Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020
Хотя рекомендуемый вариант для подключений к службе Azure Resource Manager — использовать федерацию удостоверений рабочей нагрузки с регистрацией приложения или управляемым удостоверением, иногда может потребоваться использовать управляемое удостоверение, назначаемое агентом, или профиль публикации. В этой статье вы узнаете, как создать подключение службы Azure Resource Manager, используя регистрацию приложения с секретом. Также вы научитесь создавать подключение, которое соединяется с автономным агентом на виртуальной машине Azure, и подключение службы, использующее профиль публикации для подключения к приложению в Службе приложений Azure.
Вы также можете использовать Azure Resource Manager для подключения к облачному сервису Azure Government и Azure Stack.
Создайте регистрацию приложения с секретом (в автоматическом режиме)
С помощью этого выбора Azure DevOps автоматически запрашивает подписку, группу управления или рабочую область машинного обучения, к которой требуется подключиться и создает секрет для проверки подлинности.
Предупреждение
Использование секрета требует ручной смены и управления, и это не рекомендуется. Федерация удостоверений рабочей нагрузки является предпочтительным типом учетных данных.
Этот подход можно использовать, если все следующие элементы соответствуют вашему сценарию:
- Вы вошли в систему в качестве владельца организации Azure Pipelines и подписки Azure.
- Вам не нужно дополнительно ограничить разрешения для ресурсов Azure, к которым пользователи получают доступ через подключение к службе.
- Вы не подключаетесь к Azure Stack или к средам Azure для государственных организаций США.
- Вы не подключаетесь из Azure DevOps Server 2019 или более ранних версий Team Foundation Server.
В проекте Azure DevOps перейдите к настройки проекта>подключения службы.
Дополнительные сведения см. в разделе "Открыть параметры проекта".
Выберите новое подключение к службе, а затем выберите Azure Resource Manager и Далее.
Выберите регистрацию приложений (автоматически) с учетными данными Секрет.
Выберите уровень области . Выберите подписку, группу управления или рабочую область машинного обучения. Группы управления — это контейнеры, которые помогают управлять доступом, политикой и соответствием в нескольких подписках. Рабочая область машинного обучения — это место для создания артефактов машинного обучения.
В области подписки введите следующие параметры:
Параметр Описание Подписка Обязательный. Выберите подписку Azure. группа ресурсов Обязательный. Выберите группу ресурсов Azure. Для области группы управления
выберите группу управления Azure . Для рабочей области машинного обучения введите следующие параметры:
Параметр Описание Подписка Обязательный. Выберите подписку Azure. Группа ресурсов Обязательный. Выберите группу ресурсов, содержащую рабочую область. рабочая область машинного обучения Обязательный. Выберите рабочую область Azure Machine Learning.
Введите имя подключения службы.
При необходимости введите описание подключения к службе.
Выбор разрешения на предоставление доступа всем конвейерам позволяет всем конвейерам использовать это подключение. Этот параметр использовать не рекомендуется. Вместо этого авторизуйте каждый конвейер по отдельности для использования подключения к службе.
Выберите Сохранить.
Создание подключения службы Azure Resource Manager к виртуальной машине с управляемым удостоверением
Примечание.
Чтобы использовать управляемое удостоверение для проверки подлинности, необходимо использовать локальный агент на виртуальной машине Azure.
Вы можете настроить самостоятельно размещённые агенты на виртуальных машинах Azure для использования управляемого удостоверения Azure в Microsoft Entra ID. В этом сценарии для предоставления агентам доступа к любому ресурсу Azure, который поддерживает Microsoft Entra ID, например Azure Key Vault, используется управляемое удостоверение, назначенное агенту.
В проекте Azure DevOps перейдите к настройки проекта>подключения службы.
Дополнительные сведения см. в разделе "Открыть параметры проекта".
Выберите новое подключение к службе, а затем выберите Azure Resource Manager.
Выберите Управляемая идентификация (назначенная агентом) для типа идентификации.
Для среды выберите имя среды (Azure Cloud, Azure Stack или параметры для государственных облаков).
Выберите уровень области. Выберите подписку, группу управления или рабочую область машинного обучения. Группы управления — это контейнеры, которые помогают управлять доступом, политикой и соответствием в нескольких подписках. Рабочая область машинного обучения — это место для создания артефактов машинного обучения.
В области подписки введите следующие параметры:
Параметр Описание Идентификатор подписки Обязательный. Введите идентификатор подписки Azure. Имя подписки Обязательный. Введите имя подписки Azure. Для области группы управления, введите следующие параметры:
Параметр Описание Идентификатор группы управления Обязательный. Введите идентификатор группы управления Azure. Имя группы управления Обязательный. Введите имя группы управления Azure. Для рабочей области машинного обучения введите следующие параметры:
Параметр Описание Идентификатор подписки Обязательный. Введите идентификатор подписки Azure. Имя подписки Обязательный. Введите имя подписки Azure. Группа ресурсов Обязательный. Выберите группу ресурсов, содержащую рабочую область. Имя рабочей области машинного обучения Обязательный. Введите имя существующей рабочей области Машинное обучение Azure. Расположение рабочей области машинного обучения Обязательный. Введите расположение существующей рабочей области Azure Machine Learning.
Введите идентификатор клиента.
Введите имя подключения службы.
При необходимости введите описание подключения к службе.
Выбор разрешения на предоставление доступа всем конвейерам позволяет всем конвейерам использовать это подключение. Этот параметр использовать не рекомендуется. Вместо этого авторизуйте каждый конвейер по отдельности для использования подключения к службе.
Выберите Сохранить.
После создания нового подключения к службе:
- Если вы используете подключение к службе в пользовательском интерфейсе, выберите имя подключения, которое вы назначили в параметре подписки Azure вашего конвейера.
- Если вы используете подключение к службе в YAML-файле, скопируйте имя подключения в качестве значения в коде для
azureSubscription.
Убедитесь, что виртуальная машина (агент) имеет соответствующие разрешения.
Например, если коду нужно вызвать Azure Resource Manager, назначьте виртуальную машину соответствующей роли с помощью управления доступом на основе ролей (RBAC) в идентификаторе Microsoft Entra ID.
Дополнительные сведения см. в статье "Как использовать управляемые удостоверения для ресурсов Azure" и "Использование ролевого доступа для управления доступом к ресурсам подписки Azure".
Дополнительные сведения об этом процессе см. в статье "Устранение неполадок с подключениями к службе Azure Resource Manager".
Создайте подключение к службе Azure Resource Manager, используя профиль публикации
Подключение к службе можно создать с помощью публикационного профиля. Профиль публикации можно использовать для создания подключения службы к службе Azure App Service.
В проекте Azure DevOps перейдите к настройки проекта>подключения службы.
Дополнительные сведения см. в разделе "Открыть параметры проекта".
Выберите новое подключение к службе, а затем выберите Azure Resource Manager и Далее.
Выберите Опубликовать профиль для типа идентификации.
Задайте следующие параметры:
Параметр Описание Подписка Обязательный. Выберите существующую подписку Azure. Если подписки и экземпляры Azure не отображаются, см. статью "Устранение неполадок с подключениями к службе Azure Resource Manager". WebApp Обязательный. Введите имя приложения службы Azure. Имя подключения службы Обязательный. Имя, которое вы используете для ссылки на это подключение к службе в свойствах задачи. Это не имя вашей подписки Azure. Описание Необязательно. Описание подключения службы. Выбор разрешения на предоставление доступа всем конвейерам позволяет всем конвейерам использовать это подключение. Этот параметр использовать не рекомендуется. Вместо этого авторизуйте каждый конвейер по отдельности для использования подключения к службе.
Выберите Сохранить.
После создания нового подключения к службе:
- Если вы используете подключение к службе в пользовательском интерфейсе, выберите имя подключения, которое вы назначили в параметре подписки Azure вашего конвейера.
- Если вы используете подключение к службе в YAML-файле, скопируйте имя подключения и вставьте его в код в качестве значения
azureSubscription.
Подключение к облаку Azure для государственных организаций
Для получения информации о подключении к Azure для государственных организаций см. Подключение из Azure Pipelines (Azure для государственных организаций).
Подключение к Azure Stack
Сведения о подключении к Azure Stack см. в следующих статьях:
- Подключение к Azure Stack
- Подключение Azure Stack к Azure с помощью VPN
- Подключение Azure Stack к Azure с помощью Azure ExpressRoute
Дополнительные сведения см. в разделе "Устранение неполадок с подключениями к службе Azure Resource Manager".
Помощь и поддержка
- Ознакомьтесь с советами по устранению неполадок.
- Получите советы по Stack Overflow.
- Опубликуйте свои вопросы, найдите ответы или предложите функцию в Сообщество разработчиков Azure DevOps.
- Получите поддержку Azure DevOps.