Допустимые IP-адреса и URL-адреса доменов
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Если ваша организация защищена брандмауэром или прокси-сервером, необходимо добавить в список разрешений определенные IP-адреса и универсальные url-адреса домена. Добавление этих IP-адресов и URL-адресов в список разрешений помогает убедиться, что у вас есть лучший опыт работы с Azure DevOps. Вы знаете, что необходимо обновить список разрешений, если вы не можете получить доступ к Azure DevOps в сети. См. следующие разделы в этой статье:
Совет
Чтобы Visual Studio и службы Azure хорошо работали без проблем с сетью, откройте порты и протоколы. Дополнительные сведения см. в статье "Установка и использование Visual Studio за брандмауэром или прокси-сервером", использование Visual Studio и служб Azure.
IP-адреса и ограничения диапазона
Исходящие подключения
Исходящие подключения предназначены для других зависимых сайтов. Примеры таких подключений:
- Браузеры, подключающиеся к веб-сайту Azure DevOps, по мере использования функций Azure DevOps
- Агенты Azure Pipelines, установленные в сети организации, подключаются к Azure DevOps для опроса ожидающих заданий
- События CI, отправленные из репозитория исходного кода, размещенного в сети организации в Azure DevOps
Убедитесь, что для исходящих подключений разрешены следующие IP-адреса, поэтому ваша организация работает с любыми существующими ограничениями брандмауэра или IP-адресов. Данные конечной точки на следующей диаграмме содержат требования к подключению с компьютера в организации к Azure DevOps Services.
13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24
150.171.23.0/24
150.171.73.0/24
150.171.74.0/24
150.171.75.0/24
150.171.76.0/24
Если вы в настоящее время разрешаете 13.107.6.183
и 13.107.9.183
IP-адреса, оставьте их на месте, так как их не нужно удалять.
Примечание.
Теги службы Azure не поддерживаются для исходящих подключений.
Входящие подключения
Входящие подключения происходят из Azure DevOps и целевых ресурсов в сети вашей организации. Примеры таких подключений:
- Подключение Azure DevOps Services к конечным точкам для перехватчиков служб
- Azure DevOps Services, подключающиеся к управляемым клиентом виртуальным машинам SQL Azure для импорта данных
- Azure Pipelines, подключающиеся к локальным репозиториям исходного кода, таким как GitHub Enterprise или Bitbucket Server
- Потоковая передача аудита Azure DevOps Services с подключением к локальной или облачной Splunk
Убедитесь, что для входящих подключений разрешены следующие IP-адреса, поэтому ваша организация работает с существующими ограничениями брандмауэра или IP-адресов. Данные конечной точки на следующей диаграмме содержат требования к подключению из Azure DevOps Services к локальным или другим облачным службам.
Географический регион | Область | Диапазоны IP-адресов V4 |
---|---|---|
Австралия | Восточная Австралия | 20.37.194.0/24 |
Юго-восточная часть Австралии | 20.42.226.0/24 | |
Бразилия | Южная Бразилия | 191.235.226.0/24 |
Канада | Центральная Канада | 52.228.82.0/24 |
Азиатско-Тихоокеанский регион | Юго-Восточная Азия (Сингапур) | 20.195.68.0/24 |
Индия | Индия (юг) | 20.41.194.0/24 |
Центральная Индия | 20.204.197.192/26 | |
Соединенные Штаты | Центральная США | 20.37.158.0/23 |
Западная центральная США | 52.150.138.0/24 | |
Восточная США | 20.42.5.0/24 | |
Восточная 2 США | 20.41.6.0/23 | |
Северная США | 40.80.187.0/24 | |
Южная США | 40.119.10.0/24 | |
Западная США | 40.82.252.0/24 | |
Западная 2 США | 20.42.134.0/23 | |
Западная 3 США | 20.125.155.0/24 | |
Европа | Западная Европа | 40.74.28.0/23 |
Северная Европа | 20.166.41.0/24 | |
Соединенное Королевство | Соединенное Королевство (юг) | 51.104.26.0/24 |
Теги службы Azure поддерживаются только для входящих подключений. Вместо разрешения ранее перечисленных диапазонов IP-адресов можно использовать тег службы AzureDevOps для Брандмауэр Azure и группы безопасности сети (NSG) или локального брандмауэра через скачивание JSON-файла.
Примечание.
Тег службы или ранее упомянутые входящие IP-адреса не применяются к размещенным агентам Майкрософт. Клиентам по-прежнему требуется разрешить всю географию для размещенных агентов Майкрософт. Если разрешение всей географии является проблемой, рекомендуется использовать пулы Microsoft Managed DevOps. Кроме того, можно использовать агенты масштабируемого набора виртуальных машин Azure. Управляемые пулы DevOps и агенты масштабируемого набора — это форма локальных агентов, которые можно автоматически масштабировать в соответствии с вашими требованиями.
Размещенные агенты macOS размещаются в облаке macOS GitHub. Диапазоны IP-адресов можно получить с помощью API метаданных GitHub, используя приведенные здесь инструкции.
Другие IP-адреса
Большинство следующих IP-адресов относятся к Microsoft 365 Common и Office Online.
40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32
Дополнительные сведения см. в разделе "Глобальные конечные точки" и "Добавление правил IP-адресов".
Подключения ExpressRoute к Azure DevOps
Если в организации используется ExpressRoute, убедитесь, что для исходящих и входящих подключений разрешены следующие IP-адреса.
13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
150.171.73.14/32
150.171.73.15/32
150.171.73.16/32
150.171.74.14/32
150.171.74.15/32
150.171.74.16/32
150.171.75.14/32
150.171.75.15/32
150.171.75.16/32
150.171.76.14/32
150.171.76.15/32
150.171.76.16/32
150.171.22.17/32
150.171.22.18/32
150.171.22.19/32
150.171.23.17/32
150.171.23.18/32
150.171.23.19/32
Дополнительные сведения о Azure DevOps и ExpressRoute см. в статье ExpressRoute для Azure DevOps.
URL-адреса разрешенного домена
Проблемы с сетевым подключением могут возникнуть из-за устройств безопасности, которые могут блокировать подключения. Visual Studio использует TLS 1.2 и более поздних версий. При использовании NuGet или подключении из Visual Studio 2015 и более поздних версий обновите устройства безопасности для поддержки TLS 1.2 и более поздних версий для следующих подключений.
Чтобы обеспечить работу организации с существующими ограничениями брандмауэра или IP-адресов, убедитесь, что dev.azure.com
и *.dev.azure.com
открыты.
В следующем разделе содержатся наиболее распространенные URL-адреса домена для поддержки подключений к входу и лицензированию.
https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that.
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net
Следующие конечные точки используются для проверки подлинности организаций Azure DevOps с помощью учетной записи Майкрософт (MSA). Эти конечные точки необходимы только для организаций Azure DevOps, поддерживаемых учетными записями Майкрософт (MSA). Организациям Azure DevOps, поддерживаемым клиентом Microsoft Entra, не нужны следующие URL-адреса.
https://live.com
https://login.live.com
Следующий URL-адрес необходим, если вы переносите с сервера Azure DevOps в облачную службу с помощью нашего средства миграции данных.
https://dataimport.dev.azure.com
Примечание.
Azure DevOps использует сеть доставки содержимого (CDN) для обслуживания статического содержимого. Пользователи в Китае также должны добавить следующие URL-адреса домена в список разрешений:
https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn
Мы рекомендуем открыть порт 443
для всего трафика на следующих IP-адресах и доменах. Мы также рекомендуем открыть порт 22
для меньшего подмножества целевых IP-адресов.
Дополнительные URL-адреса домена | Descriptions |
---|---|
https://login.microsoftonline.com | Проверка подлинности и вход, связанные с |
https://*.vssps.visualstudio.com | Проверка подлинности и вход, связанные с |
https://*gallerycdn.vsassets.io | Размещение расширений Azure DevOps |
https://*vstmrblob.vsassets.io | Размещение данных журнала Azure DevOps TCM |
https://cdn.vsassets.io | Содержит содержимое azure DevOps сеть доставки содержимого (CDN) |
https://static2.sharepointonline.com | Размещает некоторые ресурсы, которые Azure DevOps использует в наборе пользовательского интерфейса Office Fabric для шрифтов и т. д. |
https://vsrm.dev.azure.com | Выпуски узлов |
https://vstsagentpackage.azureedge.net | Требуется для настройки локального агента на компьютерах в сети |
https://amp.azure.net | Требуется для развертывания в службе приложений Azure |
https://go.microsoft.com | Доступ к ссылкам для go |
Azure Artifacts
Убедитесь, что для артефактов Azure разрешены следующие URL-адреса домена:
https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com
Кроме того, разрешать все IP-адреса в имени: "Хранилище". Раздел {region}" следующего файла (обновляется еженедельно): диапазоны IP-адресов Azure и теги служб — общедоступное облако. {region} — это та же география Azure, что и ваша организация.
Подключения NuGet
Убедитесь, что для подключений NuGet разрешены следующие URL-адреса домена:
https://azurewebsites.net
https://*.nuget.org
Примечание.
URL-адреса сервера NuGet, принадлежащие частному, могут не включаться в предыдущий список. Вы можете проверить серверы NuGet, которые вы используете, открыв.%APPData%\Nuget\NuGet.Config
SSL-подключения
Если вам нужно подключиться к репозиториям Git в Azure DevOps с помощью SSH, разрешите запросы на порт 22 для следующих узлов:
ssh.dev.azure.com
vs-ssh.visualstudio.com
Кроме того, разрешайте IP-адреса в разделе "Name": "AzureDevOps" этого скачиваемого файла (обновлен еженедельно) с именем: диапазоны IP-адресов Azure и теги службы — общедоступное облако
Агенты, размещенные корпорацией Майкрософт, Azure Pipelines
Если вы используете размещенный корпорацией Майкрософт агент для выполнения заданий и вам потребуется информация о том, какие IP-адреса используются, см . диапазоны IP-адресов, размещенных корпорацией Майкрософт. См. все пулы Microsoft Managed DevOps и агенты масштабируемого набора виртуальных машин Azure.
Дополнительные сведения о размещенных агентах Windows, Linux и macOS см . в диапазонах IP-адресов, размещенных в Майкрософт.
Локальные агенты Azure Pipelines
Если вы используете брандмауэр и ваш код находится в Azure Repos, ознакомьтесь с часто задаваемыми вопросами об локальном размещении агентов Linux, часто задаваемыми вопросами об локальном размещении агентов macOS или локальными агентами Windows. В этой статье содержатся сведения о url-адресах домена и IP-адресах, с которыми должен взаимодействовать частный агент.
Служба импорта Azure DevOps
Во время импорта настоятельно рекомендуется ограничить доступ к виртуальной машине только НА IP-адреса из Azure DevOps. Чтобы ограничить доступ, разрешайте только подключения из набора IP-адресов Azure DevOps, которые были вовлечены в процесс импорта базы данных коллекции. Сведения об определении правильных IP-адресов см. в разделе (Необязательно) Ограничение доступа только к IP-адресам Azure DevOps Services.
Примечание.
Azure DevOps изначально не поддерживает списки разрешений непосредственно в его параметрах. Однако вы можете управлять списком разрешений на уровне сети с помощью параметров брандмауэра или прокси-сервера организации.