Допустимые IP-адреса и URL-адреса доменов

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Если ваша организация защищена брандмауэром или прокси-сервером, необходимо добавить в список разрешений определенные IP-адреса и универсальные url-адреса домена. Добавление этих IP-адресов и URL-адресов в список разрешений помогает убедиться, что у вас есть лучший опыт работы с Azure DevOps. Вы знаете, что необходимо обновить список разрешений, если вы не можете получить доступ к Azure DevOps в сети. См. следующие разделы в этой статье:

Совет

Чтобы Visual Studio и службы Azure хорошо работали без проблем с сетью, откройте порты и протоколы. Дополнительные сведения см. в статье "Установка и использование Visual Studio за брандмауэром или прокси-сервером", использование Visual Studio и служб Azure.

IP-адреса и ограничения диапазона

Исходящие подключения

Исходящие подключения предназначены для других зависимых сайтов. Примеры таких подключений:

  • Браузеры, подключающиеся к веб-сайту Azure DevOps, по мере использования функций Azure DevOps
  • Агенты Azure Pipelines, установленные в сети организации, подключаются к Azure DevOps для опроса ожидающих заданий
  • События CI, отправленные из репозитория исходного кода, размещенного в сети организации в Azure DevOps

Убедитесь, что для исходящих подключений разрешены следующие IP-адреса, поэтому ваша организация работает с любыми существующими ограничениями брандмауэра или IP-адресов. Данные конечной точки на следующей диаграмме содержат требования к подключению с компьютера в организации к Azure DevOps Services.


13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24

Если вы в настоящее время разрешаете 13.107.6.183 и 13.107.9.183 IP-адреса, оставьте их на месте, так как их не нужно удалять.

Примечание.

Теги службы Azure не поддерживаются для исходящих подключений.

Входящие подключения

Входящие подключения происходят из Azure DevOps и целевых ресурсов в сети вашей организации. Примеры таких подключений:

Убедитесь, что для входящих подключений разрешены следующие IP-адреса, поэтому ваша организация работает с существующими ограничениями брандмауэра или IP-адресов. Данные конечной точки на следующей диаграмме содержат требования к подключению из Azure DevOps Services к локальным или другим облачным службам.

  Географический регион Область Диапазоны IP-адресов V4
Австралия Восточная Австралия 20.37.194.0/24
Юго-восточная часть Австралии 20.42.226.0/24
Бразилия Южная Бразилия 191.235.226.0/24
Канада Центральная Канада 52.228.82.0/24
Азиатско-Тихоокеанский регион Юго-Восточная Азия (Сингапур) 20.195.68.0/24
Индия Индия (юг) 20.41.194.0/24
Центральная Индия 20.204.197.192/26
Соединенные Штаты Центральная США 20.37.158.0/23
Западная центральная США 52.150.138.0/24
Восточная США 20.42.5.0/24
Восточная 2 США 20.41.6.0/23
Северная США 40.80.187.0/24
Южная США 40.119.10.0/24
Западная США 40.82.252.0/24
Западная 2 США 20.42.134.0/23
Западная 3 США 20.125.155.0/24
Европа Западная Европа 40.74.28.0/23
Северная Европа 20.166.41.0/24
Соединенное Королевство Соединенное Королевство (юг) 51.104.26.0/24

Теги службы Azure поддерживаются только для входящих подключений. Вместо разрешения ранее перечисленных диапазонов IP-адресов можно использовать тег службы AzureDevOps для Брандмауэр Azure и группы безопасности сети (NSG) или локального брандмауэра через скачивание JSON-файла.

Примечание.

Тег службы или ранее упомянутые входящие IP-адреса не применяются к размещенным агентам Майкрософт. Клиентам по-прежнему требуется разрешить всю географию для размещенных агентов Майкрософт. Если разрешение всей географической области является проблемой, рекомендуется использовать агенты масштабируемого набора виртуальных машин Azure. Агенты масштабируемого набора — это форма локальных агентов, которые можно автоматически масштабировать для удовлетворения ваших требований.
Размещенные агенты macOS размещаются в облаке macOS GitHub. Диапазоны IP-адресов можно получить с помощью API метаданных GitHub, используя приведенные здесь инструкции.

Другие IP-адреса

Большинство следующих IP-адресов относятся к Microsoft 365 Common и Office Online.


40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32

Дополнительные сведения см. в разделе "Глобальные конечные точки" и "Добавление правил IP-адресов".

Подключения ExpressRoute к Azure DevOps

Если в организации используется ExpressRoute, убедитесь, что для исходящих и входящих подключений разрешены следующие IP-адреса.

13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32

Дополнительные сведения о Azure DevOps и ExpressRoute см. в статье ExpressRoute для Azure DevOps.

URL-адреса разрешенного домена

Проблемы с сетевым подключением могут возникнуть из-за устройств безопасности, которые могут блокировать подключения. Visual Studio использует TLS 1.2 и более поздних версий. При использовании NuGet или подключении из Visual Studio 2015 и более поздних версий обновите устройства безопасности для поддержки TLS 1.2 и более поздних версий для следующих подключений.

Чтобы обеспечить работу организации с существующими ограничениями брандмауэра или IP-адресов, убедитесь, что dev.azure.com и *.dev.azure.com открыты.

В следующем разделе содержатся наиболее распространенные URL-адреса домена для поддержки подключений к входу и лицензированию.


https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that. 
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net

Следующие конечные точки используются для проверки подлинности организаций Azure DevOps с помощью учетной записи Майкрософт (MSA). Эти конечные точки необходимы только для организаций Azure DevOps, поддерживаемых учетными записями Майкрософт (MSA). Организациям Azure DevOps, поддерживаемым клиентом Microsoft Entra, не нужны следующие URL-адреса.

https://live.com 
https://login.live.com 

Следующий URL-адрес необходим, если вы переносите с сервера Azure DevOps в облачную службу с помощью нашего средства миграции данных.

https://dataimport.dev.azure.com

Примечание.

Azure DevOps использует сеть доставки содержимого (CDN) для обслуживания статического содержимого. Пользователи в Китае также должны добавить следующие URL-адреса домена в список разрешений:

https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn

Мы рекомендуем открыть порт 443 для всего трафика на следующих IP-адресах и доменах. Мы также рекомендуем открыть порт 22 для меньшего подмножества целевых IP-адресов.

Дополнительные URL-адреса домена Descriptions
https://login.microsoftonline.com Проверка подлинности и вход, связанные с
https://*.vssps.visualstudio.com Проверка подлинности и вход, связанные с
https://*gallerycdn.vsassets.io Размещение расширений Azure DevOps
https://*vstmrblob.vsassets.io Размещение данных журнала Azure DevOps TCM
https://cdn.vsassets.io Содержит содержимое azure DevOps сеть доставки содержимого (CDN)
https://static2.sharepointonline.com Размещает некоторые ресурсы, которые Azure DevOps использует в наборе пользовательского интерфейса Office Fabric для шрифтов и т. д.
https://vsrm.dev.azure.com Выпуски узлов
https://vstsagentpackage.azureedge.net Требуется для настройки локального агента на компьютерах в сети
https://amp.azure.net Требуется для развертывания в службе приложений Azure
https://go.microsoft.com Доступ к ссылкам для go

Azure Artifacts

Убедитесь, что для артефактов Azure разрешены следующие URL-адреса домена:

https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com

Кроме того, разрешать все IP-адреса в имени: "Хранилище". Раздел {region}" следующего файла (обновляется еженедельно): диапазоны IP-адресов Azure и теги служб — общедоступное облако. {region} — это та же география Azure, что и ваша организация.

Подключения NuGet

Убедитесь, что для подключений NuGet разрешены следующие URL-адреса домена:

https://azurewebsites.net
https://*.nuget.org

Примечание.

URL-адреса сервера NuGet, принадлежащие частному, могут не включаться в предыдущий список. Вы можете проверить серверы NuGet, которые вы используете, открыв.%APPData%\Nuget\NuGet.Config

SSL-подключения

Если вам нужно подключиться к репозиториям Git в Azure DevOps с помощью SSH, разрешите запросы на порт 22 для следующих узлов:


ssh.dev.azure.com
vs-ssh.visualstudio.com

Кроме того, разрешайте IP-адреса в разделе "Name": "AzureDevOps" этого скачиваемого файла (обновлен еженедельно) с именем: диапазоны IP-адресов Azure и теги службы — общедоступное облако

Агенты, размещенные корпорацией Майкрософт, Azure Pipelines

Если вы используете размещенный корпорацией Майкрософт агент для выполнения заданий и вам потребуется информация о том, какие IP-адреса используются, см . диапазоны IP-адресов, размещенных корпорацией Майкрософт. См. все агенты масштабируемого набора виртуальных машин Azure.

Дополнительные сведения о размещенных агентах Windows, Linux и macOS см . в диапазонах IP-адресов, размещенных в Майкрософт.

Локальные агенты Azure Pipelines

Если вы используете брандмауэр и ваш код находится в Azure Repos, ознакомьтесь с часто задаваемыми вопросами об локальном размещении агентов Linux, часто задаваемыми вопросами об локальном размещении агентов macOS или локальными агентами Windows. В этой статье содержатся сведения о url-адресах домена и IP-адресах, с которыми должен взаимодействовать частный агент.

Служба импорта Azure DevOps

Во время импорта настоятельно рекомендуется ограничить доступ к виртуальной машине только НА IP-адреса из Azure DevOps. Чтобы ограничить доступ, разрешайте только подключения из набора IP-адресов Azure DevOps, которые были вовлечены в процесс импорта базы данных коллекции. Сведения об определении правильных IP-адресов см. в разделе (Необязательно) Ограничение доступа только к IP-адресам Azure DevOps Services.

Примечание.

Azure DevOps изначально не поддерживает списки разрешений непосредственно в его параметрах. Однако вы можете управлять списком разрешений на уровне сети с помощью параметров брандмауэра или прокси-сервера организации.