允许的 IP 地址和域 URL
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
如果组织使用防火墙或代理服务器进行保护,则必须将某些 Internet 协议(IP)地址和域统一资源定位符(URL)添加到 允许列表。 将这些 IP 和 URL 添加到允许列表有助于确保你拥有 Azure DevOps 的最佳体验。 你知道,如果无法访问网络上的 Azure DevOps,则需要更新允许列表。 请参阅本文中的以下部分:
提示
因此,Visual Studio 和 Azure 服务非常适合没有网络问题,请打开选择端口和协议。 有关详细信息,请参阅 在防火墙或代理服务器后面安装和使用 Visual Studio,使用 Visual Studio 和 Azure 服务。
IP 地址和范围限制
出站连接
出站连接 面向其他依赖站点。 此类连接的示例包括:
- 当用户转到和使用 Azure DevOps 功能时连接到 Azure DevOps 网站的浏览器
- 在连接到 Azure DevOps 的组织网络上安装的 Azure Pipelines 代理,以轮询挂起的作业
- 从组织网络中托管的源代码存储库发送到 Azure DevOps 的 CI 事件
确保允许以下 IP 地址进行出站连接,因此组织可以使用任何现有的防火墙或 IP 限制。 以下图表中的终结点数据列出了从组织中的计算机到 Azure DevOps Services 的连接要求。
如果当前允许 13.107.6.183
和 13.107.9.183
IP 地址,请保留这些地址,因为无需删除它们。
入站连接
入站连接 源自 Azure DevOps,以及组织网络中的目标资源。 此类连接的示例包括:
- 连接到服务挂钩终结点的 Azure DevOps Services
- 连接到客户控制的 SQL Azure VM 进行 数据导入的 Azure DevOps Services
- 连接到本地源代码存储库(例如 GitHub Enterprise 或 Bitbucket 服务器)的 Azure Pipelines
- 连接到本地或基于云的 Splunk 的 Azure DevOps Services 审核流式处理
确保入站连接允许以下 IP 地址,使组织能够使用任何现有的防火墙或 IP 限制。 以下图表中的终结点数据列出了从 Azure DevOps Services 到本地或其他云服务的连接要求。
地区 | 地区 | IP V4 范围 |
---|---|---|
澳大利亚 | 澳大利亚东部 | 20.37.194.0/24 |
澳大利亚南部 | 20.42.226.0/24 | |
巴西 | 巴西南部 | 191.235.226.0/24 |
加拿大 | 加拿大中部 | 52.228.82.0/24 |
亚太区 | 东南亚(新加坡) | 20.195.68.0/24 |
印度 | 印度南部 | 20.41.194.0/24 |
印度中部 | 20.204.197.192/26 | |
美国 | 中央美国 | 20.37.158.0/23 |
中西部美国 | 52.150.138.0/24 | |
东美国 | 20.42.5.0/24 | |
东 2 美国 | 20.41.6.0/23 | |
北美国 | 40.80.187.0/24 | |
南美国 | 40.119.10.0/24 | |
西美国 | 40.82.252.0/24 | |
西部 2 美国 | 20.42.134.0/23 | |
西 3 美国 | 20.125.155.0/24 | |
欧洲 | 欧洲西部 | 40.74.28.0/23 |
北欧 | 20.166.41.0/24 | |
英国 | 英国南部 | 51.104.26.0/24 |
仅入站连接支持 Azure 服务标记。 可以使用 AzureDevOps 服务标记来Azure 防火墙和网络安全组(NSG)或通过 JSON 文件下载来使用本地防火墙,而不是允许之前列出的 IP 范围。
注意
服务标记或前面提到的入站 IP 地址不适用于Microsoft托管代理。 客户仍需要允许 Microsoft托管代理的整个地理位置。 如果允许整个地理位置是个问题,我们建议使用 Azure 虚拟机规模集代理。 规模集代理是一种自承载代理形式,可以自动缩放以满足需求。
托管的 macOS 代理托管在 GitHub 的 macOS 云中。 可以根据此处提供的说明,使用 GitHub 元数据 API 检索 IP 范围。
其他 IP 地址
以下大多数 IP 地址都与 Microsoft 365 Common 和 Office Online 相关。
40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32
有关详细信息,请参阅 “全球终结点 ”和 “添加 IP 地址规则”。
Azure DevOps ExpressRoute 连接
如果组织使用 ExpressRoute,请确保出站和入站连接都允许以下 IP 地址。
13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
有关 Azure DevOps 和 ExpressRoute 的详细信息,请参阅 适用于 Azure DevOps 的 ExpressRoute。
允许的域 URL
可能会因为安全设备(可能阻止连接)而出现网络连接问题 - Visual Studio 使用 TLS 1.2 及更高版本。 使用 NuGet 或从 Visual Studio 2015 及更高版本进行连接时,请更新安全设备以支持 TLS 1.2 及更高版本进行以下连接。
若要确保组织使用任何现有的防火墙或 IP 限制,请确保 dev.azure.com
并 *.dev.azure.com
处于打开状态。
以下部分包括支持登录和许可连接的最常见域 URL。
https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that.
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net
以下终结点用于使用 Microsoft 帐户(MSA)对 Azure DevOps 组织进行身份验证。 这些终结点仅适用于由 Microsoft 帐户(MSA)支持的 Azure DevOps 组织。 Azure DevOps 组织支持 Microsoft Entra 租户不需要以下 URL。
https://live.com
https://login.live.com
如果要使用数据迁移工具从 Azure DevOps 服务器迁移到云服务,则需要以下 URL。
https://dataimport.dev.azure.com
注意
Azure DevOps 使用 内容分发网络(CDN)来提供静态内容。 中国用户还应将以下域 URL 添加到允许列表:
https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn
建议打开以下 IP 地址和域上所有流量的端口 443
。 我们还建议将端口 22
打开到较小子集的目标 IP 地址。
更多域 URL | 说明 |
---|---|
https://login.microsoftonline.com | 身份验证和登录相关 |
https://*.vssps.visualstudio.com | 身份验证和登录相关 |
https://*gallerycdn.vsassets.io | 托管 Azure DevOps 扩展 |
https://*vstmrblob.vsassets.io | 托管 Azure DevOps TCM 日志数据 |
https://cdn.vsassets.io | 托管 Azure DevOps 内容分发网络 (CDN) 内容 |
https://static2.sharepointonline.com | 托管 Azure DevOps 在“office fabric”UI 工具包中用于字体等的一些资源 |
https://vsrm.dev.azure.com | 主机版本 |
https://vstsagentpackage.azureedge.net | 在网络中的计算机中设置自承载代理所必需的 |
https://amp.azure.net | 部署到 Azure 应用服务所需的 |
https://go.microsoft.com | 访问访问链接 |
Azure Artifacts
确保 Azure Artifacts 允许以下域 URL:
https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com
还允许“名称”:“存储”中的所有 IP 地址。以下文件的 {region}“部分(每周更新): Azure IP 范围和服务标记 - 公有云。 {region} 与组织相同。
NuGet 连接
确保 NuGet 连接允许以下域 URL:
https://azurewebsites.net
https://*.nuget.org
注意
上一个列表中可能不包含专用的 NuGet 服务器 URL。 可以通过打开 %APPData%\Nuget\NuGet.Config
来检查正在使用的 NuGet 服务器。
SSH 连接
如果需要使用 SSH 连接到 Azure DevOps 上的 Git 存储库,请允许以下主机的端口 22 请求:
ssh.dev.azure.com
vs-ssh.visualstudio.com
此外,还允许此可下载文件的“name”:“AzureDevOps”部分的 IP 地址(已更新每周更新)命名:Azure IP 范围和服务标记 - 公有云
Azure Pipelines Microsoft托管代理
如果使用Microsoft托管代理来运行作业,并且需要有关使用哪些 IP 地址的信息,请参阅 Microsoft托管代理 IP 范围。 查看所有 Azure 虚拟机规模集代理。
有关托管的 Windows、Linux 和 macOS 代理的详细信息,请参阅 Microsoft托管的代理 IP 范围。
Azure Pipelines 自承载代理
如果运行的是防火墙,并且代码位于 Azure Repos 中,请参阅 自承载 Linux 代理常见问题解答、 自承载 macOS 代理常见问题解答 或 自承载 Windows 代理常见问题解答。 本文包含有关专用代理需要与哪些域 URL 和 IP 地址通信的信息。
Azure DevOps 导入服务
在导入过程中,强烈建议将虚拟机(VM)的访问限制为仅从 Azure DevOps 访问 IP 地址。 若要限制访问,请仅允许来自集合数据库导入过程中涉及的 Azure DevOps IP 地址集的连接。 有关标识正确 IP 地址的信息,请参阅 (可选)仅限制对 Azure DevOps Services IP 的访问。
注意
Azure DevOps 本身不支持直接在其设置中列出允许列表。 但是,可以使用组织的防火墙或代理设置管理网络级别的允许列表。