Variabelegroepen beheren

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

In dit artikel wordt uitgelegd hoe u variabelegroepen maakt en gebruikt in Azure Pipelines. In variabelengroepen worden waarden en geheimen opgeslagen die u kunt doorgeven aan een YAML-pijplijn of die beschikbaar zijn voor meerdere pijplijnen in een project.

Geheime variabelen in variabelegroepen zijn beveiligde resources. U kunt combinaties van goedkeuringen, controles en pijplijnmachtigingen toevoegen om de toegang tot geheime variabelen in een variabelegroep te beperken. Toegang tot niet-secret-variabelen wordt niet beperkt door goedkeuringen, controles of pijplijnmachtigingen.

Variabelegroepen volgen het bibliotheekbeveiligingsmodel voor rollen en machtigingen.

Vereisten

• Een Azure DevOps Services-organisatie en -project waar u gemachtigd bent om pijplijnen en variabelen te maken.
• Een project in uw Azure DevOps-organisatie of Azure DevOps Server-verzameling. Maak een project als u er nog geen hebt.
• Als u de Azure DevOps CLI gebruikt, hebt u Azure CLI versie 2.30.0 of hoger nodig met de Azure DevOps CLI-extensie. Zie Aan de slag met Azure DevOps CLI voor meer informatie.

De CLI instellen

Als u de Azure DevOps CLI gebruikt, moet u de CLI instellen voor gebruik met uw Azure DevOps-organisatie en -project.

1. Meld u aan bij uw Azure DevOps-organisatie met behulp van de opdracht az login .

   az login
   

2. Als u hierom wordt gevraagd, selecteert u uw abonnement in de lijst die wordt weergegeven in het terminalvenster.

3. Zorg ervoor dat u de nieuwste versie van de Azure CLI en de Azure DevOps-extensie uitvoert met behulp van de volgende opdrachten.

   az upgrade
   az extension add --name azure-devops --upgrade
   

4. In Azure DevOps CLI-opdrachten kunt u de standaardorganisatie en het standaardproject instellen met behulp van:

   az devops configure --defaults organization=<YourOrganizationURL> project=<Project Name or ID>`
   

   Als u de standaardorganisatie en het standaardproject niet hebt ingesteld, kunt u de detect=true parameter in uw opdrachten gebruiken om automatisch de organisatie- en projectcontext te detecteren op basis van uw huidige map. Als de standaardinstellingen niet zijn geconfigureerd of gedetecteerd, moet u expliciet de org en project parameters in uw opdrachten opgeven.

Een variabelegroep maken

U kunt variabele groepen maken voor de pijplijnuitvoeringen in uw project.

Notitie

Als u een geheime variabelegroep wilt maken om geheimen uit een Azure-sleutelkluis als variabelen te koppelen, volgt u de instructies in Een variabelegroep koppelen aan geheimen in Azure Key Vault.

Gebruikersinterface van Azure Pipelines

1. Selecteer In uw Azure DevOps-project pijplijnenbibliotheek> in het linkermenu.

2. Selecteer + Variabele op de pagina Bibliotheek.

   

3. Voer op de pagina nieuwe variabelegroep onder Eigenschappen een naam en een optionele beschrijving in voor de variabelegroep.

4. Selecteer onder Variabelen de optie + Toevoegen en voer vervolgens een naam en waarde van een variabele in die u wilt opnemen in de groep. Als u de waarde wilt versleutelen en veilig wilt opslaan, selecteert u het vergrendelingspictogram naast de variabele.

5. Selecteer + Toevoegen om elke nieuwe variabele toe te voegen. Wanneer u klaar bent met het toevoegen van variabelen, selecteert u Opslaan.

   

U kunt deze variabelegroep nu gebruiken in projectpijplijnen.

Azure DevOps CLI

In Azure DevOps Services kunt u variabele groepen maken met behulp van de Azure DevOps CLI.

Als u een variabelegroep wilt maken, gebruikt u de opdracht az pipelines variable-group create .

Met de volgende opdracht maakt u bijvoorbeeld een variabelegroep met de naam home-office-config, voegt u de variabelen app-location=home-office toe en app-name=contosoen resulteert uitvoer in YAML-indeling.

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

Uitvoer:

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Variabelegroepen bijwerken

Gebruikersinterface van Azure Pipelines

U kunt variabelegroepen bijwerken met behulp van de gebruikersinterface van Azure Pipelines.

1. Selecteer In uw Azure DevOps-project pijplijnenbibliotheek> in het linkermenu.
2. Selecteer op de pagina Bibliotheek de variabelegroep die u wilt bijwerken. U kunt ook de muisaanwijzer op de lijst met variabelengroepen plaatsen, het pictogram Meer opties selecteren en Bewerken selecteren in het menu.
3. Wijzig een van de eigenschappen op de pagina van de variabelegroep en selecteer Opslaan.

Azure DevOps CLI

In Azure DevOps Services kunt u variabele groepen bijwerken met behulp van de Azure DevOps CLI.

Groepen met variabelen weergeven

Als u een variabelegroep of de variabelen erin wilt bijwerken met behulp van de Azure DevOps CLI, gebruikt u de variabelegroep group-id.

U kunt de waarde van de id van de variabelegroep ophalen uit de uitvoer van de opdracht voor het maken van variabelengroepen of de opdracht az pipelines variable-group list gebruiken.

Met de volgende opdracht worden bijvoorbeeld de eerste drie projectvariabelegroepen in oplopende volgorde weergegeven en worden de resultaten, inclusief de id van de variabelegroep, in tabelindeling geretourneerd.

az pipelines variable-group list --top 3 --query-order Asc --output table

Uitvoer:

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

Een variabelegroep bijwerken

Als u een variabelegroep wilt bijwerken, gebruikt u de opdracht az pipelines variable-group update .

Notitie

U kunt een variabelegroep van het type AzureKeyVault niet bijwerken met behulp van de Azure DevOps CLI.

Met de volgende opdracht wordt bijvoorbeeld de variabelegroep bijgewerkt met id 4 om de name en descriptionen en uitvoerresultaten te wijzigen in tabelindeling.

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

Uitvoer:

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

Details weergeven voor een variabelegroep

U kunt de opdracht az pipelines variable-group show gebruiken om details voor een variabelegroep weer te geven. De volgende opdracht toont bijvoorbeeld details voor de variabelegroep met id 4 en retourneert de resultaten in YAML-indeling.

az pipelines variable-group show --group-id 4 --output yaml

Uitvoer:

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Een variabelegroep verwijderen

Gebruikersinterface van Azure Pipelines

U kunt variabelengroepen verwijderen in de gebruikersinterface van Azure Pipelines.

1. Selecteer In uw Azure DevOps-project pijplijnenbibliotheek> in het linkermenu.
2. Beweeg op de pagina Bibliotheek de muisaanwijzer over de variabelegroep die u wilt verwijderen en selecteer het pictogram Meer opties .
3. Selecteer Verwijderen in het menu en selecteer Verwijderen op het bevestigingsscherm.

Azure DevOps CLI

In Azure DevOps Services kunt u variabele groepen verwijderen met behulp van de Azure DevOps CLI.

Als u een variabelegroep wilt verwijderen, gebruikt u de opdracht az pipelines variable-group delete . Met de volgende opdracht wordt bijvoorbeeld de variabelegroep met id 1 verwijderd en wordt er geen bevestiging gevraagd.

az pipelines variable-group delete --group-id 1 --yes

Variabelen beheren in variabelegroepen

Gebruikersinterface van Azure Pipelines

U kunt variabelen in variabelegroepen wijzigen, toevoegen of verwijderen met behulp van de gebruikersinterface van Azure Pipelines.

1. Selecteer In uw Azure DevOps-project pijplijnenbibliotheek> in het linkermenu.
2. Selecteer op de pagina Bibliotheek de variabelegroep die u wilt bijwerken. U kunt ook de muisaanwijzer op de lijst met variabelengroepen plaatsen, het pictogram Meer opties selecteren en Bewerken selecteren in het menu.
3. Op de pagina variabelegroep kunt u het volgende doen:
   • Wijzig de namen of waarden van variabelen.
   • Verwijder een van de variabelen door het prullenbakpictogram naast de naam van de variabele te selecteren.
   • Wijzig variabelen in geheim of niet-geheim door het vergrendelingspictogram naast de variabelewaarde te selecteren.
   • Voeg nieuwe variabelen toe door + Toevoegen te selecteren.
4. Nadat u wijzigingen hebt aangebracht, selecteert u Opslaan.

Azure DevOps CLI

In Azure DevOps Services kunt u variabelen in variabelegroepen beheren met behulp van de Azure DevOps CLI.

Variabelen weergeven in een variabelegroep

Als u de variabelen in een variabelegroep wilt weergeven, gebruikt u de opdracht az pipelines variable-group variable list . Met de volgende opdracht worden bijvoorbeeld alle variabelen in de variabelegroep met id 4 weergegeven en wordt het resultaat in tabelindeling weergegeven.

az pipelines variable-group variable list --group-id 4 --output table

Uitvoer:

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

Variabelen toevoegen aan een variabelegroep

Als u een variabele wilt toevoegen aan een variabelegroep, gebruikt u de opdracht az pipelines variable-group variable create .

Met de volgende opdracht maakt u bijvoorbeeld een nieuwe variabele met de naam requires-login met een standaardwaarde in true de variabelegroep met id 4. Het resultaat wordt weergegeven in tabelindeling.

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

Uitvoer:

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

Variabelen in een variabelegroep bijwerken

Als u variabelen in een variabelegroep wilt bijwerken, gebruikt u de opdracht az pipelines variable-group variable update .

Notitie

U kunt variabelen in een variabelegroep van het type AzureKeyVault niet bijwerken met behulp van de Azure DevOps CLI. U kunt variabelen bijwerken via de az keyvault opdrachten.

Met de volgende opdracht requires-login wordt de variabele bijvoorbeeld bijgewerkt met de nieuwe waarde false in de variabelegroep met id 4en wordt het resultaat in YAML-indeling weergegeven. De opdracht geeft aan dat de variabele een secret.

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

In de uitvoer wordt de waarde weergegeven zoals null in plaats van false omdat het een verborgen geheime waarde is.

requires-login:
  isSecret: true
  value: null

Geheime variabelen beheren

Als u geheime variabelen wilt beheren, gebruikt u de opdracht az pipelines variable-group variable update met de volgende parameters:

• secret: Ingesteld om aan te true geven dat de waarde van de variabele geheim blijft.
• prompt-value: Ingesteld om de waarde van een geheime variabele bij te true werken met behulp van een omgevingsvariabele of prompt via standaardinvoer.
• value: Voor geheime variabelen gebruikt u de prompt-value parameter om de waarde via standaardinvoer in te voeren. Voor niet-inactieve consoles kunt u de omgevingsvariabele ophalen met AZURE_DEVOPS_EXT_PIPELINE_VAR_het voorvoegsel . U kunt bijvoorbeeld een variabele met de naam MySecret invoeren met behulp van de omgevingsvariabele AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecret.

Variabelen verwijderen uit een variabelegroep

Als u een variabele uit een variabelegroep wilt verwijderen, gebruikt u de opdracht az pipelines variable-group variable delete . Met de volgende opdracht wordt bijvoorbeeld de requires-login variabele uit de variabelegroep met id 4verwijderd.

az pipelines variable-group variable delete --group-id 4 --name requires-login

De opdracht vraagt om bevestiging omdat dit de standaardinstelling is. Gebruik de --yes parameter om de bevestigingsprompt over te slaan.

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

Variabelegroepen gebruiken in pijplijnen

U kunt variabelegroepen gebruiken in YAML- of klassieke pijplijnen. Wijzigingen die u aanbrengt in een variabelegroep, zijn automatisch beschikbaar voor alle definities of fasen waaraan de variabelegroep is gekoppeld.

YAML

Als u alleen de variabelegroep in YAML-pijplijnen een naam krijgt, kan iedereen die code naar uw opslagplaats kan pushen, de inhoud van geheimen in de variabelegroep extraheren. Als u daarom een variabelegroep wilt gebruiken met YAML-pijplijnen, moet u de pijplijn autoriseren om de groep te gebruiken. U kunt een pijplijn machtigen om een variabelegroep te gebruiken in de gebruikersinterface van Azure Pipelines of met behulp van de Azure DevOps CLI.

Autorisatie via de gebruikersinterface van pijplijnen

U kunt pijplijnen autoriseren om uw variabelegroepen te gebruiken met behulp van de gebruikersinterface van Azure Pipelines.

1. Selecteer In uw Azure DevOps-project pijplijnenbibliotheek> in het linkermenu.
2. Selecteer op de pagina Bibliotheek de variabelegroep die u wilt autoriseren.
3. Selecteer op de pagina variabelegroep het tabblad Pijplijnmachtigingen .
4. Selecteer + in het scherm Pijplijnmachtigingen een pijplijn die u wilt autoriseren. Of selecteer het pictogram Meer acties , selecteer Toegang openen en selecteer Opnieuw openen om te bevestigen.

Als u een pijplijn selecteert, wordt die pijplijn gemachtigd om de variabelegroep te gebruiken. Als u een andere pijplijn wilt autoriseren, selecteert u het + pictogram opnieuw. Als u Open Access selecteert, worden alle projectpijplijnen gemachtigd om de variabelegroep te gebruiken. Open access is mogelijk een goede optie als u geen geheimen in de groep hebt.

Een andere manier om een variabelegroep te autoriseren is door de pijplijn te selecteren, Bewerken te selecteren en vervolgens handmatig een build in de wachtrij te plaatsen. U ziet een resourceautorisatiefout en u kunt de pijplijn vervolgens expliciet toevoegen als geautoriseerde gebruiker van de variabelegroep.

Autorisatie via de Azure DevOps CLI

In Azure DevOps Services kunt u variabele groepen autoriseren met behulp van de Azure DevOps CLI.

Als u alle projectpijplijnen wilt autoriseren om de variabelegroep te gebruiken, stelt u de authorize parameter in de opdracht az pipelines variable-group create in op true. Deze open toegang is mogelijk een goede optie als u geen geheimen in de groep hebt.

Een variabelegroep koppelen aan een pijplijn

Zodra u een YAML-pijplijn machtigt om een variabelegroep te gebruiken, kunt u variabelen in de groep in de pijplijn gebruiken.

Als u variabelen uit een variabelegroep wilt gebruiken, voegt u een verwijzing toe naar de groepsnaam in uw YAML-pijplijnbestand.

variables:
- group: my-variable-group

U kunt verwijzen naar meerdere variabelegroepen in dezelfde pijplijn. Als meerdere variabelegroepen de variabelen met dezelfde naam bevatten, stelt de laatste variabelegroep die gebruikmaakt van de variabele in het bestand de waarde van de variabele in. Zie Uitbreiding van variabelen voor meer informatie over prioriteit van variabelen.

U kunt ook verwijzen naar een variabelegroep in een sjabloon. Het volgende variables.yml sjabloonbestand verwijst naar de variabelegroep my-variable-group. De variabelegroep bevat een variabele met de naam myhello.

variables:
- group: my-variable-group

De YAML-pijplijn verwijst naar de variables.yml-sjabloon en gebruikt de variabele $(myhello) uit de variabelegroep my-variable-group.

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

Variabelen gebruiken in een gekoppelde variabelegroep

U opent de variabelewaarden in een gekoppelde variabelegroep op dezelfde manier als u variabelen opent die u in de pijplijn definieert. Als u bijvoorbeeld toegang wilt krijgen tot de waarde van een variabele met de naam customer in een variabelegroep die is gekoppeld aan de pijplijn, kunt u deze gebruiken $(customer) in een taakparameter of een script.

Als u zowel zelfstandige variabelen als variabelegroepen in uw pijplijnbestand gebruikt, gebruikt u de name-value syntaxis voor de zelfstandige variabelen.

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

Als u wilt verwijzen naar een variabele in een variabelegroep, kunt u macrosyntaxis of een runtime-expressie gebruiken. In de volgende voorbeelden heeft de groep my-variable-group een variabele met de naam myhello.

Een runtime-expressie gebruiken:

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

Macrosyntaxis gebruiken:

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

U hebt geen toegang tot geheime variabelen, waaronder versleutelde variabelen en sleutelkluisvariabelen, rechtstreeks in scripts. U moet deze variabelen doorgeven als argumenten aan een taak. Zie Geheime variabelen voor meer informatie.

Klassiek

Variabelegroepen gebruiken in klassieke pijplijnen

Klassieke pijplijnen kunnen variabele groepen gebruiken zonder afzonderlijke autorisatie. Een variabelegroep gebruiken:

1. Open uw klassieke pijplijn.

2. Selecteer variabelengroepen> en selecteer vervolgens de groep Variabelen koppelen.

   • In een build-pijplijn ziet u een lijst met beschikbare groepen. Selecteer een variabelegroep en selecteer Koppeling. Alle variabelen in de groep zijn beschikbaar voor gebruik in de pijplijn.

   • In een release-pijplijn ziet u ook een vervolgkeuzelijst met fasen in de pijplijn. Koppel de variabelegroep aan de pijplijn zelf of aan een of meer specifieke fasen van de release-pijplijn. Als u een koppeling naar een of meer fasen hebt, zijn de variabelen van de variabelegroep beperkt tot deze fasen en zijn ze niet toegankelijk in de andere fasen van de release.

   

Wanneer u een variabele met dezelfde naam in meerdere bereiken instelt, wordt de volgende prioriteit als eerste gebruikt:

1. Op wachtrijtijd ingestelde variabele
2. Variabele ingesteld in de pijplijn
3. Variabele die is ingesteld in de variabelegroep

Zie Uitbreiding van variabelen voor meer informatie over prioriteit van variabelen.

Notitie

Variabelen in verschillende groepen die zijn gekoppeld aan een pijplijn in hetzelfde bereik (bijvoorbeeld taak of fase) botsen en het resultaat kan onvoorspelbaar zijn. Zorg ervoor dat u verschillende namen gebruikt voor variabelen in al uw variabelegroepen.

Verwante artikelen:

• Variabelen definiëren
• Aangepaste variabelen definiëren
• Geheime en nietsecret-variabelen gebruiken in variabelegroepen
• Azure Key Vault-geheimen gebruiken in Azure Pipelines
• Goedkeuringen en controles toevoegen