Konfiguracja ustawień zabezpieczeń pul zarządzanych DevOps
Artykuł
Ustawienie zabezpieczeń dla zarządzanych pul DevOps można skonfigurować podczas tworzenia puli przy użyciu karty Zabezpieczenia i po utworzeniu puli przy użyciu okienka Ustawienia zabezpieczeń .
Konfigurowanie dostępu do organizacji
Domyślnie zarządzane pule DevOps są konfigurowane dla jednej organizacji z dostępem do puli przyznanej wszystkim projektom w organizacji. Opcjonalnie możesz ograniczyć dostęp do określonych projektów w organizacji i w razie potrzeby udzielić dostępu do dodatkowych organizacji.
Domyślnie zarządzane pule DevOps są skonfigurowane do użycia z jedną organizacją usługi Azure DevOps, którą określasz podczas tworzenia puli. Po skonfigurowaniu puli dla jednej organizacji nazwa organizacji jest wyświetlana i konfigurowana w ustawieniach puli
Domyślnie opcja Dodaj pulę do wszystkich projektów jest ustawiona na wartość Tak, a dostęp do zarządzanej puli DevOps jest udzielany wszystkim projektom w organizacji. Wybierz pozycję Nie , aby określić listę projektów, aby ograniczyć, które projekty w organizacji mogą używać puli.
Organizacje są konfigurowane we organizationProfile właściwości zasobu Zarządzane pule DevOps.
Sekcja organizationProfile zawiera następujące właściwości.
Nieruchomość
opis
organizations
Lista organizacji, które mogą korzystać z twojej puli.
url Określa adres URL organizacji, projects jest listą nazw projektów, które mogą używać puli (pusta lista obsługuje wszystkie projekty w organizacji) i parallelism określa liczbę agentów, które mogą być używane przez tę organizację. Suma równoległości dla organizacji musi odpowiadać maksymalnej liczbie agentów w puli.
permissionProfile
Określ uprawnienie przyznane do puli usługi Azure DevOps podczas jej tworzenia. Tę wartość można ustawić tylko podczas tworzenia puli. Dozwolone wartości to Inherit, CreatorOnlyi SpecificAccounts. Jeśli specificAccounts zostanie określony, podaj pojedynczy adres e-mail lub listę adresów e-mail dla właściwości users; w przeciwnym razie pomiń wartość users. Aby uzyskać więcej informacji, zobacz Uprawnienia administracyjne puli.
kind
Ta wartość określa typ organizacji dla puli i musi być ustawiona na Azure DevOps.
Organizacje są konfigurowane w parametrze organization-profile podczas tworzenia lub aktualizowania puli.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
W poniższym przykładzie pokazano obiekt organization-profile, który jest skonfigurowany dla wszystkich projektów w organizacji fabrikam-tailspin z parallelism ustawionym na 1.
Sekcja organizationProfile zawiera następujące właściwości.
Nieruchomość
opis
AzureDevOps
Ta wartość jest nazwą obiektu zdefiniowanego w organization-profile i musi być ustawiona na Azure DevOps wartość.
organizations
Lista organizacji, które mogą korzystać z twojej puli.
url Określa adres URL organizacji, projects jest listą nazw projektów, które mogą używać puli (pusta lista obsługuje wszystkie projekty w organizacji) i parallelism określa liczbę agentów, które mogą być używane przez tę organizację. Suma równoległości dla organizacji musi odpowiadać maksymalnej wartości liczby agentów dla puli.
permissionProfile
Określ uprawnienie przyznane do puli usługi Azure DevOps podczas jej tworzenia. Tę wartość można ustawić tylko podczas tworzenia puli. Dozwolone wartości to Inherit, CreatorOnlyi SpecificAccounts. Jeśli specificAccounts zostanie określony, podaj pojedynczy adres e-mail lub listę adresów e-mail dla właściwości users; w przeciwnym razie pomiń users. Aby uzyskać więcej informacji, zobacz Uprawnienia do zarządzania pulą.
Włącz opcję Użyj puli w wielu organizacjach , aby używać puli z wieloma organizacjami usługi Azure DevOps. Dla każdej organizacji określ projekty, które mogą korzystać z puli, lub pozostaw puste, aby zezwolić na wszystkie projekty.
Skonfiguruj równoległość dla każdej organizacji, określając części współbieżności, zgodnie z wartością Maksymalna liczba agentów dla puli, aby przydzielić je do każdej organizacji. Suma równoległości dla wszystkich organizacji musi być równa maksymalnej współbieżności puli. Jeśli na przykład maksymalna liczba agentów jest ustawiona na pięć, suma równoległości dla określonych organizacji musi wynosić pięć. Jeśli Maksymalna liczba agentów jest ustawiona na jedną, możesz używać puli tylko z jedną organizacją.
W poniższym przykładzie pula jest skonfigurowana tak, aby była dostępna dla projektów FabrikamResearch i FabrikamTest w organizacji fabrikam-tailspin, a także dla wszystkich projektów w organizacji fabrikam-blue.
Jeśli wystąpi błąd, taki jak The sum of parallelism for all organizations must equal the max concurrency., upewnij się, że maksymalna liczba agentów dla puli jest zgodna z sumą kolumny Równoległość .
Dodaj dodatkowe organizacje do listy organizacji, aby skonfigurować pulę do użycia z wieloma organizacjami. W poniższym przykładzie skonfigurowano dwie organizacje. Pierwsza organizacja jest skonfigurowana do używania zarządzanych pul DevOps dla wszystkich projektów, a druga organizacja jest ograniczona do dwóch projektów. W tym przykładzie maksymalna liczba agentów dla puli wynosi cztery, a każda organizacja może używać dwóch z tych czterech agentów.
Organizacje są konfigurowane w parametrze organization-profile podczas tworzenia lub aktualizowania puli.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
Dodaj dodatkowe organizacje do listy organizacji, aby skonfigurować pulę do użycia z wieloma organizacjami. W poniższym przykładzie skonfigurowano dwie organizacje. Pierwsza organizacja jest skonfigurowana do używania zarządzanych pul DevOps dla wszystkich projektów, a druga organizacja jest ograniczona do dwóch projektów. W tym przykładzie maksymalna liczba agentów w puli wynosi cztery, a każda organizacja może używać dwóch z tych czterech agentów.
Tryb interaktywny jest konfigurowany w sekcji fabricProfile właściwości osProfile. Ustaw logonType na Interactive, aby włączyć tryb interaktywny, lub na Service, aby wyłączyć tryb interaktywny.
Tryb interaktywny jest konfigurowany przy użyciu logonType właściwości w osProfile sekcji w parametrze fabric-profile podczas tworzenia lub aktualizowania puli.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
W poniższym przykładzie przedstawiono sekcję osProfilepliku fabric-profile.json z włączonym trybem Interactive .
W ramach procesu tworzenia zarządzanej puli DevOps pula agentów na poziomie organizacji jest tworzona w usłudze Azure DevOps. Ustawienie Uprawnienia administracyjne puli określa, którzy użytkownicy otrzymują rolę administratora nowo utworzonej puli usługi Azure DevOps. Aby wyświetlić uprawnienia puli agentów usługi Azure DevOps i zarządzać nimi po utworzeniu zarządzanej puli DevOps, zobacz Tworzenie pul agentów i zarządzanie nimi — zabezpieczenia pul agentów.
Tylko twórca — użytkownik, który utworzył zarządzaną pulę DevOps, jest dodawany jako administrator puli agentów w usłudze Azure DevOps, a dziedziczenie jest ustalone na Wyłączone w ustawieniach zabezpieczeń puli agentów.
Tylko twórca to ustawienie domyślne.
Dziedzicz uprawnienia po projekcie — użytkownik, który utworzył zarządzaną pulę DevOps, jest dodawany jako administrator puli agentów usługi Azure DevOps, a w ustawieniach zabezpieczeń puli agentów jest ustawiona opcja Inheritance na Wł.
Określone konta — określ konta , które mają zostać dodane jako administratorzy utworzonej puli agentów w usłudze Azure DevOps. Domyślnie twórca zarządzanej puli zasobów DevOps jest dodany do listy.
Uwaga
Ustawienie Uprawnień administracji puli jest skonfigurowane na karcie Zabezpieczenia podczas tworzenia puli i nie jest wyświetlane w ustawieniach zabezpieczeń po utworzeniu puli. Aby wyświetlić uprawnienia puli agentów usługi Azure DevOps i zarządzać nimi po utworzeniu zarządzanej puli DevOps, zobacz Tworzenie pul agentów i zarządzanie nimi — zabezpieczenia pul agentów.
Uprawnienia administracyjne puli są konfigurowane w właściwości permissionsProfile sekcji organizationProfile zasobu Zarządzane pule DevOps.
Właściwość permissionProfile można ustawić tylko podczas tworzenia puli. Dozwolone wartości to Inherit, CreatorOnlyi SpecificAccounts.
CreatorOnly — Użytkownik, który utworzył zarządzaną pulę DevOps, jest dodawany jako administrator puli agentów usługi Azure DevOps, a dziedziczenie jest ustawione na Wyłączone w ustawieniach zabezpieczeń puli agentów.
Tylko twórca to ustawienie domyślne.
— Użytkownik, który utworzył zarządzaną pulę DevOps, jest dodawany jako administrator puli agentów usługi Azure DevOps, a w ustawieniach zabezpieczeń puli agentów dziedziczenie jest ustawione na Wł.
SpecificAccounts — Określ konta, które mają zostać dodane jako administratorzy utworzonej puli agentów w usłudze Azure DevOps. Domyślnie twórca zarządzanej puli DevOps jest dodawany do listy. Podaj pojedynczy adres e-mail lub listę adresów e-mail dla users właściwości; w przeciwnym razie pomiń users.
Właściwość permissionProfile można ustawić tylko podczas tworzenia puli. Dozwolone wartości to Inherit, CreatorOnlyi SpecificAccounts.
CreatorOnly — Użytkownik, który utworzył pulę Managed DevOps, jest dodawany jako administrator puli agentów usługi Azure DevOps, a dziedziczenie w ustawieniach zabezpieczeń puli agentów jest ustawione na Wyłączone.
Creator only to ustawienie domyślne.
Inherit— Użytkownik, który utworzył zarządzaną pulę DevOps, jest dodawany jako administrator puli agentów usługi Azure DevOps, a Dziedziczenie jest ustawione na Włączone w ustawieniach zabezpieczeń puli agentów.
SpecificAccounts — Określ konta, które mają zostać dodane jako administratorzy utworzonej puli agentów w usłudze Azure DevOps. Domyślnie twórca puli zarządzanej DevOps jest automatycznie dodawany do listy. Podaj pojedynczy adres e-mail lub listę adresów e-mail dla users właściwości; w przeciwnym razie pomiń users.
Integracja z usługą Key Vault jest skonfigurowana w obszarze > ustawień.
Uwaga
Ustawienia integracji usługi Key Vault można skonfigurować tylko po utworzeniu puli. Nie można skonfigurować ustawień integracji usługi Key Vault podczas tworzenia puli i nie są wyświetlane na karcie Zabezpieczenia podczas tworzenia puli.
Usługa Azure Key Vault jest skonfigurowana w sekcji osProfile właściwości fabricProfile. Ustaw parametr secretManagementSettings , aby mieć dostęp do żądanego certyfikatu.
Usługa Azure Key Vault jest skonfigurowana w osProfile sekcji fabricProfile właściwości podczas tworzenia lub aktualizowania puli. Ustaw parametr secretManagementSettings , aby mieć dostęp do żądanego certyfikatu.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
Poniższy przykład przedstawia sekcję osProfile pliku fabric-profile.json ze skonfigurowanym secretsManagementSettings.
Certyfikaty pobrane przy użyciu obiektu SecretManagementSettings w Twojej puli będą automatycznie synchronizowane z najnowszymi wersjami opublikowanymi w usłudze Key Vault. Te sekrety będą znajdować się na maszynie w momencie uruchomienia dowolnego potoku Azure DevOps, co oznacza, że można zaoszczędzić czas, usuwając zadania pobierania certyfikatów.
Ważne
Konfiguracja maszyn wirtualnych agenta zakończy się niepowodzeniem, jeśli nie można pobrać tajnego klucza z usługi Key Vault z powodu problemów z uprawnieniami lub z siecią.
W systemie Windows lokalizację magazynu certyfikatów można ustawić albo na LocalMachine, albo na CurrentUser. To ustawienie sprawi, że sekret zostanie zainstalowany w tej lokalizacji w systemie. Aby uzyskać szczegóły działania procesu pobierania sekretów, zobacz dokumentację rozszerzenia usługi Azure VMSS Key Vault dla systemu Windows.
W przypadku systemu Linux lokalizacja magazynu certyfikatów może być dowolnym katalogem na komputerze, a certyfikaty zostaną pobrane i zsynchronizowane z tej lokalizacji. Aby uzyskać szczegółowe informacje dotyczące domyślnych ustawień i zachowania tajnych ustawień, zobacz dokumentację rozszerzenia usługi Azure VMSS Key Vault dla systemu Linux.
