Konfigurowanie ustawień zabezpieczeń zarządzanych pul DevOps
Artykuł
Ustawienie zabezpieczeń dla zarządzanych pul DevOps można skonfigurować podczas tworzenia puli przy użyciu karty Zabezpieczenia i po utworzeniu puli przy użyciu okienka Ustawienia zabezpieczeń .
Konfigurowanie dostępu do organizacji
Domyślnie zarządzane pule DevOps są konfigurowane dla jednej organizacji z dostępem do puli przyznanej wszystkim projektom w organizacji. Opcjonalnie możesz ograniczyć dostęp do określonych projektów w organizacji i w razie potrzeby udzielić dostępu do dodatkowych organizacji.
Domyślnie zarządzane pule DevOps są skonfigurowane do użycia z jedną organizacją usługi Azure DevOps, którą określasz podczas tworzenia puli. Po skonfigurowaniu puli dla jednej organizacji nazwa organizacji jest wyświetlana i konfigurowana w ustawieniach puli
Domyślnie opcja Dodaj pulę do wszystkich projektów jest ustawiona na wartość Tak, a dostęp do zarządzanej puli DevOps jest udzielany wszystkim projektom w organizacji. Wybierz pozycję Nie , aby określić listę projektów, aby ograniczyć, które projekty w organizacji mogą używać puli.
Organizacje są konfigurowane we organizationProfile właściwości zasobu Zarządzane pule DevOps.
Sekcja organizationProfile zawiera następujące właściwości.
Właściwości
opis
organizations
Lista organizacji, które mogą korzystać z puli. url Określa adres URL organizacji, projects jest listą nazw projektów, które mogą używać puli (pusta lista obsługuje wszystkie projekty w organizacji) i parallelism określa liczbę agentów, które mogą być używane przez tę organizację. Suma równoległości dla organizacji musi odpowiadać maksymalnemu ustawieniu agentów dla puli.
permissionProfile
Określ uprawnienie przyznane do puli usługi Azure DevOps podczas jej tworzenia. Tę wartość można ustawić tylko podczas tworzenia puli. Dozwolone wartości to Inherit, CreatorOnlyi SpecificAccounts. Jeśli specificAccounts zostanie określony, podaj pojedynczy adres e-mail lub listę adresów e-mail dla users właściwości; w przeciwnym razie pomiń userswartość . Aby uzyskać więcej informacji, zobacz Uprawnienia administracyjne puli.
kind
Ta wartość określa typ organizacji dla puli i musi być ustawiona na Azure DevOps.
Organizacje są konfigurowane w parametrze organization-profile podczas tworzenia lub aktualizowania puli.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
W poniższym przykładzie pokazano organization-profile obiekt skonfigurowany dla wszystkich projektów w fabrikam-tailspin organizacji z ustawioną wartością 1parallelism .
Sekcja organizationProfile zawiera następujące właściwości.
Właściwości
opis
AzureDevOps
Ta wartość jest nazwą obiektu zdefiniowanego w organization-profile pliku i musi być ustawiona na Azure DevOpswartość .
organizations
Lista organizacji, które mogą korzystać z puli. url Określa adres URL organizacji, projects jest listą nazw projektów, które mogą używać puli (pusta lista obsługuje wszystkie projekty w organizacji) i parallelism określa liczbę agentów, które mogą być używane przez tę organizację. Suma równoległości dla organizacji musi odpowiadać maksymalnemu ustawieniu agentów dla puli.
permissionProfile
Określ uprawnienie przyznane do puli usługi Azure DevOps podczas jej tworzenia. Tę wartość można ustawić tylko podczas tworzenia puli. Dozwolone wartości to Inherit, CreatorOnlyi SpecificAccounts. Jeśli specificAccounts zostanie określony, podaj pojedynczy adres e-mail lub listę adresów e-mail dla users właściwości; w przeciwnym razie pomiń userswartość . Aby uzyskać więcej informacji, zobacz Uprawnienia administracyjne puli.
Włącz opcję Użyj puli w wielu organizacjach , aby używać puli z wieloma organizacjami usługi Azure DevOps. Dla każdej organizacji określ projekty, które mogą korzystać z puli, lub pozostaw puste, aby zezwolić na wszystkie projekty. Skonfiguruj równoległość dla każdej organizacji, określając części współbieżności, zgodnie z wartością Maksymalna liczba agentów dla puli, aby przydzielić je do każdej organizacji. Suma równoległości dla wszystkich organizacji musi być równa maksymalnej współbieżności puli. Jeśli na przykład maksymalna liczba agentów jest ustawiona na pięć, suma równoległości dla określonych organizacji musi wynosić pięć. Jeśli wartość Maksymalna liczba agentów jest ustawiona na jedną, możesz używać puli tylko z jedną organizacją.
W poniższym przykładzie pula jest skonfigurowana tak, aby były dostępne dla projektów FabrikamResearch i FabrikamTest w organizacji fabrikam-tailspin oraz do wszystkich projektów w organizacji fabrikam-blue .
Jeśli wystąpi błąd, taki jak The sum of parallelism for all organizations must equal the max concurrency., upewnij się, że maksymalna liczba agentów dla puli jest zgodna z sumą kolumny Równoległość .
Dodaj dodatkowe organizacje do listy organizacji, aby skonfigurować pulę do użycia z wieloma organizacjami. W poniższym przykładzie skonfigurowano dwie organizacje. Pierwsza organizacja jest skonfigurowana do używania zarządzanych pul DevOps dla wszystkich projektów, a druga organizacja jest ograniczona do dwóch projektów. W tym przykładzie maksymalne ustawienie agentów dla puli wynosi cztery, a każda organizacja może używać dwóch z tych czterech agentów.
Organizacje są konfigurowane w parametrze organization-profile podczas tworzenia lub aktualizowania puli.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
Dodaj dodatkowe organizacje do listy organizacji, aby skonfigurować pulę do użycia z wieloma organizacjami. W poniższym przykładzie skonfigurowano dwie organizacje. Pierwsza organizacja jest skonfigurowana do używania zarządzanych pul DevOps dla wszystkich projektów, a druga organizacja jest ograniczona do dwóch projektów. W tym przykładzie maksymalne ustawienie agentów dla puli wynosi cztery, a każda organizacja może używać dwóch z tych czterech agentów.
Tryb interaktywny jest konfigurowany w osProfile sekcji fabricProfile właściwości . Ustaw logonType wartość na wartość , aby Interactive włączyć tryb interaktywny lub Service wyłączyć tryb interaktywny.
Tryb interaktywny jest konfigurowany przy użyciu logonType właściwości w osProfile sekcji w parametrze fabric-profile podczas tworzenia lub aktualizowania puli.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
W poniższym przykładzie przedstawiono sekcję osProfilepliku fabric-profile.json z włączonym trybem Interactive .
W ramach procesu tworzenia zarządzanej puli DevOps pula agentów na poziomie organizacji jest tworzona w usłudze Azure DevOps. Ustawienie Uprawnienia administracyjne puli określa, którzy użytkownicy otrzymują rolę administratora nowo utworzonej puli usługi Azure DevOps. Aby wyświetlić uprawnienia puli agentów usługi Azure DevOps i zarządzać nimi po utworzeniu zarządzanej puli DevOps, zobacz Tworzenie pul agentów i zarządzanie nimi — zabezpieczenia pul agentów.
Tylko twórca — użytkownik, który utworzył zarządzaną pulę DevOps, jest dodawany jako administrator puli agentów usługi Azure DevOps, a dziedziczenie ma wartość Wyłączone w ustawieniach zabezpieczeń puli agentów. Tylko twórca jest ustawieniem domyślnym.
Dziedzicz uprawnienia po projekcie — użytkownik, który utworzył zarządzaną pulę DevOps, jest dodawany jako administrator puli agentów usługi Azure DevOps, a w ustawieniach zabezpieczeń puli agentów jest ustawiona wartość Wł.
Określone konta — określ konta , które mają zostać dodane jako administratorzy utworzonej puli agentów w usłudze Azure DevOps. Domyślnie twórca zarządzanej puli DevOps jest dodawany do listy.
Uwaga
Ustawienie Uprawnień administracji puli jest skonfigurowane na karcie Zabezpieczenia podczas tworzenia puli i nie jest wyświetlane w ustawieniach zabezpieczeń po utworzeniu puli. Aby wyświetlić uprawnienia puli agentów usługi Azure DevOps i zarządzać nimi po utworzeniu zarządzanej puli DevOps, zobacz Tworzenie pul agentów i zarządzanie nimi — zabezpieczenia pul agentów.
Uprawnienia administracyjne puli są konfigurowane we permissionsProfile właściwości organizationProfile sekcji zasobu Zarządzane pule DevOps.
Właściwość permissionProfile można ustawić tylko podczas tworzenia puli. Dozwolone wartości to Inherit, CreatorOnlyi SpecificAccounts.
CreatorOnly — Użytkownik, który utworzył zarządzaną pulę DevOps, jest dodawany jako administrator puli agentów usługi Azure DevOps, a w ustawieniach zabezpieczeń puli agentów jest ustawiona wartość Wyłączone . Tylko twórca jest ustawieniem domyślnym.
Inherit— Użytkownik, który utworzył zarządzaną pulę DevOps, jest dodawany jako administrator puli agentów usługi Azure DevOps, a w ustawieniach zabezpieczeń puli agentów ustawiono wartość Wł.
SpecificAccounts — Określ konta, które mają zostać dodane jako administratorzy utworzonej puli agentów w usłudze Azure DevOps. Domyślnie twórca zarządzanej puli DevOps jest dodawany do listy. Podaj pojedynczy adres e-mail lub listę adresów e-mail dla users właściwości; w przeciwnym razie pomiń users.
Właściwość permissionProfile można ustawić tylko podczas tworzenia puli. Dozwolone wartości to Inherit, CreatorOnlyi SpecificAccounts.
CreatorOnly — Użytkownik, który utworzył zarządzaną pulę DevOps, jest dodawany jako administrator puli agentów usługi Azure DevOps, a w ustawieniach zabezpieczeń puli agentów jest ustawiona wartość Wyłączone . Tylko twórca jest ustawieniem domyślnym.
Inherit— Użytkownik, który utworzył zarządzaną pulę DevOps, jest dodawany jako administrator puli agentów usługi Azure DevOps, a w ustawieniach zabezpieczeń puli agentów ustawiono wartość Wł.
SpecificAccounts — Określ konta, które mają zostać dodane jako administratorzy utworzonej puli agentów w usłudze Azure DevOps. Domyślnie twórca zarządzanej puli DevOps jest dodawany do listy. Podaj pojedynczy adres e-mail lub listę adresów e-mail dla users właściwości; w przeciwnym razie pomiń users.
Zarządzane pule DevOps umożliwiają pobieranie certyfikatów z usługi Azure Key Vault podczas aprowizacji, co oznacza, że certyfikaty będą już istnieć na maszynie przez czas uruchamiania potoków usługi Azure DevOps. Aby korzystać z tej funkcji, musisz skonfigurować tożsamość w puli, a ta tożsamość musi mieć uprawnienia użytkownika wpisów tajnych usługi Key Vault, aby pobrać wpis tajny z usługi Key Vault. Aby przypisać tożsamość do roli Użytkownika wpisów tajnych usługi Key Vault, zobacz Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault przy użyciu kontroli dostępu opartej na rolach platformy Azure.
Uwaga
api-version 2024-10-19Jeśli korzystasz z tej funkcji, możesz użyć tylko jednej tożsamości w puli. Obsługa wielu tożsamości zostanie wkrótce dodana.
Tylko jedna tożsamość może służyć do pobierania wpisów tajnych z usługi Key Vault.
Integracja z usługą Key Vault jest skonfigurowana w obszarze Zabezpieczenia ustawień>.
Uwaga
Ustawienia integracji usługi Key Vault można skonfigurować tylko po utworzeniu puli. Nie można skonfigurować ustawień integracji usługi Key Vault podczas tworzenia puli i nie są wyświetlane na karcie Zabezpieczenia podczas tworzenia puli.
Usługa Azure Key Vault jest skonfigurowana w osProfile sekcji fabricProfile właściwości . Ustaw parametr secretManagementSettings , aby mieć dostęp do żądanego certyfikatu.
Usługa Azure Key Vault jest skonfigurowana w osProfile sekcji fabricProfile właściwości podczas tworzenia lub aktualizowania puli. Ustaw parametr secretManagementSettings , aby mieć dostęp do żądanego certyfikatu.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
Poniższy przykład przedstawia sekcję osProfilepliku fabric-profile.json ze skonfigurowaną konfiguracją secretsManagementSettings.
Certyfikaty pobrane przy użyciu obiektu SecretManagementSettings w puli będą automatycznie synchronizowane z najnowszymi wersjami opublikowanymi w usłudze Key Vault. Te wpisy tajne będą znajdować się na maszynie przez czas uruchamiania dowolnego potoku usługi Azure DevOps, co oznacza, że można zaoszczędzić czas i usunąć zadania pobierania certyfikatów.
Ważne
Aprowizowanie maszyn wirtualnych agenta zakończy się niepowodzeniem, jeśli nie można pobrać wpisu tajnego z usługi Key Vault z powodu problemów z uprawnieniami lub siecią.
W systemie Windows lokalizacja magazynu certyfikatów może być ustawiona na LocalMachine wartość lub CurrentUser. To ustawienie zapewni zainstalowanie wpisu tajnego w tej lokalizacji na maszynie. Aby uzyskać konkretne zachowanie sposobu działania pobierania wpisów tajnych, zobacz dokumentację rozszerzenia usługi Azure VMSS Key Vault dla systemu Windows.
W przypadku systemu Linux lokalizacja magazynu certyfikatów może być dowolnym katalogem na komputerze, a certyfikaty zostaną pobrane i zsynchronizowane z tej lokalizacji. Aby uzyskać szczegółowe informacje dotyczące domyślnych ustawień i zachowania wpisów tajnych, zobacz dokumentację rozszerzenia usługi Azure VMSS Key Vault dla systemu Linux.
