Variablengruppen verwalten

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

In diesem Artikel wird erläutert, wie Variablengruppen in Azure-Pipelines erstellt und verwendet werden. Variablengruppen speichern Werte und Secrets, die Sie an eine YAML-Pipeline übergeben oder über mehrere Pipelines in einem Projekt hinweg verfügbar machen können.

Secret-Variablen in Variablengruppen sind geschützte Ressourcen. Sie können Kombinationen von Genehmigungen, Überprüfungen und Pipelineberechtigungen hinzufügen, um den Zugriff auf Geheimnisvariablen in einer Variablengruppe zu beschränken. Der Zugriff auf Nicht-Secret-Variablen ist nicht durch Genehmigungen, Überprüfungen oder Pipelineberechtigungen eingeschränkt.

Variablengruppen folgen dem Bibliothekssicherheitsmodell für Rollen und Berechtigungen.

Voraussetzungen

• Eine Azure DevOps Services-Organisation und ein Projekt, in dem Sie über Berechtigungen zum Erstellen von Pipelines und Variablen verfügen.
• Ein Projekt in Ihrer Azure DevOps-Organisation oder Azure DevOps Server-Sammlung. Erstellen Sie ein Projekt, wenn Sie kein Projekt haben.
• Wenn Sie die Azure DevOps CLI verwenden, benötigen Sie Azure CLI Version 2.30.0 oder höher mit der Azure DevOps CLI-Erweiterung. Weitere Informationen finden Sie unter Erste Schritte mit der Azure DevOps-CLI.

Einrichten der CLI

Wenn Sie die Azure DevOps CLI verwenden, müssen Sie die CLI einrichten, um mit Ihrer Azure DevOps-Organisation und Ihrem Projekt zu arbeiten.

1. Melden Sie sich mit dem Az-Anmeldebefehl bei Ihrer Azure DevOps-Organisation an.

   az login
   

2. Wenn Sie dazu aufgefordert werden, wählen Sie Ihr Abonnement aus der Liste aus, die im Terminalfenster angezeigt wird.

3. Stellen Sie sicher, dass Sie die neueste Version der Azure CLI und der Azure DevOps-Erweiterung mit den folgenden Befehlen ausführen.

   az upgrade
   az extension add --name azure-devops --upgrade
   

4. In Azure DevOps CLI-Befehlen können Sie die Standardorganisation und das Standardprojekt mithilfe von:

   az devops configure --defaults organization=<YourOrganizationURL> project=<Project Name or ID>`
   

   Wenn Sie die Standardorganisation und das Standardprojekt nicht festgelegt haben, können Sie den detect=true Parameter in Ihren Befehlen verwenden, um den Organisations- und Projektkontext basierend auf Ihrem aktuellen Verzeichnis automatisch zu erkennen. Wenn die Standardwerte nicht konfiguriert oder erkannt werden, müssen Sie die org Und-Parameter project in Ihren Befehlen explizit angeben.

Erstellen einer Variablengruppe

Sie können Variablengruppen für die Pipelineausführungen in Ihrem Projekt erstellen.

Hinweis

Um eine geheime Variablengruppe zu erstellen, um geheime Schlüssel aus einem Azure Key Vault als Variablen zu verknüpfen, befolgen Sie die Anweisungen unter "Verknüpfen einer Variablengruppe mit geheimen Schlüsseln" in Azure Key Vault.

Azure Pipelines-UI

1. Wählen Sie in Ihrem Azure DevOps-Projekt Pipelines>Library im linken Menü.

2. Klicken Sie auf der Seite Bibliothek auf + Variablengruppe.

   

3. Geben Sie auf der Seite „Neue Variablengruppe“ unter Eigenschaften einen Namen und eine optionale Beschreibung für die Variablengruppe ein.

4. Wählen Sie unter Variablen + Hinzufügen und geben Sie dann einen Variablennamen und einen Wert ein, der in die Gruppe aufgenommen werden soll. Wenn Sie den Wert verschlüsseln und sicher speichern möchten, wählen Sie das Schlosssymbol neben der Variablen aus.

5. Wählen Sie + Hinzufügen, um die einzelnen neuen Variablen hinzuzufügen. Wenn Sie mit dem Hinzufügen von Variablen fertig sind, wählen Sie Speichern.

   

Sie können diese Variablengruppe jetzt in Projekt-Pipelines verwenden.

Erste Schritte mit der Azure DevOps-CLI

In Azure DevOps Services können Sie Variablengruppen mithilfe der Azure DevOps-CLI erstellen.

Sie können eine Variablengruppe mit dem Befehl az pipelines variable-group create erstellen.

Beispielsweise erstellt der folgende Befehl eine Variablengruppe mit dem Namen home-office-config, fügt die Variablen app-location=home-office und app-name=contoso hinzu und gibt die Ergebnisse im YAML-Format aus.

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

Ausgabe:

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Aktualisieren von Variablengruppen

Azure Pipelines-UI

Sie können Variablengruppen mithilfe der Benutzeroberfläche von Azure Pipelines aktualisieren.

1. Wählen Sie in Ihrem Azure DevOps-Projekt Pipelines>Library im linken Menü.
2. Wählen Sie auf der Seite Bibliothek die Variablengruppe aus, die Sie aktualisieren möchten. Sie können auch mit dem Mauszeiger auf den Variablengruppeneintrag zeigen, das Symbol Weitere Optionen und dann Bearbeiten im Menü auswählen.
3. Ändern Sie auf der Seite der Variablengruppe eine der Eigenschaften, und wählen Sie dann Speichern.

Erste Schritte mit der Azure DevOps-CLI

In Azure DevOps Services können Sie Variablengruppen mithilfe der Azure DevOps-CLI aktualisieren.

Auflisten von Variablengruppen

Zum Aktualisieren einer Variablengruppe oder der darin enthaltenen Variablen mithilfe der Azure DevOps-CLI verwenden Sie die Variablegruppe group-id.

Sie können den Wert der Variablengruppen-ID aus der Ausgabe des Befehls zur Variablengruppenerstellung abrufen oder den Befehl az pipelines variable-group list verwenden.

Der folgende Befehl listet beispielsweise die ersten drei Projektvariablengruppen in aufsteigender Reihenfolge auf und gibt die Ergebnisse, einschließlich der Variablengruppen-ID, im Tabellenformat zurück.

az pipelines variable-group list --top 3 --query-order Asc --output table

Ausgabe:

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

Aktualisieren einer Variablengruppe

Sie können eine Variablengruppe mit dem Befehl az pipelines variable-group update aktualisieren.

Hinweis

Sie können eine variable Gruppe vom Typ AzureKeyVault nicht mithilfe der Azure DevOps CLI aktualisieren.

Mit dem folgenden Befehl wird beispielsweise die Variablengruppe mit der ID 4 aktualisiert, um name und description zu ändern; die Ergebnisse werden im Tabellenformat ausgegeben.

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

Ausgabe:

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

Anzeigen von Details für eine Variablengruppe

Sie können den Befehl az pipelines variable-group show, um Details für eine Variablengruppe anzuzeigen. Der folgende Befehl zeigt beispielsweise Details für die Variablengruppe mit der ID 4 und gibt die Ergebnisse im YAML-Format zurück.

az pipelines variable-group show --group-id 4 --output yaml

Ausgabe:

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Löschen einer Variablengruppe

Azure Pipelines-UI

Sie können Variablengruppen auf der Benutzeroberfläche von Azure Pipelines löschen.

1. Wählen Sie in Ihrem Azure DevOps-Projekt Pipelines>Library im linken Menü.
2. Zeigen Sie auf der Seite Bibliothek auf die Variablengruppe, die Sie löschen möchten, und wählen Sie das Symbol Weitere Optionen.
3. Wählen Sie im Menü Löschen und dann auf dem Bestätigungsbildschirm Löschen aus.

Erste Schritte mit der Azure DevOps-CLI

In Azure DevOps Services können Sie Variablengruppen mithilfe der Azure DevOps-CLI löschen.

Sie können eine Variablengruppe mit dem Befehl az pipelines variable-group delete löschen. Der folgende Befehl löscht beispielsweise die Variablengruppe mit der ID 1, ohne dass eine Bestätigung erforderlich ist.

az pipelines variable-group delete --group-id 1 --yes

Verwalten von Variablen in Variablengruppen

Azure Pipelines-UI

Sie können Variablen in Variablengruppen mithilfe der Benutzeroberfläche von Azure Pipelines ändern, hinzufügen oder löschen.

1. Wählen Sie in Ihrem Azure DevOps-Projekt Pipelines>Library im linken Menü.
2. Wählen Sie auf der Seite Bibliothek die Variablengruppe aus, die Sie aktualisieren möchten. Sie können auch mit dem Mauszeiger auf den Variablengruppeneintrag zeigen, das Symbol Weitere Optionen und dann Bearbeiten im Menü auswählen.
3. Auf der Variablengruppenseite können Sie folgende Aktionen ausführen:
   • Ändern der Variablennamen oder -werte.
   • Löschen von Variablen, indem Sie das Papierkorbsymbol neben dem Variablennamen auswählen.
   • Ändern von Variablen zu Secrets oder Non-Secrets, indem Sie das Schlosssymbol neben dem Variablenwert auswählen.
   • Fügen Sie neue Variablen hinzu, indem Sie + Hinzufügen auswählen.
4. Klicken Sie auf Speichern, nachdem Sie die Änderungen vorgenommen haben.

Erste Schritte mit der Azure DevOps-CLI

In Azure DevOps Services können Sie Variablen in Variablengruppen mithilfe der Azure DevOps CLI verwalten.

Auflisten von Variablen in einer Variablengruppe

Sie können die Variablen in einer Variablengruppe mit dem Befehl az pipelines variable-group variable list auflisten. Der folgende Befehl listet beispielsweise alle Variablen in der Variablengruppe mit der ID 4 auf und zeigt das Ergebnis im Tabellenformat an.

az pipelines variable-group variable list --group-id 4 --output table

Ausgabe:

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

Hinzufügen von Variablen zu einer Variablengruppe

Sie können eine Variable mit dem Befehl az pipelines variable-group variable create einer Variablengruppe hinzufügen.

Mit dem folgenden Befehl wird beispielsweise eine neue Variable mit dem Namen requires-login und dem Standardwert true in der Variablengruppe mit der ID 4 erstellt. Das Ergebnis wird im Tabellenformat angezeigt.

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

Ausgabe:

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

Aktualisieren von Variablen in einer Variablengruppe

Sie können Variablen in einer Variablengruppe mit dem Befehl az pipelines variable-group variable update aktualisieren.

Hinweis

Sie können Variablen in einer Variablengruppe nicht mithilfe der AzureKeyVault Azure DevOps CLI aktualisieren. Sie können Variablen über die az keyvault Befehle aktualisieren.

Mit dem folgenden Befehl wird beispielsweise die Variable requires-login mit dem neuen Wert false in der Variablengruppe mit ID 4aktualisiert und das Ergebnis im YAML-Format angezeigt. Der Befehl gibt an, dass es sich bei der Variablen um ein secret handelt.

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

Die Ausgabe zeigt den Wert als null anstelle von false an, weil es sich um einen ausgeblendeten Secret-Wert handelt.

requires-login:
  isSecret: true
  value: null

Verwalten von Secret-Variablen

Um geheime Variablen zu verwalten, verwenden Sie den Befehl az pipelines variable-group variable update mit den folgenden Parametern:

• secret: Stellen Sie true ein, um anzugeben, dass der Wert der Variablen geheim bleibt.
• prompt-value: Stellen Sie true ein, um den Wert einer Secret-Variablen mithilfe einer Umgebungsvariablen zu aktualisieren oder dazu per Standardeingabe aufzufordern.
• value: Verwenden Sie für Secret-variablen den Parameter prompt-value für die Aufforderung zur Eingabe des Wertes per Standardeingabe. Bei nicht interaktiven Konsolen kann dies aus der Umgebungsvariablen mit dem Präfix AZURE_DEVOPS_EXT_PIPELINE_VAR_ übernommen werden. Beispielsweise kann eine Variable mit dem Namen MySecret mithilfe der Umgebungsvariablen AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecret eingegeben werden.

Löschen von Variablen aus einer Variablengruppe

Sie können mit dem Befehl az pipelines variable-group variable delete eine Variable aus einer Variablengruppe löschen. Mit dem folgenden Befehl wird beispielsweise die Variable requires-login aus der Variablengruppe mit ID 4gelöscht.

az pipelines variable-group variable delete --group-id 4 --name requires-login

Der Befehl erfordert eine Bestätigung, da dies der Standardwert ist. Verwenden Sie den --yes Parameter, um die Bestätigungsaufforderung zu überspringen.

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

Verwenden von Variablengruppen in Pipelines

Sie können Variablengruppen in YAML- oder klassischen Pipelines verwenden. Änderungen, die Sie an einer Variablengruppe vornehmen, sind automatisch für alle Definitionen oder Phasen verfügbar, mit denen die Variablengruppe verknüpft ist.

YAML

Wenn Sie nur die Variablengruppe in YAML-Pipelines benennen, können alle, die per Push Code an Ihr Repository übermitteln können, den Inhalt der Secrets in der Variablengruppe extrahieren. Um daher eine Variablengruppe mit YAML-Pipelines zu verwenden, müssen Sie die Pipeline für die Verwendung der Gruppe autorisieren. Sie können eine Pipeline autorisieren, eine variable Gruppe auf der Benutzeroberfläche von Azure Pipelines oder mithilfe der Azure DevOps CLI zu verwenden.

Autorisierung über die Pipelines-Benutzeroberfläche

Sie können Pipelines für die Verwendung Ihrer Variablengruppen mithilfe der Benutzeroberfläche von Azure Pipelines autorisieren.

1. Wählen Sie in Ihrem Azure DevOps-Projekt Pipelines>Library im linken Menü.
2. Wählen Sie auf der Seite Bibliothek die Variablengruppe aus, die Sie autorisieren möchten.
3. Wählen Sie auf der Seite mit der Variablengruppe die Registerkarte Pipelineberechtigungen aus.
4. Wählen Sie auf dem Bildschirm Pipelineberechtigungen + und dann die zu autorisierende Pipeline aus. Oder wählen Sie das Symbol Weitere Aktionen, Offener Zugriff und dann zur Bestätigung erneut Offener Zugriff aus.

Wenn Sie eine Pipeline auswählen, wird diese Pipeline für die Verwendung der Variablengruppe autorisiert. Um eine weitere Pipeline zu autorisieren, wählen Sie das Symbol + erneut aus. Wenn Sie Offener Zugriff auswählen, werden alle Projekt-Pipelines zur Verwendung der Variablengruppe autorisiert. „Offener Zugriff“ bietet sich an, wenn Sie keine Secrets in der Gruppe haben.

Eine weitere Möglichkeit zur Autorisierung einer Variablengruppe ist die Auswahl von Bearbeiten und das anschließende Queueing eines Builds. Sie erhalten einen Ressourcenautorisierungsfehler und können die Pipeline dann explizit als autorisierter Benutzer der Variablengruppe hinzufügen.

Autorisierung über die Azure DevOps CLI

In Azure DevOps Services können Sie Variablengruppen mithilfe der Azure DevOps-CLI autorisieren.

Um alle Projekt-Pipelines für die Verwendung der Variablengruppe zu autorisieren, legen Sie den Parameter authorize im Befehl az pipelines variable-group create auf true fest. Dieser offene Zugriff ist möglicherweise eine gute Option, wenn Sie keine geheimen Schlüssel in der Gruppe haben.

Verknüpfen einer Variablengruppe mit einer Pipeline

Nachdem Sie eine YAML-Pipeline für die Verwendung einer Variablengruppe autorisiert haben, können Sie Variablen innerhalb der Gruppe in der Pipeline verwenden.

Um Variablen aus einer Variablengruppe zu verwenden, fügen Sie einen Verweis auf den Gruppennamen in der YAML-Pipelinedatei hinzu.

variables:
- group: my-variable-group

Sie können auf mehrere Variablengruppen in derselben Pipeline verweisen. Wenn mehrere Variablengruppen die Variablen mit demselben Namen enthalten, legt die letzte Variablengruppe, die die Variable in der Datei verwendet, den Wert der Variablen fest. Weitere Informationen zur Rangfolge von Variablen finden Sie unter Erweiterung von Variablen.

Sie können auch auf eine Variablengruppe in einer Vorlage verweisen. Die folgende variables.yml-Vorlagendatei verweist auf die Variablengruppe my-variable-group. Die Variablengruppe enthält eine Variable mit dem Namen myhello.

variables:
- group: my-variable-group

Die YAML-Pipeline verweist auf die Vorlage variables.yml und verwendet die Variable $(myhello) aus der Variablengruppe my-variable-group.

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

Verwenden von Variablen in einer verknüpften Variablengruppe

Sie greifen auf die Variablenwerte in einer verknüpften Variablengruppe genauso zu, wie Sie auf Variablen zugreifen, die Sie in der Pipeline definieren. Wenn Sie beispielsweise auf den Wert einer Variable mit dem Namen customer in einer Variablengruppe zugreifen möchten, die mit der Pipeline verknüpft ist, können Sie $(customer) in einem Task-Parameter oder einem Skript verwenden.

Wenn Sie sowohl eigenständige Variablen als auch Variablengruppen in Ihrer Pipelinedatei verwenden, verwenden Sie die name-value-Syntax für die eigenständigen Variablen.

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

Verwenden Sie Makrosyntax oder einen Laufzeitausdruck, um auf eine Variable in einer Variablengruppe zu verweisen. In den folgenden Beispielen verfügt die Gruppe my-variable-group über eine Variable mit dem Namen myhello.

So verwenden Sie einen Laufzeitausdruck:

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

So verwenden Sie Makrosyntax:

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

Sie können nicht direkt in Skripts auf Secret-Variablen, einschließlich verschlüsselter Variablen und Key Vault-Variablen, zugreifen. Sie müssen diese Variablen als Argumente an eine Aufgabe übergeben. Weitere Informationen finden Sie unter Secret-Variablen.

Klassisch

Verwenden von Variablengruppen in klassischen Pipelines

Klassische Pipelines können Variablenruppen ohne separate Autorisierung verwenden. So verwenden Sie eine Variablengruppe:

1. Öffnen Sie Ihre klassische Pipeline.

2. Wählen Sie Variablen>Variablengruppen und dann Variablengruppe verknüpfen.

   • In einer Buildpipeline wird eine Liste der verfügbaren Gruppen angezeigt. Wählen Sie eine Variablegruppe aus, und wählen Sie "Link" aus. Alle Variablen in der Gruppe sind für die Verwendung innerhalb der Pipeline verfügbar.

   • In einer Release-Pipeline wird beispielsweise auch eine Dropdownliste der Phasen in der Pipeline angezeigt. Verknüpfen Sie die Variablengruppe wird mit der Pipeline selbst oder mit einer oder mehreren bestimmten Phase(n) der Release-Pipeline. Wenn Sie eine Verknüpfung mit einer oder mehreren Phasen herstellen, werden die Variablen aus der Variablengruppe auf diese Phasen beschränkt und sind in den anderen Phasen derselben Version nicht verfügbar.

   

Wenn Sie in mehreren Bereichen eine Variable mit dem gleichen Namen festlegen, wird die folgende Rangfolge verwendet (höchster Rang zuerst):

1. Zum Einreihungszeitpunkt festgelegte Variable
2. In der Pipeline festgelegte Variable
3. In der Variablengruppe festgelegte Variable

Weitere Informationen zur Rangfolge von Variablen finden Sie unter Erweiterung von Variablen.

Hinweis

Variablen in verschiedenen Gruppen, die mit einer Pipeline im selben Bereich (z. B. Auftrag oder Stage) verknüpft sind, führen zu Konflikten und können zu unvorhersehbaren Ergebnissen führen. Stellen Sie sicher, dass Sie für Variablen in allen Variablengruppen unterschiedliche Namen verwenden.

Verwandte Artikel

• Definieren von Variablen
• Definieren benutzerdefinierter Variablen
• Verwenden von Geheimnis- und Nicht-Geheimnisvariablen in Variablengruppen
• Verwenden von Geheimnissen aus Azure Key Vault in Azure Pipelines
• Hinzufügen von Genehmigungen und Überprüfungen