Udostępnij za pośrednictwem


Składniki, terminy i kluczowe pojęcia

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Aby efektywnie wdrażać serwer Usługi Azure DevOps Server i zarządzać nim, musisz zrozumieć, jak działa i komunikować się z innymi składnikami wdrażania. Jako administrator usługi Azure DevOps należy zapoznać się z uwierzytelnianiem systemu Windows, protokołami sieciowymi i ruchem oraz strukturą sieci biznesowej, na której zainstalowano usługę Azure DevOps. Należy również poznać grupy i uprawnienia usługi Azure DevOps.

Możesz również uznać za przydatne zrozumienie programu SQL Server, usług SQL Server Reporting Services oraz produktów programu SharePoint.

Lepiej możesz planować, wdrażać i zarządzać serwerem Azure DevOps Server, jeśli rozumiesz składniki i terminy opisane w tym artykule.

Usługa analizy

Usługa Analytics to platforma raportowania przyszłości dla usługi Azure DevOps. Jest ona obecnie dostępna w usłudze Azure DevOps Services i można ją zainstalować z witryny Azure DevOps Marketplace na serwerze Azure DevOps Server. Aby uzyskać więcej informacji, zobacz Co to jest usługa Analizy?

Warstwa aplikacji, warstwa danych i warstwa klienta

Warstwy logiczne tworzące usługę Azure DevOps Server. Te warstwy mogą być wdrażane na tym samym komputerze fizycznym lub mogą być zainstalowane na wielu komputerach. Aby uzyskać więcej informacji, zobacz omówienie architektury dla usługi Azure DevOps Server.

Kolekcja projektów

Podstawowa jednostka organizacyjna dla wszystkich danych w usłudze Azure DevOps Server. Kolekcje określają zasoby dostępne dla dodanych do nich projektów. Te zasoby mogą obejmować usługi SQL Server Reporting Services, wyszukiwanie kodu, rozszerzenia witryny Marketplace i inne. Aby uzyskać więcej informacji, zobacz Zarządzanie kolekcjami projektów.

Projekt

Centralny punkt dla twojego zespołu do udostępniania działań zespołowych, które są wymagane do opracowania konkretnej technologii lub produktu oprogramowania. Projekty są zorganizowane w kolekcjach projektów. Aby uzyskać więcej informacji, zobacz About projects and scaling your organization (Informacje o projektach i skalowaniu organizacji).

Konsola administracyjna usługi Azure DevOps Server

Scentralizowane narzędzie do zarządzania dla administratorów usługi Azure DevOps Server do konfigurowania zasobów i zarządzania nimi. Aby uzyskać więcej informacji, zobacz szybki przewodnik po zadaniach administracyjnych.

Konta usług

Konto lub konta, na których Azure DevOps uruchamia usługi i aplikacje internetowe. Usługa Azure DevOps Server wymaga, aby konta usług wykonywały operacje na serwerach i usługach sieci Web. Te konta usług mają określone wymagania. Aby uzyskać więcej informacji, zobacz Konta usług i zależności w usłudze Azure DevOps Server.

Produkty programu SharePoint

Oprogramowanie, które zapewnia obsługę portali projektów i pulpitów nawigacyjnych. W ramach wdrożenia usługi Azure DevOps Server można uwzględnić co najmniej jedną aplikację sieci Web programu SharePoint. Aby uwzględnić jedną z tych aplikacji, należy zainstalować i skonfigurować rozszerzenia usługi Azure DevOps Server dla produktów programu SharePoint i skonfigurować uprawnienia w całym wdrożeniu. Aby uzyskać więcej informacji, zobacz Udostępnianie informacji przy użyciu portalu projektu. Integracja z produktami programu SharePoint została uznana za przestarzałą dla serwera TFS 2018 i nowszych wersji.

SQL Server i SQL Server Reporting Services

Oprogramowanie udostępniające platformę bazy danych do magazynowania danych i platformę analizy biznesowej na potrzeby integracji, analizy i rozwiązań do raportowania danych. Usługa Azure DevOps Server przechowuje swoje dane w bazach danych programu SQL Server. Opcjonalnie możesz również dołączyć serwer z uruchomionymi usługami SQL Server Reporting Services i automatycznie generuje raporty dla projektów. Aby uzyskać więcej informacji, zobacz Zarządzanie raportami, magazynem danych i modułem usług analizy.

Koncepcje zabezpieczeń

Aby zoptymalizować zabezpieczenia usługi Azure DevOps Server, należy zrozumieć następujące pojęcia:

  • Topologia, która obejmuje miejsce i sposób wdrażania serwerów z uruchomionymi składnikami Azure DevOps, ruch sieciowy pomiędzy serwerem Azure DevOps a klientami Azure DevOps oraz usługi, które muszą działać na serwerze Azure DevOps.
  • Uwierzytelnianie, które obejmuje ustalenie ważności użytkowników, grup i usług w systemie Azure DevOps Server.
  • Authorization, która obejmuje określenie, czy prawidłowi użytkownicy, grupy i usługi w usłudze Azure DevOps Server mają odpowiednie uprawnienia do wykonywania określonych akcji.

Należy również wziąć pod uwagę inne składniki i usługi, od których zależy serwer Azure DevOps Server.

Podczas rozważania zabezpieczeń serwera Azure DevOps Server należy zrozumieć różnicę między uwierzytelnianiem a autoryzacją. Uwierzytelnianie to weryfikacja danych uwierzytelniających przy próbie połączenia z klientem, serwerem lub procesem. Autoryzacja to weryfikacja, czy tożsamość, która próbuje nawiązać połączenie, ma uprawnienia dostępu do obiektu lub metody. Autoryzacja odbywa się dopiero po pomyślnym uwierzytelnieniu. Jeśli połączenie nie zostało uwierzytelnione, zostanie odrzucone przed wykonaniem sprawdzania autoryzacji. Jeśli uwierzytelnianie połączenia powiedzie się, określona akcja może być nadal niedozwolona, ponieważ użytkownik lub grupa nie została autoryzowana do wykonania tej akcji.

Topologie, porty i usługi

Pierwszym elementem wdrażania i zabezpieczeń dla usługi Azure DevOps Server jest to, czy składniki wdrożenia mogą łączyć się ze sobą w celu komunikowania się. Twoim celem jest włączenie połączeń między klientami usługi Azure DevOps i usługą Azure DevOps Server oraz ograniczenie lub uniemożliwienie innych prób nawiązania połączenia.

Serwer Azure DevOps Server zależy od niektórych portów i usług, dzięki czemu może działać. Te porty można zabezpieczyć i monitorować, aby spełnić potrzeby biznesowe w zakresie zabezpieczeń. Należy zezwolić na przekazywanie ruchu sieciowego dla usługi Azure DevOps Server między klientami usługi Azure DevOps, serwerami hostujących logiczne składniki warstwy aplikacji i warstwą danych, komputerami na potrzeby kompilacji Team Foundation Build i zdalnymi klientami korzystającymi z serwera proxy usługi Azure DevOps. Domyślnie serwer Azure DevOps Server jest skonfigurowany do używania protokołu HTTP dla swoich usług sieci Web. Aby uzyskać pełną listę portów i usług używanych przez usługę Azure DevOps Server oraz sposobu ich użycia w swojej architekturze, zobacz architektura usługi Azure DevOps Server.

Serwer Azure DevOps Server można wdrożyć w domenie usługi Active Directory lub w grupie roboczej. Usługa Active Directory zapewnia więcej wbudowanych funkcji zabezpieczeń niż zapewniają grupy robocze. Za pomocą funkcji usługi Active Directory można zabezpieczyć wdrożenie usługi Azure DevOps Server. Można na przykład skonfigurować usługę Active Directory, aby zapobiec zduplikowaniu nazw komputerów, aby złośliwy użytkownik nie mógł podszyć się pod nazwę komputera przy użyciu nieautoryzowanego serwera z Azure DevOps Server. Aby ograniczyć ten sam rodzaj zagrożenia w grupie roboczej, należy skonfigurować certyfikaty komputerów.

Niezależnie od tego, czy wdrażasz usługę Azure DevOps Server w grupie roboczej, czy w domenie, musisz przestrzegać pewnych ograniczeń narzuconych przez same wymagania serwera Azure DevOps Server. Aby uzyskać więcej informacji na temat topologii serwera Azure DevOps Server, zobacz Simple Azure DevOps Server Topology, A Moderate Azure DevOps Server Topology, A Complex Azure DevOps Server Topology, Understanding Windows SharePoint Services, and Understanding SQL Server and SQL Server Reporting Services.

Uwierzytelnianie

Zabezpieczenia usługi Azure DevOps Server są zintegrowane z systemem Windows i opierają się na zintegrowanym uwierzytelnianiu systemu Windows i funkcjach zabezpieczeń systemu operacyjnego Windows. Zintegrowane uwierzytelnianie systemu Windows służy do uwierzytelniania kont dla połączeń między klientami usługi Azure DevOps i serwerem Azure DevOps Server w przypadku usług sieci Web na serwerach hostujących aplikację logiczną i warstwy danych oraz połączeń między serwerami warstwy aplikacji i warstwy danych.

Uwaga

Serwer Azure DevOps Server można skonfigurować tak, aby obsługiwał protokół Kerberos na potrzeby wzajemnego uwierzytelniania zarówno klienta, jak i serwera po zainstalowaniu serwera Usługi Azure DevOps.

Nie należy konfigurować żadnych połączeń bazy danych programu SQL Server między usługą Azure DevOps Server i produktami programu SharePoint w celu korzystania z uwierzytelniania programu SQL Server, ponieważ nie jest tak bezpieczne, jak uwierzytelnianie systemu Windows. Po nawiązaniu połączenia z bazą danych nazwa użytkownika i hasło konta administratora bazy danych są wysyłane w formacie niezaszyfrowanym. Zintegrowane uwierzytelnianie systemu Windows nie wysyła nazwy użytkownika ani hasła. Zamiast tego używa zintegrowanych protokołów zabezpieczeń uwierzytelniania systemu Windows do transferu informacji o tożsamości konta usługi skojarzonych z pulą aplikacji internetowych usług informacyjnych (IIS) do programu SQL Server.

Autoryzacja

Autoryzacja usługi Azure DevOps Server jest oparta na użytkownikach i grupach w usłudze Azure DevOps, uprawnieniach przypisanych bezpośrednio do tych użytkowników i grup oraz uprawnieniach, które te użytkownicy i grupy mogą dziedziczyć, należąc do innych grup w usłudze Azure DevOps Server. Użytkownicy i grupy w usłudze Azure DevOps mogą być lokalnymi użytkownikami lub grupami, użytkownikami lub grupami usługi Active Directory.

Serwer Azure DevOps Server jest wstępnie skonfigurowany z domyślnymi grupami na poziomie serwera, kolekcji i projektu. Możesz wypełnić te grupy, dodając poszczególnych użytkowników. Jednak zarządzanie może być łatwiejsze, jeśli wypełnisz te grupy przy użyciu grup zabezpieczeń usługi Active Directory. Korzystając z tego podejścia, można wydajniej zarządzać członkostwem w grupach i uprawnieniami na wielu komputerach lub aplikacjach, takich jak produkty programu SharePoint i program SQL Server.

Określone wdrożenie może wymagać skonfigurowania użytkowników, grup i uprawnień na wielu komputerach i w kilku aplikacjach. Na przykład należy skonfigurować uprawnienia dla użytkowników i grup w usługach Reporting Services, produktach programu SharePoint i usłudze Azure DevOps Server, jeśli chcesz uwzględnić raporty i portale projektów w ramach wdrożenia. W usłudze Azure DevOps Server można ustawić uprawnienia dla każdego projektu, dla każdej kolekcji i wdrożenia (na poziomie serwera). Ponadto niektóre uprawnienia są domyślnie przyznawane każdemu użytkownikowi lub grupie dodawanej do usługi Azure DevOps Server, ponieważ ten użytkownik lub grupa jest automatycznie dodawany do prawidłowych użytkowników usługi Azure DevOps. Aby uzyskać więcej informacji, zobacz Zarządzanie użytkownikami lub grupami.

Oprócz konfigurowania uprawnień do autoryzacji w usłudze Azure DevOps Server, może być potrzebne zezwolenie w ramach kontroli wersji i elementów roboczych. Te uprawnienia można zarządzać oddzielnie w wierszu polecenia, ale są one zintegrowane w ramach interfejsu dla programu Team Explorer.

  • Omówienie architektury