-linux-agent. El archivo de servicio será uno de los siguientes:

• Azure Pipelines: el nombre de la organización. Por ejemplo, si se conecta a https://dev.azure.com/fabrikam, el nombre del servicio sería /etc/systemd/system/vsts.agent.fabrikam.our-linux-agent.service.

• TFS o Azure DevOps Server: el nombre del servidor local. Por ejemplo, si se conecta a http://our-server:8080/tfs, el nombre del servicio sería /etc/systemd/system/vsts.agent.our-server.our-linux-agent.service.

sudo ./svc.sh install genera el archivo a partir de esta plantilla: ./bin/vsts.agent.service.template

Archivo .service

sudo ./svc.sh start busca el servicio leyendo el .service archivo, que contiene el nombre del archivo de servicio systemd descrito anteriormente.

Mecanismos de servicio alternativos

Proporcionamos el ./svc.sh script como una manera cómoda de ejecutar y administrar tu agente como un servicio de systemd. Pero puede usar cualquier tipo de mecanismo de servicio que prefiera (por ejemplo: initd o upstart).

Puede usar la plantilla descrita anteriormente para facilitar la generación de otros tipos de archivo de servicio.

Uso de un cgroup para evitar errores del agente

Es importante evitar situaciones en las que el agente produce un error o deja de ser utilizable porque, de lo contrario, el agente no puede transmitir los registros de canalización ni informar del estado de la canalización al servidor. Puede mitigar el riesgo de que este tipo de problema se deba a una presión de memoria alta mediante cgroups y un menor oom_score_adj. Una vez hecho esto, Linux reclama la memoria del sistema de los procesos del trabajo de canalización antes de reclamar memoria del proceso del agente. Obtenga información sobre cómo configurar cgroups y la puntuación de OOM.

Reemplazo de un agente

Para reemplazar un agente, siga los pasos de Descarga y configuración del agente de nuevo.

Al configurar un agente con el mismo nombre que un agente que ya existe, se le pregunta si desea reemplazar el agente existente. Si responde Y, asegúrese de quitar el agente (consulte a continuación) que va a reemplazar. De lo contrario, después de unos minutos de conflictos, uno de los agentes se apagará.

Quitar y volver a configurar un agente

Para eliminar el agente:

1. Detenga y desinstale el servicio como se explica en la sección anterior.

2. Elimine el agente.

   ./config.sh remove
   

3. Escriba sus credenciales.

Después de quitar el agente, puede volver a configurarlo.

Configuración desatendida

El agente se puede configurar desde un script sin intervención humana. Debe pasar --unattended y las respuestas a todas las preguntas.

./config.sh --help siempre enumera las respuestas obligatorias y opcionales más recientes.

Diagnósticos

Si tiene problemas con el agente autohospedado, puede intentar ejecutar diagnósticos. Después de configurar el agente:

./run.sh --diagnostics

Esto se ejecutará a través de un conjunto de diagnósticos que puede ayudarle a solucionar el problema. La característica de diagnóstico está disponible a partir de la versión 2.165.0 del agente.

Ayuda sobre otras opciones

Para información sobre otras opciones:

./config.sh --help

La ayuda proporciona información sobre las opciones de autenticación y la configuración desatendida.

Capacidades

Las funcionalidades del agente se catalogan y anuncian en el grupo para que solo se asignen las compilaciones y versiones que pueda controlar. Consulte Funcionalidades del agente de compilación y versión.

En muchos casos, después de implementar un agente, se debe instalar software o utilidades. Por lo general, deberías instalar en tus agentes las mismas herramientas y software que utilices en tu máquina de desarrollo.

Por ejemplo, si la compilación incluye la tarea npm, la compilación no se ejecutará a menos que haya un agente de compilación en el grupo que tenga npm instalado.

Preguntas más frecuentes

¿Dónde puedo obtener más información sobre el nuevo software de agente v3?

Para obtener información y preguntas más frecuentes sobre el software del agente v3, consulte Software del agente versión 3.

¿Cómo se garantiza la versión más reciente del agente?

1. Vaya a la pestaña Grupos de agentes:

   1. Inicie sesión en su organización (https://dev.azure.com/{yourorganization}).

   2. SeleccioneConfiguración de organización de >.

      

   3. Seleccione Grupos de agentes.

      

   1. Inicie sesión en la colección de proyectos (http://your-server/DefaultCollection).

   2. Seleccione Azure DevOpsCollection settings (Configuración de la colección de >).

      

   3. Seleccione Grupos de agentes.

      

   

2. Haga clic en el grupo que contiene el agente.

3. Asegúrese de que el agente está habilitado.

4. Vaya a la pestaña Funcionalidades:

   1. En la pestaña Grupos de agentes, seleccione el grupo de agentes deseado.

      

   2. Seleccione Agentes y elija el agente deseado.

      

   3. Selecciona la pestaña Funcionalidades.

      

      Nota:

      Los agentes hospedados por Microsoft no muestran las funcionalidades del sistema. Para una lista de software instalado en agentes hospedados por Microsoft, consulte Uso de un agente hospedado por Microsoft.

   1. En la pestaña Grupos de agentes, seleccione el grupo deseado.

      

   2. Seleccione Agentes y elija el agente deseado.

      

   3. Selecciona la pestaña Funcionalidades.

      

5. Busque la funcionalidad Agent.Version. Puede comprobar este valor en la versión más reciente del agente publicado. Consulte Agente de Azure Pipelines y compruebe en la página el máximo número de versión enumerado.

6. Los agentes se actualizan automáticamente cuando ejecutan una tarea que requiere una versión más reciente. Si desea actualizar manualmente algunos agentes, haga clic con el botón derecho en el grupo y seleccione Actualizar todos los agentes.

¿Por qué se necesita sudo para ejecutar los comandos de servicio?

./svc.sh usa systemctl, que requiere sudo.

Código fuente: systemd.svc.sh.template en GitHub

13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24 
150.171.23.0/24 
150.171.73.0/24 
150.171.74.0/24 
150.171.75.0/24 
150.171.76.0/24

2620:1ec:4::/48
2620:1ec:a92::/48
2620:1ec:21::/48
2620:1ec:22::/48
2620:1ec:50::/48 
2620:1ec:51::/48 
2603:1061:10::/48

¿Cómo se ejecuta el agente con certificado autofirmado?

Ejecución del agente con certificado autofirmado

¿Cómo se ejecuta el agente detrás de un proxy web?

Ejecutar el agente detrás de un proxy web

¿Cómo se reinicia el agente?

Si ejecuta el agente de forma interactiva, consulte las instrucciones de reinicio en Ejecución interactiva. Si ejecuta el agente como un servicio de sistema, siga los pasos descritos en Detener y, a continuación, Inicie el agente.

https://login.microsoftonline.com
https://app.vssps.visualstudio.com 
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

https://dev.azure.com
https://*.dev.azure.com
https://login.microsoftonline.com
https://management.core.windows.net
https://download.agent.dev.azure.com
https://vssps.dev.azure.com

13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24 
150.171.23.0/24 
150.171.73.0/24 
150.171.74.0/24 
150.171.75.0/24 
150.171.76.0/24

2620:1ec:4::/48
2620:1ec:a92::/48
2620:1ec:21::/48
2620:1ec:22::/48
2620:1ec:50::/48 
2620:1ec:51::/48 
2603:1061:10::/48

Requisitos previos para TFVC

Si va a usar TFVC, también necesitará Oracle Java JDK 1.6 o una versión posterior. (Oracle JRE y OpenJDK no son suficientes para este propósito).

El complemento TEE se usa para la funcionalidad de TFVC. Tiene un CLUF, que debes aceptar durante la configuración si piensas trabajar con TFVC.

Puesto que el complemento TEE ya no se mantiene y contiene algunas dependencias de Java obsoletas, a partir del Agente 2.198.0 ya no se incluye en la distribución del agente. Sin embargo, el complemento TEE se descargará durante la ejecución de la tarea de restauración si está restaurando un repositorio TFVC. El complemento TEE se quitará después de la ejecución del trabajo.

Si el agente se ejecuta detrás de un proxy o un firewall, debe garantizar el acceso al siguiente sitio: https://vstsagenttools.blob.core.windows.net/. El complemento TEE se descargará desde esta dirección.

Si usa un agente autohospedado y tiene problemas con la descarga de TEE, puede instalar TEE manualmente:

1. Establezca el entorno DISABLE_TEE_PLUGIN_REMOVAL o la variable de canalización en true. Esta variable impide que el agente quite el complemento TEE después de la finalización de la restauración de TFVC.
2. Descargue manualmente la versión 14.135.0 de TEE-CLC desde las versiones en GitHub de Team Explorer Everywhere.
3. Extraiga el contenido de la carpeta TEE-CLC-14.135.0 en <agent_directory>/externals/tee.