Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Если ваша организация защищена брандмауэром или прокси-сервером, необходимо добавить в список разрешений определенные IP-адреса и универсальные url-адреса домена. Добавление этих IP-адресов и URL-адресов в список разрешений помогает убедиться, что у вас есть лучший опыт работы с Azure DevOps. Вы знаете, что необходимо обновить список разрешений, если вы не можете получить доступ к Azure DevOps в сети.
Обязательные порты:
- Порт 443 (HTTPS): обязательный для всех веб-доступа Azure DevOps, вызовов REST API и большинства подключений к службам
- Порт 22 (SSH): требуется только для операций Git с помощью протокола SSH
См. следующие разделы в этой статье:
Совет
Чтобы Visual Studio и службы Azure хорошо работали без проблем с сетью, откройте порты и протоколы. Дополнительные сведения см. в статье "Установка и использование Visual Studio за брандмауэром или прокси-сервером", использование Visual Studio и служб Azure.
IP-адреса и ограничения диапазона
Исходящие подключения
Исходящие подключения предназначены для других зависимых сайтов. Примеры таких подключений:
- Браузеры, подключающиеся к веб-сайту Azure DevOps, по мере использования функций Azure DevOps
- Агенты Azure Pipelines, установленные в сети организации, подключаются к Azure DevOps для опроса ожидающих заданий
- События CI, отправленные из репозитория исходного кода, размещенного в сети организации в Azure DevOps
Убедитесь, что следующие IP-адреса разрешены для исходящих подключений через порт 443 (HTTPS), поэтому ваша организация работает с любыми существующими ограничениями брандмауэра или IP-адресов. Данные конечной точки на следующей диаграмме содержат требования к подключению с компьютера в организации к Azure DevOps Services.
13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24
150.171.23.0/24
150.171.73.0/24
150.171.74.0/24
150.171.75.0/24
150.171.76.0/24
Если вы в настоящее время разрешаете 13.107.6.183 и 13.107.9.183 IP-адреса, оставьте их на месте, так как их не нужно удалять.
Примечание.
Теги службы Azure не поддерживаются для исходящих подключений.
Входящие подключения
Входящие подключения происходят из Azure DevOps и целевых ресурсов в сети вашей организации. Примеры таких подключений:
- Подключение Azure DevOps Services к конечным точкам для перехватчиков служб
- Azure DevOps Services, подключающиеся к управляемым клиентом виртуальным машинам SQL Azure для импорта данных
- Azure Pipelines, подключающиеся к локальным репозиториям исходного кода, таким как GitHub Enterprise или Bitbucket Server
- Потоковая передача аудита Azure DevOps Services с подключением к локальной или облачной Splunk
Убедитесь, что следующие IP-адреса разрешены для входящих подключений через порт 443 (HTTPS), поэтому ваша организация работает с любыми существующими ограничениями брандмауэра или IP-адресов. Данные конечной точки на следующей диаграмме содержат требования к подключению из Azure DevOps Services к локальным или другим облачным службам.
| Географический регион | Область | Диапазоны IP-адресов V4 |
|---|---|---|
| Австралия | Восточная Австралия | 20.37.194.0/24 |
| Юго-восточная часть Австралии | 20.42.226.0/24 | |
| Бразилия | Южная Бразилия | 191.235.226.0/24 |
| Канада | Центральная Канада | 52.228.82.0/24 |
| Азиатско-Тихоокеанский регион | Юго-Восточная Азия (Сингапур) | 20.195.68.0/24 |
| Индия | Индия (юг) | 20.41.194.0/24 |
| Центральная Индия | 20.204.197.192/26 | |
| Соединенные Штаты | Центральная США | 20.37.158.0/23 |
| Западная центральная США | 52.150.138.0/24 | |
| Восточная США | 20.42.5.0/24 | |
| Восточная 2 США | 20.41.6.0/23 | |
| Северная США | 40.80.187.0/24 | |
| Южная США | 40.119.10.0/24 | |
| Западная США | 40.82.252.0/24 | |
| Западная 2 США | 20.42.134.0/23 | |
| Западная 3 США | 20.125.155.0/24 | |
| Европа | Западная Европа | 40.74.28.0/23 |
| Северная Европа | 20.166.41.0/24 | |
| Соединенное Королевство | Соединенное Королевство (юг) | 51.104.26.0/24 |
Теги службы Azure поддерживаются только для входящих подключений. Вместо разрешения ранее перечисленных диапазонов IP-адресов можно использовать тег службы AzureDevOps для Брандмауэр Azure и группы безопасности сети (NSG) или локального брандмауэра через скачивание JSON-файла.
Примечание.
Тег службы или ранее упомянутые входящие IP-адреса не применяются к размещенным агентам Майкрософт. Клиентам по-прежнему требуется разрешить всю географию для размещенных агентов Майкрософт. Если разрешение всей географии является проблемой, рекомендуется использовать пулы Microsoft Managed DevOps. Кроме того, можно использовать агенты масштабируемого набора виртуальных машин Azure. Управляемые пулы DevOps и агенты масштабируемого набора — это форма локальных агентов, которые можно автоматически масштабировать в соответствии с вашими требованиями.
Размещенные агенты macOS размещаются в облаке macOS GitHub. Диапазоны IP-адресов можно получить с помощью API метаданных GitHub, используя приведенные здесь инструкции.
Другие IP-адреса
Большинство следующих IP-адресов относятся к Microsoft 365 Common и Office Online.
40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32
Дополнительные сведения см. в разделе "Глобальные конечные точки" и "Добавление правил IP-адресов".
Подключения ExpressRoute к Azure DevOps
Если в организации используется ExpressRoute, убедитесь, что для исходящих и входящих подключений через порт 443 (HTTPS) разрешены следующие IP-адреса.
13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
150.171.73.14/32
150.171.73.15/32
150.171.73.16/32
150.171.74.14/32
150.171.74.15/32
150.171.74.16/32
150.171.75.14/32
150.171.75.15/32
150.171.75.16/32
150.171.76.14/32
150.171.76.15/32
150.171.76.16/32
150.171.22.17/32
150.171.22.18/32
150.171.22.19/32
150.171.23.17/32
150.171.23.18/32
150.171.23.19/32
Дополнительные сведения о Azure DevOps и ExpressRoute см. в статье ExpressRoute для Azure DevOps.
URL-адреса разрешенного домена
Проблемы с сетевым подключением могут возникнуть из-за устройств безопасности, которые могут блокировать подключения. Visual Studio использует TLS 1.2 и более поздних версий. При использовании NuGet или подключении из Visual Studio 2015 и более поздних версий обновите устройства безопасности для поддержки TLS 1.2 и более поздних версий для следующих подключений.
Требования к портам для URL-адресов домена:
- Порт 443 (HTTPS): обязательный для всех URL-адресов домена, перечисленных в этой статье
- Порт 22 (SSH): требуется только для подключений SSH Git (см. раздел "Подключения SSH ")
Чтобы обеспечить работу вашей организации с существующими ограничениями брандмауэра или IP-адресов, убедитесь, что dev.azure.com и *.dev.azure.com открыты на порту 443.
В следующем разделе содержатся наиболее распространенные URL-адреса домена для поддержки подключений к входу и лицензированию.
https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*.vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
Azure DevOps uses the following URL to provide the agent software for download for self-hosted agents.
https://download.agent.dev.azure.com
Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that.
https://cdn.vsassets.io
https://*.vsassets.io
https://*.gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net
Следующие конечные точки используются для проверки подлинности организаций Azure DevOps с помощью учетной записи Майкрософт (MSA). Эти конечные точки необходимы только для организаций Azure DevOps, поддерживаемых учетными записями Майкрософт (MSA). Организациям Azure DevOps, поддерживаемым клиентом Microsoft Entra, не нужны следующие URL-адреса.
https://live.com
https://login.live.com
Следующий URL-адрес необходим, если вы переносите azure DevOps Server в облачную службу с помощью нашего средства миграции данных.
https://dataimport.dev.azure.com
Примечание.
Azure DevOps использует сеть доставки содержимого (CDN) для обслуживания статического содержимого. Пользователи в Китае также должны добавить следующие URL-адреса домена в список разрешений:
https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn
Мы рекомендуем открыть порт 443 для всего трафика на следующих IP-адресах и доменах. Мы также рекомендуем открыть порт 22 для меньшего подмножества целевых IP-адресов.
Сводка по конфигурации портов:
- Порт 443 (HTTPS): открыты для ВСЕХ URL-адресов домена и IP-адресов, перечисленных в этой статье
- Порт 22 (SSH): открыты только для узлов SSH, перечисленных в разделе подключений SSH
| Дополнительные URL-адреса домена | Описания | Обязательный порт |
|---|---|---|
| https://login.microsoftonline.com | Проверка подлинности и вход, связанные с | 443 |
| https://*.vssps.visualstudio.com | Проверка подлинности и вход, связанные с | 443 |
| https://*.gallerycdn.vsassets.io | Размещение расширений Azure DevOps | 443 |
| https://*.vstmrblob.vsassets.io | Размещение данных журнала Azure DevOps TCM | 443 |
| https://cdn.vsassets.io | Содержит содержимое azure DevOps сеть доставки содержимого (CDN) | 443 |
| https://static2.sharepointonline.com | Размещает некоторые ресурсы, которые Azure DevOps использует в наборе пользовательского интерфейса Office Fabric для шрифтов и т. д. | 443 |
| https://vsrm.dev.azure.com | Выпуски узлов | 443 |
| https://download.agent.dev.azure.com | Требуется для настройки локального агента на компьютерах в сети | 443 |
| https://amp.azure.net | Требуется для развертывания в службе приложений Azure | 443 |
| https://go.microsoft.com | Доступ к ссылкам для go | 443 |
Артефакты Azure
Убедитесь, что для артефактов Azure разрешены следующие URL-адреса домена:
https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com
Кроме того, разрешать все IP-адреса в имени: "Хранилище". Раздел {region}" следующего файла (обновляется еженедельно): диапазоны IP-адресов Azure и теги служб — общедоступное облако. {region} — это та же география Azure, что и ваша организация.
Подключения NuGet
Убедитесь, что для подключений NuGet разрешены следующие URL-адреса домена:
https://*.azurewebsites.net
https://*.nuget.org
Примечание.
URL-адреса сервера NuGet, принадлежащие частному, могут не включаться в предыдущий список. Вы можете проверить серверы NuGet, которые вы используете, открыв.%APPData%\Nuget\NuGet.Config
SSL-подключения
Если вам нужно подключиться к репозиториям Git в Azure DevOps с помощью SSH, разрешите запросы на порт 22 для следующих узлов:
ssh.dev.azure.com
vs-ssh.visualstudio.com
Кроме того, разрешите порт 22 для IP-адресов в разделе "Name": "AzureDevOps" этого скачиваемого файла (обновлен еженедельно) с именем: диапазоны IP-адресов Azure и теги служб — общедоступное облако
Агенты, размещенные корпорацией Майкрософт, Azure Pipelines
Если вы используете размещенный корпорацией Майкрософт агент для выполнения заданий и вам потребуется информация о том, какие IP-адреса используются, см . диапазоны IP-адресов, размещенных корпорацией Майкрософт. См. все пулы Microsoft Managed DevOps и агенты масштабируемого набора виртуальных машин Azure.
Дополнительные сведения о размещенных агентах Windows, Linux и macOS см . в диапазонах IP-адресов, размещенных в Майкрософт.
Локальные агенты Azure Pipelines
Если вы используете брандмауэр и ваш код находится в Azure Repos, ознакомьтесь с часто задаваемыми вопросами об локальном размещении агентов Linux, часто задаваемыми вопросами об локальном размещении агентов macOS или локальными агентами Windows. В этой статье содержатся сведения о url-адресах домена и IP-адресах, с которыми должен взаимодействовать частный агент.
Это важно
Edgio CDN для Azure DevOps была прекращена, что требует, чтобы новый URL-адрес домена был разрешен в правилах брандмауэра для скачивания программного обеспечения агента.
Новый домен, который требуется разрешить загрузку агента, — это https://*.dev.azure.com. Если правила брандмауэра не разрешают подстановочные знаки, используйте https://download.agent.dev.azure.com.
Команда Azure DevOps рекомендовала внести это изменение по следующей дате:
- 1 мая 2025 г. для Azure DevOps Services
- 15 мая 2025 г. для Azure DevOps Server
Дополнительные сведения см. в статье об изменении URL-адреса домена CDN для агентов в конвейерах.
Служба импорта Azure DevOps
Во время импорта настоятельно рекомендуется ограничить доступ к виртуальной машине только НА IP-адреса из Azure DevOps. Чтобы ограничить доступ, разрешайте только подключения из набора IP-адресов Azure DevOps, которые были вовлечены в процесс импорта базы данных коллекции. Сведения об определении правильных IP-адресов см. в разделе (Необязательно) Ограничение доступа только к IP-адресам Azure DevOps Services.
Примечание.
Azure DevOps изначально не поддерживает списки разрешений непосредственно в его параметрах. Однако вы можете управлять списком разрешений на уровне сети с помощью параметров брандмауэра или прокси-сервера организации.