Agentes Linux auto-hospedados

Serviços de DevOps do Azure | Azure DevOps Server 2022 | Azure DevOps Server 2020

Para executar seus trabalhos, você precisa de pelo menos um agente. Um agente Linux pode criar e implantar diferentes tipos de aplicativos, incluindo aplicativos Java e Android. Consulte Verificar pré-requisitos para obter uma lista de distribuições Linux suportadas.

Saiba mais sobre os agentes

Se você já sabe o que é um agente e como ele funciona, sinta-se à vontade para ir direto para as seções a seguir. Mas se você quiser mais informações sobre o que eles fazem e como funcionam, consulte Agentes do Azure Pipelines.

Verificar pré-requisitos

Você deve executar a configuração do agente manualmente na primeira vez. Depois de ter uma ideia de como os agentes funcionam, ou se quiser automatizar a configuração de muitos agentes, considere usar a configuração não supervisionada.

Preparar permissões

Segurança da informação para agentes hospedados localmente

O usuário que configura o agente precisa de permissões de administrador do pool, mas o usuário que executa o agente não.

As pastas controladas pelo agente devem ser restritas ao menor número possível de usuários porque contêm segredos que podem ser descriptografados ou exfiltrados.

O agente do Azure Pipelines é um produto de software projetado para executar o código baixado de fontes externas. Ele inerentemente pode ser um alvo para ataques de Execução Remota de Código (RCE).

Portanto, é importante considerar o modelo de ameaça em torno de cada uso individual de Agentes de Pipelines para executar o trabalho e decidir quais são as permissões mínimas que podem ser concedidas ao usuário que executa o agente, à máquina onde o agente é executado, aos usuários que têm acesso de gravação à definição de Pipeline, os repositórios git onde o yaml está armazenado, ou o grupo de usuários que controlam o acesso ao pool para novos pipelines.

É uma prática recomendada que a identidade que executa o agente seja diferente daquela que possui permissões para conectar o agente ao pool. O usuário que gera as credenciais (e outros arquivos relacionados ao agente) é diferente do usuário que precisa lê-las. Portanto, é mais seguro considerar cuidadosamente o acesso concedido à própria máquina do agente e às pastas do agente que contêm arquivos confidenciais, como logs e artefatos.

Faz sentido conceder acesso à pasta do agente somente para administradores de DevOps e a identidade do usuário que executa o processo do agente. Os administradores podem precisar investigar o sistema de arquivos para entender as falhas de compilação ou obter arquivos de log para poder relatar falhas do Azure DevOps.

Decida qual usuário você usará

Como uma etapa única, você deve registrar o agente. Alguém com permissão para administrar a fila de agentes deve concluir essas etapas. O agente não usará as credenciais dessa pessoa na operação diária, mas elas são necessárias para concluir o registo. Saiba mais sobre como os agentes se comunicam.

Confirme se o usuário tem permissão

Verifique se a conta de usuário que você vai usar tem permissão para registrar o agente.

O usuário é proprietário da organização do Azure DevOps ou administrador do TFS ou do Azure DevOps Server? Pare aqui, você tem permissão.

Caso contrário:

1. Abra um navegador e navegue até ao separador Pools de Agentes da sua organização do Azure Pipelines, Azure DevOps Server ou servidor TFS.

   1. Inicie sessão na sua organização (https://dev.azure.com/{yourorganization}).

   2. SelecioneConfigurações da Organização>.

      

   3. Selecione Pools de agentes.

      

   1. Inicie sessão na sua coleção de projetos (http://your-server/DefaultCollection).

   2. Selecione Azure DevOps>Configurações da Coleção.

      

   3. Selecione Pools de agentes.

      

   

2. Selecione o pool no lado direito da página e clique em Segurança.

3. Se a conta de usuário que você vai usar não for mostrada, peça a um administrador para adicioná-la. O administrador pode ser um administrador do pool de agentes, um proprietário da organização do Azure DevOps ou um administrador do TFS ou do Azure DevOps Server.

   Se for um agente de grupo de implantação, o administrador pode ser um administrador de grupo de implantação, um proprietário de organização do Azure DevOps ou um administrador do TFS ou do Azure DevOps Server.

   Você pode adicionar um usuário à função de administrador do grupo de implantação na guia Segurança na página Grupos de Implantação no Azure Pipelines.

Baixar e configurar o agente

URL do servidor

Tipo de autenticação

Ao registrar um agente, escolha entre os seguintes tipos de autenticação e a configuração do agente solicitará as informações adicionais específicas necessárias para cada tipo de autenticação. Para obter mais informações, consulte Opções de autenticação de agente auto-hospedado.

Executar de forma interativa

Para obter orientação sobre se o agente deve ser executado no modo interativo ou como um serviço, consulte Agentes: interativo versus serviço.

Para executar o agente interativamente:

1. Se você estiver executando o agente como um serviço, desinstale o serviço.

2. Execute o agente.

   ./run.sh
   

Para reiniciar o agente, pressione Ctrl+C e execute run.sh para reiniciá-lo.

Para usar o seu agente, execute uma tarefa usando o pool do agente. Se você não escolheu um pool diferente, seu agente será colocado no pool Padrão .

Executar uma vez

Para agentes configurados para execução interativa, você pode optar por fazer com que o agente aceite apenas um trabalho. Para executar nesta configuração:

./run.sh --once

Os agentes nesse modo aceitam apenas um trabalho e, em seguida, giram para baixo normalmente (útil para execução no Docker em um serviço como Instâncias de Contêiner do Azure).

Executar como serviço systemd

Se o agente estiver sendo executado nestes sistemas operacionais, você poderá executar o agente como um systemd serviço:

• Ubuntu 16 LTS ou mais recente
• Red Hat 7.1 ou superior

Fornecemos um script de exemplo ./svc.sh para você executar e gerenciar seu agente como um systemd serviço. Esse script será gerado depois que você configurar o agente. Recomendamos que você revise e, se necessário, atualize o script antes de executá-lo.

Algumas ressalvas importantes:

• Se executares o agente como um serviço, não poderás executar o serviço do agente como root utilizador.
• Os usuários que executam o SELinux relataram dificuldades com o script fornecido svc.sh . Refira-se a este problema do agente como um ponto de partida. O SELinux não é uma configuração oficialmente suportada.

Comandos

Mudar para o diretório do agente

Por exemplo, se você instalou na subpasta myagent do seu diretório base:

cd ~/myagent$

Instalar

Comando:

sudo ./svc.sh install [username]

Este comando cria um arquivo de serviço que aponta para ./runsvc.sh. Esse script configura o ambiente (mais detalhes abaixo) e inicia o host dos agentes. Se username o parâmetro não for especificado, o nome de usuário será retirado da variável de ambiente $SUDO_USER definida pelo comando sudo. Essa variável é sempre igual ao nome do usuário que invocou o sudo comando.

Início

sudo ./svc.sh start

Situação

sudo ./svc.sh status

Parar

sudo ./svc.sh stop

Desinstale

Você deve parar antes de desinstalar.

sudo ./svc.sh uninstall

Atualizar variáveis de ambiente

Quando você configura o serviço, ele tira um instantâneo de algumas variáveis de ambiente úteis para seu usuário de logon atual, como PATH, LANG, JAVA_HOME, ANT_HOME e MYSQL_PATH. Se você precisar atualizar as variáveis (por exemplo, depois de instalar algum software novo):

./env.sh
sudo ./svc.sh stop
sudo ./svc.sh start

O instantâneo das variáveis de ambiente é armazenado no .env ficheiro (PATH é armazenado em .path) no diretório raiz do agente, pode também alterar esses ficheiros diretamente para aplicar alterações das variáveis de ambiente.

Execute instruções antes do início do serviço

Você também pode definir suas próprias instruções e comandos para serem executados quando o serviço iniciar. Por exemplo, você pode configurar o ambiente ou chamar scripts.

1. Editar runsvc.sh.

2. Substitua a seguinte linha pelas instruções:

   # insert anything to setup env when running as a service
   

Arquivos de serviço

Quando se instala o serviço, alguns arquivos de serviço são instalados.

arquivo de serviço systemd

Um systemd arquivo de serviço é criado:

/etc/systemd/system/vsts.agent.{tfs-name}.{agent-name}.service

Por exemplo, você configurou um agente (veja acima) com o nome our-linux-agent. O arquivo de serviço será: ou

• Azure Pipelines: o nome da sua organização. Por exemplo, se você se conectar ao https://dev.azure.com/fabrikam, o nome do serviço será /etc/systemd/system/vsts.agent.fabrikam.our-linux-agent.service

• TFS ou Azure DevOps Server: o nome do seu servidor local. Por exemplo, se você se conectar ao http://our-server:8080/tfs, o nome do serviço será /etc/systemd/system/vsts.agent.our-server.our-linux-agent.service

sudo ./svc.sh install gera este arquivo a partir deste modelo: ./bin/vsts.agent.service.template

Arquivo .service

sudo ./svc.sh start Localiza o serviço lendo o .service arquivo, que contém o nome do arquivo de serviço systemd descrito acima.

Mecanismos de serviço alternativos

Disponibilizamos o script ./svc.sh como uma maneira conveniente para que possa executar e gerir o seu agente como um serviço systemd. Mas você pode usar qualquer tipo de mecanismo de serviço que preferir (por exemplo: initd ou upstart).

Você pode usar o modelo descrito acima para facilitar a geração de outros tipos de arquivos de serviço.

Use um cgroup para evitar falha do agente

É importante evitar situações em que o agente falhe ou se torne inutilizável, pois, caso contrário, o agente não poderá transmitir logs de pipeline ou relatar o status do pipeline de volta ao servidor. Você pode mitigar o risco de este tipo de problema ser causado por alta pressão de memória utilizando cgroups e um oom_score_adj mais baixo. Depois de fazer isso, o Linux recupera a memória do sistema a partir dos processos de tarefas de pipeline antes de recuperar a memória do processo do agente. Saiba como configurar cgroups e pontuar OOM.

Substituir um agente

Para substituir um agente, siga as etapas Baixar e configurar o agente novamente.

Quando você configura um agente usando o mesmo nome de um agente que já existe, você é perguntado se deseja substituir o agente existente. Se responderes Y, certifica-te de remover o agente (veja abaixo) que vais substituir. Caso contrário, após alguns minutos de conflitos, um dos agentes será desativado.

Remover e reconfigurar um agente

Para remover o agente:

1. Pare e desinstale o serviço conforme explicado na seção anterior.

2. Remova o agente.

   ./config.sh remove
   

3. Introduza as suas credenciais.

Depois de remover o agente, você pode configurá-lo novamente.

Configuração sem supervisão

O agente pode ser configurado a partir de um script sem intervenção humana. Você deve fornecer --unattended e as respostas para todas as perguntas.

./config.sh --help sempre lista as últimas respostas obrigatórias e opcionais.

Diagnóstico

Se estiver a ter problemas com o seu agente autónomo, pode tentar executar diagnósticos. Depois de configurar o agente:

./run.sh --diagnostics

Isto será executado através de uma suíte de diagnósticos que pode ajudá-lo a resolver o problema. O recurso de diagnóstico está disponível a partir da versão 2.165.0 do agente.

Ajuda sobre outras opções

Para saber mais sobre outras opções:

./config.sh --help

A ajuda fornece informações sobre alternativas de autenticação e configuração não supervisionada.

Capacidades

As capacidades do seu agente são catalogadas e divulgadas no pool, de modo que apenas as compilações e versões que ele pode gerir sejam atribuídas a ele. Consulte Capacidades do agente de compilação e lançamento.

Em muitos casos, depois de implantar um agente, você precisará instalar software ou utilitários. Geralmente, você deve instalar em seus agentes qualquer software e ferramentas que você usa em sua máquina de desenvolvimento.

Por exemplo, se sua compilação incluir a tarefa npm, a compilação não será executada a menos que haja um agente de compilação no pool que tenha o npm instalado.

FAQ

Onde posso saber mais sobre o novo software de agente v3?

Para obter informações e perguntas frequentes sobre o software do agente v3, consulte Software do agente versão 3.

Como posso assegurar-me de que tenho a versão mais recente do agente?

1. Navegue até ao separador Pools de agentes:

   1. Inicie sessão na sua organização (https://dev.azure.com/{yourorganization}).

   2. SelecioneConfigurações da Organização>.

      

   3. Selecione Pools de agentes.

      

   1. Inicie sessão na sua coleção de projetos (http://your-server/DefaultCollection).

   2. Selecione Configurações da Coleção de DevOps> do Azure.

      

   3. Selecione Pools de agentes.

      

   

2. Clique no pool que contém o agente.

3. Verifique se o agente está habilitado.

4. Navegue até a guia de recursos:

   1. Na guia Pools de agentes, selecione o pool de agentes desejado.

      

   2. Selecione Agentes e escolha o agente desejado.

      

   3. Escolha o separador Capacidades.

      

      Observação

      Os agentes hospedados pela Microsoft não exibem recursos do sistema. Para obter uma lista de software instalado em agentes hospedados pela Microsoft, consulte Usar um agente hospedado pela Microsoft.

   1. Na guia Pools de agentes, selecione o pool desejado.

      

   2. Selecione Agentes e escolha o agente desejado.

      

   3. Escolha o separador Capacidades.

      

5. Verifique a Agent.Version capacidade. Você pode verificar esse valor em relação à versão do agente mais recente publicada. Consulte Azure Pipelines Agent e verifique na página o número da versão mais alta listado.

6. Cada agente se atualiza automaticamente quando executa uma tarefa que requer uma versão mais recente do agente. Se quiser atualizar manualmente alguns agentes, clique com o botão direito do mouse no pool e selecione Atualizar todos os agentes.

Por que o sudo é necessário para executar os comandos de serviço?

./svc.sh utiliza systemctl, o que requer sudo.

Código fonte: systemd.svc.sh.template no GitHub

13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24 
150.171.23.0/24 
150.171.73.0/24 
150.171.74.0/24 
150.171.75.0/24 
150.171.76.0/24

2620:1ec:4::/48
2620:1ec:a92::/48
2620:1ec:21::/48
2620:1ec:22::/48
2620:1ec:50::/48 
2620:1ec:51::/48 
2603:1061:10::/48

Como posso executar o agente com certificado autoassinado?

Execute o agente com certificado autoassinado

Como executar o agente através de um proxy da Web?

Executar o agente por intermédio de um proxy web

Como faço para reiniciar o agente

Se você estiver executando o agente interativamente, consulte as instruções de reinicialização em Executar interativamente. Se estiver a executar o agente como um serviço systemd, siga as etapas para Parar, e em seguida Iniciar o agente.

https://login.microsoftonline.com
https://app.vssps.visualstudio.com 
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

https://dev.azure.com
https://*.dev.azure.com
https://login.microsoftonline.com
https://management.core.windows.net
https://download.agent.dev.azure.com
https://vssps.dev.azure.com

13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24 
150.171.23.0/24 
150.171.73.0/24 
150.171.74.0/24 
150.171.75.0/24 
150.171.76.0/24

2620:1ec:4::/48
2620:1ec:a92::/48
2620:1ec:21::/48
2620:1ec:22::/48
2620:1ec:50::/48 
2620:1ec:51::/48 
2603:1061:10::/48

Pré-requisitos do TFVC

Se você estiver usando o TFVC, também precisará do Oracle Java JDK 1.6 ou superior. (O Oracle JRE e o OpenJDK não são suficientes para essa finalidade.)

O plugin TEE é usado para a funcionalidade TFVC. Ele tem um EULA, que você precisa aceitar durante a configuração se você planeja trabalhar com TFVC.

Como o plug-in TEE não é mais mantido e contém algumas dependências Java desatualizadas, a partir do Agent 2.198.0 ele não está mais incluído na distribuição do agente. No entanto, o plugin TEE será baixado durante a execução da tarefa de checkout se você estiver fazendo check-out de um repositório TFVC. O plugin TEE será removido após a execução do trabalho.

Se o agente estiver sendo executado atrás de um proxy ou firewall, você precisará garantir o acesso ao seguinte site: https://vstsagenttools.blob.core.windows.net/. O plugin TEE será descarregado a partir deste endereço.

Se você estiver usando um agente auto-hospedado e enfrentando problemas com o download de TEE, você pode instalar o TEE manualmente:

1. Defina DISABLE_TEE_PLUGIN_REMOVAL como variável de ambiente ou de pipeline para true. Essa variável impede que o agente remova o plug-in TEE após o check-out do repositório TFVC.
2. Baixe manualmente a versão 14.135.0 do TEE-CLC a partir dos lançamentos do Team Explorer Everywhere no GitHub.
3. Extraia o conteúdo da TEE-CLC-14.135.0 pasta para <agent_directory>/externals/tee.