限制仅对Azure DevOps Services IP 的访问

强烈建议将 Azure 存储帐户的访问权限限制为仅限来自Azure DevOps Services的 IP。 可以通过仅允许来自集合数据库导入过程中涉及Azure DevOps Services IP 的连接来限制访问。 需要授予存储帐户访问权限的 IP 取决于要导入到的区域。

选项 1：使用服务标记

可以通过门户或编程方式将服务标记添加到azuredevops网络安全组或防火墙，轻松允许来自所有Azure DevOps Services区域的连接。

选项 2：使用 IpList

IpList使用 命令获取需要授予访问权限以允许来自特定Azure DevOps Services区域的连接的 IP 列表。

帮助文档中包括有关从 Azure DevOps Server 实例本身和远程计算机运行 Migrator 的说明和示例。 如果从Azure DevOps Server实例的应用程序层之一运行命令，则命令应具有以下结构：

Migrator IpList /collection:{CollectionURI} /tenantDomainName:{name} /region:{region}

可以通过门户或编程方式将 IP 列表添加到网络安全组或防火墙。

为SQL Azure配置 IP 防火墙例外

注意

本部分仅适用于为SQL Azure配置防火墙例外。 有关 DACPAC 导入，请参阅 配置 Azure 存储防火墙和虚拟网络

注意

数据迁移工具要求仅在端口 1433 上为入站连接配置Azure DevOps Services IP。

在 Azure 网络层为SQL Azure VM 处理必要的 IP 的异常。 若要开始，请转到Azure 门户中的SQL Azure VM。 在“设置”中，选择“网络”。 可以通过在网络设置中选择 “添加入站端口规则 ”来授予 IP 例外。

在 “添加入站安全规则 ”窗格中，选择“ 高级 ”，为特定 IP 配置入站端口规则。

在“ 源 ”下拉列表中，选择“ IP 地址”，输入需要授予例外的 IP 地址，将 “目标端口范围 ”设置为 1433 ，并在“ 名称 ”框中输入最能描述所配置的异常的名称。

根据已配置的其他入站端口规则，可能需要更改Azure DevOps Services例外的默认优先级，使其不会被忽略。 例如，如果有一个优先级高于Azure DevOps Services例外项的“拒绝所有入站连接到 1433”规则，则数据迁移工具可能无法成功连接到数据库。

重复添加入站端口规则，直到向所有必要的Azure DevOps Services IP 授予例外。 缺少一个 IP 可能会导致导入无法启动。