Azure DevOps Services IP のみにアクセスを制限する

Azure Storage アカウントへのアクセスは、Azure DevOps Servicesからの IP のみに制限することを強くお勧めします。 アクセスを制限できるのは、コレクション データベースのインポート プロセスに関係Azure DevOps Services IP からの接続のみです。 ストレージ アカウントへのアクセス権を付与する必要がある IP は、インポート先のリージョンによって異なります。

オプション 1: サービス タグの使用

ポータルまたはプログラムを使用して、ネットワーク セキュリティ グループまたはファイアウォールにサービス タグを追加azuredevopsすることで、すべてのAzure DevOps Servicesリージョンからの接続を簡単に許可できます。

オプション 2: IpList の使用

コマンドをIpList使用して、特定のAzure DevOps Services リージョンからの接続を許可するためにアクセス権を付与する必要がある IP の一覧を取得します。

ヘルプ ドキュメントには、Azure DevOps Server インスタンス自体とリモート コンピューターから Migrator を実行するための手順と例が含まれています。 Azure DevOps Server インスタンスのいずれかのアプリケーション層からコマンドを実行している場合、コマンドの構造は次のようになります。

Migrator IpList /collection:{CollectionURI} /tenantDomainName:{name} /region:{region}

IP の一覧は、ポータルまたはプログラムを使用して、ネットワーク セキュリティ グループまたはファイアウォールに追加できます。

SQL Azureの IP ファイアウォール例外を構成する

Note

このセクションは、SQL Azureのファイアウォール例外の構成にのみ適用されます。 DACPAC のインポートについては、「Azure Storage ファイアウォールと仮想ネットワークの構成」を参照してください。

Note

データ移行ツールでは、ポート 1433 でのみ受信接続用にAzure DevOps Services IP を構成する必要があります。

必要な IP の例外の付与は、SQL Azure VM の Azure ネットワーク レイヤーで処理されます。 開始するには、Azure portal内のSQL Azure VM に移動します。 [設定] の [ネットワーク] を選択します。 IP に例外を付与するには、ネットワーク設定で [ 受信ポート規則の追加] を選択します。

[ 受信セキュリティ規則の追加 ] ウィンドウで、[ 詳細設定 ] を選択して、特定の IP の受信ポート規則を構成します。

[ ソース ] ドロップダウン リストで [ IP アドレス] を選択し、例外を許可する必要がある IP アドレスを入力し、[ 宛先ポートの範囲] を 1433 に設定し、[ 名前 ] ボックスに、構成する例外を最もよく表す名前を入力します。

構成されている他の受信ポート規則によっては、Azure DevOps Services例外の既定の優先順位を変更して、無視されないようにする必要がある場合があります。 たとえば、Azure DevOps Services例外よりも優先度が高い "1433 へのすべての受信接続で拒否" ルールがある場合、データ移行ツールはデータベースへの接続を正常に行うことができない可能性があります。

必要なすべてのAzure DevOps Services IP に例外が付与されるまで、受信ポート規則の追加を繰り返します。 IP が 1 つ見つからないと、インポートの開始に失敗する可能性があります。