限制仅对Azure DevOps Services IP 的访问
强烈建议将 Azure 存储帐户的访问权限限制为仅限来自Azure DevOps Services的 IP。 可以通过仅允许来自集合数据库导入过程中涉及Azure DevOps Services IP 的连接来限制访问。 需要授予存储帐户访问权限的 IP 取决于要导入到的区域。
选项 1:使用服务标记
可以通过门户或编程方式将服务标记添加到azuredevops
网络安全组或防火墙,轻松允许来自所有Azure DevOps Services区域的连接。
选项 2:使用 IpList
IpList
使用 命令获取需要授予访问权限以允许来自特定Azure DevOps Services区域的连接的 IP 列表。
帮助文档中包括有关从 Azure DevOps Server 实例本身和远程计算机运行 Migrator 的说明和示例。 如果从Azure DevOps Server实例的应用程序层之一运行命令,则命令应具有以下结构:
Migrator IpList /collection:{CollectionURI} /tenantDomainName:{name} /region:{region}
可以通过门户或编程方式将 IP 列表添加到网络安全组或防火墙。
为SQL Azure配置 IP 防火墙例外
注意
本部分仅适用于为SQL Azure配置防火墙例外。 有关 DACPAC 导入,请参阅 配置 Azure 存储防火墙和虚拟网络
注意
数据迁移工具要求仅在端口 1433 上为入站连接配置Azure DevOps Services IP。
在 Azure 网络层为SQL Azure VM 处理必要的 IP 的异常。 若要开始,请转到Azure 门户中的SQL Azure VM。 在“设置”中,选择“网络”。 可以通过在网络设置中选择 “添加入站端口规则 ”来授予 IP 例外。
在 “添加入站安全规则 ”窗格中,选择“ 高级 ”,为特定 IP 配置入站端口规则。
在“ 源 ”下拉列表中,选择“ IP 地址”,输入需要授予例外的 IP 地址,将 “目标端口范围 ”设置为 1433 ,并在“ 名称 ”框中输入最能描述所配置的异常的名称。
根据已配置的其他入站端口规则,可能需要更改Azure DevOps Services例外的默认优先级,使其不会被忽略。 例如,如果有一个优先级高于Azure DevOps Services例外项的“拒绝所有入站连接到 1433”规则,则数据迁移工具可能无法成功连接到数据库。
重复添加入站端口规则,直到向所有必要的Azure DevOps Services IP 授予例外。 缺少一个 IP 可能会导致导入无法启动。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈