Engedélyezett IP-címek és tartomány URL-címek

  • Cikk

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Ha a szervezetet tűzfal vagy proxykiszolgáló védi, az engedélyezési listához hozzá kell adnia bizonyos ip-címeket és tartományi egységes erőforrás-keresőket (URL-címeket). Ha hozzáadja ezeket az IP-címeket és URL-címeket az engedélyezési listához, azzal biztosíthatja, hogy a legjobb felhasználói élményben legyen része az Azure DevOpsban. Tudja, hogy frissítenie kell az engedélyezési listát, ha nem fér hozzá az Azure DevOpshoz a hálózaton. Tekintse meg a cikk következő szakaszait:

Tipp.

Hogy a Visual Studio és az Azure Services megfelelően működjön hálózati problémák nélkül, válassza ki a portokat és protokollokat. További információ: A Visual Studio telepítése és használata tűzfal vagy proxykiszolgáló mögött, a Visual Studio és az Azure Services használata.

IP-címek és tartománykorlátozások

Kimenő kapcsolatok

A kimenő kapcsolatok más függő helyeket céloznak meg. Ilyen kapcsolatok például a következők:

  • Az Azure DevOps webhelyéhez csatlakozó böngészők, amikor a felhasználók megnyitják és használják az Azure DevOps funkcióit
  • A szervezet hálózatára telepített Azure Pipelines-ügynökök az Azure DevOpshoz csatlakozva függőben lévő feladatok lekérdezéséhez
  • A szervezet hálózatán belül üzemeltetett forráskódtárból az Azure DevOpsba küldött CI-események

Győződjön meg arról, hogy a következő IP-címek engedélyezettek a kimenő kapcsolatokhoz, így a szervezet együttműködik a meglévő tűzfal- vagy IP-korlátozásokkal. Az alábbi diagram végpontadatai a szervezet egy gépe és az Azure DevOps Services közötti kapcsolat követelményeit sorolják fel.


13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24

Ha jelenleg engedélyezi az IP-címeket és 13.107.9.183 az 13.107.6.183 IP-címeket, hagyja őket helyben, mivel nem kell eltávolítania őket.

Feljegyzés

Az Azure-szolgáltatáscímkék nem támogatottak a kimenő kapcsolatok esetében.

Bejövő kapcsolatok

A bejövő kapcsolatok az Azure DevOpsból származnak, és a szervezet hálózatán belüli erőforrásokat céloznak meg. Ilyen kapcsolatok például a következők:

Győződjön meg arról, hogy a bejövő kapcsolatok esetében a következő IP-címek engedélyezettek, így a szervezet együttműködik a meglévő tűzfal- vagy IP-korlátozásokkal. Az alábbi diagram végpontadatai az Azure DevOps Services és a helyszíni vagy más felhőszolgáltatások közötti kapcsolat követelményeit sorolják fel.

  Földrajzi hely Régió IP V4-tartományok
Ausztrália Kelet-Ausztrália 20.37.194.0/24
Délkelet-Ausztrália 20.42.226.0/24
Brazília Dél-Brazília 191.235.226.0/24
Kanada Közép-Kanada 52.228.82.0/24
Ázsia és a Csendes-óceáni térség Délkelet-Ázsia (Szingapúr) 20.195.68.0/24
India Dél-India 20.41.194.0/24
Közép-India 20.204.197.192/26
Egyesült Államok Központi Egyesült Államok 20.37.158.0/23
Nyugat-közép Egyesült Államok 52.150.138.0/24
Keleti Egyesült Államok 20.42.5.0/24
2. keleti Egyesült Államok 20.41.6.0/23
Északi Egyesült Államok 40.80.187.0/24
Déli Egyesült Államok 40.119.10.0/24
Nyugati Egyesült Államok 40.82.252.0/24
2. nyugati Egyesült Államok 20.42.134.0/23
3. nyugati Egyesült Államok 20.125.155.0/24
Európa Nyugat-Európa 40.74.28.0/23
Észak-Európa 20.166.41.0/24
Egyesült Királyság Egyesült Királyság – Dél 51.104.26.0/24

Az Azure-szolgáltatáscímkék csak bejövő kapcsolatok esetén támogatottak. A korábban felsorolt IP-tartományok engedélyezése helyett használhatja az Azure Firewall és a Network Security Group (NSG) AzureDevOps szolgáltatáscímkéjét vagy a helyszíni tűzfalat egy JSON-fájlletöltéssel.

Feljegyzés

A szolgáltatáscímke vagy a korábban említett bejövő IP-címek nem vonatkoznak a Microsoft Által üzemeltetett ügynökökre. Az ügyfeleknek továbbra is engedélyezni kell a Microsoft Által üzemeltetett ügynökök teljes földrajzi adatait. Ha a teljes földrajzi hely engedélyezése aggodalomra ad okot, javasoljuk az Azure Virtual Machine Scale Set-ügynökök használatát. A méretezési csoportok ügynökei a saját üzemeltetésű ügynökök egy formája, amely automatikusan skálázható az igényeinek megfelelően.
A üzemeltetett macOS-ügynökök a GitHub macOS-felhőjében találhatók. Az IP-tartományok a GitHub metadata API-val kérhetők le az itt megadott utasítások alapján.

Egyéb IP-címek

A következő IP-címek többsége a Microsoft 365 Common és az Office Online szolgáltatásra vonatkozik.


40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32

További információ: Globális végpontok és IP-címszabályok hozzáadása.

Azure DevOps ExpressRoute-kapcsolatok

Ha a szervezete ExpressRoute-t használ, győződjön meg arról, hogy a következő IP-címek engedélyezve vannak a kimenő és a bejövő kapcsolatok esetében is.

13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32

További információ az Azure DevOpsról és az ExpressRoute-ról: ExpressRoute for Azure DevOps.

Engedélyezett tartomány URL-címei

Hálózati csatlakozási problémák léphetnek fel a biztonsági berendezések miatt, amelyek blokkolhatják a kapcsolatokat – a Visual Studio a TLS 1.2-t vagy újabb verziót használja. Ha NuGetet használ, vagy a Visual Studio 2015-ből vagy újabb verzióból csatlakozik, frissítse a biztonsági berendezéseket a TLS 1.2 és újabb verzióinak támogatásához az alábbi kapcsolatokhoz.

Annak érdekében, hogy a szervezet együttműködjön a meglévő tűzfal- vagy IP-korlátozásokkal, győződjön meg róla, hogy dev.azure.com nyitva van és *.dev.azure.com nyitva van.

Az alábbi szakasz a leggyakoribb tartományi URL-címeket tartalmazza a bejelentkezés és a licencelési kapcsolatok támogatásához.


https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that. 
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net

Az alábbi végpontok az Azure DevOps-szervezetek Microsoft-fiók (MSA) használatával történő hitelesítésére szolgálnak. Ezekre a végpontokra csak a Microsoft-fiókok (MSA) által támogatott Azure DevOps-szervezetek esetében van szükség. Az Azure DevOps-szervezetek által támogatott Microsoft Entra-bérlőknek nincs szükségük a következő URL-címekre.

https://live.com 
https://login.live.com

Az alábbi URL-címre van szükség, ha migrál az Azure DevOps-kiszolgálóról a felhőszolgáltatásba az adatmigrálási eszköz használatával.

https://dataimport.dev.azure.com

Feljegyzés

Az Azure DevOps tartalomkézbesítési hálózatokat (CDN-eket) használ a statikus tartalom kiszolgálásához. A kínai felhasználóknak az alábbi tartományi URL-címeket is hozzá kell adniuk egy engedélyezési listához:

https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn

Javasoljuk, hogy nyissa meg a portot 443 az alábbi IP-címeken és tartományokon lévő összes forgalom számára. Azt is javasoljuk, hogy nyissa meg a portot 22 a célzott IP-címek egy kisebb részhalmazára.

További tartományi URL-címek Leírások
https://login.microsoftonline.com Hitelesítéssel és bejelentkezéssel kapcsolatos
https://*.vssps.visualstudio.com Hitelesítéssel és bejelentkezéssel kapcsolatos
https://*gallerycdn.vsassets.io Azure DevOps-bővítményeket üzemeltet
https://*vstmrblob.vsassets.io Azure DevOps TCM-naplóadatokat üzemeltet
https://cdn.vsassets.io Azure DevOps-tartalomkézbesítési hálózatok (CDN-ek) tartalmát üzemelteti
https://static2.sharepointonline.com Az Azure DevOps által a betűtípusokhoz használt "office fabric" felhasználói felületi készletben használt erőforrásokat üzemelteti, és így tovább
https://vsrm.dev.azure.com Gazdagépek kiadásai
https://vstsagentpackage.azureedge.net A saját üzemeltetésű ügynök beállításához szükséges a hálózaton belüli gépeken
https://amp.azure.net Az Azure App Service-ben való üzembe helyezéshez szükséges
https://go.microsoft.com Accesses go links

Azure Artifacts

Győződjön meg arról, hogy a következő tartományi URL-címek engedélyezettek az Azure Artifacts esetében:

https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com

Engedélyezze az összes IP-címet a "névben": "Storage". {region}" szakasz a következő fájlból (hetente frissítve): Azure IP-tartományok és szolgáltatáscímkék – Nyilvános felhő. A(z) {region} ugyanaz az Azure Geography, mint a szervezete.

NuGet-kapcsolatok

Győződjön meg arról, hogy a NuGet-kapcsolatok esetében a következő tartomány URL-címek engedélyezettek:

https://azurewebsites.net
https://nuget.org

Feljegyzés

Előfordulhat, hogy a privát tulajdonú NuGet-kiszolgáló URL-címei nem szerepelnek az előző listában. A használt NuGet-kiszolgálókat a megnyitással %APPData%\Nuget\NuGet.Configellenőrizheti.

SSH-kapcsolatok

Ha SSH-val kell csatlakoznia az Azure DevOps Git-adattáraihoz, engedélyezze a 22-s portra vonatkozó kéréseket a következő gazdagépekhez:


ssh.dev.azure.com
vs-ssh.visualstudio.com

Engedélyezze az IP-címeket a "name": "AzureDevOps" szakaszában ennek a letölthető fájlnak (hetente frissítve): Azure IP-tartományok és szolgáltatáscímkék – Nyilvános felhő

Azure Pipelines Microsoft által üzemeltetett ügynökök

Ha a Microsoft által üzemeltetett ügynököt használja a feladatok futtatásához, és szüksége van a használt IP-címekre vonatkozó információkra, tekintse meg a Microsoft által üzemeltetett ügynökök IP-tartományait. Tekintse meg az azure-beli virtuálisgép-méretezési csoport összes ügynökét.

Az üzemeltetett Windows-, Linux- és macOS-ügynökökről további információt a Microsoft által üzemeltetett ügynök IP-tartományai között talál.

Saját üzemeltetésű Azure Pipelines-ügynökök

Ha tűzfalat futtat, és a kód az Azure-adattárakban található, tekintse meg a saját üzemeltetésű Linux-ügynökök gyakori kérdéseket, a macOS-ügynökök saját üzemeltetésű gyakori kérdéseket vagy a Windows-ügynökök saját üzemeltetésű gyakori kérdéseket. Ez a cikk azt ismerteti, hogy a magánügynöknek mely tartomány URL-címeivel és IP-címeivel kell kommunikálnia.

Azure DevOps importálási szolgáltatás

Az importálási folyamat során erősen javasoljuk, hogy a virtuális gép (VM) hozzáférését csak az Azure DevOps IP-címére korlátozza. A hozzáférés korlátozásához csak a gyűjteményadatbázis importálási folyamatában részt vevő Azure DevOps IP-címek készletéből engedélyezze a kapcsolatokat. A megfelelő IP-címek azonosításával kapcsolatos információkért lásd : (Nem kötelező) Csak az Azure DevOps Services IP-címeinek hozzáférésének korlátozása.