Herstellen einer Verbindung mit Microsoft Azure
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018
Hinweis
In Microsoft Team Foundation Server (TFS) 2018 und früheren Versionen werden Build- und Release-Pipelines als Definitionen bezeichnet, Ausführungen werden als Builds bezeichnet, Dienstverbindungen werden als Dienstendpunkte bezeichnet, Stages werden als Umgebungen bezeichnet und Aufträge werden als Phasen bezeichnet.
Um Ihre App in einer Azure-Ressource (in einem App-Dienst oder auf einem virtuellen Computer) bereitzustellen, benötigen Sie eine Azure-Resource Manager-Dienstverbindung.
Weitere Arten von Verbindungen und allgemeine Informationen zum Erstellen und Verwenden von Verbindungen finden Sie unter Dienstverbindungen für Builds und Versionen.
Erstellen einer Azure-Resource Manager-Dienstverbindung mit automatisierter Sicherheit
Wir empfehlen diese einfache Vorgehensweise, wenn:
- Sie sind als Besitzer der Azure Pipelines-Organisation und des Azure-Abonnements angemeldet.
- Sie müssen die Berechtigungen für Azure-Ressourcen, die über die Dienstverbindung zugegriffen werden, nicht weiter einschränken.
- Sie sind nicht mit Azure Stack oder einer Azure Government Cloud verbunden.
- Sie sind nicht mit Azure DevOps Server 2019 oder früheren Versionen von TFS verbunden.
Öffnen Sie in Azure DevOps die Seite "Dienstverbindungen " auf der Seite "Projekteinstellungen". Öffnen Sie in TFS die Seite "Dienste " aus dem Symbol "Einstellungen" in der oberen Menüleiste.
Wählen Sie + Neue Dienstverbindung und wählen Sie Azure Resource Manager.
Geben Sie die folgenden Parameter an.
Parameter BESCHREIBUNG Verbindungsname Erforderlich. Der Name, den Sie verwenden, um auf diese Dienstverbindung in Aufgabeneigenschaften zu verweisen. Dies ist nicht der Name Ihres Azure-Abonnements. Bereichsebene Wählen Sie "Abonnement" oder "Verwaltungsgruppe" aus. Verwaltungsgruppen sind Container, die Ihnen helfen, Zugriff, Richtlinie und Compliance in mehreren Abonnements zu verwalten. Subscription Wenn Sie das Abonnement für den Bereich ausgewählt haben, wählen Sie ein vorhandenes Azure-Abonnement aus. Wenn keine Azure-Abonnements oder -Instanzen angezeigt werden, finden Sie unter Problembehandlung bei Azure Resource Manager Dienstverbindungen. Verwaltungsgruppe Wenn Sie die Verwaltungsgruppe für den Bereich ausgewählt haben, wählen Sie eine vorhandene Azure-Verwaltungsgruppe aus. Weitere Informationen finden Sie unter "Erstellen von Verwaltungsgruppen". Ressourcengruppe Verlassen Sie leer, damit Benutzer auf alle Ressourcen zugreifen können, die innerhalb des Abonnements definiert sind, oder wählen Sie eine Ressourcengruppe aus, auf die Sie den Zugriff der Benutzer einschränken möchten (Benutzer können nur auf die ressourcen zugreifen, die innerhalb dieser Gruppe definiert sind). Nachdem die neue Dienstverbindung erstellt wurde:
- Wenn Sie den klassischen Editor verwenden, wählen Sie den Verbindungsnamen aus, den Sie in der Azure-Abonnementeinstellung Ihrer Pipeline zugewiesen haben.
- Wenn Sie YAML verwenden, kopieren Sie den Verbindungsnamen in Ihren Code als
azureSubscription
Wert.
Um eine bestimmte Azure-Ressource bereitzustellen, benötigt die Aufgabe zusätzliche Daten zu dieser Ressource.
- Wenn Sie den klassischen Editor verwenden, wählen Sie daten aus, die Sie benötigen. Beispiel: der App Service Name.
- Wenn Sie YAML verwenden, wechseln Sie dann zur Ressource im Azure-Portal, und kopieren Sie dann die Daten in Ihren Code. Um beispielsweise eine Web-App bereitzustellen, würden Sie den Namen der App Service in den
WebAppName
Wert kopieren.
Hinweis
Wenn Sie diesen Ansatz befolgen, verbindet Azure DevOps mit Azure Active Directory (Azure AD) und erstellt eine App-Registrierung mit einem Geheimschlüssel, der für zwei Jahre gültig ist. Wenn die Dienstverbindung in der Nähe von zwei Jahren liegt, zeigt Azure AD diese Aufforderung an: Ein Zertifikat oder geheimer Schlüssel läuft bald ab. Erstellen Sie eine neue. In diesem Szenario müssen Sie die Dienstverbindung aktualisieren.
Um eine Dienstverbindung zu aktualisieren, bearbeiten Sie im Azure DevOps-Portal die Verbindung, und wählen Sie "Überprüfen" aus. Nachdem Sie die Bearbeitung gespeichert haben, ist die Dienstverbindung für weitere zwei Jahre gültig.
Siehe auch: Problembehandlung bei azure Resource Manager Dienstverbindung.
Wenn Sie Probleme bei der Verwendung dieses Ansatzes haben (z. B. keine Abonnements, die in der Dropdownliste angezeigt werden), oder wenn Sie die Berechtigungen der Benutzer weiter einschränken möchten, können Sie stattdessen einen Dienstprinzipal oder eine VM mit einer verwalteten Dienstidentität verwenden.
Erstellen einer Azure-Resource Manager-Dienstverbindung mit einem vorhandenen Dienstprinzipal
Wenn Sie einen vordefinierten Satz von Zugriffsberechtigungen verwenden möchten, und Sie haben noch keinen geeigneten Dienstprinzipal definiert, folgen Sie einem dieser Lernprogramme, um einen neuen Dienstprinzipal zu erstellen:
Öffnen Sie in Azure DevOps die Seite "Dienstverbindungen " auf der Seite "Projekteinstellungen". Öffnen Sie in TFS die Seite "Dienste " aus dem Symbol "Einstellungen" in der oberen Menüleiste.
Wählen Sie + Neue Dienstverbindung und wählen Sie Azure Resource Manager.
Wählen Sie die Option "Dienstprinzipal" (manuell) aus, und geben Sie die Details des Dienstprinzipals ein.
Geben Sie einen benutzerfreundlichen Verbindungsnamen ein, der beim Verweisen auf diese Dienstverbindung verwendet werden soll.
Wählen Sie den Namen der Umgebung (z. B. Azure Cloud, Azure Stack oder eine Azure Government Cloud) aus.
Wenn Sie Azure Cloudnicht auswählen, geben Sie die Umgebungs-URL ein. Für Azure Stack ist dies etwas wie bei Azure Stack.
https://management.local.azurestack.external
Wählen Sie die Bereichsebene aus, die Sie benötigen:
- Wenn Sie "Abonnement" auswählen, wählen Sie ein vorhandenes Azure-Abonnement aus. Wenn keine Azure-Abonnements oder -Instanzen angezeigt werden, finden Sie unter Problembehandlung bei Azure Resource Manager Dienstverbindungen. |
- Wenn Sie die Verwaltungsgruppe auswählen, wählen Sie eine vorhandene Azure-Verwaltungsgruppe aus. Weitere Informationen finden Sie unter "Erstellen von Verwaltungsgruppen". |
Geben Sie die Informationen zum Dienstprinzipal in das Dialogfeld "Azure-Abonnement" ein:
- Abonnement-ID
- Abonnementname
- Dienstprinzipal-ID
- Geben Sie entweder den Dienstprinzipalclientschlüssel oder wenn Sie das Zertifikat ausgewählt haben, den Inhalt sowohl des Zertifikats als auch des privaten Schlüsselabschnitts der Datei *.pem ein.
- Mandanten-ID
Sie können diese Informationen erhalten, wenn Sie es nicht hand haben, indem Sie dieses PowerShell-Skript in einem Azure PowerShell-Fenster herunterladen und ausführen. Geben Sie bei entsprechender Aufforderung Ihren Abonnementnamen, Ihr Kennwort, Ihre Rolle (optional) und die Art der Cloud ein – beispielsweise „Azure Cloud“ (Standard), „Azure Stack“ oder eine Azure Government-Cloud.
Wählen Sie " Verbindung überprüfen" aus, um die von Ihnen eingegebenen Einstellungen zu überprüfen.
Nachdem die neue Dienstverbindung erstellt wurde:
- Wenn Sie es in der Benutzeroberfläche verwenden, wählen Sie den Verbindungsnamen aus, den Sie in der Azure-Abonnementeinstellung Ihrer Pipeline zugewiesen haben.
- Wenn Sie es in YAML verwenden, kopieren Sie den Verbindungsnamen in Ihren Code als azureSubscription-Wert .
Wenn erforderlich, ändern Sie den Dienstprinzipal, um die entsprechenden Berechtigungen verfügbar zu machen. Ausführlichere Informationen finden Sie unter Verwalten des Zugriffs auf Ihre Azure-Abonnementressourcen mithilfe der rollenbasierten Zugriffssteuerung. Dieser Blogbeitrag enthält auch weitere Informationen zur Verwendung der Dienstprinzipalauthentifizierung.
Siehe auch: Problembehandlung bei Azure Resource Manager-Dienstverbindungen.
Erstellen einer Azure Resource Manager-Dienstverbindung mit einer VM mit einer verwalteten Dienstidentität
Hinweis
Sie müssen einen selbst gehosteten Agent auf einer Azure-VM verwenden, um verwaltete Dienstidentität zu verwenden.
Sie können Azure Virtual Machines (VM)-basierte Agents mit einer Azure Managed Service Identity in Azure Active Directory (Azure AD) konfigurieren. Dadurch können Sie die system zugewiesene Identität (Dienstprinzipal) verwenden, um den Azure VM-basierten Agents Zugriff auf alle Azure-Ressourcen zu gewähren, die Azure AD unterstützen, z. B. Key Vault, anstatt Anmeldeinformationen in Azure DevOps für die Verbindung beizubehalten.
Öffnen Sie in Azure DevOps die Seite "Dienstverbindungen " auf der Seite "Projekteinstellungen". Öffnen Sie in TFS die Seite "Dienste " aus dem Symbol "Einstellungen" in der oberen Menüleiste.
Wählen Sie + Neue Dienstverbindung und wählen Sie Azure Resource Manager.
Wählen Sie die Option "Verwaltete Identitätsauthentifizierung " aus.
Geben Sie einen benutzerfreundlichen Verbindungsnamen ein, der beim Verweisen auf diese Dienstverbindung verwendet werden soll.
Wählen Sie den Namen der Umgebung (z. B. Azure Cloud, Azure Stack oder eine Azure Government Cloud) aus.
Geben Sie die Werte für Ihr Abonnement in diese Felder des Verbindungsdialogfelds ein:
- Abonnement-ID
- Abonnementname
- Mandanten-ID
Nachdem die neue Dienstverbindung erstellt wurde:
- Wenn Sie sie in der Benutzeroberfläche verwenden, wählen Sie den Verbindungsnamen aus, den Sie in der Azure-Abonnementeinstellung Ihrer Pipeline zugewiesen haben.
- Wenn Sie es in YAML verwenden, kopieren Sie den Verbindungsnamen in Ihren Code als azureSubscription-Wert .
Stellen Sie sicher, dass der VIRTUELLE Computer (Agent) über die entsprechenden Berechtigungen verfügt. Wenn Ihr Code beispielsweise Azure Resource Manager aufrufen muss, weisen Sie der VM die entsprechende Rolle mithilfe von Role-Based Access Control (RBAC) in Azure AD zu. Weitere Informationen finden Sie unter Wie kann ich verwaltete Identitäten für Azure-Ressourcen verwenden? Und verwenden Sie Role-Based Access Control, um den Zugriff auf Ihre Azure-Abonnementressourcen zu verwalten.
Siehe auch: Problembehandlung bei Azure Resource Manager-Dienstverbindungen.
Herstellen einer Verbindung mit einer Azure Government Cloud
Informationen zum Herstellen einer Verbindung mit einer Azure Government Cloud finden Sie unter:
Herstellen einer Verbindung mit Azure Stack
Informationen zum Herstellen einer Verbindung mit Azure Stack finden Sie unter:
- Herstellen einer Verbindung mit Azure Stack
- Herstellen einer Verbindung von Azure Stack mit Azure über ein VPN
- Herstellen einer Verbindung von Azure Stack zu Azure mithilfe von ExpressRoute
Hilfe und Support
- Siehe unsere Seite zur Problembehandlung
- Informieren Sie sich in unserer Azure DevOps-Entwicklercommunity über Stack Overflow und posten Sie Ihre Fragen, suchen Sie nach Antworten oder schlagen Sie eine Funktion vor. Seite Support.