Lokala Linux-agenter

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020

För att kunna köra dina jobb behöver du minst en agent. En Linux-agent kan skapa och distribuera olika typer av appar, inklusive Java- och Android-appar. Se Kontrollera förutsättningarna för en lista över Linux-distributioner som stöds.

Lär dig mer om agenter

Om du redan vet vad en agent är och hur den fungerar kan du hoppa direkt till följande avsnitt. Men om du vill ha mer bakgrund om vad de gör och hur de fungerar kan du läsa Azure Pipelines-agenter.

Kontrollera kraven

Du bör köra agentkonfigurationen manuellt första gången. När du har fått en känsla för hur agenter fungerar, eller om du vill automatisera konfigurationen av många agenter, bör du överväga att använda obevakad konfiguration.

Förbereda behörigheter

Informationssäkerhet för lokalt installerade agenter

Användaren som konfigurerar agenten behöver pooladministratörsbehörigheter, men den användare som kör agenten gör det inte.

Mapparna som styrs av agenten bör begränsas till så få användare som möjligt eftersom de innehåller hemligheter som kan dekrypteras eller exfiltrateras.

Azure Pipelines-agenten är en programvaruprodukt som är utformad för att köra kod som den laddar ned från externa källor. Det finns en inneboende risk att det kan bli ett mål för RCE-attacker (Remote Code Execution).

Därför är det viktigt att överväga hotmodellen som omger varje enskild användning av Pipelines-agenter för att utföra arbete och bestämma vilka som är de minsta behörigheter som kan beviljas användaren som kör agenten, till den dator där agenten körs, till de användare som har skrivåtkomst till pipelinedefinitionen, git-lagringsplatserna där yaml lagras. eller den grupp användare som styr åtkomsten till poolen för nya pipelines.

Det är en bra praxis att låta den identitet som kör agenten skilja sig från den identitet som har behörighet att ansluta agenten till poolen. Användaren som genererar autentiseringsuppgifterna (och andra agentrelaterade filer) skiljer sig från den användare som behöver läsa dem. Därför är det säkrare att noggrant överväga åtkomst som beviljats till själva agentdatorn och agentmapparna som innehåller känsliga filer, till exempel loggar och artefakter.

Det är klokt att bevilja åtkomst till agentmappen endast för DevOps-administratörer och användaridentiteten som kör agentprocessen. Administratörer kan behöva undersöka filsystemet för att förstå byggfel eller hämta loggfiler för att kunna rapportera Azure DevOps-fel.

Bestäm vilken användare du ska använda

Som ett engångssteg måste du registrera agenten. Någon med behörighet att administrera agentkön måste slutföra de här stegen. Agenten använder inte den här personens autentiseringsuppgifter varje dag, men de måste slutföra registreringen. Läs mer om hur agenter kommunicerar.

Bekräfta att användaren har behörighet

Kontrollera att det användarkonto som du ska använda har behörighet att registrera agenten.

Är användaren en Azure DevOps-organisationsägare eller TFS- eller Azure DevOps Server-administratör? Stanna här, du har behörighet.

Annars:

1. Öppna en webbläsare och gå till fliken Agentpooler för din Azure Pipelines-organisation eller Azure DevOps Server eller TFS-server:

   1. Logga in på din organisation (https://dev.azure.com/{yourorganization}).

   2. VäljInställningar för>.

      

   3. Välj Agentpooler.

      

   1. Logga in på din projektsamling (http://your-server/DefaultCollection).

   2. Välj Azure DevOps>Samlingens inställningar.

      

   3. Välj Agentpooler.

      

   

2. Välj poolen till höger på sidan och klicka sedan på Säkerhet.

3. Om det användarkonto som du ska använda inte visas får du en administratör att lägga till det. Administratören kan vara en administratör för agentpoolen, en Azure DevOps-organisationsägare eller en TFS- eller Azure DevOps Server-administratör.

   Om det är en distributionsgruppsagent kan administratören vara administratör för distributionsgruppen, en Azure DevOps-organisationsägare eller en TFS- eller Azure DevOps Server-administratör.

   Du kan lägga till en användare i administratörsrollen för distributionsgruppen på fliken Säkerhet på sidan Distributionsgrupper i Azure Pipelines.

Ladda ned och konfigurera agenten

URL för server

Autentiseringstyp

När du registrerar en agent väljer du mellan följande autentiseringstyper, och agentkonfigurationen uppmanar dig att ange den specifika ytterligare information som krävs för varje autentiseringstyp. Mer information finns i autentiseringsalternativ för lokalt installerad agent.

Kör interaktivt

Information om huruvida agenten ska köras i interaktivt läge eller som en tjänst finns i Agenter: Interaktiv kontra tjänst.

Så här kör du agenten interaktivt:

1. Om du har kört agenten som en tjänst avinstallerar du tjänsten.

2. Kör agenten.

   ./run.sh
   

Starta om agenten genom att trycka på Ctrl+C och sedan köra run.sh för att starta om den.

Om du vill använda din agent kör du ett jobb med agentens resurspool. Om du inte valde en annan pool placeras agenten i standardpoolen.

Kör en gång

För agenter som har konfigurerats för att köras interaktivt kan du välja att låta agenten endast acceptera ett jobb. Så här kör du i den här konfigurationen:

./run.sh --once

Agenter i det här läget accepterar bara ett jobb och stänger sedan ned på ett ordnat sätt (användbart vid körning i Docker på en tjänst som Azure Container Instances).

Kör som en systemtjänst

Om din agent körs på dessa operativsystem kan du köra agenten som en systemd tjänst:

• Ubuntu 16 LTS eller senare
• Red Hat 7.1 eller senare

Vi tillhandahåller ett exempelskript ./svc.sh där du kan köra och hantera din agent som en systemd tjänst. Det här skriptet genereras när du har konfigurerat agenten. Vi rekommenderar att du granskar och vid behov uppdaterar skriptet innan du kör det.

Några viktiga varningar:

• Om du kör din agent som en tjänst kan du inte köra agenttjänsten som root användare.
• Användare som kör SELinux har rapporterat problem med det angivna svc.sh skriptet. Se det här agentproblemet som en startpunkt. SELinux är inte en konfiguration som stöds officiellt.

Kommandon

Ändra till agentkatalogen

Om du till exempel har installerat i undermappen myagent för din hemkatalog:

cd ~/myagent$

Installera

Kommando:

sudo ./svc.sh install [username]

Det här kommandot skapar en tjänstfil som pekar på ./runsvc.sh. Det här skriptet konfigurerar miljön (mer information nedan) och startar agentvärdar. Om username parametern inte anges hämtas användarnamnet från miljövariabeln $SUDO_USER som anges av sudo-kommandot. Den här variabeln är alltid lika med namnet på den användare som anropade sudo kommandot.

Början

sudo ./svc.sh start

Läge

sudo ./svc.sh status

Stoppa

sudo ./svc.sh stop

Avinstallera

Du bör sluta innan du avinstallerar.

sudo ./svc.sh uninstall

Uppdatera miljövariabler

När du konfigurerar tjänsten tar den en ögonblicksbild av några användbara miljövariabler för din aktuella inloggningsanvändare, till exempel PATH, LANG, JAVA_HOME, ANT_HOME och MYSQL_PATH. Om du behöver uppdatera variablerna (till exempel när du har installerat en ny programvara):

./env.sh
sudo ./svc.sh stop
sudo ./svc.sh start

Ögonblicksbilden av miljövariablerna lagras i .env filen (PATH lagras i .path) under agentrotkatalogen. Du kan också ändra filerna direkt för att tillämpa ändringar i miljövariabeln.

Kör instruktioner innan tjänsten startas

Du kan också köra egna instruktioner och kommandon som ska köras när tjänsten startas. Du kan till exempel konfigurera miljön eller anropa skript.

1. Redigera runsvc.sh.

2. Ersätt följande rad med dina instruktioner:

   # insert anything to setup env when running as a service
   

Tjänstfiler

När du installerar tjänsten installeras vissa tjänstfiler.

systemd-tjänstfil

En systemd tjänstfil skapas:

/etc/systemd/system/vsts.agent.{tfs-name}.{agent-name}.service

Du har till exempel konfigurerat en agent (se ovan) med namnet our-linux-agent. Tjänstfilen är antingen:

• Azure Pipelines: namnet på din organisation. Om du till exempel ansluter till https://dev.azure.com/fabrikamblir tjänstnamnet /etc/systemd/system/vsts.agent.fabrikam.our-linux-agent.service

• TFS eller Azure DevOps Server: namnet på din lokala server. Om du till exempel ansluter till http://our-server:8080/tfsblir tjänstnamnet /etc/systemd/system/vsts.agent.our-server.our-linux-agent.service

sudo ./svc.sh install genererar den här filen från den här mallen: ./bin/vsts.agent.service.template

.servicefil

sudo ./svc.sh start hittar tjänsten genom att läsa .service filen, som innehåller namnet på den systemd-tjänstfil som beskrivs ovan.

Alternativa tjänstmekanismer

Vi tillhandahåller skriptet ./svc.sh som ett bekvämt sätt för dig att köra och hantera din agent som en systembaserad tjänst. Men du kan använda vilken typ av tjänstmekanism du vill (till exempel initd eller uppstart).

Du kan använda mallen som beskrivs ovan för att underlätta generering av andra typer av tjänstfiler.

Använd en cgroup för att undvika agentfel

Det är viktigt att undvika situationer där agenten misslyckas eller blir oanvändbar eftersom agenten annars inte kan strömma pipelineloggar eller rapportera pipelinestatus tillbaka till servern. Du kan minska risken för att den här typen av problem orsakas av högt minnestryck genom att använda cgroups och en lägre oom_score_adj. När du har gjort det återkräver Linux systemminne från pipeline-processer innan det återkräver minne från agentprocessen. Lär dig hur du konfigurerar cgroups och OOM-poäng.

Ersätt en agent

Om du vill ersätta en agent följer du stegen Ladda ned och konfigurerar agenten igen.

När du konfigurerar en agent med samma namn som en agent som redan finns tillfrågas du om du vill ersätta den befintliga agenten. Om du svarar Y, se till att du tar bort agenten (se nedan) som du ersätter. Annars stängs en av agenterna av efter några minuters konflikter.

Ta bort och konfigurera om en agent

Så här tar du bort agenten:

1. Stoppa och avinstallera tjänsten enligt beskrivningen i föregående avsnitt.

2. Ta bort agenten.

   ./config.sh remove
   

3. Ange dina autentiseringsuppgifter.

När du har tagit bort agenten kan du konfigurera den igen.

Oövervakad konfiguration

Agenten kan konfigureras från ett skript utan mänsklig inblandning. Du måste klara av --unattended och svaren på alla frågor.

./config.sh --help visar alltid de senaste obligatoriska och valfria svaren.

Diagnostik

Om du har problem med din lokala agent kan du prova att köra diagnostik. När du har konfigurerat agenten:

./run.sh --diagnostics

Detta kommer att köra igenom en diagnostiksvit som kan hjälpa dig med att felsöka problemet. Diagnostikfunktionen är tillgänglig från och med agentversion 2.165.0.

Hjälp om andra alternativ

Om du vill veta mer om andra alternativ:

./config.sh --help

Hjälpen innehåller information om autentiseringsalternativ och obevakad konfiguration.

Förmågor

Agentens funktioner katalogiseras och annonseras i poolen så att endast de byggen och releaser som den kan hantera tilldelas den. Se Funktioner för bygg- och versionsagenter.

I många fall måste du installera programvara eller verktyg när du har distribuerat en agent. Vanligtvis bör du installera på dina agenter oavsett vilken programvara och vilka verktyg du använder på utvecklingsdatorn.

Om ditt bygge till exempel innehåller npm-aktiviteten körs inte bygget om det inte finns en byggagent i poolen som har npm installerat.

Vanliga frågor

Var kan jag lära mig mer om den nya v3-agentprogramvaran?

Information och vanliga frågor och svar om v3-agentprogramvaran finns i Agentprogramvara version 3.

Hur ser jag till att jag har den senaste agentversionen?

1. Gå till fliken Agentpooler :

   1. Logga in på din organisation (https://dev.azure.com/{yourorganization}).

   2. VäljInställningar för>.

      

   3. Välj Agentpooler.

      

   1. Logga in på din projektsamling (http://your-server/DefaultCollection).

   2. Välj Azure DevOps>Samlingens inställningar.

      

   3. Välj Agentpooler.

      

   

2. Klicka på poolen som innehåller agenten.

3. Kontrollera att agenten är aktiverad.

4. Gå till fliken Funktioner:

   1. På fliken Agentpooler väljer du önskad agentpool.

      

   2. Välj Agenter och välj önskad agent.

      

   3. Välj fliken Funktioner.

      

      Anmärkning

      Microsoft-agenter som är värdbaserade visar inte systemets egenskaper. En lista över programvara som är installerad på Microsoft-värdbaserade agenter finns i Använda en Microsoft-värdbaserad agent.

   1. Välj önskad pool på fliken Agentpooler .

      

   2. Välj Agenter och välj önskad agent.

      

   3. Välj fliken Funktioner.

      

5. Leta efter funktionen Agent.Version. Du kan kontrollera det här värdet mot den senaste publicerade agentversionen. Se Azure Pipelines-agenten och kontrollera sidan för det högsta versionsnumret i listan.

6. Varje agent uppdateras automatiskt när den kör en uppgift som kräver en nyare version av agenten. Om du vill uppdatera vissa agenter manuellt högerklickar du på poolen och väljer Uppdatera alla agenter.

Varför behövs sudo för att köra tjänstkommandona?

./svc.sh använder systemctl, vilket kräver sudo.

Källkod: systemd.svc.sh.template på GitHub

13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24 
150.171.23.0/24 
150.171.73.0/24 
150.171.74.0/24 
150.171.75.0/24 
150.171.76.0/24

2620:1ec:4::/48
2620:1ec:a92::/48
2620:1ec:21::/48
2620:1ec:22::/48
2620:1ec:50::/48 
2620:1ec:51::/48 
2603:1061:10::/48

Hur kör jag agenten med ett självsignerat certifikat?

Kör agenten med självsignerat certifikat

Hur gör jag för att köra agenten bakom en webbproxy?

Kör agenten bakom en webbproxy

Hur gör jag för att starta om agenten

Om du kör agenten interaktivt kan du läsa omstartsinstruktionerna i Kör interaktivt. Om du kör agenten som en systembaserad tjänst följer du stegen för att stoppa och sedan Starta agenten.

https://login.microsoftonline.com
https://app.vssps.visualstudio.com 
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

https://dev.azure.com
https://*.dev.azure.com
https://login.microsoftonline.com
https://management.core.windows.net
https://download.agent.dev.azure.com
https://vssps.dev.azure.com

13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24 
150.171.23.0/24 
150.171.73.0/24 
150.171.74.0/24 
150.171.75.0/24 
150.171.76.0/24

2620:1ec:4::/48
2620:1ec:a92::/48
2620:1ec:21::/48
2620:1ec:22::/48
2620:1ec:50::/48 
2620:1ec:51::/48 
2603:1061:10::/48

FÖRUTSÄTTNINGAR FÖR TFVC

Om du ska använda TFVC behöver du även Oracle Java JDK 1.6 eller senare. (Oracle JRE och OpenJDK räcker inte för det här ändamålet.)

TEE-plugin används för TFVC-funktionalitet. Det har ett serviceavtal som du måste godkänna under konfigurationen om du planerar att arbeta med TFVC.

Eftersom TEE-plugin-programmet inte längre underhålls och innehåller några inaktuella Java-beroenden, från agent 2.198.0 ingår det inte längre i agentdistributionen. TEE-plugin laddas dock ned under utförandet av utcheckningsuppgiften om du checkar ut en TFVC-repo. TEE-pluginet tas bort efter att jobbet har körts.

Om agenten körs bakom en proxy eller en brandvägg måste du säkerställa åtkomst till följande webbplats: https://vstsagenttools.blob.core.windows.net/. TEE-plugin-programmet laddas ned från den här adressen.

Om du använder en lokalt installerad agent och har problem med tee-nedladdning kan du installera TEE manuellt:

1. Ange DISABLE_TEE_PLUGIN_REMOVAL miljö- eller pipelinevariabel till true. Den här variabeln hindrar agenten från att ta bort TEE-plugin efter utcheckning av TFVC-databasen.
2. Ladda ned TEE-CLC version 14.135.0 manuellt från Team Explorer Everywhere GitHub-releaser.
3. Extrahera innehållet i TEE-CLC-14.135.0 mapp till <agent_directory>/externals/tee.