允許的 IP 位址和網域 Url

Azure DevOps Services |Azure DevOps Server 2020 |Azure DevOps Server 2019 |TFS 2018-TFS 2015

如果您的組織使用防火牆或 proxy 伺服器保護,您必須將特定網際網路通訊協定新增 (IP) 位址和網域統一資源定位器 (Url) 允許清單。 將這些新增至允許清單有助於確保您有 Azure DevOps 的最佳體驗。 您知道如果您無法存取網路上的 Azure DevOps,就必須更新您的允許清單。 請參閱本文中的下列各節:

提示

因此 Visual Studio 和 Azure 服務都能正常運作,而不會有網路問題,您應該開啟 [選取埠和通訊協定]。 如需詳細資訊,請參閱在防火牆或 proxy 伺服器後方安裝和使用 Visual Studio、使用 Visual Studio 和 Azure 服務

允許的網域 Url

發生網路連線問題的原因可能是您的安全性設備,可能會封鎖連線-Visual Studio 使用 TLS 1.2 和更新版本。 當您使用NuGet或從 Visual Studio 2015 和更新版本連接時,請更新安全性設備以支援下列連接的 TLS 1.2 和更新版本。

為確保您的組織可以使用任何現有的防火牆或 IP 限制,請確定 dev.azure.com*.dev.azure.com 已開啟。

下一節包含最常見的網域 Url,以支援登入和授權連線。


https://*.dev.azure.com
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://*vstmrblob.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://amcdn.msftauth.net
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://azurecomcdn.azureedge.net
https://cdn.vsassets.io
https://dev.azure.com
https://go.microsoft.com
https://graph.microsoft.com
https://live.com
https://login.live.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://windows.net
https://login.microsoftonline.com
https://app.vssps.visualstudio.com 
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
各種網域 URL 說明
  • HTTPs://* gallerycdn. vsassets。 io:主機 Azure DevOps 擴充功能
  • HTTPs://* vstmrblob. vsassets:主機 Azure DevOps TCM 記錄資料
  • https://cdn.vsassets.io:裝載 Azure DevOps 內容傳遞網路 (cdn) 內容
  • https://static2.sharepointonline.com:裝載一些資源,Azure DevOps 在適用于字型的「office 網狀架構」 UI 套件中使用,依此類推。
  • https://vsrm.dev.azure.com: 裝載套件摘要

建議您 443 針對這些 IP 位址和網域上的所有流量開啟埠。 我們也建議您 22 針對較小的目標 IP 位址子集開啟埠。

注意

Azure DevOps 使用內容傳遞網路 (cdn) 來提供靜態內容。 中國的使用者也應該將下列網域 url 新增至允許清單:

https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn

其他網域 Url

Azure Artifacts

確定允許下列網域 Url Azure Artifacts:

https://*.blob.core.windows.net
https://*.visualstudio.com

也允許 "name": "儲存體中的所有 IP 位址。區域} "區段的下列檔案 (每週更新) : AZURE IP 範圍和服務標籤-公用雲端。 {region} 與您組織的 Azure 地理位置相同。

NuGet 連線

請確定 NuGet 連接允許下列網域 url:

https://azurewebsites.net
https://nuget.org

注意

私人擁有的 NuGet 伺服器 url 可能不會包含在先前的清單中。 您可以開啟來檢查您正在使用的 NuGet 伺服器 %APPData%\Nuget\NuGet.Config

SSH 連線

如果您需要使用 SSH 連接到 Azure DevOps 上的 Git 存放庫,請允許下列主機的埠22要求:


ssh.dev.azure.com
vs-ssh.visualstudio.com

也可在 此可下載 檔案的 "name": "AzureDevOps" 區段中,允許 IP 位址 (每週) 名為: Azure IP 範圍和服務標籤-公用雲端

Azure Pipelines Microsoft 裝載的代理程式

如果您使用 Microsoft 裝載的代理程式來執行工作,而且您需要使用哪些 IP 位址的相關資訊,請參閱 Microsoft 裝載的 代理程式 IP 範圍。 查看所有 Azure 虛擬機器擴展集代理程式。

如需有關 hosted Windows、Linux 和 macOS 代理程式的詳細資訊,請參閱Microsoft 裝載的代理程式 IP 範圍

Azure Pipelines 自我裝載的代理程式

如果您正在執行防火牆,而您的程式碼在 Azure Repos 中,請參閱自我裝載的 Linux 代理程式常見問題、自我裝載的macOS 代理程式常見問題或自我裝載的 Windows 代理程式常見問題。 本文包含私人代理程式與哪些網域 Url 和 IP 位址通訊所需的相關資訊。

IP 位址和範圍限制

輸出連線

輸出連線源自于您的組織內部,並以 Azure DevOps 或其他相依網站為目標。 這類連接的範例包括:

  • 當使用者前往和使用 Azure DevOps 的功能時,連接到 Azure DevOps 網站的瀏覽器
  • 您組織的網路上安裝的 Azure Pipelines 代理程式連線到 Azure DevOps,以輪詢擱置中的作業
  • 從組織網路內裝載的原始程式碼存放庫傳送到 Azure DevOps 的 CI 事件

請確定已允許下列 IP 位址進行輸出連線,讓您的組織可以使用任何現有的防火牆或 IP 限制。 下圖中的端點資料會列出從您組織中的電腦到 Azure DevOps Services 的連接需求。


13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24

如果您目前允許 13.107.6.18313.107.9.183 IP 位址,請將它們保留在原處,因為您不需要將它們移除。

注意

輸出連線不支援Azure 服務標記

輸入連線

輸入連線源自于組織網路內的 Azure DevOps 和目標資源。 這類連接的範例包括:

  • Azure DevOps Services 連接到服務掛勾的端點
  • Azure DevOps Services 連接到客戶控制的 SQL Azure vm 以進行資料匯入
  • Azure Pipelines 連線至內部部署的原始程式碼存放庫,例如GitHub EnterpriseBitbucket Server
  • Azure DevOps Services 可連接至內部部署或雲端式 Splunk 的Audit 串流

請確定輸入連線允許下列 IP 位址,讓您的組織可以使用任何現有的防火牆或 IP 限制。 下圖中的端點資料會列出從 Azure DevOps Services 連接到您的內部部署或其他雲端服務的需求。

  區域 IP V4 範圍
澳大利亞東部 20.37.194.0/24
澳大利亞東南部 20.42.226.0/24
巴西南部 191.235.226.0/24
加拿大中部 52.228.82.0/24
亞太地區 (新加坡) 20.195.68.0/24
印度南部 20.41.194.0/24
美國中部 20.37.158.0/23
美國中西部 52.150.138.0/24
美國東部 20.42.5.0/24
美國東部2 20.41.6.0/23
美國北部 40.80.187.0/24
美國中南部 40.119.10.0/24
美國西部 40.82.252.0/24
美國西部2 20.42.134.0/23
西歐 40.74.28.0/23
英國南部 51.104.26.0/24

輸入連接支援 Azure 服務標記。 您可以使用 Azure 防火牆和網路安全性群組的 AzureDevOps 服務標籤,而不是允許先前列出的 IP 範圍, (NSG) 或透過 JSON 檔案下載的內部部署防火牆。

注意

服務標記或先前提及的輸入 IP 位址不適用於 Microsoft 裝載的代理程式。 客戶仍必須允許 Microsoft 裝載的 代理程式的整個地理位置。 如果要讓整個地理位置有問題,我們建議使用 Azure 虛擬機器擴展集代理程式。 擴展集代理程式是一種自我裝載代理程式的形式,可以自動調整以符合您的需求。
hosted macOS 代理程式裝載于 GitHub 的 macOS cloud 中。 您可以使用此處提供的指示,使用GitHub 中繼資料 API來抓取 IP 範圍。

其他 IP 位址

下列的大部分 IP 位址都與 Microsoft 365 通用和 Office 線上相關。


40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32

如需詳細資訊,請參閱 全球端點新增 IP 位址規則

Azure DevOps ExpressRoute 連接

如果您的組織使用 ExpressRoute,請確定輸出和連入連線都允許下列 IP 位址。

13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32

如需 Azure DevOps 和 expressroute 的詳細資訊,請參閱Azure DevOps 的 expressroute

Azure DevOps 匯入服務

在匯入過程中,強烈建議您將虛擬機器 (VM) 的存取限制為只有 Azure DevOps 的 IP 位址。 若要限制存取,只允許來自一組 Azure DevOps IP 位址的連接,這些 IP 位址與收集資料庫匯入程式相關。 如需識別正確 IP 位址的相關資訊,請參閱 (選擇性) 限制僅 Azure DevOps Services ip 的存取