Azure DevOps é o guarda-chuva da Microsoft com 5 produtos: Boards (kanban/scrum), Repos (Git hosting), Pipelines (CI/CD), Test Plans (QA), Artifacts (package registry). Este módulo foca em Azure Pipelines — o motor de CI/CD, que evoluiu de “classic pipelines” (UI clicada) para YAML pipelines versionados no repo. Se seu stack é Microsoft (Azure AD, AKS, App Service, SQL Server), ou seu time já usa Azure Boards/Repos, é o caminho de menor atrito. A Microsoft também tem GitHub (compram em 2018), então GH Actions é a aposta estratégica de longo prazo — mas Azure Pipelines continua tendo diferenciais fortes em gate de aprovação, governança e integração com Azure.

Azure DevOps em 30 segundos

OrganizationTop-level. Corresponde a uma empresa ou unidade.

ProjectDentro da org. Tem Repos, Boards, Pipelines, Artifacts próprios.

Agent PoolConjunto de workers que executam pipelines. Microsoft-hosted (Linux/Win/Mac) ou Self-hosted.

Service ConnectionCredencial para serviços externos: Azure, AWS, Docker registry, Kubernetes, SonarCloud.

EnvironmentAlvo de deploy (staging, prod). Tem approvals, checks, histórico.

LibraryVariable Groups + Secure Files + ligação com Key Vault.

Estrutura de um pipeline YAML

azure-pipelines.yml

▼

trigger / pr / schedules

▼

stages

▼

jobs

▼

steps

# azure-pipelines.yml — pipeline real de uma API Node
trigger:
  branches:
    include: [main, release/*]
  paths:
    exclude: [docs/*, README.md]

pr:
  branches:
    include: [main]

variables:
  - group: 'shared-config'          # Variable Group da Library
  - name: NODE_VERSION
    value: '20.x'

pool:
  vmImage: 'ubuntu-latest'

stages:
  - stage: Build
    jobs:
      - job: build_test
        displayName: 'Build & Test'
        steps:
          - task: NodeTool@0
            inputs: { versionSpec: $(NODE_VERSION) }

          - task: Cache@2
            inputs:
              key: 'npm | "$(Agent.OS)" | package-lock.json'
              restoreKeys: |
                npm | "$(Agent.OS)"
              path: $(Pipeline.Workspace)/.npm

          - script: npm ci --cache $(Pipeline.Workspace)/.npm
            displayName: 'Install deps'

          - script: npm run lint
            displayName: 'Lint'

          - script: npm test -- --ci --coverage
            displayName: 'Test'

          - task: PublishTestResults@2
            condition: succeededOrFailed()
            inputs: { testResultsFiles: 'junit.xml' }

          - task: PublishCodeCoverageResults@2
            inputs:
              summaryFileLocation: 'coverage/cobertura-coverage.xml'

          - script: npm run build
          - publish: dist
            artifact: app

Deploy em AKS com stage + approval

- stage: Deploy_Staging
  dependsOn: Build
  condition: and(succeeded(), eq(variables['Build.SourceBranch'], 'refs/heads/main'))
  variables:
    - group: aks-staging           # conn string, KV secrets
  jobs:
    - deployment: deploy_aks
      environment: 'staging.aks'   # environment com approval/checks
      strategy:
        runOnce:
          deploy:
            steps:
              - download: current
                artifact: app

              - task: KubernetesManifest@1
                displayName: 'Deploy to AKS'
                inputs:
                  action: 'deploy'
                  kubernetesServiceConnection: 'aks-staging-connection'
                  namespace: 'api'
                  manifests: |
                    k8s/deployment.yaml
                    k8s/service.yaml
                  containers: |
                    acrmeusite.azurecr.io/api:$(Build.BuildId)

- stage: Deploy_Prod
  dependsOn: Deploy_Staging
  jobs:
    - deployment: deploy_prod
      environment: 'production.aks'   # environment exige 2 approvers
      strategy:
        canary:
          increments: [10, 50, 100]
          preDeploy:
            steps:
              - script: echo "Starting canary rollout"
          deploy:
            steps:
              - task: KubernetesManifest@1
                inputs:
                  action: 'deploy'
                  kubernetesServiceConnection: 'aks-prod-connection'
                  namespace: 'api'
                  manifests: k8s/deployment.yaml
                  containers: acrmeusite.azurecr.io/api:$(Build.BuildId)
          postRouteTraffic:
            steps:
              - script: ./scripts/smoke-test.sh $(canary.percentage)
          on:
            failure:
              steps:
                - script: echo "Rollback automático"
            success:
              steps:
                - script: echo "Canary $(canary.percentage)% OK"

✅

Canary nativo: o tipo da strategy faz rollout por porcentagem, executa smoke test entre incrementos, e reverte se falhar. GH Actions e Jenkins precisam de plugin ou script caseiro pra mesma coisa.

Service Connections e Workload Identity Federation

Modo	Como funciona	Recomendação
Azure Resource Manager (auto)	Azure DevOps cria Service Principal automaticamente	Evite — secret estático de 2 anos
Service Principal manual	Você cria SP no Azure AD, coloca client secret no ADO	Legado — rotaciona à mão
Managed Identity	Pipeline usa identidade do agente self-hosted em Azure VM	Ótimo para self-hosted em Azure
Workload Identity Federation	OIDC: ADO emite token por run; Azure AD valida trust (org/project/pipeline) e dá STS	🏆 Padrão moderno — zero secret

ModoAzure Resource Manager (auto)

Como funcionaAzure DevOps cria Service Principal automaticamente

RecomendaçãoEvite — secret estático de 2 anos

ModoService Principal manual

Como funcionaVocê cria SP no Azure AD, coloca client secret no ADO

RecomendaçãoLegado — rotaciona à mão

ModoManaged Identity

Como funcionaPipeline usa identidade do agente self-hosted em Azure VM

RecomendaçãoÓtimo para self-hosted em Azure

ModoWorkload Identity Federation

Como funcionaOIDC: ADO emite token por run; Azure AD valida trust (org/project/pipeline) e dá STS

Recomendação🏆 Padrão moderno — zero secret

# Com WIF, o YAML não muda muito — a mágica é na Service Connection
- task: AzureCLI@2
  inputs:
    azureSubscription: 'prod-wif'     # Service Connection configurada como WIF
    scriptType: bash
    scriptLocation: inlineScript
    inlineScript: |
      az aks get-credentials -n prod-cluster -g prod-rg
      kubectl get pods -A

Variable Groups + Key Vault

Library → Variable GroupNome + pares chave/valor. Marcar cadeado = secret (não visível depois de salvo).

Link com Azure Key VaultVariable Group pode apontar pra um KV. Valores atualizam automaticamente; nada fica no ADO.

PermissãoPor Variable Group. Sem acesso, pipeline falha ao requisitar — evita vazamento cruzado entre times.

Uso no YAMLvariables: [{ group: shared-config }, { text: SENTRY_DSN, value: "$(SENTRY_DSN)" }]

Secure FilesArquivos (certificados, kubeconfig) que o pipeline baixa com DownloadSecureFile@1.

⚠️

Nunca use . ADO masca variáveis declaradas secret, mas derivados (base64, JSON) escapam. Em logs de falha, erros de ferramentas podem despejar env — use com parcimônia e configure retention curto pra logs sensíveis.

Templates — reuso em escala

# templates/node-build.yml  (no repo pipelines-templates)
parameters:
  - name: nodeVersion
    type: string
    default: '20.x'
  - name: runCoverage
    type: boolean
    default: true

steps:
  - task: NodeTool@0
    inputs: { versionSpec: ${'$'}{{ parameters.nodeVersion }} }
  - script: npm ci
  - script: npm run lint
  - script: npm test -- --ci
    displayName: 'Test'
  - ${'$'}{{ if eq(parameters.runCoverage, true) }}:
    - task: PublishCodeCoverageResults@2
      inputs: { summaryFileLocation: 'coverage/cobertura-coverage.xml' }

# pipeline consumidor
resources:
  repositories:
    - repository: templates
      type: git
      name: infra/pipelines-templates
      ref: refs/tags/v2.1.0        # pin de versão

jobs:
  - job: build
    steps:
      - template: templates/node-build.yml@templates
        parameters:
          nodeVersion: '22.x'
          runCoverage: true

Environments, checks e approvals

EnvironmentEntidade em Pipelines → Environments. Tem histórico de deploys e status.

ApprovalsLista de approvers (pessoas ou grupos AAD). Pipeline pausa até aprovação.

Business Hours checkDeploy só permitido em janela (ex.: 9h-18h dias úteis). Evita deploy de sexta à noite acidental.

Invoke REST API checkChama um endpoint externo (PagerDuty, ServiceNow) e só prossegue com status OK.

Exclusive LockApenas um deploy por vez no mesmo environment — evita corrida.

Branch controlDeploy no environment "prod" só aceita de refs/heads/main.

Agents: Microsoft-hosted vs Self-hosted

Dimensão	Microsoft-hosted	Self-hosted
Setup	Zero — usa vmImage: ubuntu-latest	Instala agent em VM/container/K8s
Custo	Free tier limitado; paralelismo comprado	Sua infra
Performance	VM compartilhada, sem estado	Disco persistente, cache local acelera
Rede	Público	Acessa VPN/VNet — necessário pra recursos privados
Ferramentas	Mudam por imagem (upgrades anuais)	Você escolhe
Quando usar	Pipelines públicos ou sem rede privada	On-prem, integração com Azure private link

DimensãoSetup

Microsoft-hostedZero — usa vmImage: ubuntu-latest

Self-hostedInstala agent em VM/container/K8s

DimensãoCusto

Microsoft-hostedFree tier limitado; paralelismo comprado

Self-hostedSua infra

DimensãoPerformance

Microsoft-hostedVM compartilhada, sem estado

Self-hostedDisco persistente, cache local acelera

DimensãoRede

Microsoft-hostedPúblico

Self-hostedAcessa VPN/VNet — necessário pra recursos privados

DimensãoFerramentas

Microsoft-hostedMudam por imagem (upgrades anuais)

Self-hostedVocê escolhe

DimensãoQuando usar

Microsoft-hostedPipelines públicos ou sem rede privada

Self-hostedOn-prem, integração com Azure private link

Monorepo, path filters e matriz

trigger:
  branches: { include: [main] }
  paths:
    include:
      - apps/api/**
      - libs/**
      - azure-pipelines-api.yml

jobs:
  - job: test_matrix
    strategy:
      matrix:
        node18_linux:
          NODE: '18.x'
          VMIMG: 'ubuntu-latest'
        node20_linux:
          NODE: '20.x'
          VMIMG: 'ubuntu-latest'
        node20_windows:
          NODE: '20.x'
          VMIMG: 'windows-latest'
    pool:
      vmImage: $(VMIMG)
    steps:
      - task: NodeTool@0
        inputs: { versionSpec: $(NODE) }
      - script: npm ci
      - script: npm test

Segurança e governança

Branch policiesRepos → Branches → branch policy: exige PR, build success, minimum reviewers, linked work item.

Build validationPolicy que dispara pipeline no PR e bloqueia merge se falhar.

Project-level permissionsGroups: Readers, Contributors, Build Admins, Project Admins. Use grupos Azure AD, não users.

Approver ≠ autorEnvironment check "require approvers from specific group" e policy do repo "disallow self-approval".

Secret rotationWIF elimina. Se precisar Service Principal, rode playbook de rotação mensal via script automatizado.

AuditoriaAuditing API do ADO. Exporte pra SIEM — quem aprovou deploy, quem mudou environment, quem editou pipeline.

Azure DevOps vs GitHub Actions — o dilema Microsoft

Aspecto	Azure DevOps	GitHub Actions
Foco	Suíte ALM completa (Boards, Repos, Pipelines, Test, Artifacts)	CI/CD dentro do GitHub
Governança	Environments, approvals, checks, área/iteration paths	Environments + protection rules (mais simples)
Gate de aprovação	🏆 Flexível (REST check, business hours, exclusive lock)	Básico (required reviewers, wait)
Integração Azure	🏆 Nativa, WIF, tasks prontas	Boa (actions oficiais), mas menos profunda
YAML	Mais verboso, stages explícitos	Mais enxuto, eventos amplos
Estratégia Microsoft	Maintenance mode — evolui pouco	🏆 Roadmap ativo (AI, Copilot)
Startup/greenfield	Raro hoje	Default
Enterprise Microsoft	🏆 Onde está investimento existente	Alvo de migração futura

AspectoFoco

Azure DevOpsSuíte ALM completa (Boards, Repos, Pipelines, Test, Artifacts)

GitHub ActionsCI/CD dentro do GitHub

AspectoGovernança

Azure DevOpsEnvironments, approvals, checks, área/iteration paths

GitHub ActionsEnvironments + protection rules (mais simples)

AspectoGate de aprovação

Azure DevOps🏆 Flexível (REST check, business hours, exclusive lock)

GitHub ActionsBásico (required reviewers, wait)

AspectoIntegração Azure

Azure DevOps🏆 Nativa, WIF, tasks prontas

GitHub ActionsBoa (actions oficiais), mas menos profunda

AspectoYAML

Azure DevOpsMais verboso, stages explícitos

GitHub ActionsMais enxuto, eventos amplos

AspectoEstratégia Microsoft

Azure DevOpsMaintenance mode — evolui pouco

GitHub Actions🏆 Roadmap ativo (AI, Copilot)

AspectoStartup/greenfield

Azure DevOpsRaro hoje

GitHub ActionsDefault

AspectoEnterprise Microsoft

Azure DevOps🏆 Onde está investimento existente

GitHub ActionsAlvo de migração futura

💡

A Microsoft tem declarado que GitHub Actions é a plataforma estratégica e Azure DevOps está em modo de manutenção (sem novas features grandes). Para projetos novos, GH Actions com Azure OIDC é o caminho. Para times já investidos em ADO, continua valendo a pena — migração é trabalho de meses.

Decisões

📋 Empresa Microsoft-shop com AD, AKS, App Service e 40 pipelines classic

✓ Modernizar para YAML + WIF + templates

Classic → YAML é conversão direta com Export to YAML. Introduzir WIF zera secrets. Templates centralizam padrão. Ganho sem mudar de plataforma.

Alt: Migrar pra GH Actions —

📋 Startup usando Azure mas começando do zero

✓ GitHub Actions + Azure OIDC

Ir direto pro futuro. GH Actions + OIDC para AKS/ACR é setup de 1 dia, e você não cria dívida de Azure Boards que ninguém mais usa.

Alt: Azure DevOps completo —

📋 Pipeline com aprovação rigorosa (Sarbanes-Oxley), múltiplos gates

✓ Azure DevOps Environments

Checks como Business Hours, Invoke REST, Exclusive Lock, e Required Approvers com grupos AAD atendem compliance sem script caseiro.

Alt: GH Actions + action custom —

Perguntas típicas

❓ Classic pipeline ou YAML?

YAML, sempre. Classic é legado. Export to YAML na UI gera um esqueleto — você limpa e versiona no repo. Código revisado = menos bugs em pipeline.

❓ Posso disparar um pipeline a partir de outro?

Sim, 3 formas: (1) — pipeline B observa pipeline A e dispara quando A completa; (2) REST API — ; (3) trigger no repo — mesmo repo consumido por múltiplos pipelines.

❓ Como compartilhar artefato entre stages?

Use e (ou / ). Stages posteriores podem baixar artefatos produzidos por stages anteriores, mesmo em jobs diferentes.

❓ Dá para rodar pipeline só em PR que muda uma pasta?

Sim. filtra por caminho. Útil em monorepos: pipeline da API só roda se mudou ou o próprio YAML.

❓ Como fazer IaC (Terraform/Bicep) no Azure Pipelines?

Stages: init → validate → plan → (approval) → apply. WIF pra autenticar na Azure. Estado remoto em Storage Account com lock. Bicep tem vantagem no stack Microsoft por ser nativo; Terraform quando multi-cloud.

✅

Take-aways. (1) Azure DevOps = 5 produtos; Pipelines é o CI/CD. (2) YAML versionado > classic clicado. (3) Stages representam fases de entrega com environments, approvals e histórico — diferencial forte vs GH Actions. (4) Workload Identity Federation zera secrets estáticos — migre hoje. (5) Variable Group + Key Vault centraliza config e secret com rotação automática. (6) Templates + repos externos = reuso DRY com pin de versão. (7) Microsoft sinalizou GH Actions como futuro estratégico — planeje migração em horizonte de 1-3 anos se for greenfield, mantenha e modernize se for legado.

Azure DevOps em 30 segundos

OrganizationTop-level. Corresponde a uma empresa ou unidade.

ProjectDentro da org. Tem Repos, Boards, Pipelines, Artifacts próprios.

Agent PoolConjunto de workers que executam pipelines. Microsoft-hosted (Linux/Win/Mac) ou Self-hosted.

Service ConnectionCredencial para serviços externos: Azure, AWS, Docker registry, Kubernetes, SonarCloud.

EnvironmentAlvo de deploy (staging, prod). Tem approvals, checks, histórico.

LibraryVariable Groups + Secure Files + ligação com Key Vault.

Estrutura de um pipeline YAML

azure-pipelines.yml

▼

trigger / pr / schedules

▼

stages

▼

jobs

▼

steps

# azure-pipelines.yml — pipeline real de uma API Node
trigger:
  branches:
    include: [main, release/*]
  paths:
    exclude: [docs/*, README.md]

pr:
  branches:
    include: [main]

variables:
  - group: 'shared-config'          # Variable Group da Library
  - name: NODE_VERSION
    value: '20.x'

pool:
  vmImage: 'ubuntu-latest'

stages:
  - stage: Build
    jobs:
      - job: build_test
        displayName: 'Build & Test'
        steps:
          - task: NodeTool@0
            inputs: { versionSpec: $(NODE_VERSION) }

          - task: Cache@2
            inputs:
              key: 'npm | "$(Agent.OS)" | package-lock.json'
              restoreKeys: |
                npm | "$(Agent.OS)"
              path: $(Pipeline.Workspace)/.npm

          - script: npm ci --cache $(Pipeline.Workspace)/.npm
            displayName: 'Install deps'

          - script: npm run lint
            displayName: 'Lint'

          - script: npm test -- --ci --coverage
            displayName: 'Test'

          - task: PublishTestResults@2
            condition: succeededOrFailed()
            inputs: { testResultsFiles: 'junit.xml' }

          - task: PublishCodeCoverageResults@2
            inputs:
              summaryFileLocation: 'coverage/cobertura-coverage.xml'

          - script: npm run build
          - publish: dist
            artifact: app

Deploy em AKS com stage + approval

- stage: Deploy_Staging
  dependsOn: Build
  condition: and(succeeded(), eq(variables['Build.SourceBranch'], 'refs/heads/main'))
  variables:
    - group: aks-staging           # conn string, KV secrets
  jobs:
    - deployment: deploy_aks
      environment: 'staging.aks'   # environment com approval/checks
      strategy:
        runOnce:
          deploy:
            steps:
              - download: current
                artifact: app

              - task: KubernetesManifest@1
                displayName: 'Deploy to AKS'
                inputs:
                  action: 'deploy'
                  kubernetesServiceConnection: 'aks-staging-connection'
                  namespace: 'api'
                  manifests: |
                    k8s/deployment.yaml
                    k8s/service.yaml
                  containers: |
                    acrmeusite.azurecr.io/api:$(Build.BuildId)

- stage: Deploy_Prod
  dependsOn: Deploy_Staging
  jobs:
    - deployment: deploy_prod
      environment: 'production.aks'   # environment exige 2 approvers
      strategy:
        canary:
          increments: [10, 50, 100]
          preDeploy:
            steps:
              - script: echo "Starting canary rollout"
          deploy:
            steps:
              - task: KubernetesManifest@1
                inputs:
                  action: 'deploy'
                  kubernetesServiceConnection: 'aks-prod-connection'
                  namespace: 'api'
                  manifests: k8s/deployment.yaml
                  containers: acrmeusite.azurecr.io/api:$(Build.BuildId)
          postRouteTraffic:
            steps:
              - script: ./scripts/smoke-test.sh $(canary.percentage)
          on:
            failure:
              steps:
                - script: echo "Rollback automático"
            success:
              steps:
                - script: echo "Canary $(canary.percentage)% OK"

✅

Canary nativo: o tipo da strategy faz rollout por porcentagem, executa smoke test entre incrementos, e reverte se falhar. GH Actions e Jenkins precisam de plugin ou script caseiro pra mesma coisa.

Service Connections e Workload Identity Federation

Modo	Como funciona	Recomendação
Azure Resource Manager (auto)	Azure DevOps cria Service Principal automaticamente	Evite — secret estático de 2 anos
Service Principal manual	Você cria SP no Azure AD, coloca client secret no ADO	Legado — rotaciona à mão
Managed Identity	Pipeline usa identidade do agente self-hosted em Azure VM	Ótimo para self-hosted em Azure
Workload Identity Federation	OIDC: ADO emite token por run; Azure AD valida trust (org/project/pipeline) e dá STS	🏆 Padrão moderno — zero secret

ModoAzure Resource Manager (auto)

Como funcionaAzure DevOps cria Service Principal automaticamente

RecomendaçãoEvite — secret estático de 2 anos

ModoService Principal manual

Como funcionaVocê cria SP no Azure AD, coloca client secret no ADO

RecomendaçãoLegado — rotaciona à mão

ModoManaged Identity

Como funcionaPipeline usa identidade do agente self-hosted em Azure VM

RecomendaçãoÓtimo para self-hosted em Azure

ModoWorkload Identity Federation

Como funcionaOIDC: ADO emite token por run; Azure AD valida trust (org/project/pipeline) e dá STS

Recomendação🏆 Padrão moderno — zero secret

# Com WIF, o YAML não muda muito — a mágica é na Service Connection
- task: AzureCLI@2
  inputs:
    azureSubscription: 'prod-wif'     # Service Connection configurada como WIF
    scriptType: bash
    scriptLocation: inlineScript
    inlineScript: |
      az aks get-credentials -n prod-cluster -g prod-rg
      kubectl get pods -A

Variable Groups + Key Vault

Library → Variable GroupNome + pares chave/valor. Marcar cadeado = secret (não visível depois de salvo).

Link com Azure Key VaultVariable Group pode apontar pra um KV. Valores atualizam automaticamente; nada fica no ADO.

PermissãoPor Variable Group. Sem acesso, pipeline falha ao requisitar — evita vazamento cruzado entre times.

Uso no YAMLvariables: [{ group: shared-config }, { text: SENTRY_DSN, value: "$(SENTRY_DSN)" }]

Secure FilesArquivos (certificados, kubeconfig) que o pipeline baixa com DownloadSecureFile@1.

⚠️

Templates — reuso em escala

# templates/node-build.yml  (no repo pipelines-templates)
parameters:
  - name: nodeVersion
    type: string
    default: '20.x'
  - name: runCoverage
    type: boolean
    default: true

steps:
  - task: NodeTool@0
    inputs: { versionSpec: ${'$'}{{ parameters.nodeVersion }} }
  - script: npm ci
  - script: npm run lint
  - script: npm test -- --ci
    displayName: 'Test'
  - ${'$'}{{ if eq(parameters.runCoverage, true) }}:
    - task: PublishCodeCoverageResults@2
      inputs: { summaryFileLocation: 'coverage/cobertura-coverage.xml' }

# pipeline consumidor
resources:
  repositories:
    - repository: templates
      type: git
      name: infra/pipelines-templates
      ref: refs/tags/v2.1.0        # pin de versão

jobs:
  - job: build
    steps:
      - template: templates/node-build.yml@templates
        parameters:
          nodeVersion: '22.x'
          runCoverage: true

Environments, checks e approvals

EnvironmentEntidade em Pipelines → Environments. Tem histórico de deploys e status.

ApprovalsLista de approvers (pessoas ou grupos AAD). Pipeline pausa até aprovação.

Business Hours checkDeploy só permitido em janela (ex.: 9h-18h dias úteis). Evita deploy de sexta à noite acidental.

Invoke REST API checkChama um endpoint externo (PagerDuty, ServiceNow) e só prossegue com status OK.

Exclusive LockApenas um deploy por vez no mesmo environment — evita corrida.

Branch controlDeploy no environment "prod" só aceita de refs/heads/main.

Agents: Microsoft-hosted vs Self-hosted

Dimensão	Microsoft-hosted	Self-hosted
Setup	Zero — usa vmImage: ubuntu-latest	Instala agent em VM/container/K8s
Custo	Free tier limitado; paralelismo comprado	Sua infra
Performance	VM compartilhada, sem estado	Disco persistente, cache local acelera
Rede	Público	Acessa VPN/VNet — necessário pra recursos privados
Ferramentas	Mudam por imagem (upgrades anuais)	Você escolhe
Quando usar	Pipelines públicos ou sem rede privada	On-prem, integração com Azure private link

DimensãoSetup

Microsoft-hostedZero — usa vmImage: ubuntu-latest

Self-hostedInstala agent em VM/container/K8s

DimensãoCusto

Microsoft-hostedFree tier limitado; paralelismo comprado

Self-hostedSua infra

DimensãoPerformance

Microsoft-hostedVM compartilhada, sem estado

Self-hostedDisco persistente, cache local acelera

DimensãoRede

Microsoft-hostedPúblico

Self-hostedAcessa VPN/VNet — necessário pra recursos privados

DimensãoFerramentas

Microsoft-hostedMudam por imagem (upgrades anuais)

Self-hostedVocê escolhe

DimensãoQuando usar

Microsoft-hostedPipelines públicos ou sem rede privada

Self-hostedOn-prem, integração com Azure private link

Monorepo, path filters e matriz

trigger:
  branches: { include: [main] }
  paths:
    include:
      - apps/api/**
      - libs/**
      - azure-pipelines-api.yml

jobs:
  - job: test_matrix
    strategy:
      matrix:
        node18_linux:
          NODE: '18.x'
          VMIMG: 'ubuntu-latest'
        node20_linux:
          NODE: '20.x'
          VMIMG: 'ubuntu-latest'
        node20_windows:
          NODE: '20.x'
          VMIMG: 'windows-latest'
    pool:
      vmImage: $(VMIMG)
    steps:
      - task: NodeTool@0
        inputs: { versionSpec: $(NODE) }
      - script: npm ci
      - script: npm test

Segurança e governança

Branch policiesRepos → Branches → branch policy: exige PR, build success, minimum reviewers, linked work item.

Build validationPolicy que dispara pipeline no PR e bloqueia merge se falhar.

Project-level permissionsGroups: Readers, Contributors, Build Admins, Project Admins. Use grupos Azure AD, não users.

Approver ≠ autorEnvironment check "require approvers from specific group" e policy do repo "disallow self-approval".

Secret rotationWIF elimina. Se precisar Service Principal, rode playbook de rotação mensal via script automatizado.

AuditoriaAuditing API do ADO. Exporte pra SIEM — quem aprovou deploy, quem mudou environment, quem editou pipeline.

Azure DevOps vs GitHub Actions — o dilema Microsoft

Aspecto	Azure DevOps	GitHub Actions
Foco	Suíte ALM completa (Boards, Repos, Pipelines, Test, Artifacts)	CI/CD dentro do GitHub
Governança	Environments, approvals, checks, área/iteration paths	Environments + protection rules (mais simples)
Gate de aprovação	🏆 Flexível (REST check, business hours, exclusive lock)	Básico (required reviewers, wait)
Integração Azure	🏆 Nativa, WIF, tasks prontas	Boa (actions oficiais), mas menos profunda
YAML	Mais verboso, stages explícitos	Mais enxuto, eventos amplos
Estratégia Microsoft	Maintenance mode — evolui pouco	🏆 Roadmap ativo (AI, Copilot)
Startup/greenfield	Raro hoje	Default
Enterprise Microsoft	🏆 Onde está investimento existente	Alvo de migração futura

AspectoFoco

Azure DevOpsSuíte ALM completa (Boards, Repos, Pipelines, Test, Artifacts)

GitHub ActionsCI/CD dentro do GitHub

AspectoGovernança

Azure DevOpsEnvironments, approvals, checks, área/iteration paths

GitHub ActionsEnvironments + protection rules (mais simples)

AspectoGate de aprovação

Azure DevOps🏆 Flexível (REST check, business hours, exclusive lock)

GitHub ActionsBásico (required reviewers, wait)

AspectoIntegração Azure

Azure DevOps🏆 Nativa, WIF, tasks prontas

GitHub ActionsBoa (actions oficiais), mas menos profunda

AspectoYAML

Azure DevOpsMais verboso, stages explícitos

GitHub ActionsMais enxuto, eventos amplos

AspectoEstratégia Microsoft

Azure DevOpsMaintenance mode — evolui pouco

GitHub Actions🏆 Roadmap ativo (AI, Copilot)

AspectoStartup/greenfield

Azure DevOpsRaro hoje

GitHub ActionsDefault

AspectoEnterprise Microsoft

Azure DevOps🏆 Onde está investimento existente

GitHub ActionsAlvo de migração futura

💡

Decisões

📋 Empresa Microsoft-shop com AD, AKS, App Service e 40 pipelines classic

✓ Modernizar para YAML + WIF + templates

Classic → YAML é conversão direta com Export to YAML. Introduzir WIF zera secrets. Templates centralizam padrão. Ganho sem mudar de plataforma.

Alt: Migrar pra GH Actions —

📋 Startup usando Azure mas começando do zero

✓ GitHub Actions + Azure OIDC

Ir direto pro futuro. GH Actions + OIDC para AKS/ACR é setup de 1 dia, e você não cria dívida de Azure Boards que ninguém mais usa.

Alt: Azure DevOps completo —

📋 Pipeline com aprovação rigorosa (Sarbanes-Oxley), múltiplos gates

✓ Azure DevOps Environments

Checks como Business Hours, Invoke REST, Exclusive Lock, e Required Approvers com grupos AAD atendem compliance sem script caseiro.

Alt: GH Actions + action custom —

Perguntas típicas

❓ Classic pipeline ou YAML?

YAML, sempre. Classic é legado. Export to YAML na UI gera um esqueleto — você limpa e versiona no repo. Código revisado = menos bugs em pipeline.

❓ Posso disparar um pipeline a partir de outro?

Sim, 3 formas: (1) — pipeline B observa pipeline A e dispara quando A completa; (2) REST API — ; (3) trigger no repo — mesmo repo consumido por múltiplos pipelines.

❓ Como compartilhar artefato entre stages?

Use e (ou / ). Stages posteriores podem baixar artefatos produzidos por stages anteriores, mesmo em jobs diferentes.

❓ Dá para rodar pipeline só em PR que muda uma pasta?

Sim. filtra por caminho. Útil em monorepos: pipeline da API só roda se mudou ou o próprio YAML.

❓ Como fazer IaC (Terraform/Bicep) no Azure Pipelines?

✅

Azure DevOps Pipelines: CI/CD na Microsoft Cloud

Azure DevOps em 30 segundos

Estrutura de um pipeline YAML

Deploy em AKS com stage + approval

Service Connections e Workload Identity Federation

Variable Groups + Key Vault

Templates — reuso em escala

Environments, checks e approvals

Agents: Microsoft-hosted vs Self-hosted

Monorepo, path filters e matriz

Segurança e governança

Azure DevOps vs GitHub Actions — o dilema Microsoft

Decisões

Perguntas típicas

Discussão

Azure DevOps Pipelines: CI/CD na Microsoft Cloud

Azure DevOps em 30 segundos

Estrutura de um pipeline YAML

Deploy em AKS com stage + approval

Service Connections e Workload Identity Federation

Variable Groups + Key Vault

Templates — reuso em escala

Environments, checks e approvals

Agents: Microsoft-hosted vs Self-hosted

Monorepo, path filters e matriz

Segurança e governança

Azure DevOps vs GitHub Actions — o dilema Microsoft

Decisões

Perguntas típicas

Discussão