Menyambungkan ke Microsoft Azure

| Layanan Azure DevOps | Azure DevOps Server 2020 Azure DevOps Server 2019 | TFS 2018

Catatan

Di Microsoft Team Foundation Server (TFS) 2018 dan versi sebelumnya, alur build dan rilis disebut definisi, eksekusi disebut build, koneksi layanan disebut titik akhir layanan, tahapan disebut lingkungan, dan pekerjaan disebut fase.

Untuk menyebarkan aplikasi Anda ke sumber daya Azure (ke layanan aplikasi atau ke komputer virtual), Anda memerlukan koneksi layanan Azure Resource Manager.

Untuk jenis koneksi lainnya, dan informasi umum tentang membuat dan menggunakan koneksi, lihat Koneksi layanan untuk build dan rilis.

Membuat koneksi layanan Azure Resource Manager menggunakan keamanan otomatis

Kami merekomendasikan pendekatan sederhana ini jika:

• Anda masuk sebagai pemilik organisasi Azure Pipelines dan langganan Azure.
• Anda tidak perlu membatasi lebih lanjut izin untuk sumber daya Azure yang diakses melalui koneksi layanan.
• Anda tidak tersambung ke Azure Stack atau Azure Government Cloud.
• Anda tidak tersambung dari Azure DevOps Server 2019 atau versi TFS yang lebih lama

1. Di Azure DevOps, buka halaman Koneksi layanan dari halaman pengaturan proyek. Di TFS, buka halaman Layanan dari ikon "pengaturan" di bilah menu atas.

2. Pilih + Koneksi layanan baru dan pilih Azure Resource Manager.

   

3. Tentukan parameter berikut.

   Parameter	Deskripsi
   Nama Koneksi	Wajib diisi. Nama yang akan Anda gunakan untuk merujuk ke koneksi layanan ini di properti tugas. Ini bukan nama langganan Azure Anda.
   Tingkat cakupan	Pilih Langganan atau Grup Manajemen. Grup manajemen adalah kontainer yang membantu Anda mengelola akses, kebijakan, dan kepatuhan di beberapa langganan.
   Langganan	Jika Anda memilih Langganan untuk cakupan, pilih langganan Azure yang sudah ada. Jika Anda tidak melihat langganan atau instans Azure apa pun, lihat Memecahkan masalah koneksi layanan Azure Resource Manager.
   Grup Manajemen	Jika Anda memilih Grup Manajemen untuk cakupan, pilih grup manajemen Azure yang sudah ada. Lihat Membuat grup manajemen.
   Grup Sumber Daya	Biarkan kosong untuk mengizinkan pengguna mengakses semua sumber daya yang ditentukan dalam langganan, atau pilih grup sumber daya yang ingin Anda batasi akses penggunanya (pengguna hanya akan dapat mengakses sumber daya yang ditentukan dalam grup tersebut).

4. Setelah koneksi layanan baru dibuat:

   • Jika Anda menggunakan editor klasik, pilih nama koneksi yang Anda tetapkan di pengaturan langganan Azure alur Anda.
   • Jika Anda menggunakan YAML, salin nama koneksi ke dalam kode Anda sebagai azureSubscription nilai .

5. Untuk menyebarkan ke sumber daya Azure tertentu, tugas akan memerlukan data tambahan tentang sumber daya tersebut.

   • Jika Anda menggunakan editor klasik, pilih data yang Anda butuhkan. Misalnya, nama App Service.
   • Jika Anda menggunakan YAML, buka sumber daya di portal Microsoft Azure, lalu salin data ke dalam kode Anda. Misalnya, untuk menyebarkan aplikasi web, Anda akan menyalin nama App Service ke WebAppName dalam nilai .

Catatan

Saat Anda mengikuti pendekatan ini, Azure DevOps terhubung dengan Azure Active Directory (Azure AD) dan membuat pendaftaran aplikasi dengan rahasia yang berlaku selama dua tahun. Saat koneksi layanan hampir dua tahun, Azure ACTIVE Directory menampilkan perintah ini: Sertifikat atau rahasia akan segera kedaluwarsa. Buat yang baru. Dalam skenario ini, Anda harus menyegarkan koneksi layanan.

Untuk me-refresh koneksi layanan, di portal Azure DevOps, edit koneksi dan pilih Verifikasi. Setelah Anda menyimpan pengeditan, koneksi layanan berlaku selama dua tahun lagi.

Lihat juga: Memecahkan masalah koneksi layanan Azure Resource Manager.

Jika Anda mengalami masalah saat menggunakan pendekatan ini (seperti tidak ada langganan yang ditampilkan di daftar drop-down), atau jika Anda ingin membatasi izin pengguna lebih lanjut, Anda dapat menggunakan perwakilan layanan atau VM dengan identitas layanan terkelola.

Membuat koneksi layanan Azure Resource Manager dengan perwakilan layanan yang ada

1. Jika Anda ingin menggunakan sekumpulan izin akses yang telah ditentukan sebelumnya, dan Anda belum memiliki perwakilan layanan yang sesuai yang ditentukan, ikuti salah satu tutorial ini untuk membuat perwakilan layanan baru:

   • Menggunakan portal untuk membuat aplikasi Azure Active Directory dan perwakilan layanan yang dapat mengakses sumber daya
   • Menggunakan Azure PowerShell untuk membuat perwakilan layanan Azure dengan sertifikat

2. Di Azure DevOps, buka halaman Koneksi layanan dari halaman pengaturan proyek. Di TFS, buka halaman Layanan dari ikon "pengaturan" di bilah menu atas.

3. Pilih + Koneksi layanan baru dan pilih Azure Resource Manager.

   

4. Pilih opsi Perwakilan Layanan (manual) dan masukkan detail Perwakilan Layanan.

   

5. Masukkan nama Koneksi yang mudah digunakan ketika merujuk ke koneksi layanan ini.

6. Pilih Nama lingkungan (seperti Azure Cloud, Azure Stack, atau Azure Government Cloud).

7. Jika Anda tidak memilih Azure Cloud, masukkan URL Lingkungan. Untuk Azure Stack, ini akan menjadi sesuatu seperti https://management.local.azurestack.external

8. Pilih tingkat Cakupan yang Anda butuhkan:

   • Jika Anda memilih Langganan, pilih langganan Azure yang sudah ada. Jika Anda tidak melihat langganan atau instans Azure apa pun, lihat Memecahkan masalah koneksi layanan Azure Resource Manager. |
   • Jika Anda memilih Grup Manajemen, pilih grup manajemen Azure yang sudah ada. Lihat Membuat grup manajemen. |

9. Masukkan informasi tentang perwakilan layanan Anda ke dalam kotak teks dialog langganan Azure:

   • ID Langganan
   • Nama langganan
   • ID perwakilan layanan
   • Baik kunci klien perwakilan layanan atau, jika Anda telah memilih Sertifikat, masukkan konten bagian sertifikat dan kunci privat dari file *.pem.
   • ID Penyewa

   Anda dapat memperoleh informasi ini jika Anda tidak memilikinya dengan mengunduh dan menjalankan skrip PowerShell ini di jendela Azure PowerShell. Saat diminta, masukkan nama langganan, kata sandi, peran (opsional), dan jenis cloud seperti Azure Cloud (default), Azure Stack, atau Azure Government Cloud.

10. Pilih Verifikasi koneksi untuk memvalidasi pengaturan yang Anda masukkan.

11. Setelah koneksi layanan baru dibuat:

    • Jika Anda menggunakannya di UI, pilih nama koneksi yang Anda tetapkan di pengaturan langganan Azure dari alur Anda.
    • Jika Anda menggunakannya di YAML, salin nama koneksi ke dalam kode Anda sebagai nilai azureSubscription .

12. Jika diperlukan, ubah perwakilan layanan untuk mengekspos izin yang sesuai. Untuk detail selengkapnya, lihat Menggunakan Role-Based Access Control untuk mengelola akses ke sumber daya langganan Azure Anda. Posting blog ini juga berisi informasi selengkapnya tentang menggunakan autentikasi perwakilan layanan.

Lihat juga: Memecahkan masalah koneksi layanan Azure Resource Manager.

Membuat koneksi layanan Azure Resource Manager ke VM dengan identitas layanan terkelola

Catatan

Anda diharuskan menggunakan agen yang dihost sendiri di Azure VM untuk menggunakan identitas layanan terkelola

Anda dapat mengonfigurasi agen berbasis Azure Virtual Machines (VM) dengan Azure Managed Service Identity di Azure Active Directory (Azure AD). Ini memungkinkan Anda menggunakan identitas yang ditetapkan sistem (Perwakilan Layanan) untuk memberikan akses agen berbasis Azure VM ke sumber daya Azure apa pun yang mendukung Azure AD, seperti Key Vault, alih-alih menyimpan kredensial di Azure DevOps untuk koneksi.

1. Di Azure DevOps, buka halaman Koneksi layanan dari halaman pengaturan proyek. Di TFS, buka halaman Layanan dari ikon "pengaturan" di bilah menu atas.

2. Pilih + Koneksi layanan baru dan pilih Azure Resource Manager.

   

3. Pilih opsi Autentikasi Identitas Terkelola .

   

4. Masukkan nama Koneksi yang mudah digunakan ketika merujuk ke koneksi layanan ini.

5. Pilih Nama lingkungan (seperti Azure Cloud, Azure Stack, atau Azure Government Cloud).

6. Masukkan nilai untuk langganan Anda ke dalam bidang dialog koneksi ini:

   • ID Langganan
   • Nama langganan
   • ID Penyewa

7. Setelah koneksi layanan baru dibuat:

   • Jika Anda menggunakannya di UI, pilih nama koneksi yang Anda tetapkan di pengaturan langganan Azure dari alur Anda.
   • Jika Anda menggunakannya di YAML, salin nama koneksi ke dalam kode Anda sebagai nilai azureSubscription .

8. Pastikan bahwa VM (agen) memiliki izin yang sesuai. Misalnya, jika kode Anda perlu memanggil Azure Resource Manager, tetapkan peran VM yang sesuai menggunakan Role-Based Access Control (RBAC) di Azure AD. Untuk detail selengkapnya, lihat Bagaimana cara menggunakan identitas terkelola untuk sumber daya Azure? dan Menggunakan Role-Based Access Control untuk mengelola akses ke sumber daya langganan Azure Anda.

Lihat juga: Memecahkan masalah koneksi layanan Azure Resource Manager.

Menyambungkan ke Azure Government Cloud

Untuk informasi tentang menyambungkan ke Azure Government Cloud, lihat:

• Menyambungkan dari Azure Pipelines (Azure Government Cloud)

Sambungkan ke Azure Stack

Untuk informasi tentang menyambungkan ke Azure Stack, lihat:

• Sambungkan ke Azure Stack
• Menyambungkan Azure Stack ke Azure menggunakan VPN
• Menyambungkan Azure Stack ke Azure menggunakan ExpressRoute

Bantuan dan dukungan

• Lihat halaman pemecahan masalah kami
• Dapatkan saran tentang Stack Overflow, dan jangan ragu untuk memposting pertanyaan Anda, mencari jawaban, atau menyarankan fitur di Komunitas Pengembang Azure DevOps kami. Halaman dukungan .