Это о том, где инфраструктура, выполняющая облачную среду, размещается. В частных облаках все аппаратные средства размещаются в дата-центре (дата-центрах) Вашей компании, в то время как инфраструктура в публичных облаках (как Amazon EC2) размещается другой компанией, и Вы используете просто облачную среду.
Доступ к TFS можно получить через порт 8080.
Вам необходимо открыть этот порт в брандмауэре и перенаправить трафик на сервер TFS; красивый рисунок доступен здесь: http://msdn.microsoft.com/en-us/library/ms252473.aspx
Документ, на который вы ссылаетесь, предназначен для демонстрации только веб-доступа Team System в Интернете, а не полной функциональности TFS. Хотя я считаю, что и веб-доступ к командной системе, и сама TFS по умолчанию используют порт 8080. Итак, вам нужно, чтобы порт 8080 был открыт из Интернета на уровень приложения, а затем вам нужно выделить уровень приложения для связи с SQL Server. SQL Server по умолчанию использует порт 1433, но если это именованный экземпляр SQL, он не будет использовать этот порт.
Тема, на которую вы указали ссылку, предложила второй уровень приложения, потому что они хотели предоставить Интернету лишь небольшую часть функций. Если вы раскрываете основную веб-службу TFS, я не думаю, что второй уровень приложения необходим, во всяком случае, не с точки зрения безопасности, я не знаю, означает ли ваша ситуация, что это может быть необходимо для производительности.