Udostępnij za pośrednictwem


Dozwolone adresy IP i adresy URL domen

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Jeśli twoja organizacja jest zabezpieczona za pomocą zapory lub serwera proxy, należy dodać do listy dozwolonych określone adresy IP i ujednolicone lokalizatory zasobów (URL) w domenie. Dodanie tych adresów IP i adresów URL do listy dozwolonych pomaga zapewnić najlepsze środowisko pracy z usługą Azure DevOps. Wiesz, że musisz zaktualizować listę dozwolonych, jeśli nie możesz uzyskać dostępu do usługi Azure DevOps w sieci. Zapoznaj się z następującymi sekcjami w tym artykule:

Napiwek

Aby program Visual Studio i usługi platformy Azure działały dobrze bez problemów z siecią, otwórz wybieranie portów i protokołów. Aby uzyskać więcej informacji, zobacz Instalowanie i używanie programu Visual Studio za zaporą lub serwerem proxy, Używanie programu Visual Studio i usług platformy Azure.

Adresy IP i ograniczenia zakresu

Połączenia wychodzące

Połączenia wychodzące są przeznaczone dla innych lokacji zależnych. Przykłady takich połączeń to:

  • Przeglądarki łączące się z witryną internetową usługi Azure DevOps, gdy użytkownicy przechodzą do usługi Azure DevOps i korzystają z funkcji usługi Azure DevOps
  • Agenci usługi Azure Pipelines zainstalowani w sieci organizacji łączący się z usługą Azure DevOps w celu sondowania oczekujących zadań
  • Zdarzenia ciągłej integracji wysyłane z repozytorium kodu źródłowego hostowanego w sieci organizacji do usługi Azure DevOps

Upewnij się, że następujące adresy IP są dozwolone dla połączeń wychodzących, więc organizacja współpracuje z wszelkimi istniejącymi ograniczeniami zapory lub adresów IP. Dane punktu końcowego na poniższym wykresie zawierają wymagania dotyczące łączności z maszyny w organizacji do usług Azure DevOps Services.


13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24

Jeśli obecnie zezwalasz na 13.107.6.183 adresy IP i 13.107.9.183 , pozostaw je na miejscu, ponieważ nie musisz ich usuwać.

Uwaga

Tagi usługi platformy Azure nie są obsługiwane w przypadku połączeń wychodzących .

Połączenia przychodzące

Połączenia przychodzące pochodzą z usługi Azure DevOps i zasobów docelowych w sieci organizacji. Przykłady takich połączeń to:

Upewnij się, że następujące adresy IP są dozwolone dla połączeń przychodzących, więc organizacja współpracuje z wszelkimi istniejącymi ograniczeniami zapory lub adresów IP. Dane punktu końcowego na poniższym wykresie zawierają wymagania dotyczące łączności z usługami Azure DevOps Services do lokalnych lub innych usług w chmurze.

  Obszar geograficzny Region Zakresy adresów IP w wersji 4
Australia Australia Wschodnia 20.37.194.0/24
Australia Południowo-Wschodnia 20.42.226.0/24
Brazylia Brazylia Południowa 191.235.226.0/24
Kanada Kanada Środkowa 52.228.82.0/24
Azja i Pacyfik Azja Południowo-wschodnia (Singapur) 20.195.68.0/24
Indie Indie Południowe 20.41.194.0/24
Indie Centralne 20.204.197.192/26
Stany Zjednoczone Środkowe Stany Zjednoczone 20.37.158.0/23
Stany Zjednoczone Zachodnio-środkowa 52.150.138.0/24
Wschodnia Stany Zjednoczone 20.42.5.0/24
Wschodnie 2 Stany Zjednoczone 20.41.6.0/23
Stany Zjednoczone północna 40.80.187.0/24
Południowo-Stany Zjednoczone 40.119.10.0/24
Zachodnie Stany Zjednoczone 40.82.252.0/24
West 2 Stany Zjednoczone 20.42.134.0/23
West 3 Stany Zjednoczone 20.125.155.0/24
Europa Europa Zachodnia 40.74.28.0/23
Europa Północna 20.166.41.0/24
Zjednoczone Królestwo Zjednoczone Królestwo, część południowa 51.104.26.0/24

Tagi usługi platformy Azure są obsługiwane tylko w przypadku połączeń przychodzących . Zamiast zezwalać na wymienione wcześniej zakresy adresów IP, możesz użyć tagu usługi AzureDevOps dla usługi Azure Firewall i sieciowej grupy zabezpieczeń (NSG) lub zapory lokalnej za pośrednictwem pobierania pliku JSON.

Uwaga

Tag usługi lub wcześniej wymienione adresy IP dla ruchu przychodzącego nie mają zastosowania do agentów hostowanych przez firmę Microsoft. Klienci są nadal zobowiązani do zezwolenia na całą lokalizację geograficzną agentów hostowanych przez firmę Microsoft. Jeśli zezwalanie na całą lokalizację geograficzną jest problemem, zalecamy użycie agentów zestawu skalowania maszyn wirtualnych platformy Azure. Agenci zestawu skalowania to forma własnych agentów, które mogą być skalowane automatycznie w celu spełnienia wymagań.
Hostowani agenci systemu macOS są hostowani w chmurze systemu macOS usługi GitHub. Zakresy adresów IP można pobrać przy użyciu interfejsu API metadanych usługi GitHub, korzystając z instrukcji podanych tutaj.

Inne adresy IP

Większość następujących adresów IP dotyczy platformy Microsoft 365 Common i Office Online.


40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32

Aby uzyskać więcej informacji, zobacz Globalne punkty końcowe i Dodawanie reguł adresów IP.

Połączenia usługi ExpressRoute usługi Azure DevOps

Jeśli organizacja korzysta z usługi ExpressRoute, upewnij się, że następujące adresy IP są dozwolone zarówno dla połączeń wychodzących, jak i przychodzących.

13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32

Aby uzyskać więcej informacji na temat usług Azure DevOps i ExpressRoute, zobacz ExpressRoute for Azure DevOps (Usługa ExpressRoute dla usługi Azure DevOps).

Dozwolone adresy URL domeny

Problemy z połączeniem sieciowym mogą wystąpić z powodu urządzeń zabezpieczeń, które mogą blokować połączenia — program Visual Studio używa protokołu TLS 1.2 lub nowszego. Jeśli używasz pakietu NuGet lub nawiązujesz połączenie z programu Visual Studio 2015 lub nowszym, zaktualizuj urządzenia zabezpieczeń, aby obsługiwały protokół TLS 1.2 i nowsze dla następujących połączeń.

Aby upewnić się, że organizacja współpracuje z wszelkimi istniejącymi ograniczeniami zapory lub adresu IP, upewnij się, że dev.azure.com i *.dev.azure.com są otwarte.

Poniższa sekcja zawiera najbardziej typowe adresy URL domeny do obsługi połączeń logowania i licencjonowania.


https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that. 
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net

Następujące punkty końcowe są używane do uwierzytelniania organizacji usługi Azure DevOps przy użyciu konta Microsoft (MSA). Te punkty końcowe są potrzebne tylko dla organizacji usługi Azure DevOps wspieranych przez konta Microsoft (MSA). Organizacje usługi Azure DevOps, dla których utworzono kopię zapasową dzierżawy firmy Microsoft Entra, nie potrzebują następujących adresów URL.

https://live.com 
https://login.live.com 

Poniższy adres URL jest wymagany, jeśli przeprowadzasz migrację z serwera Usługi Azure DevOps do usługi w chmurze przy użyciu naszego narzędzia do migracji danych.

https://dataimport.dev.azure.com

Uwaga

Usługa Azure DevOps używa sieci dostarczania zawartości (CDN) do obsługi zawartości statycznej. Użytkownicy w Chinach powinni również dodać następujące adresy URL domeny do listy dozwolonych:

https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn

Zalecamy otwarcie portu 443 dla całego ruchu na następujących adresach IP i domenach. Zalecamy również otwarcie portu 22 w mniejszym podzestawie docelowych adresów IP.

Więcej adresów URL domeny Opisy
https://login.microsoftonline.com Uwierzytelnianie i logowanie powiązane
https://*.vssps.visualstudio.com Uwierzytelnianie i logowanie powiązane
https://*gallerycdn.vsassets.io Hostuje rozszerzenia usługi Azure DevOps
https://*vstmrblob.vsassets.io Hostuje dane dziennika usługi Azure DevOps TCM
https://cdn.vsassets.io Hostuje zawartość usługi Azure DevOps Content Delivery Networks (CDN)
https://static2.sharepointonline.com Hostuje niektóre zasoby używane przez usługę Azure DevOps w zestawie interfejsu użytkownika "office fabric" dla czcionek itd.
https://vsrm.dev.azure.com Wydania hostów
https://vstsagentpackage.azureedge.net Wymagane do skonfigurowania własnego agenta na maszynach w sieci
https://amp.azure.net Wymagane do wdrożenia w usłudze Azure App Service
https://go.microsoft.com Uzyskiwanie dostępu do linków

Azure Artifacts

Upewnij się, że następujące adresy URL domeny są dozwolone dla usługi Azure Artifacts:

https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com

Zezwalaj również na wszystkie adresy IP w polu "name": "Storage. Sekcja {region}" następującego pliku (zaktualizowana co tydzień): zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna. {region} jest tą samą lokalizacją geograficzną platformy Azure co Twoja organizacja.

Połączenia NuGet

Upewnij się, że następujące adresy URL domeny są dozwolone dla połączeń NuGet:

https://azurewebsites.net
https://*.nuget.org

Uwaga

Prywatne adresy URL serwera NuGet mogą nie być uwzględnione na poprzedniej liście. Możesz sprawdzić używane serwery NuGet, otwierając plik %APPData%\Nuget\NuGet.Config.

Połączenia SSH

Jeśli musisz nawiązać połączenie z repozytoriami Git w usłudze Azure DevOps przy użyciu protokołu SSH, zezwól na żądania na port 22 dla następujących hostów:


ssh.dev.azure.com
vs-ssh.visualstudio.com

Zezwalaj również na adresy IP w sekcji "name": "AzureDevOps" tego pliku do pobrania (zaktualizowane co tydzień) o nazwie: Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna

Agenci hostowani przez firmę Microsoft w usłudze Azure Pipelines

Jeśli używasz agenta hostowanego przez firmę Microsoft do uruchamiania zadań i potrzebujesz informacji na temat używanych adresów IP, zobacz Zakresy adresów IP agentów hostowanych przez firmę Microsoft. Zobacz wszystkich agentów zestawu skalowania maszyn wirtualnych platformy Azure.

Aby uzyskać więcej informacji na temat hostowanych agentów systemów Windows, Linux i macOS, zobacz Zakresy adresów IP agenta hostowanego przez firmę Microsoft.

Agenci self-hosted w usłudze Azure Pipelines

Jeśli używasz zapory, a twój kod znajduje się w usłudze Azure Repos, zobacz Self-hosted Linux agents FAQ (Często zadawane pytania dotyczące własnych agentów systemu linux), Self-hosted macOS agents (Często zadawane pytania dotyczące własnych agentów systemu macOS lub własnych agentów systemu Windows). Ten artykuł zawiera informacje o adresach URL domeny i adresach IP, z którymi musi komunikować się agent prywatny.

Usługa importowania usługi Azure DevOps

Podczas procesu importowania zdecydowanie zalecamy ograniczenie dostępu do maszyny wirtualnej tylko do adresów IP z usługi Azure DevOps. Aby ograniczyć dostęp, zezwalaj tylko na połączenia z zestawu adresów IP usługi Azure DevOps, które brały udział w procesie importowania bazy danych kolekcji. Aby uzyskać informacje na temat identyfikowania prawidłowych adresów IP, zobacz (Opcjonalnie) Ograniczanie dostępu tylko do adresów IP usług Azure DevOps Services.

Uwaga

Usługa Azure DevOps nie obsługuje natywnie listy dozwolonych bezpośrednio w ustawieniach. Można jednak zarządzać listą dozwolonych na poziomie sieci przy użyciu ustawień zapory organizacji lub serwera proxy.