14/01/2015 | Autor: Igor Abade V. Leite | Categoria: Técnico | Comentários

Não instale o Release Management Server num TFS Application Tier

2015-01-14_19-54-44 Se você consultar o guia de instalação do Release Management Server (RM Server), vai encontrar a seguinte observação (grifos meus):

You should install the server separately from the application tier of the TFS server (as we will) although nothing prevents you from installing the Release Management server together with TFS.

Como assim? Então não é recomendada a instalação do Release Management Server na mesma máquina de um TFS Application Tier? Mas e se eu não tiver um servidor disponível só para o RM Server? Isso leva a duas perguntas:

  1. Por que não podemos instalar junto de um App Tier?
  2. No caso de um ambiente com restrição de servidores, onde posso instalar o RM Server?

Por que não instalar num App Tier?

Essencialmente por uma questão de segurança. A conta de serviço do RM Server precisa ser membro do grupo Administradores local. Ou, seja, o RM Server é um administrador do seu servidor TFS. Qual o problema? O problema é que, por padrão, o grupo BUILTIN\Administrators é administrador global do TFS. Com isso, seu RM Server teria acesso irrestrito aos repositórios de Source Control, Work Items e outros. Lembre-se que o RM Server executa workflows criados por seu time de desenvolvimento/infraestrutura. Isso aumenta o risco de que um código malicioso seja executado no contexto da conta de serviço. Tal como acontece com o serviço de build (que também está exposto ao mesmo risco), você vai querer sempre reduzir ao máximo as permissões da conta de serviço do Release Management. Acesso total ao TFS é a última coisa que você deveria dar ao RM Server.

Onde instalar?

Num mundo perfeito, o melhor seria instalar o RM Server num servidor dedicado. Caso precise otimizar sua infraestrutura compartilhando servidores, o melhor é instalar o RM Server em um servidor de build. Dividir um mesmo servidor entre os serviços de build (Controller, Agent) e o RM Server minimiza os riscos de segurança e permite a otimização do uso de servidores. Um abraço, Igor