允許的IP位址和網域URL
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
如果您的組織受到防火牆或 Proxy 伺服器保護,您必須將特定因特網通訊協定 (IP) 位址和網域統一資源定位器 (URL) 新增至 允許清單。 將這些IP和URL新增至allowlist有助於確保您擁有 Azure DevOps 的最佳體驗。 如果您無法存取網路上的 Azure DevOps,您必須更新允許清單。 請參閱本文中的下列各節:
提示
因此,Visual Studio 和 Azure 服務在沒有任何網路問題時運作良好,請開啟選取埠和通訊協定。 如需詳細資訊,請參閱 在防火牆或 Proxy 伺服器後方安裝和使用 Visual Studio、使用 Visual Studio 和 Azure 服務。
IP 位址和範圍限制
輸出連線
輸出連線 以其他相依網站為目標。 這類連線的範例包括:
- 當使用者移至 Azure DevOps 並使用 Azure DevOps 的功能時,連線到 Azure DevOps 網站的瀏覽器
- 安裝在您組織網路上的 Azure Pipelines 代理程式連線到 Azure DevOps,以輪詢擱置中的作業
- 從您組織網路內裝載的原始程式碼存放庫傳送至 Azure DevOps 的 CI 事件
請確定輸出連線允許下列IP位址,因此您的組織可與任何現有的防火牆或IP限制搭配使用。 下圖中的端點數據會列出從您組織中的計算機連線到 Azure DevOps Services 的需求。
如果您目前允許 13.107.6.183
和 13.107.9.183
IP位址,請保留它們,因為您不需要將其移除。
輸入連線
輸入連線 源自 Azure DevOps,並鎖定組織網路內的資源。 這類連線的範例包括:
- 聯機至服務攔截端點的 Azure DevOps Services
- 線上至客戶控制的 SQL Azure VM 以進行數據匯入的 Azure DevOps Services
- 聯機到內部部署原始程式碼存放庫的 Azure Pipelines,例如 GitHub Enterprise 或 Bitbucket 伺服器
- 聯機到內部部署或雲端式 Splunk 的 Azure DevOps Services 稽核串流
請確定允許下列IP位址進行輸入連線,因此您的組織可與任何現有的防火牆或IP限制搭配使用。 下圖中的端點數據列出從 Azure DevOps Services 到內部部署或其他雲端服務連線的需求。
地理位置 | 區域 | IP V4 範圍 |
---|---|---|
澳大利亞 | 澳大利亞東部 | 20.37.194.0/24 |
澳大利亞東南部 | 20.42.226.0/24 | |
巴西 | 巴西南部 | 191.235.226.0/24 |
加拿大 | 加拿大中部 | 52.228.82.0/24 |
亞太地區 | 東南亞 (新加坡) | 20.195.68.0/24 |
印度 | 印度南部 | 20.41.194.0/24 |
印度中部 | 20.204.197.192/26 | |
美國 | 中央 美國 | 20.37.158.0/23 |
中西部 美國 | 52.150.138.0/24 | |
東 美國 | 20.42.5.0/24 | |
東 2 美國 | 20.41.6.0/23 | |
北 美國 | 40.80.187.0/24 | |
南 美國 | 40.119.10.0/24 | |
西 美國 | 40.82.252.0/24 | |
西部 2 美國 | 20.42.134.0/23 | |
西部 3 美國 | 20.125.155.0/24 | |
歐洲 | 西歐 | 40.74.28.0/23 |
北歐 | 20.166.41.0/24 | |
英國 | 英國南部 | 51.104.26.0/24 |
只有 輸入 連線才支援 Azure 服務標籤。 您可以透過 JSON 檔案下載,使用 AzureDevOps 服務標籤來 Azure 防火牆 和網路安全組 (NSG) 或內部部署防火牆,而不是允許先前列出的 IP 範圍。
注意
服務標籤或先前提及的輸入IP位址不適用於Microsoft裝載的代理程式。 客戶仍然需要允許 Microsoft託管代理程序的整個地理位置。 如果允許整個地理位置是一個考慮,建議您使用 Azure 虛擬機擴展集代理程式。 擴展集代理程式是一種自我裝載代理程式的形式,可自動調整以符合您的需求。
託管的 macOS 代理程式裝載於 GitHub 的 macOS 雲端中。 您可以使用此處提供的指示,使用 GitHub 元數據 API 來擷取 IP 範圍。
其他IP位址
下列大部分 IP 位址都與 Microsoft 365 Common and Office Online 有關。
40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32
Azure DevOps ExpressRoute 連線
如果您的組織使用 ExpressRoute,請確定輸出和輸入連線都允許下列 IP 位址。
13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
如需 Azure DevOps 和 ExpressRoute 的詳細資訊,請參閱 適用於 Azure DevOps 的 ExpressRoute。
允許的網域 URL
網路連線問題可能會因為您的安全性設備而發生,這可能會封鎖連線 - Visual Studio 使用 TLS 1.2 和更新版本。 當您使用 NuGet 或從 Visual Studio 2015 和更新版本連線時,請更新安全性設備以支援 TLS 1.2 和更新版本以進行下列連線。
若要確保您的組織可搭配任何現有的防火牆或IP限制運作,請確定 dev.azure.com
和 *.dev.azure.com
已開啟。
下一節包含支援登入和授權連線的最常見網域 URL。
https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that.
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net
下列端點可用來使用Microsoft帳戶 (MSA) 來驗證 Azure DevOps 組織。 這些端點僅適用於由 Microsoft 帳戶 (MSA) 支援的 Azure DevOps 組織。 Azure DevOps 組織支援 Microsoft Entra 租使用者不需要下列 URL。
https://live.com
https://login.live.com
如果您要使用我們的數據遷移工具,從 Azure DevOps 伺服器移轉至雲端服務,則需要下列 URL。
https://dataimport.dev.azure.com
注意
Azure DevOps 會使用 內容傳遞網路 (CDN) 來提供靜態內容。 中國的使用者也應該將下列網域 URL 新增至允許清單:
https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn
建議您開啟下列IP位址和網域上所有流量的埠 443
。 我們也建議您將埠 22
開啟至較小的目標 IP 位址子集。
其他網域 URL | Description |
---|---|
https://login.microsoftonline.com | 驗證和登入相關 |
https://*.vssps.visualstudio.com | 驗證和登入相關 |
https://*gallerycdn.vsassets.io | 裝載 Azure DevOps 擴充功能 |
https://*vstmrblob.vsassets.io | 裝載 Azure DevOps TCM 記錄數據 |
https://cdn.vsassets.io | 裝載 Azure DevOps 內容傳遞網路 (CDN) 內容 |
https://static2.sharepointonline.com | 裝載 Azure DevOps 在 「office Fabric」UI 套件中用於字型等的一些資源 |
https://vsrm.dev.azure.com | 主機版本 |
https://vstsagentpackage.azureedge.net | 在網路內的機器中設定自我裝載代理程式的必要專案 |
https://amp.azure.net | 部署至 Azure App Service 所需的專案 |
https://go.microsoft.com | 存取 go 連結 |
Azure Artifacts
確定 Azure Artifacts 允許下列網域 URL:
https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com
也允許 「name」 : “Storage” 中的所有 IP 位址。下列檔案的 {region}“ 區段(每周更新): Azure IP 範圍和服務標籤 - 公用雲端。 {region} 與您的組織相同。
NuGet 連線
確定 NuGet 連線允許下列網域 URL:
https://azurewebsites.net
https://*.nuget.org
注意
私人擁有的 NuGet 伺服器 URL 可能不會包含在上一個清單中。 您可以開啟 %APPData%\Nuget\NuGet.Config
來檢查您使用的 NuGet 伺服器。
SSL 連線
如果您需要使用 SSH 連線到 Azure DevOps 上的 Git 存放庫,請針對下列主機允許埠 22 的要求:
ssh.dev.azure.com
vs-ssh.visualstudio.com
也允許此可下載檔案的 「name」 : “AzureDevOps” 區段中的 IP 位址,名為:Azure IP 範圍和服務卷標 - 公用雲端
Azure Pipelines Microsoft裝載的代理程式
如果您使用Microsoft裝載的代理程式來執行作業,而且您需要使用哪些IP位址的相關信息,請參閱 Microsoft裝載的代理程式IP範圍。 請參閱所有 Azure 虛擬機擴展集代理程式。
如需裝載 Windows、Linux 和 macOS 代理程式的詳細資訊,請參閱 Microsoft裝載的代理程式 IP 範圍。
Azure Pipelines 自我裝載代理程式
如果您正在執行防火牆,且您的程式代碼位於 Azure Repos 中,請參閱 自我裝載 Linux 代理程式常見問題、 自我裝載 macOS 代理程式常見問題 或 自我裝載 Windows 代理程式常見問題。 本文提供私人代理程式需要與哪些網域 URL 和 IP 位址通訊的相關信息。
Azure DevOps 匯入服務
在匯入程式期間,強烈建議您將虛擬機 (VM) 的存取限制為僅限來自 Azure DevOps 的 IP 位址。 若要限制存取,請只允許來自集合資料庫匯入程式之一組 Azure DevOps IP 位址的連線。 如需識別正確IP位址的相關信息,請參閱 (選擇性)僅限制對 Azure DevOps Services IP 的存取。
注意
Azure DevOps 原本就不支援直接在其設定內列出允許清單。 不過,您可以使用組織的防火牆或 Proxy 設定來管理網路層級的允許清單。