允许的 IP 地址和域 URL

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

如果组织使用防火墙或代理服务器进行保护，则必须将某些 Internet 协议（IP）地址和域统一资源定位符（URL）添加到 允许列表。 将这些 IP 和 URL 添加到允许列表有助于确保你拥有 Azure DevOps 的最佳体验。 你知道，如果无法访问网络上的 Azure DevOps，则需要更新允许列表。 请参阅本文中的以下部分：

• 允许的域 URL
• IP 地址和范围限制

提示

因此，Visual Studio 和 Azure 服务非常适合没有网络问题，请打开选择端口和协议。 有关详细信息，请参阅 在防火墙或代理服务器后面安装和使用 Visual Studio，使用 Visual Studio 和 Azure 服务。

IP 地址和范围限制

出站连接

出站连接 面向其他依赖站点。 此类连接的示例包括：

• 当用户转到和使用 Azure DevOps 功能时连接到 Azure DevOps 网站的浏览器
• 在连接到 Azure DevOps 的组织网络上安装的 Azure Pipelines 代理，以轮询挂起的作业
• 从组织网络中托管的源代码存储库发送到 Azure DevOps 的 CI 事件

确保允许以下 IP 地址进行出站连接，因此组织可以使用任何现有的防火墙或 IP 限制。 以下图表中的终结点数据列出了从组织中的计算机到 Azure DevOps Services 的连接要求。

IP V4 范围

13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24 
150.171.23.0/24 
150.171.73.0/24 
150.171.74.0/24 
150.171.75.0/24 
150.171.76.0/24

IP V6 范围

2620:1ec:4::/48
2620:1ec:a92::/48
2620:1ec:21::/48
2620:1ec:22::/48
2620:1ec:50::/48 
2620:1ec:51::/48 
2603:1061:10::/48

如果当前允许 13.107.6.183 和 13.107.9.183 IP 地址，请保留这些地址，因为无需删除它们。

注意

出站连接不支持 Azure 服务标记。

入站连接

入站连接 源自 Azure DevOps，以及组织网络中的目标资源。 此类连接的示例包括：

• 连接到服务挂钩终结点的 Azure DevOps Services
• 连接到客户控制的 SQL Azure VM 进行 数据导入的 Azure DevOps Services
• 连接到本地源代码存储库（例如 GitHub Enterprise 或 Bitbucket 服务器）的 Azure Pipelines
• 连接到本地或基于云的 Splunk 的 Azure DevOps Services 审核流式处理

确保入站连接允许以下 IP 地址，使组织能够使用任何现有的防火墙或 IP 限制。 以下图表中的终结点数据列出了从 Azure DevOps Services 到本地或其他云服务的连接要求。

地区	地区	IP V4 范围
澳大利亚	澳大利亚东部	20.37.194.0/24
	澳大利亚南部	20.42.226.0/24
巴西	巴西南部	191.235.226.0/24
加拿大	加拿大中部	52.228.82.0/24
亚太区	东南亚（新加坡）	20.195.68.0/24
印度	印度南部	20.41.194.0/24
	印度中部	20.204.197.192/26
美国	中央美国	20.37.158.0/23
	中西部美国	52.150.138.0/24
	东美国	20.42.5.0/24
	东 2 美国	20.41.6.0/23
	北美国	40.80.187.0/24
	南美国	40.119.10.0/24
	西美国	40.82.252.0/24
	西部 2 美国	20.42.134.0/23
	西 3 美国	20.125.155.0/24
欧洲	欧洲西部	40.74.28.0/23
	北欧	20.166.41.0/24
英国	英国南部	51.104.26.0/24

仅入站连接支持 Azure 服务标记。 可以使用 AzureDevOps 服务标记来Azure 防火墙和网络安全组（NSG）或通过 JSON 文件下载来使用本地防火墙，而不是允许之前列出的 IP 范围。

注意

服务标记或前面提到的入站 IP 地址不适用于Microsoft托管代理。 客户仍需要允许 Microsoft托管代理的整个地理位置。 如果允许整个地理位置是个问题，我们建议使用 Microsoft托管 DevOps 池。 或者，也可以使用 Azure 虚拟机规模集代理。 托管 DevOps 池和规模集代理是一种自承载代理，可以自动缩放以满足需求。
托管的 macOS 代理托管在 GitHub 的 macOS 云中。 可以根据此处提供的说明，使用 GitHub 元数据 API 检索 IP 范围。

其他 IP 地址

以下大多数 IP 地址都与 Microsoft 365 Common 和 Office Online 相关。

40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32

有关详细信息，请参阅 “全球终结点 ”和 “添加 IP 地址规则”。

Azure DevOps ExpressRoute 连接

如果组织使用 ExpressRoute，请确保出站和入站连接都允许以下 IP 地址。

IP V4 范围

13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
150.171.73.14/32
150.171.73.15/32
150.171.73.16/32
150.171.74.14/32
150.171.74.15/32
150.171.74.16/32
150.171.75.14/32
150.171.75.15/32
150.171.75.16/32
150.171.76.14/32
150.171.76.15/32
150.171.76.16/32
150.171.22.17/32
150.171.22.18/32
150.171.22.19/32
150.171.23.17/32
150.171.23.18/32
150.171.23.19/32

IP V6 范围

2620:1ec:a92::175/128
2620:1ec:a92::176/128
2620:1ec:a92::183/128
2620:1ec:4::175/128
2620:1ec:4::176/128
2620:1ec:4::183/128
2620:1ec:21::18/128
2620:1ec:21::19/128
2620:1ec:21::20/128
2620:1ec:22::18/128
2620:1ec:22::19/128
2620:1ec:22::20/128
2603:1061:10::14/128
2603:1061:10::15/128
2603:1061:10::16/128
2603:1061:10:1::14/128
2603:1061:10:1::15/128
2603:1061:10:1::16/128
2603:1061:10:2::14/128
2603:1061:10:2::15/128
2603:1061:10:2::16/128
2603:1061:10:3::14/128
2603:1061:10:3::15/128
2603:1061:10:3::16/128
2620:1ec:50::17/128
2620:1ec:50::18/128
2620:1ec:50::19/128
2620:1ec:51::17/128
2620:1ec:51::18/128
2620:1ec:51::19/128

有关 Azure DevOps 和 ExpressRoute 的详细信息，请参阅 适用于 Azure DevOps 的 ExpressRoute。

允许的域 URL

可能会因为安全设备（可能阻止连接）而出现网络连接问题 - Visual Studio 使用 TLS 1.2 及更高版本。 使用 NuGet 或从 Visual Studio 2015 及更高版本进行连接时，请更新安全设备以支持 TLS 1.2 及更高版本进行以下连接。

若要确保组织使用任何现有的防火墙或 IP 限制，请确保 dev.azure.com 并 *.dev.azure.com 处于打开状态。

以下部分包括支持登录和许可连接的最常见域 URL。

https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that. 
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net

以下终结点用于使用 Microsoft 帐户（MSA）对 Azure DevOps 组织进行身份验证。 这些终结点仅适用于由 Microsoft 帐户（MSA）支持的 Azure DevOps 组织。 Azure DevOps 组织支持 Microsoft Entra 租户不需要以下 URL。

https://live.com 
https://login.live.com 

如果要使用数据迁移工具从 Azure DevOps 服务器迁移到云服务，则需要以下 URL。

https://dataimport.dev.azure.com

注意

Azure DevOps 使用 内容分发网络（CDN）来提供静态内容。 中国用户还应将以下域 URL 添加到允许列表：

https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn

建议打开以下 IP 地址和域上所有流量的端口 443 。 我们还建议将端口 22 打开到较小子集的目标 IP 地址。

更多域 URL	说明
https://login.microsoftonline.com	身份验证和登录相关
https：//*.vssps.visualstudio.com	身份验证和登录相关
https：//*gallerycdn.vsassets.io	托管 Azure DevOps 扩展
https：//*vstmrblob.vsassets.io	托管 Azure DevOps TCM 日志数据
https://cdn.vsassets.io	托管 Azure DevOps 内容分发网络 （CDN） 内容
https://static2.sharepointonline.com	托管 Azure DevOps 在“office fabric”UI 工具包中用于字体等的一些资源
https://vsrm.dev.azure.com	主机版本
https://vstsagentpackage.azureedge.net	在网络中的计算机中设置自承载代理所必需的
https://amp.azure.net	部署到 Azure 应用服务所需的
https://go.microsoft.com	访问访问链接

Azure Artifacts

确保 Azure Artifacts 允许以下域 URL：

https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com

还允许“名称”：“存储”中的所有 IP 地址。以下文件的 {region}“部分（每周更新）： Azure IP 范围和服务标记 - 公有云。 {region} 与组织相同。

NuGet 连接

确保 NuGet 连接允许以下域 URL：

https://*azurewebsites.net
https://*.nuget.org

注意

上一个列表中可能不包含专用的 NuGet 服务器 URL。 可以通过打开 %APPData%\Nuget\NuGet.Config来检查正在使用的 NuGet 服务器。

SSH 连接

如果需要使用 SSH 连接到 Azure DevOps 上的 Git 存储库，请允许以下主机的端口 22 请求：

ssh.dev.azure.com
vs-ssh.visualstudio.com

此外，还允许此可下载文件的“name”：“AzureDevOps”部分的 IP 地址（已更新每周更新）命名：Azure IP 范围和服务标记 - 公有云

Azure Pipelines Microsoft托管代理

如果使用Microsoft托管代理来运行作业，并且需要有关使用哪些 IP 地址的信息，请参阅 Microsoft托管代理 IP 范围。 请参阅所有 Microsoft托管 DevOps 池 和 Azure 虚拟机规模集代理。

有关托管的 Windows、Linux 和 macOS 代理的详细信息，请参阅 Microsoft托管的代理 IP 范围。

Azure Pipelines 自承载代理

如果运行的是防火墙，并且代码位于 Azure Repos 中，请参阅 自承载 Linux 代理常见问题解答、 自承载 macOS 代理常见问题解答 或 自承载 Windows 代理常见问题解答。 本文包含有关专用代理需要与哪些域 URL 和 IP 地址通信的信息。

Azure DevOps 导入服务

在导入过程中，强烈建议将虚拟机（VM）的访问限制为仅从 Azure DevOps 访问 IP 地址。 若要限制访问，请仅允许来自集合数据库导入过程中涉及的 Azure DevOps IP 地址集的连接。 有关标识正确 IP 地址的信息，请参阅 （可选）仅限制对 Azure DevOps Services IP 的访问。

注意

Azure DevOps 本身不支持直接在其设置中列出允许列表。 但是，可以使用组织的防火墙或代理设置管理网络级别的允许列表。

相关文章

• 可用的服务标记
• Microsoft托管代理 IP 地址范围
• 自托管 Windows 代理常见问题解答
• 配置 Azure 存储防火墙和虚拟网络
• 在防火墙或代理服务器后面安装和使用 Visual Studio