Správa skupin proměnných

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Tento článek vysvětluje, jak vytvářet a používat skupiny proměnných ve službě Azure Pipelines. Skupiny proměnných ukládají hodnoty a tajné kódy, které můžete předat do kanálu YAML nebo zpřístupnit více kanálů v projektu.

Tajné proměnné ve skupinách proměnných jsou chráněné prostředky. Přidáním kombinací oprávnění ke schválení, kontrolám a kanálům můžete omezit přístup k tajným proměnným ve skupině proměnných. Přístup k nesekretním proměnným není omezen schváleními, kontrolami nebo oprávněními kanálu.

Skupiny proměnných se řídí modelem zabezpečení knihovny pro role a oprávnění.

Požadavky

• Organizace a projekt Azure DevOps Services, kde máte oprávnění vytvářet kanály a proměnné.
• Projekt ve vaší organizaci Azure DevOps nebo kolekci Azure DevOps Serveru. Pokud ho nemáte, vytvořte projekt .
• Pokud používáte Azure DevOps CLI, potřebujete Azure CLI verze 2.30.0 nebo vyšší s rozšířením Azure DevOps CLI. Další informace najdete v tématu Začínáme s Azure DevOps CLI.

Nastavení rozhraní CLI

Pokud používáte Azure DevOps CLI, musíte nastavit rozhraní příkazového řádku pro práci s organizací a projektem Azure DevOps.

1. Přihlaste se ke své organizaci Azure DevOps pomocí příkazu az login .

   az login
   

2. Pokud se zobrazí výzva, vyberte své předplatné ze seznamu zobrazeného v okně terminálu.

3. Pomocí následujících příkazů se ujistěte, že používáte nejnovější verzi Azure CLI a rozšíření Azure DevOps.

   az upgrade
   az extension add --name azure-devops --upgrade
   

4. V příkazech Azure DevOps CLI můžete nastavit výchozí organizaci a projekt pomocí:

   az devops configure --defaults organization=<YourOrganizationURL> project=<Project Name or ID>`
   

   Pokud jste nenastavili výchozí organizaci a projekt, můžete pomocí parametru detect=true ve svých příkazech automaticky rozpoznat kontext organizace a projektu na základě aktuálního adresáře. Pokud výchozí hodnoty nejsou nakonfigurované nebo zjištěné, musíte explicitně zadat org parametry a project parametry v příkazech.

Vytvoření skupiny proměnných

Pro spuštění kanálu v projektu můžete vytvořit skupiny proměnných.

Poznámka:

Pokud chcete vytvořit skupinu tajných proměnných pro propojení tajných kódů z trezoru klíčů Azure jako proměnné, postupujte podle pokynů v tématu Propojení skupiny proměnných s tajnými kódy ve službě Azure Key Vault.

Uživatelské rozhraní Azure Pipelines

1. V projektu Azure DevOps vyberte v nabídce vlevo knihovnu Pipelines>Library.

2. Na stránce Knihovna vyberte skupinu + Proměnná.

   

3. Na stránce nové skupiny proměnných v části Vlastnosti zadejte název a volitelný popis skupiny proměnných.

4. V části Proměnné vyberte + Přidat a zadejte název a hodnotu proměnné, které chcete zahrnout do skupiny. Pokud chcete hodnotu zašifrovat a bezpečně uložit, vyberte ikonu zámku vedle proměnné.

5. Pokud chcete přidat každou novou proměnnou, vyberte + Přidat . Po dokončení přidávání proměnných vyberte Uložit.

   

Tuto skupinu proměnných teď můžete použít v kanálech projektu.

Rozhraní příkazového řádku Azure DevOps

V Azure DevOps Services můžete vytvářet skupiny proměnných pomocí Azure DevOps CLI.

K vytvoření skupiny proměnných použijte příkaz az pipelines variable-group create .

Například následující příkaz vytvoří skupinu proměnných s názvem home-office-config, přidá proměnné app-location=home-office a app-name=contosoa výstupy výsledky ve formátu YAML.

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

Výstup:

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Aktualizace skupin proměnných

Uživatelské rozhraní Azure Pipelines

Skupiny proměnných můžete aktualizovat pomocí uživatelského rozhraní Azure Pipelines.

1. V projektu Azure DevOps vyberte v nabídce vlevo knihovnu Pipelines>Library.
2. Na stránce Knihovna vyberte skupinu proměnných, kterou chcete aktualizovat. Můžete také najet myší na výpis skupiny proměnných, vybrat ikonu Další možnosti a v nabídce vybrat Upravit .
3. Na stránce skupiny proměnných změňte některou z vlastností a pak vyberte Uložit.

Rozhraní příkazového řádku Azure DevOps

Ve službě Azure DevOps Services můžete aktualizovat skupiny proměnných pomocí Azure DevOps CLI.

Výpis skupin proměnných

Pokud chcete aktualizovat skupinu proměnných nebo proměnné v ní pomocí Azure DevOps CLI, použijte skupinu group-idproměnných .

Hodnotu ID skupiny proměnných můžete získat z výstupu příkazu pro vytvoření skupiny proměnných nebo pomocí příkazu az pipelines variable-group list .

Následující příkaz například zobrazí seznam prvních tří skupin proměnných projektu ve vzestupném pořadí a vrátí výsledky, včetně ID skupiny proměnných, ve formátu tabulky.

az pipelines variable-group list --top 3 --query-order Asc --output table

Výstup:

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

Aktualizace skupiny proměnných

Pokud chcete aktualizovat skupinu proměnných, použijte příkaz az pipelines variable-group update .

Poznámka:

Skupinu proměnných typu AzureKeyVault nemůžete aktualizovat pomocí Azure DevOps CLI.

Například následující příkaz aktualizuje skupinu proměnných s ID 4 , aby změnila name hodnotu a descriptiona výstupy výsledky ve formátu tabulky.

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

Výstup:

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

Zobrazení podrobností pro skupinu proměnných

K zobrazení podrobností pro skupinu proměnných můžete použít příkaz az pipelines variable-group show . Například následující příkaz zobrazí podrobnosti o skupině proměnných s ID 4 a vrátí výsledky ve formátu YAML.

az pipelines variable-group show --group-id 4 --output yaml

Výstup:

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Odstranění skupiny proměnných

Uživatelské rozhraní Azure Pipelines

Skupiny proměnných můžete odstranit v uživatelském rozhraní Azure Pipelines.

1. V projektu Azure DevOps vyberte v nabídce vlevo knihovnu Pipelines>Library.
2. Na stránce Knihovna najeďte myší na skupinu proměnných, kterou chcete odstranit, a vyberte ikonu Další možnosti.
3. V nabídce vyberte Odstranit a pak na potvrzovací obrazovce vyberte Odstranit .

Rozhraní příkazového řádku Azure DevOps

Ve službě Azure DevOps Services můžete odstranit skupiny proměnných pomocí Azure DevOps CLI.

Pokud chcete odstranit skupinu proměnných, použijte příkaz az pipelines variable-group delete . Následující příkaz například odstraní skupinu proměnných s ID 1 a nezobrazí výzvu k potvrzení.

az pipelines variable-group delete --group-id 1 --yes

Správa proměnných ve skupinách proměnných

Uživatelské rozhraní Azure Pipelines

Proměnné ve skupinách proměnných můžete měnit, přidávat nebo odstraňovat pomocí uživatelského rozhraní Azure Pipelines.

1. V projektu Azure DevOps vyberte v nabídce vlevo knihovnu Pipelines>Library.
2. Na stránce Knihovna vyberte skupinu proměnných, kterou chcete aktualizovat. Můžete také najet myší na výpis skupiny proměnných, vybrat ikonu Další možnosti a v nabídce vybrat Upravit .
3. Na stránce skupiny proměnných můžete:
   • Změňte libovolný název nebo hodnoty proměnných.
   • Odstraňte některou z proměnných tak, že vyberete ikonu uvolňování paměti vedle názvu proměnné.
   • Proměnné můžete změnit na tajný klíč nebo nezabezpečené tak, že vyberete ikonu zámku vedle hodnoty proměnné.
   • Nové proměnné přidáte tak , že vyberete + Přidat.
4. Po provedení změn vyberte Uložit.

Rozhraní příkazového řádku Azure DevOps

V Azure DevOps Services můžete spravovat proměnné ve skupinách proměnných pomocí Azure DevOps CLI.

Výpis proměnných ve skupině proměnných

Pokud chcete zobrazit seznam proměnných ve skupině proměnných, použijte příkaz az pipelines variable-group variable list . Následující příkaz například vypíše všechny proměnné ve skupině proměnných s ID 4 a zobrazí výsledek ve formátu tabulky.

az pipelines variable-group variable list --group-id 4 --output table

Výstup:

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

Přidání proměnných do skupiny proměnných

Pokud chcete přidat proměnnou do skupiny proměnných, použijte příkaz az pipelines variable-group variable create .

Například následující příkaz vytvoří novou proměnnou s výchozí requires-login hodnotou true ve skupině proměnných s ID 4. Výsledek se zobrazí ve formátu tabulky.

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

Výstup:

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

Aktualizace proměnných ve skupině proměnných

Pokud chcete aktualizovat proměnné ve skupině proměnných, použijte příkaz az pipelines variable-group variable update .

Poznámka:

Proměnné ve skupině proměnných typu AzureKeyVault nemůžete aktualizovat pomocí Azure DevOps CLI. Proměnné můžete aktualizovat pomocí az keyvault příkazů.

Následující příkaz například aktualizuje requires-login proměnnou novou hodnotou false ve skupině proměnných s ID 4a zobrazí výsledek ve formátu YAML. Příkaz určuje, že proměnná je .secret

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

Výstup zobrazuje hodnotu jako null místo false toho, že se jedná o tajnou skrytou hodnotu.

requires-login:
  isSecret: true
  value: null

Správa proměnných tajných kódů

Ke správě tajných proměnných použijte příkaz az pipelines variable-group variable update s následujícími parametry:

• secret: Nastavte na true indikaci, že hodnota proměnné je udržována v tajnosti.
• prompt-value: Nastavte na true aktualizaci hodnoty tajné proměnné pomocí proměnné prostředí nebo výzvy prostřednictvím standardního vstupu.
• value: U tajných proměnných použijte prompt-value parametr, který má být vyzván k zadání hodnoty prostřednictvím standardního vstupu. Pro neinteraktivní konzoly můžete vybrat proměnnou prostředí s předponou AZURE_DEVOPS_EXT_PIPELINE_VAR_. Můžete například zadat proměnnou s názvem MySecret pomocí proměnné AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecretprostředí .

Odstranění proměnných ze skupiny proměnných

Pokud chcete odstranit proměnnou ze skupiny proměnných, použijte příkaz az pipelines variable-group variable delete . Například následující příkaz odstraní requires-login proměnnou ze skupiny proměnných s ID 4.

az pipelines variable-group variable delete --group-id 4 --name requires-login

Příkazový řádek zobrazí potvrzení, protože je to výchozí. Pomocí parametru --yes přeskočte výzvu k potvrzení.

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

Použití skupin proměnných v kanálech

Skupiny proměnných můžete použít v kanálech YAML nebo Classic. Změny provedené ve skupině proměnných jsou automaticky dostupné pro všechny definice nebo fáze, se kterými je skupina proměnných propojena.

YAML

Pokud skupinu proměnných pojmenujete jenom v kanálech YAML, může každý, kdo může do úložiště odeslat kód, extrahovat obsah tajných kódů ve skupině proměnných. Proto pokud chcete použít skupinu proměnných s kanály YAML, musíte kanál autorizovat k použití této skupiny. Kanál můžete autorizovat tak, aby používal skupinu proměnných v uživatelském rozhraní Azure Pipelines nebo pomocí Azure DevOps CLI.

Autorizace prostřednictvím uživatelského rozhraní Pipelines

Kanály můžete autorizovat tak, aby používaly skupiny proměnných pomocí uživatelského rozhraní Azure Pipelines.

1. V projektu Azure DevOps vyberte v nabídce vlevo knihovnu Pipelines>Library.
2. Na stránce Knihovna vyberte skupinu proměnných, kterou chcete autorizovat.
3. Na stránce skupiny proměnných vyberte kartu Oprávnění kanálu.
4. Na obrazovce Oprávnění kanálu vyberte + a pak vyberte kanál, který chcete autorizovat. Nebo vyberte ikonu Další akce , vyberte Otevřít přístup a znovu vyberte Otevřít přístup a potvrďte to.

Výběr kanálu autorizuje tento kanál tak, aby používal skupinu proměnných. Pokud chcete autorizovat jiný kanál, znovu vyberte + ikonu. Výběrem možnosti Otevřít přístup autorizujete všechny kanály projektu tak, aby používaly skupinu proměnných. Otevřený přístup může být dobrou volbou, pokud ve skupině nemáte žádné tajné kódy.

Dalším způsobem, jak autorizovat skupinu proměnných, je vybrat kanál, vybrat Upravit a pak ručně zařadit sestavení do fronty. Zobrazí se chyba autorizace prostředků a pak můžete kanál explicitně přidat jako autorizovaný uživatel skupiny proměnných.

Autorizace prostřednictvím Azure DevOps CLI

Ve službě Azure DevOps Services můžete autorizovat skupiny proměnných pomocí Azure DevOps CLI.

Pokud chcete autorizovat všechny kanály projektu tak, aby používaly skupinu proměnných, nastavte authorize parametr v příkazu az pipelines variable-group create na true. Tento otevřený přístup může být dobrou volbou, pokud ve skupině nemáte žádné tajné kódy.

Propojení skupiny proměnných s kanálem

Po autorizaci kanálu YAML pro použití skupiny proměnných můžete použít proměnné v rámci skupiny v kanálu.

Pokud chcete použít proměnné ze skupiny proměnných, přidejte do souboru kanálu YAML odkaz na název skupiny.

variables:
- group: my-variable-group

Ve stejném kanálu můžete odkazovat na více skupin proměnných. Pokud několik skupin proměnných obsahuje proměnné se stejným názvem, nastaví hodnota proměnné poslední skupina proměnných, která používá proměnnou v souboru. Další informace o prioritě proměnných naleznete v tématu Rozšíření proměnných.

Můžete také odkazovat na skupinu proměnných v šabloně. Následující variables.yml soubor šablony odkazuje na skupinu my-variable-groupproměnných . Skupina proměnných obsahuje proměnnou s názvem myhello.

variables:
- group: my-variable-group

Kanál YAML odkazuje na šablonu variables.yml a používá proměnnou $(myhello) ze skupiny my-variable-groupproměnných .

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

Použití proměnných ve skupině propojených proměnných

K hodnotám proměnných ve skupině propojených proměnných přistupujete stejným způsobem, jakým přistupujete k proměnným, které definujete v rámci kanálu. Pokud například chcete získat přístup k hodnotě proměnné pojmenované customer ve skupině proměnných propojených s kanálem, můžete použít $(customer) parametr úlohy nebo skript.

Pokud v souboru kanálu použijete samostatné proměnné i skupiny proměnných, použijte name-value syntaxi samostatných proměnných.

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

Pokud chcete odkazovat na proměnnou ve skupině proměnných, můžete použít syntaxi makra nebo výraz runtime. V následujících příkladech má skupina my-variable-group proměnnou s názvem myhello.

Použití výrazu modulu runtime:

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

Použití syntaxe makra:

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

Nemůžete získat přístup k tajným proměnným, včetně šifrovaných proměnných a proměnných trezoru klíčů, přímo ve skriptech. Tyto proměnné musíte předat jako argumenty úkolu. Další informace najdete v tématu Proměnné tajných kódů.

Klasické

Použití skupin proměnných v klasických kanálech

Klasické kanály můžou používat skupiny proměnných bez samostatné autorizace. Použití skupiny proměnných:

1. Otevřete klasický kanál.

2. Vyberte skupiny Proměnných>a pak vyberte Propojit skupinu proměnných.

   • V kanálu buildu se zobrazí seznam dostupných skupin. Vyberte skupinu proměnných a vyberte Propojit. Všechny proměnné ve skupině jsou k dispozici pro použití v rámci kanálu.

   • V kanálu verze se také zobrazí rozevírací seznam fází v kanálu. Propojte skupinu proměnných se samotným kanálem nebo s jednou nebo více konkrétními fázemi kanálu verze. Pokud propojíte jednu nebo více fází, proměnné ze skupiny proměnných jsou vymezeny na tyto fáze a nejsou přístupné v ostatních fázích vydané verze.

   

Když nastavíte proměnnou se stejným názvem ve více oborech, použije se jako první následující priorita:

1. Proměnná nastavená při čekání ve frontě
2. Proměnná nastavená v kanálu
3. Proměnná nastavená ve skupině proměnných

Další informace o prioritě proměnných naleznete v tématu Rozšíření proměnných.

Poznámka:

Proměnné v různých skupinách, které jsou propojené s kanálem ve stejném oboru (například úloha nebo fáze), se sloučí a výsledek může být nepředvídatelný. Ujistěte se, že pro proměnné ve všech skupinách proměnných používáte různé názvy.

Související články

• Definování proměnných
• Definování vlastních proměnných
• Použití tajných a nesecretních proměnných ve skupinách proměnných
• Použití tajných klíčů ze služby Azure Key Vault v kanálů Azure
• Přidání schválení a kontrol