Допустимые IP-адреса и URL-адреса доменов
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Если ваша организация защищена брандмауэром или прокси-сервером, необходимо добавить в список разрешений определенные IP-адреса и универсальные url-адреса домена. Добавление этих IP-адресов и URL-адресов в список разрешений помогает убедиться, что у вас есть лучший опыт работы с Azure DevOps. Вы знаете, что необходимо обновить список разрешений, если вы не можете получить доступ к Azure DevOps в сети. См. следующие разделы в этой статье:
Совет
Чтобы Visual Studio и службы Azure хорошо работали без проблем с сетью, откройте порты и протоколы. Дополнительные сведения см. в статье "Установка и использование Visual Studio за брандмауэром или прокси-сервером", использование Visual Studio и служб Azure.
IP-адреса и ограничения диапазона
Исходящие подключения
Исходящие подключения предназначены для других зависимых сайтов. Примеры таких подключений:
- Браузеры, подключающиеся к веб-сайту Azure DevOps, по мере использования функций Azure DevOps
- Агенты Azure Pipelines, установленные в сети организации, подключаются к Azure DevOps для опроса ожидающих заданий
- События CI, отправленные из репозитория исходного кода, размещенного в сети организации в Azure DevOps
Убедитесь, что для исходящих подключений разрешены следующие IP-адреса, поэтому ваша организация работает с любыми существующими ограничениями брандмауэра или IP-адресов. Данные конечной точки на следующей диаграмме содержат требования к подключению с компьютера в организации к Azure DevOps Services.
13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24
150.171.23.0/24
150.171.73.0/24
150.171.74.0/24
150.171.75.0/24
150.171.76.0/24
Если вы в настоящее время разрешаете 13.107.6.183 и 13.107.9.183 IP-адреса, оставьте их на месте, так как их не нужно удалять.
Примечание.
Теги службы Azure не поддерживаются для исходящих подключений.
Входящие подключения
Входящие подключения происходят из Azure DevOps и целевых ресурсов в сети вашей организации. Примеры таких подключений:
- Подключение Azure DevOps Services к конечным точкам для перехватчиков служб
- Azure DevOps Services, подключающиеся к управляемым клиентом виртуальным машинам SQL Azure для импорта данных
- Azure Pipelines, подключающиеся к локальным репозиториям исходного кода, таким как GitHub Enterprise или Bitbucket Server
- Потоковая передача аудита Azure DevOps Services с подключением к локальной или облачной Splunk
Убедитесь, что для входящих подключений разрешены следующие IP-адреса, поэтому ваша организация работает с существующими ограничениями брандмауэра или IP-адресов. Данные конечной точки на следующей диаграмме содержат требования к подключению из Azure DevOps Services к локальным или другим облачным службам.
| Географический регион | Область | Диапазоны IP-адресов V4 |
|---|---|---|
| Австралия | Восточная Австралия | 20.37.194.0/24 |
| Юго-восточная часть Австралии | 20.42.226.0/24 | |
| Бразилия | Южная Бразилия | 191.235.226.0/24 |
| Канада | Центральная Канада | 52.228.82.0/24 |
| Азиатско-Тихоокеанский регион | Юго-Восточная Азия (Сингапур) | 20.195.68.0/24 |
| Индия | Индия (юг) | 20.41.194.0/24 |
| Центральная Индия | 20.204.197.192/26 | |
| Соединенные Штаты | Центральная США | 20.37.158.0/23 |
| Западная центральная США | 52.150.138.0/24 | |
| Восточная США | 20.42.5.0/24 | |
| Восточная 2 США | 20.41.6.0/23 | |
| Северная США | 40.80.187.0/24 | |
| Южная США | 40.119.10.0/24 | |
| Западная США | 40.82.252.0/24 | |
| Западная 2 США | 20.42.134.0/23 | |
| Западная 3 США | 20.125.155.0/24 | |
| Европа | Западная Европа | 40.74.28.0/23 |
| Северная Европа | 20.166.41.0/24 | |
| Соединенное Королевство | Соединенное Королевство (юг) | 51.104.26.0/24 |
Теги службы Azure поддерживаются только для входящих подключений. Вместо разрешения ранее перечисленных диапазонов IP-адресов можно использовать тег службы AzureDevOps для Брандмауэр Azure и группы безопасности сети (NSG) или локального брандмауэра через скачивание JSON-файла.
Примечание.
Тег службы или ранее упомянутые входящие IP-адреса не применяются к размещенным агентам Майкрософт. Клиентам по-прежнему требуется разрешить всю географию для размещенных агентов Майкрософт. Если разрешение всей географической области является проблемой, рекомендуется использовать агенты масштабируемого набора виртуальных машин Azure. Агенты масштабируемого набора — это форма локальных агентов, которые можно автоматически масштабировать для удовлетворения ваших требований.
Размещенные агенты macOS размещаются в облаке macOS GitHub. Диапазоны IP-адресов можно получить с помощью API метаданных GitHub, используя приведенные здесь инструкции.
Другие IP-адреса
Большинство следующих IP-адресов относятся к Microsoft 365 Common и Office Online.
40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32
Дополнительные сведения см. в разделе "Глобальные конечные точки" и "Добавление правил IP-адресов".
Подключения ExpressRoute к Azure DevOps
Если в организации используется ExpressRoute, убедитесь, что для исходящих и входящих подключений разрешены следующие IP-адреса.
13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
150.171.73.14/32
150.171.73.15/32
150.171.73.16/32
150.171.74.14/32
150.171.74.15/32
150.171.74.16/32
150.171.75.14/32
150.171.75.15/32
150.171.75.16/32
150.171.76.14/32
150.171.76.15/32
150.171.76.16/32
150.171.22.17/32
150.171.22.18/32
150.171.22.19/32
150.171.23.17/32
150.171.23.18/32
150.171.23.19/32
Дополнительные сведения о Azure DevOps и ExpressRoute см. в статье ExpressRoute для Azure DevOps.
URL-адреса разрешенного домена
Проблемы с сетевым подключением могут возникнуть из-за устройств безопасности, которые могут блокировать подключения. Visual Studio использует TLS 1.2 и более поздних версий. При использовании NuGet или подключении из Visual Studio 2015 и более поздних версий обновите устройства безопасности для поддержки TLS 1.2 и более поздних версий для следующих подключений.
Чтобы обеспечить работу организации с существующими ограничениями брандмауэра или IP-адресов, убедитесь, что dev.azure.com и *.dev.azure.com открыты.
В следующем разделе содержатся наиболее распространенные URL-адреса домена для поддержки подключений к входу и лицензированию.
https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that.
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net
Следующие конечные точки используются для проверки подлинности организаций Azure DevOps с помощью учетной записи Майкрософт (MSA). Эти конечные точки необходимы только для организаций Azure DevOps, поддерживаемых учетными записями Майкрософт (MSA). Организациям Azure DevOps, поддерживаемым клиентом Microsoft Entra, не нужны следующие URL-адреса.
https://live.com
https://login.live.com
Следующий URL-адрес необходим, если вы переносите с сервера Azure DevOps в облачную службу с помощью нашего средства миграции данных.
https://dataimport.dev.azure.com
Примечание.
Azure DevOps использует сеть доставки содержимого (CDN) для обслуживания статического содержимого. Пользователи в Китае также должны добавить следующие URL-адреса домена в список разрешений:
https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn
Мы рекомендуем открыть порт 443 для всего трафика на следующих IP-адресах и доменах. Мы также рекомендуем открыть порт 22 для меньшего подмножества целевых IP-адресов.
| Дополнительные URL-адреса домена | Descriptions |
|---|---|
| https://login.microsoftonline.com | Проверка подлинности и вход, связанные с |
| https://*.vssps.visualstudio.com | Проверка подлинности и вход, связанные с |
| https://*gallerycdn.vsassets.io | Размещение расширений Azure DevOps |
| https://*vstmrblob.vsassets.io | Размещение данных журнала Azure DevOps TCM |
| https://cdn.vsassets.io | Содержит содержимое azure DevOps сеть доставки содержимого (CDN) |
| https://static2.sharepointonline.com | Размещает некоторые ресурсы, которые Azure DevOps использует в наборе пользовательского интерфейса Office Fabric для шрифтов и т. д. |
| https://vsrm.dev.azure.com | Выпуски узлов |
| https://vstsagentpackage.azureedge.net | Требуется для настройки локального агента на компьютерах в сети |
| https://amp.azure.net | Требуется для развертывания в службе приложений Azure |
| https://go.microsoft.com | Доступ к ссылкам для go |
Azure Artifacts
Убедитесь, что для артефактов Azure разрешены следующие URL-адреса домена:
https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com
Кроме того, разрешать все IP-адреса в имени: "Хранилище". Раздел {region}" следующего файла (обновляется еженедельно): диапазоны IP-адресов Azure и теги служб — общедоступное облако. {region} — это та же география Azure, что и ваша организация.
Подключения NuGet
Убедитесь, что для подключений NuGet разрешены следующие URL-адреса домена:
https://azurewebsites.net
https://*.nuget.org
Примечание.
URL-адреса сервера NuGet, принадлежащие частному, могут не включаться в предыдущий список. Вы можете проверить серверы NuGet, которые вы используете, открыв.%APPData%\Nuget\NuGet.Config
SSL-подключения
Если вам нужно подключиться к репозиториям Git в Azure DevOps с помощью SSH, разрешите запросы на порт 22 для следующих узлов:
ssh.dev.azure.com
vs-ssh.visualstudio.com
Кроме того, разрешайте IP-адреса в разделе "Name": "AzureDevOps" этого скачиваемого файла (обновлен еженедельно) с именем: диапазоны IP-адресов Azure и теги службы — общедоступное облако
Агенты, размещенные корпорацией Майкрософт, Azure Pipelines
Если вы используете размещенный корпорацией Майкрософт агент для выполнения заданий и вам потребуется информация о том, какие IP-адреса используются, см . диапазоны IP-адресов, размещенных корпорацией Майкрософт. См. все агенты масштабируемого набора виртуальных машин Azure.
Дополнительные сведения о размещенных агентах Windows, Linux и macOS см . в диапазонах IP-адресов, размещенных в Майкрософт.
Локальные агенты Azure Pipelines
Если вы используете брандмауэр и ваш код находится в Azure Repos, ознакомьтесь с часто задаваемыми вопросами об локальном размещении агентов Linux, часто задаваемыми вопросами об локальном размещении агентов macOS или локальными агентами Windows. В этой статье содержатся сведения о url-адресах домена и IP-адресах, с которыми должен взаимодействовать частный агент.
Служба импорта Azure DevOps
Во время импорта настоятельно рекомендуется ограничить доступ к виртуальной машине только НА IP-адреса из Azure DevOps. Чтобы ограничить доступ, разрешайте только подключения из набора IP-адресов Azure DevOps, которые были вовлечены в процесс импорта базы данных коллекции. Сведения об определении правильных IP-адресов см. в разделе (Необязательно) Ограничение доступа только к IP-адресам Azure DevOps Services.
Примечание.
Azure DevOps изначально не поддерживает списки разрешений непосредственно в его параметрах. Однако вы можете управлять списком разрешений на уровне сети с помощью параметров брандмауэра или прокси-сервера организации.