允许的 IP 地址和域 URL

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

如果组织使用防火墙或代理服务器进行保护,则必须将某些 Internet 协议(IP)地址和域统一资源定位符(URL)添加到 允许列表。 将这些 IP 和 URL 添加到允许列表有助于确保你拥有 Azure DevOps 的最佳体验。 你知道,如果无法访问网络上的 Azure DevOps,则需要更新允许列表。 请参阅本文中的以下部分:

提示

因此,Visual Studio 和 Azure 服务非常适合没有网络问题,请打开选择端口和协议。 有关详细信息,请参阅 在防火墙或代理服务器后面安装和使用 Visual Studio,使用 Visual Studio 和 Azure 服务

IP 地址和范围限制

出站连接

出站连接 面向其他依赖站点。 此类连接的示例包括:

  • 当用户转到和使用 Azure DevOps 功能时连接到 Azure DevOps 网站的浏览器
  • 在连接到 Azure DevOps 的组织网络上安装的 Azure Pipelines 代理,以轮询挂起的作业
  • 从组织网络中托管的源代码存储库发送到 Azure DevOps 的 CI 事件

确保允许以下 IP 地址进行出站连接,因此组织可以使用任何现有的防火墙或 IP 限制。 以下图表中的终结点数据列出了从组织中的计算机到 Azure DevOps Services 的连接要求。


13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24

如果当前允许 13.107.6.18313.107.9.183 IP 地址,请保留这些地址,因为无需删除它们。

入站连接

入站连接 源自 Azure DevOps,以及组织网络中的目标资源。 此类连接的示例包括:

确保入站连接允许以下 IP 地址,使组织能够使用任何现有的防火墙或 IP 限制。 以下图表中的终结点数据列出了从 Azure DevOps Services 到本地或其他云服务的连接要求。

  地区 地区 IP V4 范围
澳大利亚 澳大利亚东部 20.37.194.0/24
澳大利亚南部 20.42.226.0/24
巴西 巴西南部 191.235.226.0/24
加拿大 加拿大中部 52.228.82.0/24
亚太区 东南亚(新加坡) 20.195.68.0/24
印度 印度南部 20.41.194.0/24
印度中部 20.204.197.192/26
美国 中央美国 20.37.158.0/23
中西部美国 52.150.138.0/24
东美国 20.42.5.0/24
东 2 美国 20.41.6.0/23
北美国 40.80.187.0/24
南美国 40.119.10.0/24
西美国 40.82.252.0/24
西部 2 美国 20.42.134.0/23
西 3 美国 20.125.155.0/24
欧洲 欧洲西部 40.74.28.0/23
北欧 20.166.41.0/24
英国 英国南部 51.104.26.0/24

仅入站连接支持 Azure 服务标记。 可以使用 AzureDevOps 服务标记来Azure 防火墙和网络安全组(NSG)或通过 JSON 文件下载来使用本地防火墙,而不是允许之前列出的 IP 范围。

注意

服务标记或前面提到的入站 IP 地址不适用于Microsoft托管代理。 客户仍需要允许 Microsoft托管代理的整个地理位置。 如果允许整个地理位置是个问题,我们建议使用 Azure 虚拟机规模集代理。 规模集代理是一种自承载代理形式,可以自动缩放以满足需求。
托管的 macOS 代理托管在 GitHub 的 macOS 云中。 可以根据此处提供的说明,使用 GitHub 元数据 API 检索 IP 范围。

其他 IP 地址

以下大多数 IP 地址都与 Microsoft 365 Common 和 Office Online 相关。


40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32

有关详细信息,请参阅 “全球终结点 ”和 “添加 IP 地址规则”。

Azure DevOps ExpressRoute 连接

如果组织使用 ExpressRoute,请确保出站和入站连接都允许以下 IP 地址。

13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32

有关 Azure DevOps 和 ExpressRoute 的详细信息,请参阅 适用于 Azure DevOps 的 ExpressRoute。

允许的域 URL

可能会因为安全设备(可能阻止连接)而出现网络连接问题 - Visual Studio 使用 TLS 1.2 及更高版本。 使用 NuGet 或从 Visual Studio 2015 及更高版本进行连接时,请更新安全设备以支持 TLS 1.2 及更高版本进行以下连接。

若要确保组织使用任何现有的防火墙或 IP 限制,请确保 dev.azure.com*.dev.azure.com 处于打开状态。

以下部分包括支持登录和许可连接的最常见域 URL。


https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that. 
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net

以下终结点用于使用 Microsoft 帐户(MSA)对 Azure DevOps 组织进行身份验证。 这些终结点仅适用于由 Microsoft 帐户(MSA)支持的 Azure DevOps 组织。 Azure DevOps 组织支持 Microsoft Entra 租户不需要以下 URL。

https://live.com 
https://login.live.com 

如果要使用数据迁移工具从 Azure DevOps 服务器迁移到云服务,则需要以下 URL。

https://dataimport.dev.azure.com

注意

Azure DevOps 使用 内容分发网络(CDN)来提供静态内容。 中国用户还应将以下域 URL 添加到允许列表:

https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn

建议打开以下 IP 地址和域上所有流量的端口 443 。 我们还建议将端口 22 打开到较小子集的目标 IP 地址。

更多域 URL 说明
https://login.microsoftonline.com 身份验证和登录相关
https://*.vssps.visualstudio.com 身份验证和登录相关
https://*gallerycdn.vsassets.io 托管 Azure DevOps 扩展
https://*vstmrblob.vsassets.io 托管 Azure DevOps TCM 日志数据
https://cdn.vsassets.io 托管 Azure DevOps 内容分发网络 (CDN) 内容
https://static2.sharepointonline.com 托管 Azure DevOps 在“office fabric”UI 工具包中用于字体等的一些资源
https://vsrm.dev.azure.com 主机版本
https://vstsagentpackage.azureedge.net 在网络中的计算机中设置自承载代理所必需的
https://amp.azure.net 部署到 Azure 应用服务所需的
https://go.microsoft.com 访问访问链接

Azure Artifacts

确保 Azure Artifacts 允许以下域 URL:

https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com

还允许“名称”:“存储”中的所有 IP 地址。以下文件的 {region}“部分(每周更新): Azure IP 范围和服务标记 - 公有云。 {region} 与组织相同。

NuGet 连接

确保 NuGet 连接允许以下域 URL:

https://azurewebsites.net
https://*.nuget.org

注意

上一个列表中可能不包含专用的 NuGet 服务器 URL。 可以通过打开 %APPData%\Nuget\NuGet.Config来检查正在使用的 NuGet 服务器。

SSH 连接

如果需要使用 SSH 连接到 Azure DevOps 上的 Git 存储库,请允许以下主机的端口 22 请求:


ssh.dev.azure.com
vs-ssh.visualstudio.com

此外,还允许此可下载文件的“name”:“AzureDevOps”部分的 IP 地址(已更新每周更新)命名:Azure IP 范围和服务标记 - 公有云

Azure Pipelines Microsoft托管代理

如果使用Microsoft托管代理来运行作业,并且需要有关使用哪些 IP 地址的信息,请参阅 Microsoft托管代理 IP 范围查看所有 Azure 虚拟机规模集代理

有关托管的 Windows、Linux 和 macOS 代理的详细信息,请参阅 Microsoft托管的代理 IP 范围

Azure Pipelines 自承载代理

如果运行的是防火墙,并且代码位于 Azure Repos 中,请参阅 自承载 Linux 代理常见问题解答自承载 macOS 代理常见问题解答自承载 Windows 代理常见问题解答。 本文包含有关专用代理需要与哪些域 URL 和 IP 地址通信的信息。

Azure DevOps 导入服务

在导入过程中,强烈建议将虚拟机(VM)的访问限制为仅从 Azure DevOps 访问 IP 地址。 若要限制访问,请仅允许来自集合数据库导入过程中涉及的 Azure DevOps IP 地址集的连接。 有关标识正确 IP 地址的信息,请参阅 (可选)仅限制对 Azure DevOps Services IP 的访问。

注意

Azure DevOps 本身不支持直接在其设置中列出允许列表。 但是,可以使用组织的防火墙或代理设置管理网络级别的允许列表。