Indirizzi IP consentiti e URL di dominio
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Se l'organizzazione è protetta con un firewall o un server proxy, è necessario aggiungere determinati indirizzi IP (Internet Protocol) e URL (Uniform Resource Locator) di dominio all'elenco consenti. L'aggiunta di questi INDIRIZZI IP e URL all'elenco elementi consentiti consente di garantire la migliore esperienza con Azure DevOps. Si sa che è necessario aggiornare l'elenco di elementi consentiti se non è possibile accedere ad Azure DevOps nella rete. Vedere le sezioni seguenti in questo articolo:
Suggerimento
In modo che Visual Studio e Servizi di Azure funzionino bene senza problemi di rete, aprire porte e protocolli di selezione. Per altre informazioni, vedere Installare e usare Visual Studio dietro un firewall o un server proxy, Usare Visual Studio e Servizi di Azure.
Restrizioni relative a indirizzi IP e intervalli
Connessioni in uscita
Le connessioni in uscita sono destinate ad altri siti dipendenti. Esempi di tali connessioni includono:
- Browser che si connettono al sito Web di Azure DevOps quando gli utenti accedono e usano le funzionalità di Azure DevOps
- Agenti di Azure Pipelines installati nella rete dell'organizzazione che si connette ad Azure DevOps per eseguire il polling dei processi in sospeso
- Eventi CI inviati da un repository di codice sorgente ospitato nella rete dell'organizzazione ad Azure DevOps
Verificare che gli indirizzi IP seguenti siano consentiti per le connessioni in uscita, in modo che l'organizzazione funzioni con eventuali restrizioni IP o firewall esistenti. I dati degli endpoint nel grafico seguente elencano i requisiti per la connettività da un computer dell'organizzazione ad Azure DevOps Services.
13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
Se attualmente si consentono gli 13.107.6.183
indirizzi IP e 13.107.9.183
, lasciarli invariati, perché non è necessario rimuoverli.
Nota
I tag del servizio di Azure non sono supportati per le connessioni in uscita .
Connessioni in ingresso
Le connessioni in ingresso provengono da Azure DevOps e hanno come destinazione le risorse all'interno della rete dell'organizzazione. Esempi di tali connessioni includono:
- Azure DevOps Services che si connette agli endpoint per gli hook del servizio
- Azure DevOps Services che si connette alle macchine virtuali di SQL Azure controllate dal cliente per l'importazione dei dati
- Azure Pipelines si connette a repository di codice sorgente locale, ad esempio GitHub Enterprise o Bitbucket Server
- Azure DevOps Services Audit Streaming si connette a Splunk locale o basato sul cloud
Verificare che gli indirizzi IP seguenti siano consentiti per le connessioni in ingresso, in modo che l'organizzazione funzioni con eventuali restrizioni IP o firewall esistenti. I dati degli endpoint nel grafico seguente elencano i requisiti per la connettività da Azure DevOps Services all'ambiente locale o ad altri servizi cloud.
Geografia | Region | Intervalli IP V4 |
---|---|---|
Australia | Australia orientale | 20.37.194.0/24 |
Australia sud-orientale | 20.42.226.0/24 | |
Brasile | Brasile meridionale | 191.235.226.0/24 |
Canada | Canada centrale | 52.228.82.0/24 |
Asia/Pacifico | Asia sud-orientale (Singapore) | 20.195.68.0/24 |
India | India meridionale | 20.41.194.0/24 |
India centrale | 20.204.197.192/26 | |
Stati Uniti | Stati Uniti centrale | 20.37.158.0/23 |
Stati Uniti centro-occidentale | 52.150.138.0/24 | |
Stati Uniti orientali | 20.42.5.0/24 | |
Stati Uniti est 2 | 20.41.6.0/23 | |
Stati Uniti nord | 40.80.187.0/24 | |
Stati Uniti sud | 40.119.10.0/24 | |
Stati Uniti occidentali | 40.82.252.0/24 | |
Stati Uniti ovest 2 | 20.42.134.0/23 | |
West 3 Stati Uniti | 20.125.155.0/24 | |
Europa | Europa occidentale | 40.74.28.0/23 |
Europa settentrionale | 20.166.41.0/24 | |
Regno Unito | Regno Unito meridionale | 51.104.26.0/24 |
I tag del servizio di Azure sono supportati solo per le connessioni in ingresso . Anziché consentire gli intervalli IP elencati in precedenza, è possibile usare il tag del servizio AzureDevOps per Firewall di Azure e il gruppo di sicurezza di rete (NSG) o il firewall locale tramite un download di file JSON.
Nota
Il tag del servizio o gli indirizzi IP in ingresso menzionati in precedenza non si applicano agli agenti ospitati da Microsoft. I clienti devono comunque consentire l'intera area geografica per gli agenti ospitati da Microsoft. Se si consente l'intera area geografica è un problema, è consigliabile usare gli agenti del set di scalabilità di macchine virtuali di Azure. Gli agenti del set di scalabilità sono una forma di agenti self-hosted che possono essere ridimensionati automaticamente per soddisfare le esigenze.
Gli agenti macOS ospitati sono ospitati nel cloud macOS di GitHub. Gli intervalli IP possono essere recuperati usando l'API dei metadati GitHub seguendo le istruzioni fornite qui.
Altri indirizzi IP
La maggior parte degli indirizzi IP seguenti riguarda Microsoft 365 Common e Office Online.
40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32
Per altre informazioni, vedere Endpoint in tutto il mondo e Aggiunta di regole di indirizzo IP.
Connessioni ExpressRoute di Azure DevOps
Se l'organizzazione usa ExpressRoute, verificare che gli indirizzi IP seguenti siano consentiti per le connessioni in uscita e in ingresso.
13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
Per altre informazioni su Azure DevOps ed ExpressRoute, vedere ExpressRoute per Azure DevOps.
URL di dominio consentiti
Potrebbero verificarsi problemi di connessione di rete a causa delle appliance di sicurezza, che potrebbero bloccare le connessioni: Visual Studio usa TLS 1.2 e versioni successive. Quando si usa NuGet o ci si connette da Visual Studio 2015 e versioni successive, aggiornare le appliance di sicurezza per supportare TLS 1.2 e versioni successive per le connessioni seguenti.
Per assicurarsi che l'organizzazione funzioni con qualsiasi firewall o restrizione IP esistente, assicurarsi che dev.azure.com
e *.dev.azure.com
siano aperti.
La sezione seguente include gli URL di dominio più comuni per supportare le connessioni di accesso e licenze.
https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that.
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net
Gli endpoint seguenti vengono usati per autenticare le organizzazioni di Azure DevOps usando un account Microsoft (MSA). Questi endpoint sono necessari solo per le organizzazioni Di Azure DevOps supportate da account Microsoft (MSA). Le organizzazioni di Azure DevOps supportate da un tenant di Microsoft Entra non necessitano degli URL seguenti.
https://live.com
https://login.live.com
L'URL seguente è obbligatorio se si esegue la migrazione dal server Azure DevOps al servizio cloud usando lo strumento di migrazione dei dati.
https://dataimport.dev.azure.com
Nota
Azure DevOps usa rete per la distribuzione di contenuti (CDN) per gestire il contenuto statico. Gli utenti in Cina devono anche aggiungere gli URL di dominio seguenti a un elenco di elementi consentiti:
https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn
È consigliabile aprire la porta 443
a tutto il traffico negli indirizzi IP e nei domini seguenti. È anche consigliabile aprire la porta 22
a un subset più piccolo di indirizzi IP di destinazione.
Altri URL di dominio | Descrizione |
---|---|
https://login.microsoftonline.com | Autenticazione e accesso correlati |
https://*.vssps.visualstudio.com | Autenticazione e accesso correlati |
https://*gallerycdn.vsassets.io | Ospita le estensioni di Azure DevOps |
https://*vstmrblob.vsassets.io | Ospita i dati di log di Azure DevOps TCM |
https://cdn.vsassets.io | Ospita il contenuto dei rete per la distribuzione di contenuti di Azure DevOps (CDN) |
https://static2.sharepointonline.com | Ospita alcune risorse usate da Azure DevOps nel kit dell'interfaccia utente "office fabric" per i tipi di carattere e così via |
https://vsrm.dev.azure.com | Versioni degli host |
https://vstsagentpackage.azureedge.net | Necessario per configurare l'agente self-hosted nei computer all'interno della rete |
https://amp.azure.net | Necessario per la distribuzione nel servizio app di Azure |
https://go.microsoft.com | Accessi ai collegamenti go |
Azure Artifacts
Verificare che gli URL di dominio seguenti siano consentiti per Azure Artifacts:
https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com
Consentire anche tutti gli indirizzi IP nel "nome": "Archiviazione. Sezione {region}" del file seguente (aggiornata settimanale): intervalli IP di Azure e tag di servizio - Cloud pubblico. {region} è la stessa area geografica di Azure dell'organizzazione.
Connessioni NuGet
Verificare che gli URL di dominio seguenti siano consentiti per le connessioni NuGet:
https://azurewebsites.net
https://*.nuget.org
Nota
Gli URL del server NuGet di proprietà privata potrebbero non essere inclusi nell'elenco precedente. È possibile controllare i server NuGet in uso aprendo %APPData%\Nuget\NuGet.Config
.
Connessioni SSH
Se è necessario connettersi ai repository Git in Azure DevOps con SSH, consentire le richieste alla porta 22 per gli host seguenti:
ssh.dev.azure.com
vs-ssh.visualstudio.com
Consentire anche gli indirizzi IP nella sezione "name": "AzureDevOps" di questo file scaricabile (aggiornato settimanalmente) denominato: Intervalli IP di Azure e Tag del servizio - Cloud pubblico
Agenti ospitati da Microsoft in Azure Pipelines
Se si usa l'agente ospitato da Microsoft per eseguire i processi e sono necessarie le informazioni sugli indirizzi IP usati, vedere Intervalli IP degli agenti ospitati da Microsoft. Vedere tutti gli agenti del set di scalabilità di macchine virtuali di Azure.
Per altre informazioni sugli agenti Windows, Linux e macOS ospitati, vedere Intervalli ip dell'agente ospitato da Microsoft.
Agenti self-hosted di Azure Pipelines
Se si esegue un firewall e il codice si trova in Azure Repos, vedere Domande frequenti su agenti Linux self-hosted, domande frequenti su agenti macOS self-hosted o domande frequenti su agenti Windows self-hosted. Questo articolo contiene informazioni sugli URL di dominio e sugli indirizzi IP con cui l'agente privato deve comunicare.
Servizio di importazione di Azure DevOps
Durante il processo di importazione, è consigliabile limitare l'accesso alla macchina virtuale (VM) solo agli indirizzi IP di Azure DevOps. Per limitare l'accesso, consentire solo le connessioni dal set di indirizzi IP di Azure DevOps coinvolti nel processo di importazione del database di raccolta. Per informazioni sull'identificazione degli indirizzi IP corretti, vedere (Facoltativo) Limitare l'accesso solo agli indirizzi IP di Azure DevOps Services.
Nota
Azure DevOps non supporta in modo nativo l'inserimento dell'elenco di elementi consentiti direttamente all'interno delle impostazioni. Tuttavia, è possibile gestire l'elenco di elementi consentiti a livello di rete usando le impostazioni del firewall o del proxy dell'organizzazione.