Компоненты, термины и основные понятия
Azure DevOps Server 2022 г. | Azure DevOps Server 2020 г. | Azure DevOps Server 2019 г.
Чтобы эффективно развертывать Azure DevOps Server и управлять ими, необходимо понимать, как он работает и как он взаимодействует с другими компонентами развертывания. Как администратор Azure DevOps вы должны быть знакомы с проверка подлинности Windows, сетевыми протоколами и трафиком, а также структурой бизнес-сети, в которой установлен Azure DevOps. Вы также должны иметь представление о группах и разрешениях Azure DevOps.
Вы также можете найти полезные сведения о SQL Server, SQL Server Reporting Services и продуктах SharePoint.
Вы можете лучше планировать, развертывать и управлять Azure DevOps Server если понимаете компоненты и термины, описанные в этой статье.
Служба аналитики
Служба аналитики — это платформа отчетов будущего для Azure DevOps. В настоящее время он доступен на Azure DevOps Services и может быть установлен из Azure DevOps Marketplace на Azure DevOps Server. Дополнительные сведения см. в статье Что такое служба аналитики?
Уровень приложений, уровень данных и уровень клиента
Логические уровни, составляющие Azure DevOps Server. Все эти уровни могут быть развернуты на одном физическом компьютере или установлены на нескольких компьютерах. Дополнительные сведения см. в статье Общие сведения об архитектуре для Azure DevOps Server.
Коллекция проектов
Основное подразделение для всех данных в Azure DevOps Server. Коллекции определяют ресурсы, доступные для проектов, добавленных в них. Эти ресурсы могут включать SQL Server Reporting Services, код Поиск, расширения Marketplace и многое другое. Дополнительные сведения см. в разделе Управление коллекциями проектов.
Project
Центральная точка для вашей команды для совместного использования действий команды, необходимых для разработки конкретной программной технологии или продукта. Проекты организованы в коллекции проектов. Дополнительные сведения см. в разделе О проектах и масштабировании организации.
Консоль администрирования Azure DevOps Server
Средство централизованного управления для Azure DevOps Server администраторов для настройки ресурсов и управления ими. Дополнительные сведения см. в кратком справочнике по задачам администрирования.
учетные записи служб;
Учетная запись или учетные записи, которые выполняются в Azure DevOps для веб-служб и приложений. Azure DevOps Server требует, чтобы учетные записи служб выполняли операции между серверами и веб-службами. Эти учетные записи служб имеют определенные требования. Дополнительные сведения см. в статье Учетные записи служб и зависимости в Azure DevOps Server.
Продукты SharePoint
Программное обеспечение, обеспечивающее поддержку порталов проектов и панелей мониторинга. В состав развертывания Azure DevOps Server можно включить одно или несколько веб-приложений SharePoint. Чтобы включить одно из этих приложений, необходимо установить и настроить расширения Azure DevOps Server для продуктов SharePoint, а также настроить разрешения для всего развертывания. Дополнительные сведения см. в статье Предоставление общего доступа к сведениям с помощью портала проекта. Интеграция с продуктами SharePoint устарела для TFS 2018 и более поздних версий.
SQL Server и SQL Server Reporting Services
Программное обеспечение, которое предоставляет платформу баз данных для хранения данных и платформу бизнес-аналитики для интеграции данных, анализа и создания отчетов. Azure DevOps Server хранит свои данные в SQL Server базах данных. При необходимости можно также включить сервер, на котором выполняется SQL Server Reporting Services и который автоматически создает отчеты для проектов. Дополнительные сведения см. в статье Управление отчетами, хранилищем данных и кубом служб Analysis Services.
Основные понятия безопасности
Чтобы оптимизировать безопасность Azure DevOps Server, необходимо понимать следующие понятия:
- Топология, которая включает в себя, где и как развертываются серверы с компонентами Azure DevOps, сетевой трафик, проходящий между клиентами Azure DevOps Server и Azure DevOps, а также службы, которые должны выполняться на Azure DevOps Server.
- Проверка подлинности, которая включает определение допустимости пользователей, групп и служб в Azure DevOps Server.
- Авторизация, которая включает определение того, имеют ли допустимые пользователи, группы и службы в Azure DevOps Server соответствующие разрешения на выполнение определенных действий.
Следует также рассмотреть другие компоненты и службы, от которых зависит Azure DevOps Server.
При рассмотрении вопросов безопасности для Azure DevOps Server необходимо понимать разницу между проверкой подлинности и авторизацией. Проверка подлинности — это проверка учетных данных попытки подключения с клиента, сервера или процесса. Авторизация — это проверка того, что удостоверение, которое пытается подключиться, имеет разрешения на доступ к объекту или методу. Авторизация происходит только после успешной проверки подлинности. Если подключение не проходит проверку подлинности, оно завершается сбоем до выполнения какой-либо проверки авторизации. Если проверка подлинности подключения выполнена успешно, определенное действие по-прежнему может быть запрещено, так как пользователь или группа не были авторизованы для выполнения этого действия.
Топологии, порты и службы
Первым элементом развертывания и безопасности для Azure DevOps Server является возможность подключения компонентов развертывания друг к другу для взаимодействия. Ваша цель — включить подключения между клиентами Azure DevOps и Azure DevOps Server, а также ограничить или предотвратить другие попытки подключения.
Azure DevOps Server зависит от определенных портов и служб, что позволяет работать. Эти порты можно защитить и отслеживать в соответствии с требованиями безопасности бизнеса. Необходимо разрешить передачу сетевого трафика для Azure DevOps Server между клиентами Azure DevOps, серверами, на которых размещены логические компоненты уровня приложений и уровня данных, компьютерами для сборки Team Foundation и удаленными клиентами, использующими прокси-сервер Azure DevOps. По умолчанию Azure DevOps Server настроен на использование HTTP для своих веб-служб. Полный список портов и служб, которые Azure DevOps Server использует, и способы их использования в архитектуре см. в разделе Azure DevOps Server архитектуры.
Вы можете развернуть Azure DevOps Server в домене Active Directory или в рабочей группе. Active Directory предоставляет больше встроенных функций безопасности, чем рабочие группы. Вы можете использовать функции Active Directory для защиты развертывания Azure DevOps Server. Например, можно настроить Active Directory, чтобы предотвратить дублирование имен компьютеров, чтобы злоумышленник не смог подделать имя компьютера с помощью сервера-изгоя, на котором выполняется Azure DevOps Server. Чтобы устранить ту же угрозу в рабочей группе, необходимо настроить сертификаты компьютеров.
Независимо от того, развертывается ли Azure DevOps Server в рабочей группе или домене, необходимо соблюдать определенные ограничения, накладываемые требованиями самого Azure DevOps Server. Дополнительные сведения о топологиях для Azure DevOps Server см. в разделах Простая топология Azure DevOps Server, Топология среднего Azure DevOps Server, Сложная топология Azure DevOps Server, Основные сведения Windows SharePoint Services и Общие сведения о SQL Server и SQL Server Reporting Services.
Аутентификация
Безопасность Azure DevOps Server интегрирована с и зависит от встроенной проверки подлинности Windows и функций безопасности операционной системы Windows. Встроенную проверку подлинности Windows можно использовать для проверки подлинности учетных записей для подключений между клиентами Azure DevOps и Azure DevOps Server, для веб-служб на серверах, на которых размещаются логические уровни приложений и уровней данных, а также для подключений между уровнями приложений и серверами уровня данных.
Примечание
Вы можете настроить Azure DevOps Server для поддержки Kerberos для взаимной проверки подлинности клиента и сервера после установки Azure DevOps Server.
Не следует настраивать SQL Server подключения к базе данных между продуктами Azure DevOps Server и SharePoint для использования проверки подлинности SQL Server, так как она не так безопасна, как проверка подлинности Windows. При подключении к базе данных имя пользователя и пароль учетной записи администратора базы данных отправляются в незашифрованном формате. Встроенная проверка подлинности Windows не отправляет имя пользователя и пароль. Вместо этого он использует встроенные протоколы безопасности проверки подлинности Windows для передачи сведений об удостоверениях учетной записи службы, связанных с пулом приложений служб IIS, в SQL Server.
Авторизация
Azure DevOps Server авторизация основана на пользователях и группах в Azure DevOps, разрешениях, назначенных непосредственно этим пользователям и группам, и разрешениях, которые эти пользователи и группы могут наследовать, принадлежащие другим группам в Azure DevOps Server. Пользователи и группы в Azure DevOps могут быть локальными пользователями или группами, пользователями или группами Active Directory или и тем, и другим.
Azure DevOps Server предварительно настроены группы по умолчанию на уровне сервера, коллекции и проекта. Эти группы можно заполнить, добавив отдельных пользователей. Однако вы можете упростить управление, если заполнить эти группы с помощью групп безопасности Active Directory. При таком подходе вы можете более эффективно управлять членством в группах и разрешениями на нескольких компьютерах или приложениях, таких как продукты SharePoint и SQL Server.
Для конкретного развертывания может потребоваться настройка пользователей, групп и разрешений на нескольких компьютерах и в нескольких приложениях. Например, необходимо настроить разрешения для пользователей и групп в Reporting Services, продуктах SharePoint и Azure DevOps Server, если вы хотите включить отчеты и порталы проектов в рамках развертывания. В Azure DevOps Server можно задать разрешения для каждого проекта, для каждой коллекции и для развертывания (на уровне сервера). Кроме того, некоторые разрешения предоставляются по умолчанию любому пользователю или группе, добавленным в Azure DevOps Server, так как эти пользователи или группы автоматически добавляются в действительные пользователи Azure DevOps. Дополнительные сведения см. в разделе Управление пользователями или группами.
В надстройке по настройке разрешений для авторизации в Azure DevOps Server может потребоваться авторизация в управлении версиями и рабочих элементах. Управление этими разрешениями осуществляется отдельно в командной строке, но они интегрированы в интерфейс командной Обозреватель.