Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A Dev tunnels egy biztonságra összpontosító fejlesztői alagútszolgáltatás. Ebből a cikkből megtudhatja, hogyan védik a fejlesztői alagutakat.
Áttekintés
Alapértelmezés szerint az alagút üzemeltetéséhez és az alagúthoz való csatlakozáshoz ugyanazzal a Microsoft-, Microsoft Entra-azonosítóval vagy GitHub-fiókkal kell hitelesítést igényelnie, amely létrehozta az alagutat. Az alagutazáshoz kimenő kapcsolatokat kell létesíteni a szolgáltatáshoz, amelyet az Azure-ban üzemeltetnek. A szolgáltatás használatához nincs szükség bejövő kapcsolatokra.
Domainek
A fejlesztői alagutakhoz való hozzáférés a következő tartományok kimenő hozzáférésének engedélyezésével vagy letiltásával szabályozható:
Hitelesítés
github.comlogin.microsoftonline.com
Fejlesztői alagutak
global.rel.tunnels.api.visualstudio.com[clusterId].rel.tunnels.api.visualstudio.com[clusterId]-data.rel.tunnels.api.visualstudio.com*.[clusterId].devtunnels.ms*.devtunnels.ms
Az aktuális [clusterId] értékek listája itt érhető el https://global.rel.tunnels.api.visualstudio.com/api/v1/clusters: .
Web-továbbítás
A HTTP(S)/WS(S) protokollokat használó alagútportok közvetlenül a megadott webtovábbítási URL-címen keresztül érhetők el (például: https://tunnelid-3000.devtunnels.ms).
- A nem biztonságos ügyfélkapcsolatok mindig automatikusan HTTPS/WSS-re frissülnek.
- A HTTP Szigorú átviteli biztonság (HSTS) egy éves maximális életkorral engedélyezve van.
- A szolgáltatás által támogatott minimális TLS-verzió az 1.2, a TLS 1.3 pedig az előnyben részesített verzió.
- A TLS leállítása a szolgáltatás bejövő forgalmában történik egy Microsoft CA által kibocsátott szolgáltatástanúsítványok használatával.
- A TLS leállítása után a fejléc újraírása történik. Ez számos webalkalmazás-fejlesztési forgatókönyv esetében szükséges.
Adathalászat elleni védelem
Amikor a felhasználók először csatlakoznak egy webtovábbítási URL-címhez, számukra megjelenik egy átmeneti adathalász elleni oldal. A lap kihagyása a következő körülmények között történik:
- A kérelem más módszert használ, mint
GET - A kérelem
Acceptfejléce nem tartalmaztext/html - A kérelem tartalmazza a fejlécet
X-Tunnel-Skip-AntiPhishing-Page - A kérelem tartalmazza a fejlécet
X-Tunnel-Authorization - A felhasználó már megtekintette a lapot, és a folytatásra kattintott
Alagút-hozzáférés
Alapértelmezés szerint az alagutak és alagútportok privátak, és csak az alagutat létrehozó felhasználó számára érhetők el.
Ha egy alagutat vagy alagútportot hitelesítés nélkül kell elérni, engedélyezheti az anonim hozzáférést egy hozzáférés-vezérlési bejegyzés (ACE) hozzáadásával (--allow-anonymous).
Az alagút-hozzáférés kiterjeszthető az aktuális Microsoft Entra-bérlőre (használat --tenant) vagy adott GitHub-szervezetekre (használat --organization); utóbbiak esetében lásd a GitHub szervezeti hozzáférését alább.
A parancssori felület olyan hozzáférési jogkivonatok igénylésére is használható, amelyek korlátozott hozzáférést biztosítanak a jogkivonattal rendelkezők számára (használat devtunnel token). Ez egy speciális funkció, de bizonyos helyzetekben hasznos lehet.
Jelenleg négy alagút-hozzáférési jogkivonat érhető el:
- Az "ügyfél-hozzáférési jogkivonat" lehetővé teszi, hogy a tulajdonos az alagút bármely portjára csatlakozzon.
- A "gazdagép hozzáférési jogkivonata" lehetővé teszi, hogy a tulajdonos üzemeltetje az alagutat, és fogadja el a kapcsolatokat, de más módosításokat nem hajthat végre rajta.
- A "portok hozzáférési jogkivonatának kezelése" lehetővé teszi a tulajdonos számára a portok hozzáadását és törlését az alagútban.
- A "felügyeleti hozzáférési jogkivonat" lehetővé teszi, hogy a tulajdonos bármilyen műveletet végrehajtson az alagúton, beleértve a hozzáférési vezérlők beállítását, az üzemeltetést, a csatlakozást és az alagút törlését.
Az összes token az aktuális alagútra van korlátozva; nem teszik lehetővé az aktuális felhasználó számára, hogy más alagutakhoz hozzáférjen, ha vannak. A tokenek bizonyos idő elteltével (jelenleg 24 óra) lejárnak. A jogkivonatok csak olyan tényleges felhasználói identitással frissíthetők, amely a felügyeleti hatókörhöz való hozzáféréssel rendelkezik az alagúthoz (nem csak felügyeleti hozzáférési jogkivonattal).
A legtöbb parancssori felületi parancs elfogadhat egy --access-token megfelelő jogkivonattal rendelkező argumentumot a bejelentkezés alternatívaként.
A webes ügyfelek egy jogkivonatot küldhetnek a fejlécben, hogy engedélyezzék a hozzáférést egy alagút URI-hoz.
X-Tunnel-Authorization: tunnel <TOKEN>
Jótanács
Ez nem interaktív ügyfelek számára hasznos, mivel lehetővé teszi az alagutak elérését anélkül, hogy névtelen hozzáférést kellene engedélyezniük. A szokásos X-Tunnel-Authorization fejléc helyett a Authorization fejlécet használjuk, hogy megakadályozzuk az alkalmazásspecifikus engedélyezés esetleges zavarását.
A parancssori felületen keresztüli alagúthozzáférés kezelésével kapcsolatos további információkért tekintse meg a fejlesztői alagút hozzáférésének kezelését ismertető szakaszt.
GitHub Szervezeti hozzáférés
A GitHub-szervezet összes tagjának hozzáférést biztosító alagutak támogatásához telepítse a Dev Tunnels GitHub alkalmazást a szervezetben. Ez engedélyt ad a Dev Tunnels szolgáltatásnak, hogy ellenőrizze a felhasználók tagsági állapotát a szervezetben. (A Dev Tunnels nem igényel adattárengedélyeket az szervezetnél.) Előfordulhat, hogy a művelet végrehajtásához adminisztrátornak kell lennie a GitHub-szervezetben.
További kérdések
Ha a lap áttekintése után további kérdései vannak, tekintse meg a visszajelzést és a támogatást.