Contents
1. 概述
2. HTTP和HTTS比較
支持HTTP和HTTPS兩種方式
要求所有連接使用HTTPS
優點:
缺點:
3. 為Azure DevOps Server 配置安全訪問
1. 概述
Azure DevOps Server (TFS)支持默認的超文本傳輸協議(HTTP),也支持安全的超文本傳輸協議(HTTPS)。將TFS服務器服務器配置為安全訪問(https/SSL),可以大幅增強其部署的安全性和數據傳輸的安全性。在系統部署過程中,TFS默認選擇HTTP部署方式;如果在使用一段時間之后配置為HTTPS訪問方式,則還需要開發人員做響應的調整。本文介紹如何在Azure DevOps Server中配置SSL,以及配置完成后對用戶的影響。
在調整系統配置之前,最好了解和評估兩種部署的優劣,以便做出最好的選擇。
2. HTTP和HTTS比較
支持HTTP和HTTPS兩種方式
如果將azure devops服務器的配置為支持這兩種協議,則那些使用新的HTTPS連接TFS的客戶端計算機變得更加安全。此外,那些使用HTTP連接服務器的客戶端計算機任然可以使用,不需要做任何調整。
即使將服務器配置為兩種協議,在一般情況下,我們不會將TFS通過HTTP的方式發布到公網上,只會在一個可控的內網網絡環境中發布HTTP協議。
支持兩種協議的配置方式,比較適合與在當前使用HTTP協議的基礎上,新增HTTPS協議,這樣既不影響當前的用戶,又可以加強新增用戶的訪問安全性;隨時時間的推移,我們可以階段性的逐步條件老用戶的的連接方式,從而最低限度的降低系統變更對用戶造成的影響。
這種配置方式,比較常見的應用場景是,內網用戶使用HTTP訪問TFS,公網用戶使用HTTPS訪問TFS;這樣,我們可以同時兼顧安全性、便捷性和效率幾個方面的考慮。
要求所有連接使用HTTPS
優點:
如果我們要求所有開發團隊都是用HTTPS的方式連接TFS系統,明顯可以獲得兩個優勢:
- 安全的數據傳輸。用戶和服務器之間的全部數據傳輸都是加密的。
- 可以通過控制SSL證書的過期的方式,達到控制服務失效的目標。
缺點:
當然,缺陷也非常明顯:
- 傳輸速度慢。我們知道,使用SSL加密方式傳輸數據,需要在常規傳輸的基礎上增加加密和解密的過程,這是需要消耗系統資源和時間的,必然會造成傳輸速度的降低。系統響應速度降低,不僅體現用戶連接服務器下載代碼、修改工作項、自動化的流水線執行上,還會反映在運維、系統升級等維護性的工作上。
- 需要維護證書。基於SSL的Web應用,都需要獲取來自簽發機構的SSL證書。如果是證書來自自有證書簽發機構,則會影響用戶信任。同時,維護證書簽發機構,也必然會提高系統運行的維護成本。當然,如果證書來自第三方機構,則需要為此額外付費。
在評估軟件維護成本和效率之后,用戶自然會選擇適合自己的部署方式。
3. 為Azure DevOps Server 配置安全訪問
為Azure DevOps Server 配置安全訪問,只要包含三個過程:
- 從簽發機構獲取證書
- 安裝和分配證書
- 配置TFS服務器的公共URL
- 調整客戶端配置
- 調整代理配置
下面來簡要介紹TFS系統相關步驟的操作:
使用TFS系統管理員(也是操作系統管理員)的身份登錄TFS應用服務器,配置IIS中的證書。
1. 導入證書
注意,如果證書有密碼,則需要輸入證書的訪問密碼
2. 為TFS服務器綁定證書
綁定成功以后的效果:
3. 修改公共URL
如果取消了HTTP協議,還需要開發人員調整自己的Git配置。這里主要涉及Git遠程分支的操作,會在后續的博客中詳細介紹
------------------------------------------------------------
http://www.cnblogs.com/danzhang/ DevOps MVP 張洪君
------------------------------------------------------------