我已经尝试让VSTS连接到我们的企业Git存储库。
要做到这一点,我必须打开我们的防火墙,结果我们发现VSTS没有使用VSTS域连接到我们的网络,即#######.visionstudio.com
相反,它使用生成代理的IP地址进行连接,该地址在Azure公共IP列表中指定的范围内。
有人知道这是不是微软的错误吗?我们可以将我们的防火墙释放到所有Azure公共IP,但这是非常脆弱的(它们可能会改变(,并且存在重大的安全风险,因为任何使用Azure的人都可能尝试连接到我们的Git存储库。
有趣的是,如果你安装了一个私有的构建代理,那么VSTS会使用VSTS域连接到它,我们已经观察到了这一点。
在我看来,这是因为托管构建IP不断更新。您可以查看以下问答;A:
托管构建使用哪些IP地址
我们每周三发布一个XML文档,其中包含Azure数据中心的IP范围按区域划分。请参阅https://www.microsoft.com/en-us/download/confirmation.aspx?id=41653:此文件包含计算IP地址范围(包括SQL范围(。一个新的xml文件将每周三(太平洋时间(上传新计划的IP地址范围。新的IP地址范围将在下周一(太平洋时间(。请下载新的xml文件,然后在周一之前对您的网站进行必要的更改。The Hosted代理应该与您的VSTS帐户位于同一地区,您需要白名单您所在地区的IP地址范围,您可以从中获取上面的链接。要在VSTS中验证您所在的地区,请导航到设置页面,网址:.visionstudio.com/_admin/home/Settings,在Account下,您将看到Region字段。