Komponenty, termíny a klíčové koncepty
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Pokud chcete efektivně nasazovat a spravovat Azure DevOps Server, musíte pochopit, jak funguje, a komunikovat s ostatními komponentami nasazení. Jako správce Azure DevOps byste měli znát ověřování Windows, síťové protokoly a provoz a strukturu obchodní sítě, ve které je Azure DevOps nainstalovaný. Měli byste také znát skupiny a oprávnění Azure DevOps.
Může se vám také hodit znalost SQL Server, SQL Server Reporting Services a sharepointových produktů.
Pokud rozumíte komponentám a termínům popsaným v tomto článku, můžete lépe plánovat, nasazovat a spravovat Azure DevOps Server.
Analytická služba
Služba Analytics je platformou pro vytváření sestav budoucnosti pro Azure DevOps. V současné době je k dispozici na Azure DevOps Services a dá se nainstalovat z Azure DevOps Marketplace na Azure DevOps Server. Další informace najdete v tématu Co je služba Analytics?
Aplikační, datová a klientská vrstva
Logické vrstvy, které tvoří Azure DevOps Server. Všechny tyto úrovně můžou být nasazené na stejném fyzickém počítači nebo mohou být nainstalované na více počítačích. Další informace najdete v tématu Přehled architektury pro Azure DevOps Server.
Kolekce projektů
Primární organizační jednotka pro všechna data v Azure DevOps Server. Kolekce určují dostupné zdroje pro projekty, které do nich byly přidány. Tyto prostředky můžou zahrnovat SQL Server Reporting Services, code Search, rozšíření Marketplace a další. Další informace najdete v tématu Správa kolekcí projektů.
Project
Centrální bod pro váš tým ke sdílení týmových aktivit, které jsou potřeba k vývoji konkrétní softwarové technologie nebo produktu. Projekty jsou uspořádány v kolekcích projektů. Další informace najdete v tématu O projektech a škálování organizace.
konzola pro správu Azure DevOps Server
Nástroj pro centralizovanou správu pro správce Azure DevOps Server ke konfiguraci a správě prostředků. Další informace najdete v rychlém přehledu úlohy správy.
Service Accounts
Účet nebo účty, které webové služby a aplikace spouští Azure DevOps. Azure DevOps Server vyžaduje, aby účty služeb prováděly operace mezi servery a webovými službami. Tyto účty služeb mají specifické požadavky. Další informace najdete v tématu Účty služeb a závislosti v Azure DevOps Server.
SharePoint Products
Software, který poskytuje podporu pro projektové portály a řídicí panely. Do nasazení Azure DevOps Server můžete zahrnout jednu nebo více webových aplikací SharePointu. Pokud chcete zahrnout jednu z těchto aplikací, musíte nainstalovat a nakonfigurovat rozšíření Azure DevOps Server pro produkty SharePoint a nakonfigurovat oprávnění v rámci nasazení. Další informace najdete v tématu Sdílení informací pomocí portálu projektu. Integrace se sharepointovými produkty je pro TFS 2018 a novější verze zastaralá.
SQL Server a SQL Server Reporting Services
Software, který poskytuje databázovou platformu pro datové sklady a platformu business intelligence pro řešení integrace, analýzy a generování sestav dat. Azure DevOps Server ukládá data do SQL Server databází. Volitelně můžete také zahrnout server, na kterém běží SQL Server Reporting Services a který automaticky generuje sestavy pro projekty. Další informace najdete v tématu Správa sestav, datového skladu a datové krychle služby Analysis Services.
Koncepty zabezpečení
Pokud chcete optimalizovat zabezpečení Azure DevOps Server, měli byste rozumět následujícím konceptům:
- Topologie, která zahrnuje, kde a jak se nasazují servery se spuštěnými komponentami Azure DevOps, síťový provoz, který prochází mezi Azure DevOps Server a klienty Azure DevOps, a služby, které musí běžet na Azure DevOps Server.
- Ověřování, které zahrnuje určení platnosti uživatelů, skupin a služeb v Azure DevOps Server.
- Autorizace, která zahrnuje určení, jestli mají platná uživatelé, skupiny a služby v Azure DevOps Server příslušná oprávnění k provádění konkrétních akcí.
Měli byste také zvážit další komponenty a služby, na kterých Azure DevOps Server závisí.
Když berete v úvahu zabezpečení Azure DevOps Server, musíte pochopit rozdíl mezi ověřováním a autorizací. Ověřování je ověření přihlašovacích údajů pokusu o připojení z klienta, serveru nebo procesu. Autorizace je ověření, že identita, která se pokouší připojit, má oprávnění pro přístup k objektu nebo metodě. K autorizaci dochází až po úspěšném ověření. Pokud připojení není ověřeno, selže před provedením jakékoli kontroly autorizace. Pokud je ověření připojení úspěšné, může být určitá akce stále zakázána, protože uživatel nebo skupina nemá oprávnění k provedení této akce.
Topologie, porty a služby
Prvním prvkem nasazení a zabezpečení pro Azure DevOps Server je to, jestli se komponenty vašeho nasazení můžou vzájemně připojit a komunikovat. Vaším cílem je povolit připojení mezi klienty Azure DevOps a Azure DevOps Server a omezit nebo zabránit jiným pokusům o připojení.
Azure DevOps Server závisí na určitých portech a službách, aby mohl fungovat. Tyto porty můžete zabezpečit a monitorovat, abyste splnili potřeby zabezpečení firmy. Musíte povolit přenosy síťového Azure DevOps Server mezi klienty Azure DevOps, servery, které hostují logické komponenty aplikační vrstvy a datové vrstvy, počítače pro sestavení Team Foundation a vzdálené klienty, kteří používají proxy server Azure DevOps. Ve výchozím nastavení je Azure DevOps Server nakonfigurovaná tak, aby pro své webové služby používala protokol HTTP. Úplný seznam portů a služeb, které Azure DevOps Server používají, a způsob jejich použití v rámci architektury najdete v tématu Azure DevOps Server architektura.
Azure DevOps Server můžete nasadit v doméně služby Active Directory nebo v pracovní skupině. Služba Active Directory poskytuje více integrovaných funkcí zabezpečení, než poskytují pracovní skupiny. K zabezpečení nasazení Azure DevOps Server můžete použít funkce služby Active Directory. Službu Active Directory můžete například nakonfigurovat tak, aby zabránila duplicitním názvům počítačů, aby uživatel se zlými úmysly nemohl z falšovat název počítače pomocí podvodného serveru se systémem Azure DevOps Server. Chcete-li zmírnit stejný druh hrozby v pracovní skupině, musíte nakonfigurovat certifikáty počítače.
Bez ohledu na to, jestli nasazujete Azure DevOps Server v pracovní skupině nebo doméně, musíte dodržovat určitá omezení, která jsou stanoveny požadavky Azure DevOps Server samotné. Další informace o topologiích pro Azure DevOps Server najdete v tématech Jednoduchá topologie Azure DevOps Server, Střední topologie Azure DevOps Server, Komplexní topologie Azure DevOps Server, Vysvětlení. Windows SharePoint Services a Principy SQL Server a SQL Server Reporting Services.
Authentication
Zabezpečení pro Azure DevOps Server je integrované s integrovaným ověřováním Windows a bezpečnostními funkcemi operačního systému Windows a spoléhá na ně. Integrované ověřování Windows můžete použít k ověřování účtů pro připojení mezi klienty Azure DevOps a Azure DevOps Server, pro webové služby na serverech, které hostují logickou aplikaci a datové vrstvy, a pro připojení mezi samotnými servery aplikační a datové vrstvy.
Poznámka
Po instalaci Azure DevOps Server můžete nakonfigurovat Azure DevOps Server tak, aby podporoval protokol Kerberos pro vzájemné ověřování klienta i serveru.
Neměli byste konfigurovat žádné SQL Server databázová připojení mezi Azure DevOps Server a SharePoint Products tak, aby používaly ověřování SQL Server, protože není tak zabezpečené jako ověřování systému Windows. Když se připojíte k databázi, uživatelské jméno a heslo účtu správce databáze se odesílají v nešifrované podobě. Integrované ověřování systému Windows neodesílá uživatelské jméno a heslo. Místo toho používá protokoly zabezpečení integrovaného ověřování systému Windows k přenosu informací o identitě účtu služby, které jsou přidruženy k fondu hostitelských aplikací Internetové informační služby (IIS) do SQL Server.
Autorizace
Azure DevOps Server autorizace je založená na uživatelích a skupinách v Azure DevOps, na oprávněních, která jsou přiřazená přímo těmto uživatelům a skupinám, a na oprávněních, která můžou tito uživatelé a skupiny dědit tím, že patří do jiných skupin v Azure DevOps Server. Uživatelé a skupiny v Azure DevOps můžou být místní uživatelé nebo skupiny, uživatelé nebo skupiny služby Active Directory nebo obojí.
Azure DevOps Server je předem nakonfigurovaná s výchozími skupinami na úrovni serveru, kolekce a projektu. Tyto skupiny můžete naplnit přidáním jednotlivých uživatelů. Správa ale může být jednodušší, pokud tyto skupiny naplníte pomocí skupin zabezpečení služby Active Directory. Díky tomuto přístupu můžete efektivněji spravovat členství ve skupinách a oprávnění v různých počítačích nebo aplikacích, jako jsou sharepointové produkty a SQL Server.
Vaše konkrétní nasazení může vyžadovat konfiguraci uživatelů, skupin a oprávnění na více počítačích a v několika aplikacích. Pokud například chcete jako součást nasazení zahrnout sestavy a portály projektů, musíte nakonfigurovat oprávnění pro uživatele a skupiny ve službách Reporting Services, SharePoint Products a Azure DevOps Server. V Azure DevOps Server můžete nastavit oprávnění pro každý projekt, pro každou kolekci a pro nasazení (na úrovni serveru). Ve výchozím nastavení se navíc udělují určitá oprávnění každému uživateli nebo skupině, které přidáte do Azure DevOps Server, protože tento uživatel nebo skupina se automaticky přidá do platných uživatelů Azure DevOps. Další informace najdete v tématu Správa uživatelů nebo skupin.
Navíc ke konfiguraci oprávnění pro autorizaci v Azure DevOps Server možná budete potřebovat autorizaci v rámci správy verzí a pracovních položek. Tato oprávnění můžete spravovat samostatně na příkazovém řádku, ale jsou integrována jako součást rozhraní pro Team Explorer.