允许的 IP 地址和域 URL
Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018
如果组织使用防火墙或代理服务器进行保护,则必须将某些 Internet 协议 (IP) 地址和域统一资源定位符 (URL) 添加到 允许列表。 将这些 IP 和 URL 添加到允许列表有助于确保获得Azure DevOps的最佳体验。 你知道,如果无法访问网络上的Azure DevOps,则需要更新允许列表。 请参阅本文中的以下部分:
提示
因此,Visual Studio和 Azure 服务在没有任何网络问题的情况下运行良好,应打开选择端口和协议。 有关详细信息,请参阅防火墙或代理服务器后面的安装和使用Visual Studio,使用Visual Studio和 Azure 服务。
要允许的域 URL
可能会出现网络连接问题,因为安全设备可能会阻止连接 - Visual Studio使用 TLS 1.2 及更高版本。 使用 NuGet 或从 Visual Studio 2015 及更高版本进行连接时,请更新安全设备以支持 TLS 1.2 及更高版本进行以下连接。
若要确保组织适用于任何现有的防火墙或 IP 限制,请确保 dev.azure.com 并 *.dev.azure.com 处于打开状态。
以下部分包括用于支持登录和许可连接的最常见域 URL。
https://*.dev.azure.com
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://*vstmrblob.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://amcdn.msftauth.net
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://azurecomcdn.azureedge.net
https://cdn.vsassets.io
https://dev.azure.com
https://go.microsoft.com
https://graph.microsoft.com
https://live.com
https://login.live.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://app.vssps.visualstudio.com
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
各种域 URL 说明
- https://*gallerycdn.vsassets.io:主机Azure DevOps扩展
- https://*vstmrblob.vsassets.io:主机Azure DevOps TCM 日志数据
- https://cdn.vsassets.io:托管Azure DevOps内容分发网络 (CDN) 内容
- https://static2.sharepointonline.com:托管一些资源,Azure DevOps用于字体的“office fabric”UI 工具包等
- https://vsrm.dev.azure.com: 主机包源
建议打开这些 IP 地址和域上所有流量的端口 443 。 我们还建议将端口 22 打开到较小的目标 IP 地址子集。
注意
Azure DevOps使用内容分发网络 (CDN) 来提供静态内容。 中国用户还应将以下域 URL 添加到允许列表:
https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn
更多域 URL
Azure Artifacts
确保允许以下域 URL 进行Azure Artifacts:
https://*.blob.core.windows.net
https://*.visualstudio.com
还允许“name”:“存储.{ 中的所有 IP 地址以下文件的 region}“部分 (每周更新) :Azure IP 范围和服务标记 - 公有云。 {region} 与组织相同。
NuGet 连接
确保允许以下域 URL 进行NuGet连接:
https://azurewebsites.net
https://nuget.org
注意
上一个列表中可能不包含专用NuGet服务器 URL。 可以通过打开%APPData%\Nuget\NuGet.Config来检查所使用的NuGet服务器。
SSH 连接
如果需要使用 SSH 连接到 Azure DevOps 上的 Git 存储库,请允许对以下主机的端口 22 的请求:
ssh.dev.azure.com
vs-ssh.visualstudio.com
此外,允许 此可下载文件的 “名称”:“AzureDevOps”部分中的 IP 地址 (每周更新) 名为: Azure IP 范围和服务标记 - 公有云
Azure Pipelines Microsoft 托管的代理
如果使用 Microsoft 托管代理来运行作业,并且需要有关使用哪些 IP 地址的信息,请参阅 Microsoft 托管的代理 IP 范围。 查看所有 Azure 虚拟机规模集代理。
有关托管Windows、Linux 和 macOS 代理的详细信息,请参阅 Microsoft 托管的代理 IP 范围。
Azure Pipelines自承载代理
如果运行的是防火墙,并且代码位于Azure Repos中,请参阅自承载 Linux 代理常见问题解答、自承载 macOS 代理常见问题解答或自承载Windows代理常见问题解答。 本文包含有关专用代理需要与哪些域 URL 和 IP 地址通信的信息。
IP 地址和范围限制
出站连接
出站连接源自组织内部,目标为Azure DevOps或其他依赖站点。 此类连接的示例包括:
- 当用户转到并使用Azure DevOps的功能时连接到Azure DevOps网站的浏览器
- 在连接到Azure DevOps的组织网络中安装的Azure Pipelines代理轮询挂起的作业
- 从托管在组织网络内的源代码存储库发送到 Azure DevOps
确保允许以下 IP 地址进行出站连接,因此组织可以使用任何现有的防火墙或 IP 限制。 以下图表中的终结点数据列出了从组织中的计算机到Azure DevOps Services的连接要求。
如果当前允许 13.107.6.183 和 13.107.9.183 IP 地址,请保留这些地址,因为无需删除它们。
注意
出站连接不支持 Azure 服务标记。
入站连接
入站连接源自组织的网络中Azure DevOps和目标资源。 此类连接的示例包括:
- Azure DevOps Services连接到服务挂钩的终结点
- Azure DevOps Services连接到客户控制的SQL Azure VM 进行数据导入
- Azure Pipelines连接到本地源代码存储库,例如GitHub Enterprise或 Bitbucket 服务器
- Azure DevOps Services审核流式处理连接到本地或基于云的 Splunk
确保允许以下 IP 地址进行入站连接,因此组织可以使用任何现有的防火墙或 IP 限制。 下图中的终结点数据列出了从Azure DevOps Services到本地或其他云服务的连接要求。
| 区域 | IP V4 范围 |
|---|---|
| 澳大利亚东部 | 20.37.194.0/24 |
| 澳大利亚东南部 | 20.42.226.0/24 |
| 巴西南部 | 191.235.226.0/24 |
| 加拿大中部 | 52.228.82.0/24 |
| 亚太(新加坡) | 20.195.68.0/24 |
| 印度南部 | 20.41.194.0/24 |
| 中央美国 | 20.37.158.0/23 |
| 中西部美国 | 52.150.138.0/24 |
| 东部美国 | 20.42.5.0/24 |
| 东部 2 美国 | 20.41.6.0/23 |
| 北美国 | 40.80.187.0/24 |
| 南美国 | 40.119.10.0/24 |
| 西美国 | 40.82.252.0/24 |
| 西 2 美国 | 20.42.134.0/23 |
| 欧洲西部 | 40.74.28.0/23 |
| 英国南部 | 51.104.26.0/24 |
入站连接支持 Azure 服务标记。 可以使用 AzureDevOps 服务标记Azure 防火墙和网络安全组 (NSG) 或本地防火墙,而不是允许之前列出的 IP 范围。
注意
服务标记或前面提到的入站 IP 地址不适用于 Microsoft 托管代理。 客户仍需要允许 Microsoft 托管代理的整个地理位置。 如果允许整个地理位置是一个问题,我们建议使用 Azure 虚拟机规模集代理。 规模集代理是一种自承载代理形式,可以自动缩放以满足需求。
托管的 macOS 代理托管在 GitHub 的 macOS 云中。 可以使用此处提供的说明使用GitHub元数据 API 检索 IP 范围。
其他 IP 地址
以下大多数 IP 地址都与 Microsoft 365 Common 和 Office Online 相关。
40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32
有关详细信息,请参阅“全球终结点”和“添加 IP 地址规则”。
Azure DevOps ExpressRoute 连接
如果组织使用 ExpressRoute,请确保出站连接和入站连接都允许以下 IP 地址。
13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
有关 Azure DevOps 和 ExpressRoute 的详细信息,请参阅 ExpressRoute for Azure DevOps。
Azure DevOps导入服务
在导入过程中,强烈建议将虚拟机的访问限制为仅从Azure DevOps访问虚拟机 (VM) 。 若要限制访问,请仅允许来自集合数据库导入过程中涉及的Azure DevOps IP 地址集的连接。 有关标识正确 IP 地址的信息,请参阅 (可选) 仅限制对 Azure DevOps Services IP 的访问。