Megosztás a következőn keresztül:

Biztonság

  • Cikk

A fejlesztői alagutak egy biztonsági központú fejlesztői bújtatási szolgáltatás. Ebből a cikkből megtudhatja, hogyan védik a fejlesztői alagutakat.

Áttekintés

Alapértelmezés szerint az alagút üzemeltetéséhez és az alagúthoz való csatlakozáshoz ugyanazzal a Microsoft-, Microsoft Entra-azonosítóval vagy GitHub-fiókkal kell hitelesítést igényelnie, amely létrehozta az alagutat. Az bújtatáshoz kimenő kapcsolatokat kell létesíteni az Azure-ban üzemeltetett szolgáltatással. A szolgáltatás használatához nincs szükség bejövő kapcsolatokra.

Tartományok

A fejlesztői alagutakhoz való hozzáférés a következő tartományok kimenő hozzáférésének engedélyezésével vagy letiltásával szabályozható:

  • Hitelesítés

    • github.com
    • login.microsoftonline.com

  • Fejlesztői alagutak

    • global.rel.tunnels.api.visualstudio.com
    • [clusterId].rel.tunnels.api.visualstudio.com
    • [clusterId]-data.rel.tunnels.api.visualstudio.com
    • *.[clusterId].devtunnels.ms
    • *.devtunnels.ms

Az aktuális [clusterId] értékek listája itt érhető el https://global.rel.tunnels.api.visualstudio.com/api/v1/clusters: .

Webtovábbítás

A HTTP(S)/WS(S) protokollokat használó alagútportok közvetlenül a megadott webtovábbítási URL-címen keresztül érhetők el (például: https://tunnelid-3000.devtunnels.ms).

  • A nem biztonságos ügyfélkapcsolatok mindig automatikusan HTTPS/WSS-re frissülnek.
  • A HTTP Szigorú átviteli biztonság (HSTS) egy éves maximális életkorral engedélyezve van.
  • A szolgáltatás által támogatott minimális TLS-verzió az 1.2, a TLS 1.3 pedig az előnyben részesített verzió.
  • A TLS leállítása a szolgáltatás bejövő forgalmában történik egy Microsoft CA által kibocsátott szolgáltatástanúsítványok használatával.
    • A TLS leállítása után a fejléc újraírása történik. Ez számos webalkalmazás-fejlesztési forgatókönyv esetében szükséges.

Adathalászat elleni védelem

Amikor első alkalommal csatlakozik egy webtovábbítási URL-címhez, a felhasználók egy interstitial anti-phishing oldallal jelennek meg. A lap kihagyása a következő körülmények között történik:

  • A kérelem más módszert használ, mint GET
  • A kérelem Accept fejléce nem tartalmaz text/html
  • A kérelem tartalmazza a fejlécet X-Tunnel-Skip-AntiPhishing-Page
  • A kérelem tartalmazza a fejlécet X-Tunnel-Authorization
  • A felhasználó már megtekintette a lapot, és a folytatásra kattintott

Alagút-hozzáférés

Alapértelmezés szerint az alagutak és alagútportok privátak, és csak az alagutat létrehozó felhasználó számára érhetők el.

Ha egy alagút- vagy alagútportot hitelesítés nélkül kell elérni, hozzáadhat egy engedélyezési névtelen hozzáférés-vezérlési bejegyzést ( --allow-anonymousACE).

Az alagút-hozzáférés kiterjeszthető az aktuális Microsoft Entra-bérlőre (használat --tenant) vagy adott GitHub-szervezetekre (használat --organization); utóbbiak esetében lásd a GitHub szervezeti hozzáférését alább.

A parancssori felület olyan hozzáférési jogkivonatok igénylésére is használható, amelyek korlátozott hozzáférést biztosítanak a jogkivonattal rendelkezők számára (használat devtunnel token). Ez egy speciális funkció, de bizonyos helyzetekben hasznos lehet.

Jelenleg négy alagút-hozzáférési jogkivonat érhető el:

  • Az "ügyfél-hozzáférési jogkivonat" lehetővé teszi, hogy a tulajdonos az alagút bármely portjára csatlakozzon.
  • A "gazdagép hozzáférési jogkivonata" lehetővé teszi, hogy a tulajdonos üzemeltetje az alagutat, és fogadja el a kapcsolatokat, de más módosításokat nem hajthat végre rajta.
  • A "portok hozzáférési jogkivonatának kezelése" lehetővé teszi a tulajdonos számára a portok hozzáadását és törlését az alagútban.
  • A "felügyeleti hozzáférési jogkivonat" lehetővé teszi, hogy a tulajdonos bármilyen műveletet végrehajtson az alagúton, beleértve a hozzáférési vezérlők beállítását, az üzemeltetést, a csatlakozást és az alagút törlését.

Az összes jogkivonat az aktuális alagútra korlátozódik; nem adnak hozzáférést az aktuális felhasználó egyéb alagutakhoz, ha vannak ilyenek. A jogkivonatok egy idő (jelenleg 24 óra) után lejárnak. A jogkivonatok csak olyan tényleges felhasználói identitással frissíthetők, amely a felügyeleti hatókörhöz való hozzáféréssel rendelkezik az alagúthoz (nem csak felügyeleti hozzáférési jogkivonattal).

A legtöbb parancssori felületi parancs elfogadhat egy --access-token megfelelő jogkivonattal rendelkező argumentumot a bejelentkezés alternatívaként.

A webes ügyfelek jogkivonatot adhatnak át egy fejlécben a kérések alagút URI-nak való engedélyezéséhez:

X-Tunnel-Authorization: tunnel <TOKEN>

Tipp.

Ez nem interaktív ügyfelek számára hasznos, mivel lehetővé teszi az alagutak elérését anélkül, hogy névtelen hozzáférést kellene engedélyezniük. A szokásos Authorization fejléc helyett a X-Tunnel-Authorization fejlécet használjuk, hogy megakadályozzuk az alkalmazásspecifikus engedélyezés esetleges zavarását.

A parancssori felületen keresztüli alagúthozzáférés kezelésével kapcsolatos további információkért tekintse meg a fejlesztői alagút hozzáférésének kezelését ismertető szakaszt.

GitHub Szervezeti hozzáférés

A GitHub-szervezet összes tagjának hozzáférést biztosító alagutak támogatásához telepítse a Dev Tunnels GitHub alkalmazást a szervezetben. Ez engedélyt ad a Dev Tunnels szolgáltatásnak, hogy ellenőrizze a felhasználók tagsági állapotát a szervezetben. (A Fejlesztői alagutak nem igényelnek adattárengedélyeket a szervezet számára.) Előfordulhat, hogy a művelet végrehajtásához a GitHub-szervezet rendszergazdájának kell lennie.

További kérdések

Ha a lap áttekintése után további kérdései vannak, tekintse meg a visszajelzést és a támogatást.