Интернет-доступ к Team Foundation Server

Публикация TFS посредством обратного прокси

В этом случае вы устанавливаете TFS -сервер во внутренней сети и используете возможность веб-публикации в ISA Server для предоставления доступа к нему из внешней сети. Удаленные пользователи обращаются к TFS посредством SSL и используют обычную проверку подлинности. Чтобы воспользоваться этим вариантом, вы должны установить TFS SP1.

Сети без контроллера домена в периметре

На рис.17.2 показана архитектура предоставления доступа к TFS посредством ISA для случая, когда контроллер домена находится во внутренней сети.

Рис. 17.2. Доступ к TFS посредством ISA, контроллер домена расположен во внутренней сети

Если в сети периметра нет контроллера домена, откройте на брандмауэре порт, через который внешние пользователи TFS могли посредством протокола LDAP (Lightweight Directory Access Protocol) подключаться к внутреннему контроллеру домена через ISA Server для проверки подлинности.

Сеть с контроллером домена в периметре

На рис.17.3 показана архитектура предоставления доступа к TFS посредством ISA для случая, когда контроллер домена находится в сети периметра.

увеличить изображение
Рис. 17.3. Доступ к TFS посредством ISA, контроллер домена расположен в сети периметра

Если в сети периметра имеется контроллер домена, удаленные пользователи могут проходить проверку подлинности непосредственно на нем. Однонаправленное доверие между внутренним контроллером домена и контроллером домена в периметре позволяет внешним пользователям получать доступ к TFS -серверу Внутренние пользователи обращаются к нему непосредственно, используя проверку подлинности Windows.

Преимущества

• Обратные прокси, наподобие ISA Server, проверяют не только подлинность пользователей, но и трафик.
• Удаленным пользователям не нужен доступ к домену.
• Удаленным пользователям не нужен доступ к VPN.

Недостатки

• В удаленных филиалах нельзя использовать TFS Proxy
• Удаленным пользователям не разрешено добавлять пользователей в группы TFS.
• Удаленным пользователям не разрешено добавлять группы Microsoft Active Directory® в папки системы управления исходным кодом.
• У удаленных пользователей не будет возможности запускать сборку или управлять ею.
• Удаленным пользователям нельзя будет создавать новые командные проекты.
• Удаленным пользователям нельзя будет публиковать в TFS результаты тестирования.

Примечание Всегда используйте обычную проверку подлинности в сочетании с SSL. Иначе учетные данные будут передаваться открытым текстом.

Размещение TFS в экстрасети

На рис.17.4 показана архитектура размещения TFS в экстрасети.

Рис. 17.4. TFSразмещен в экстрасети

В этом варианте вся инфраструктура TFS, включая и уровень приложений, и уровень данных, располагается в сети периметра, за пределами внутренней сети. Все подключения к TFS - и от внешних, и от внутренних пользователей - производятся из Интернета. TFS способен работать как с контроллером домена ( domain controller, DC ), так и без него. Если из сети периметра доступа к DC нет, функции TFS, связанные с Active Directory, работать не будут. Например, в такой ситуации нельзя будет добавлять пользователей в группы TFS или добавлять группы Active Directory в папки системы управления исходным кодом.

Преимущества

• Пользователи TFS четко отделены от внутренней сети.
• Удаленным пользователям не нужен доступ к домену.

Недостатки

• В удаленных филиалах нельзя использовать TFS Proxy
• У удаленных пользователей не будет возможности запускать сборку или управлять ею.
• Удаленным пользователям нельзя будет создавать новые командные проекты.
• Удаленным пользователям нельзя будет публиковать в TFS результаты тестирования.
• Внутренние пользователи вынуждены обращаться к TFS посредством SSL, подобно внешним пользователям.

Примечание Всегда используйте обычную проверку подлинности в сочетании с SSL. Иначе учетные данные будут передаваться открытым текстом.