Specjalne przypadki połączenia usługi Azure Resource Manager
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Chociaż zalecaną opcją dla połączeń usługi Azure Resource Manager jest użycie federacji tożsamości obciążenia z rejestracją aplikacji lub tożsamością zarządzaną, czasami może być konieczne użycie tożsamości zarządzanej przypisanej przez agenta lub profilu publikowania. W tym artykule dowiesz się, jak utworzyć połączenie usługi Azure Resource Manager korzystające z rejestracji aplikacji z wpisem tajnym, połączenie z agentem hostowanym lokalnie na maszynie wirtualnej platformy Azure i połączenie usługi używające profilu publikowania do połączenia z aplikacją w usłudze Azure App Service.
Możesz również użyć usługi Azure Resource Manager, aby nawiązać połączenie z usługą Azure Government Cloud i usługą Azure Stack.
Tworzenie rejestracji aplikacji z tajnym kluczem (automatycznym)
Po wybraniu tej opcji usługa Azure DevOps automatycznie wysyła zapytania dotyczące subskrypcji, grupy zarządzania lub obszaru roboczego usługi Machine Learning, z którym chcesz nawiązać połączenie i tworzy wpis tajny na potrzeby uwierzytelniania.
Ostrzeżenie
Używanie sekretu wymaga ręcznej rotacji i zarządzania i nie jest zalecane. Federacja tożsamości roboczych jest preferowanym typem poświadczeń.
Tego podejścia można użyć, jeśli wszystkie następujące elementy są prawdziwe w danym scenariuszu:
- Zalogowałeś się jako właściciel organizacji usługi Azure Pipelines i subskrypcji platformy Azure.
- Nie musisz jeszcze bardziej ograniczać uprawnień dla zasobów platformy Azure, do których użytkownicy uzyskują dostęp za pośrednictwem połączenia z usługą.
- Nie łączysz się z Azure Stack ani środowiskami Azure US Government.
- Nie nawiązujesz połączenia z usługi Azure DevOps Server 2019 lub starszych wersji serwera Team Foundation Server.
W projekcie usługi Azure DevOps przejdź do pozycji Połączenia usługi Ustawienia>projektu.
Aby uzyskać więcej informacji, zobacz Otwieranie ustawień projektu.
Wybierz pozycję Nowe połączenie z usługą, a następnie wybierz pozycję Azure Resource Manager i Dalej.
Wybierz pozycję Rejestracja aplikacji (automatyczna) z poświadczeniem Sekret.
Wybierz poziom zakresu. Wybierz pozycję Subskrypcja, Grupa zarządzania lub Obszar roboczy usługi Machine Learning. Grupy zarządzania to kontenery, które ułatwiają zarządzanie dostępem, zasadami i zgodnością w wielu subskrypcjach. Obszar roboczy usługi Machine Learning to miejsce do tworzenia artefaktów uczenia maszynowego.
W polu Zakres subskrypcji wprowadź następujące parametry:
Parametr Opis Subskrypcja Wymagany. Wybierz subskrypcję platformy Azure. grupa zasobów Wymagany. Wybierz grupę zasobów platformy Azure. Dla zakresu grupy zarządzania wybierz grupę zarządzania platformy Azure.
W zakresie obszaru roboczego usługi Machine Learning wprowadź następujące parametry:
Parametr Opis Subskrypcja Wymagany. Wybierz subskrypcję platformy Azure. Grupa zasobów Wymagany. Wybierz grupę zasobów zawierającą obszar roboczy. Obszar roboczy uczenia maszynowego Wymagany. Wybierz obszar roboczy usługi Azure Machine Learning.
Wprowadź nazwę połączenia usługi .
Opcjonalnie wprowadź opis połączenia z usługą.
Wybierz pozycję Udziel uprawnień dostępu do wszystkich potoków , aby zezwolić wszystkim potokom na korzystanie z tego połączenia z usługą. Jeśli nie wybierzesz tej opcji, musisz ręcznie udzielić dostępu do każdego potoku korzystającego z tego połączenia z usługą.
Wybierz pozycję Zapisz.
Tworzenie połączenia usługi Azure Resource Manager z maszyną wirtualną korzystającą z tożsamości zarządzanej
Uwaga
Aby użyć tożsamości zarządzanej do uwierzytelniania, musisz użyć własnego agenta na maszynie wirtualnej platformy Azure.
Możesz skonfigurować własnych agentów na maszynach wirtualnych platformy Azure, aby używać tożsamości zarządzanej platformy Azure w usłudze Microsoft Entra ID. W tym scenariuszu używasz przypisanej przez agenta tożsamości zarządzanej, aby udzielić agentom dostępu do dowolnego zasobu platformy Azure obsługującego identyfikator Entra firmy Microsoft, takiego jak wystąpienie usługi Azure Key Vault.
W projekcie usługi Azure DevOps przejdź do pozycji Połączenia usługi Ustawienia>projektu.
Aby uzyskać więcej informacji, zobacz Otwieranie ustawień projektu.
Wybierz pozycję Nowe połączenie z usługą, a następnie wybierz pozycję Azure Resource Manager.
Dla typu tożsamości wybierz pozycję Tożsamość zarządzana (przypisany agent).
W polu Środowisko wybierz nazwę środowiska (opcje chmury platformy Azure, usługi Azure Stack lub chmury dla instytucji rządowych).
Wybierz poziom Zakresu. Wybierz pozycję Subskrypcja, Grupa zarządzania lub Obszar roboczy usługi Machine Learning. Grupy zarządzania to kontenery, które ułatwiają zarządzanie dostępem, zasadami i zgodnością w wielu subskrypcjach. Obszar roboczy usługi Machine Learning to miejsce do tworzenia artefaktów uczenia maszynowego.
W polu Zakres subskrypcji wprowadź następujące parametry:
Parametr Opis Identyfikator subskrypcji Wymagany. Wprowadź identyfikator subskrypcji platformy Azure. Nazwa subskrypcji Wymagany. Wprowadź nazwę subskrypcji platformy Azure. W obszarze Zakres grupy zarządzania wprowadź następujące parametry:
Parametr Opis Identyfikator grupy zarządzania Wymagany. Wprowadź identyfikator grupy zarządzania platformy Azure. Nazwa grupy zarządzania Wymagany. Wprowadź nazwę grupy zarządzania platformy Azure. W zakresie obszaru roboczego usługi Machine Learning wprowadź następujące parametry:
Parametr Opis Identyfikator subskrypcji Wymagany. Wprowadź identyfikator subskrypcji platformy Azure. Nazwa subskrypcji Wymagany. Wprowadź nazwę subskrypcji platformy Azure. Grupa zasobów Wymagany. Wybierz grupę zasobów zawierającą obszar roboczy. Nazwa obszaru roboczego uczenia maszynowego Wymagany. Wprowadź nazwę istniejącego obszaru roboczego usługi Azure Machine Learning. Lokalizacja obszaru roboczego uczenia maszynowego Wymagany. Wprowadź lokalizację istniejącego obszaru roboczego usługi Azure Machine Learning.
Wprowadź identyfikator dzierżawy.
Wprowadź nazwę połączenia z usługą.
Opcjonalnie wprowadź opis połączenia z usługą.
Wybierz pozycję Udziel uprawnień dostępu do wszystkich potoków , aby zezwolić wszystkim potokom na korzystanie z tego połączenia z usługą. Jeśli nie wybierzesz tej opcji, musisz ręcznie udzielić dostępu do każdego potoku korzystającego z tego połączenia z usługą.
Wybierz pozycję Zapisz.
Po utworzeniu nowego połączenia z usługą:
- Jeśli używasz połączenia z usługą w interfejsie użytkownika, wybierz nazwę połączenia przypisaną w ustawieniu subskrypcji platformy Azure potoku.
- Jeśli używasz połączenia usługi w pliku YAML, skopiuj nazwę połączenia do kodu jako wartość .
azureSubscription
Upewnij się, że maszyna wirtualna (agent) ma odpowiednie uprawnienia.
Jeśli na przykład kod musi wywołać usługę Azure Resource Manager, przypisz maszynę wirtualną odpowiednią rolę przy użyciu kontroli dostępu opartej na rolach (RBAC) w usłudze Microsoft Entra ID.
Aby uzyskać więcej informacji, zobacz Jak używać tożsamości zarządzanych dla zasobów platformy Azure? i Użyj kontroli dostępu opartej na rolach, aby zarządzać dostępem do zasobów subskrypcji platformy Azure.
Aby uzyskać więcej informacji na temat procesu, zobacz Rozwiązywanie problemów z połączeniami usługi Azure Resource Manager.
Tworzenie połączenia usługi Azure Resource Manager przy użyciu profilu publikowania
Połączenie usługi można utworzyć przy użyciu profilu publikowania. Profil publikowania umożliwia utworzenie połączenia usługi z usługą aplikacja systemu Azure Service.
W projekcie usługi Azure DevOps przejdź do pozycji Połączenia usługi Ustawienia>projektu.
Aby uzyskać więcej informacji, zobacz Otwieranie ustawień projektu.
Wybierz pozycję Nowe połączenie z usługą, a następnie wybierz pozycję Azure Resource Manager i Dalej.
Wybierz pozycję Publikuj profil dla typu tożsamości.
Wprowadź następujące parametry:
Parametr Opis Subskrypcja Wymagany. Wybierz istniejącą subskrypcję platformy Azure. Jeśli nie są wyświetlane żadne subskrypcje lub wystąpienia platformy Azure, zobacz Rozwiązywanie problemów z połączeniami usługi Azure Resource Manager. WebApp Wymagany. Wprowadź nazwę aplikacji usługi aplikacja systemu Azure Service. Nazwa połączenia z usługą Wymagany. Nazwa używana do odwoływania się do tego połączenia usługi we właściwościach zadania. Nie jest to nazwa subskrypcji platformy Azure. Opis Opcjonalny. Opis połączenia z usługą. Wybierz pozycję Udziel uprawnień dostępu do wszystkich potoków , aby zezwolić wszystkim potokom na korzystanie z tego połączenia z usługą. Jeśli nie wybierzesz tej opcji, musisz ręcznie udzielić dostępu do każdego potoku korzystającego z tego połączenia z usługą.
Wybierz pozycję Zapisz.
Po utworzeniu nowego połączenia z usługą:
- Jeśli używasz połączenia z usługą w interfejsie użytkownika, wybierz nazwę połączenia przypisaną w ustawieniu subskrypcji platformy Azure potoku.
- Jeśli używasz połączenia usługi w pliku YAML, skopiuj nazwę połączenia i wklej ją w kodzie jako wartość .
azureSubscription
Łączenie z chmurą Platformy Azure Government
Aby uzyskać informacje na temat nawiązywania połączenia z chmurą platformy Azure Government, zobacz Łączenie się z usługą Azure Pipelines (Azure Government Cloud).
Nawiązywanie połączenia z usługą Azure Stack
Aby uzyskać informacje na temat nawiązywania połączenia z usługą Azure Stack, zobacz następujące artykuły:
- Nawiązywanie połączenia z usługą Azure Stack
- Łączenie usługi Azure Stack z platformą Azure przy użyciu sieci VPN
- Łączenie usługi Azure Stack z platformą Azure przy użyciu usługi Azure ExpressRoute
Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z połączeniami usługi Azure Resource Manager.
Pomoc i obsługa techniczna
- Zapoznaj się z poradami dotyczącymi rozwiązywania problemów.
- Uzyskaj porady na temat Stack Overflow.
- Opublikuj swoje pytania, wyszukaj odpowiedzi lub zasugeruj funkcję w społeczności deweloperów usługi Azure DevOps.
- Uzyskaj pomoc techniczną dotyczącą usługi Azure DevOps.