Zarządzanie grupami zmiennych

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

W tym artykule wyjaśniono, jak tworzyć i używać grup zmiennych w usłudze Azure Pipelines. Grupy zmiennych przechowują wartości i wpisy tajne, które można przekazać do potoku YAML lub udostępnić w wielu potokach w projekcie.

Zmienne tajne w grupach zmiennych są zasobami chronionymi. Możesz dodawać kombinacje zatwierdzeń, kontroli i uprawnień potoku, aby ograniczyć dostęp do zmiennych tajnych w grupie zmiennych. Dostęp do zmiennych niezabezpieczonych nie jest ograniczony przez zatwierdzenia, kontrole ani uprawnienia potoku.

Grupy zmiennych są zgodne z modelem zabezpieczeń biblioteki dla ról i uprawnień.

Wymagania wstępne

• Organizacja i projekt usługi Azure DevOps Services, w którym masz uprawnienia do tworzenia potoków i zmiennych.
• Projekt w organizacji usługi Azure DevOps lub kolekcji usługi Azure DevOps Server. Utwórz projekt , jeśli go nie masz.
• Jeśli używasz interfejsu wiersza polecenia usługi Azure DevOps, potrzebujesz interfejsu wiersza polecenia platformy Azure w wersji 2.30.0 lub nowszej z rozszerzeniem interfejsu wiersza polecenia usługi Azure DevOps. Aby uzyskać więcej informacji, zobacz Wprowadzenie do interfejsu wiersza polecenia usługi Azure DevOps.

Konfigurowanie interfejsu wiersza polecenia

Jeśli używasz interfejsu wiersza polecenia usługi Azure DevOps, musisz skonfigurować interfejs wiersza polecenia do pracy z organizacją i projektem usługi Azure DevOps.

1. Zaloguj się do organizacji usługi Azure DevOps przy użyciu polecenia az login .

   az login
   

2. Jeśli zostanie wyświetlony monit, wybierz swoją subskrypcję z listy wyświetlanej w oknie terminalu.

3. Upewnij się, że używasz najnowszej wersji interfejsu wiersza polecenia platformy Azure i rozszerzenia Usługi Azure DevOps, używając następujących poleceń.

   az upgrade
   az extension add --name azure-devops --upgrade
   

4. W poleceniach interfejsu wiersza polecenia usługi Azure DevOps można ustawić domyślną organizację i projekt przy użyciu:

   az devops configure --defaults organization=<YourOrganizationURL> project=<Project Name or ID>`
   

   Jeśli nie ustawiono domyślnej organizacji i projektu, możesz użyć parametru detect=true w poleceniach, aby automatycznie wykryć organizację i kontekst projektu na podstawie bieżącego katalogu. Jeśli wartości domyślne nie są skonfigurowane lub wykryte, musisz jawnie określić org parametry i project w poleceniach.

Tworzenie grupy zmiennych

Możesz utworzyć grupy zmiennych dla przebiegów potoku w projekcie.

Uwaga

Aby utworzyć grupę zmiennych tajnych w celu łączenia wpisów tajnych z magazynu kluczy platformy Azure jako zmiennych, postępuj zgodnie z instrukcjami w temacie Łączenie grupy zmiennych z wpisami tajnymi w usłudze Azure Key Vault.

Interfejs użytkownika usługi Azure Pipelines

1. W projekcie usługi Azure DevOps wybierz pozycję Biblioteka potoków>z menu po lewej stronie.

2. Na stronie Biblioteka wybierz pozycję + Grupa zmiennych.

   

3. Na nowej stronie grupy zmiennych w obszarze Właściwości wprowadź nazwę i opcjonalny opis grupy zmiennych.

4. W obszarze Zmienne wybierz pozycję + Dodaj, a następnie wprowadź nazwę zmiennej i wartość do uwzględnienia w grupie. Jeśli chcesz zaszyfrować i bezpiecznie zapisać wartość, wybierz ikonę blokady obok zmiennej.

5. Wybierz pozycję + Dodaj , aby dodać każdą nową zmienną. Po zakończeniu dodawania zmiennych wybierz pozycję Zapisz.

   

Teraz możesz użyć tej grupy zmiennych w potokach projektu.

Interfejs wiersza polecenia usługi Azure DevOps

W usługach Azure DevOps Services można tworzyć grupy zmiennych przy użyciu interfejsu wiersza polecenia usługi Azure DevOps.

Aby utworzyć grupę zmiennych, użyj polecenia az pipelines variable-group create .

Na przykład następujące polecenie tworzy grupę zmiennych o nazwie home-office-config, dodaje zmienne app-location=home-office i app-name=contosodane wyjściowe w formacie YAML.

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

Wyjście:

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Aktualizowanie grup zmiennych

Interfejs użytkownika usługi Azure Pipelines

Grupy zmiennych można aktualizować przy użyciu interfejsu użytkownika usługi Azure Pipelines.

1. W projekcie usługi Azure DevOps wybierz pozycję Biblioteka potoków>z menu po lewej stronie.
2. Na stronie Biblioteka wybierz grupę zmiennych, którą chcesz zaktualizować. Możesz również umieścić kursor na liście grup zmiennych, wybrać ikonę Więcej opcji i wybrać pozycję Edytuj z menu.
3. Na stronie grupy zmiennych zmień dowolne właściwości, a następnie wybierz pozycję Zapisz.

Interfejs wiersza polecenia usługi Azure DevOps

W usłudze Azure DevOps Services można aktualizować grupy zmiennych przy użyciu interfejsu wiersza polecenia usługi Azure DevOps.

Wyświetlanie listy grup zmiennych

Aby zaktualizować grupę zmiennych lub zmienne w niej przy użyciu interfejsu wiersza polecenia usługi Azure DevOps, należy użyć grupy group-idzmiennych .

Wartość identyfikatora grupy zmiennych można uzyskać z danych wyjściowych polecenia tworzenia grupy zmiennych lub użyć polecenia az pipelines variable-group list .

Na przykład następujące polecenie wyświetla listę pierwszych trzech grup zmiennych projektu w kolejności rosnącej i zwraca wyniki, w tym identyfikator grupy zmiennych, w formacie tabeli.

az pipelines variable-group list --top 3 --query-order Asc --output table

Wyjście:

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

Aktualizowanie grupy zmiennych

Aby zaktualizować grupę zmiennych, użyj polecenia az pipelines variable-group update .

Uwaga

Nie można zaktualizować grupy zmiennych typu AzureKeyVault przy użyciu interfejsu wiersza polecenia usługi Azure DevOps.

Na przykład następujące polecenie aktualizuje grupę zmiennych o identyfikatorze 4 , aby zmienić name wartości i description, a dane wyjściowe w formacie tabeli.

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

Wyjście:

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

Pokaż szczegóły dla grupy zmiennych

Aby wyświetlić szczegóły dla grupy zmiennych, możesz użyć polecenia az pipelines variable-group show . Na przykład następujące polecenie wyświetla szczegóły grupy zmiennych o identyfikatorze 4 i zwraca wyniki w formacie YAML.

az pipelines variable-group show --group-id 4 --output yaml

Wyjście:

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Usuwanie grupy zmiennych

Interfejs użytkownika usługi Azure Pipelines

Grupy zmiennych można usunąć w interfejsie użytkownika usługi Azure Pipelines.

1. W projekcie usługi Azure DevOps wybierz pozycję Biblioteka potoków>z menu po lewej stronie.
2. Na stronie Biblioteka umieść kursor nad grupą zmiennych, którą chcesz usunąć, i wybierz ikonę Więcej opcji.
3. Wybierz pozycję Usuń z menu, a następnie wybierz pozycję Usuń na ekranie potwierdzenia.

Interfejs wiersza polecenia usługi Azure DevOps

W usłudze Azure DevOps Services można usuwać grupy zmiennych przy użyciu interfejsu wiersza polecenia usługi Azure DevOps.

Aby usunąć grupę zmiennych, użyj polecenia az pipelines variable-group delete . Na przykład następujące polecenie usuwa grupę zmiennych o identyfikatorze 1 i nie wyświetla monitu o potwierdzenie.

az pipelines variable-group delete --group-id 1 --yes

Zarządzanie zmiennymi w grupach zmiennych

Interfejs użytkownika usługi Azure Pipelines

Zmienne można zmieniać, dodawać lub usuwać w grupach zmiennych przy użyciu interfejsu użytkownika usługi Azure Pipelines.

1. W projekcie usługi Azure DevOps wybierz pozycję Biblioteka potoków>z menu po lewej stronie.
2. Na stronie Biblioteka wybierz grupę zmiennych, którą chcesz zaktualizować. Możesz również umieścić kursor na liście grup zmiennych, wybrać ikonę Więcej opcji i wybrać pozycję Edytuj z menu.
3. Na stronie grupy zmiennych można wykonywać następujące czynności:
   • Zmień dowolną z nazw zmiennych lub wartości.
   • Usuń dowolne zmienne, wybierając ikonę kosza na śmieci obok nazwy zmiennej.
   • Zmień zmienne na tajne lub niezabezpieczone, wybierając ikonę blokady obok wartości zmiennej.
   • Dodaj nowe zmienne, wybierając pozycję + Dodaj.
4. Po wprowadzeniu zmian wybierz pozycję Zapisz.

Interfejs wiersza polecenia usługi Azure DevOps

W usłudze Azure DevOps Services można zarządzać zmiennymi w grupach zmiennych przy użyciu interfejsu wiersza polecenia usługi Azure DevOps.

Wyświetlanie listy zmiennych w grupie zmiennych

Aby wyświetlić listę zmiennych w grupie zmiennych, użyj polecenia az pipelines variable-group list . Na przykład następujące polecenie wyświetla listę wszystkich zmiennych w grupie zmiennych o identyfikatorze 4 i pokazuje wynik w formacie tabeli.

az pipelines variable-group variable list --group-id 4 --output table

Wyjście:

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

Dodawanie zmiennych do grupy zmiennych

Aby dodać zmienną do grupy zmiennych, użyj polecenia az pipelines variable-group variable-group create .

Na przykład następujące polecenie tworzy nową zmienną o nazwie requires-login z wartością true domyślną w grupie zmiennych o identyfikatorze 4. Wynik jest wyświetlany w formacie tabeli.

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

Wyjście:

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

Aktualizowanie zmiennych w grupie zmiennych

Aby zaktualizować zmienne w grupie zmiennych, użyj polecenia az pipelines variable-group update .

Uwaga

Nie można zaktualizować zmiennych w grupie zmiennych typu AzureKeyVault przy użyciu interfejsu wiersza polecenia usługi Azure DevOps. Zmienne można aktualizować za pomocą az keyvault poleceń.

Na przykład następujące polecenie aktualizuje zmienną requires-login z nową wartością false w grupie zmiennych o identyfikatorze 4i wyświetla wynik w formacie YAML. Polecenie określa, że zmienna secretto .

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

Dane wyjściowe pokazują wartość jako null zamiast false , ponieważ jest to ukryta wartość wpisu tajnego.

requires-login:
  isSecret: true
  value: null

Zarządzanie zmiennymi tajnymi

Aby zarządzać zmiennymi tajnymi, użyj polecenia az pipelines variable-group update z następującymi parametrami:

• secret: ustaw wartość , aby wskazać true , że wartość zmiennej jest przechowywana w tajemnicy.
• prompt-value: ustaw wartość , aby true zaktualizować wartość zmiennej tajnej przy użyciu zmiennej środowiskowej lub monitu za pośrednictwem standardowych danych wejściowych.
• value: W przypadku zmiennych tajnych użyj parametru prompt-value , aby wyświetlić monit o wprowadzenie wartości za pośrednictwem standardowych danych wejściowych. W przypadku konsoli nieinteraktywnych można pobrać zmienną środowiskową z prefiksem AZURE_DEVOPS_EXT_PIPELINE_VAR_. Można na przykład wprowadzić zmienną o nazwie MySecret przy użyciu zmiennej środowiskowej AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecret.

Usuwanie zmiennych z grupy zmiennych

Aby usunąć zmienną z grupy zmiennych, użyj polecenia az pipelines variable-group delete . Na przykład następujące polecenie usuwa zmienną requires-login z grupy zmiennych o identyfikatorze 4.

az pipelines variable-group variable delete --group-id 4 --name requires-login

Polecenie wyświetla monit o potwierdzenie, ponieważ jest to ustawienie domyślne. Użyj parametru , --yes aby pominąć monit o potwierdzenie.

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

Używanie grup zmiennych w potokach

Grupy zmiennych można używać w potokach YAML lub klasycznych. Zmiany wprowadzone w grupie zmiennych są automatycznie dostępne dla wszystkich definicji lub etapów, z którymi jest połączona grupa zmiennych.

YAML

Jeśli nazwisz grupę zmiennych tylko w potokach YAML, każdy, kto może wypchnąć kod do repozytorium, może wyodrębnić zawartość wpisów tajnych w grupie zmiennych. W związku z tym, aby używać grupy zmiennych z potokami YAML, należy autoryzować potok do korzystania z grupy. Potok można autoryzować do używania grupy zmiennych w interfejsie użytkownika usługi Azure Pipelines lub przy użyciu interfejsu wiersza polecenia usługi Azure DevOps.

Autoryzacja za pośrednictwem interfejsu użytkownika potoków

Potoki można autoryzować do używania grup zmiennych przy użyciu interfejsu użytkownika usługi Azure Pipelines.

1. W projekcie usługi Azure DevOps wybierz pozycję Biblioteka potoków>z menu po lewej stronie.
2. Na stronie Biblioteka wybierz grupę zmiennych, którą chcesz autoryzować.
3. Na stronie grupy zmiennych wybierz kartę Uprawnienia potoku.
4. Na ekranie Uprawnienia potoku wybierz + pozycję, a następnie wybierz potok do autoryzowania. Możesz też wybrać ikonę Więcej akcji , wybrać pozycję Otwórz dostęp i ponownie wybrać pozycję Otwórz dostęp , aby potwierdzić.

Wybranie potoku autoryzuje ten potok do korzystania z grupy zmiennych. Aby autoryzować inny potok, wybierz ponownie ikonę + . Wybranie pozycji Otwórz dostęp autoryzuje wszystkie potoki projektu do korzystania z grupy zmiennych. Otwarty dostęp może być dobrym rozwiązaniem, jeśli nie masz żadnych wpisów tajnych w grupie.

Innym sposobem autoryzowania grupy zmiennych jest wybranie potoku, wybranie pozycji Edytuj, a następnie ręczne utworzenie kolejki. Zostanie wyświetlony błąd autoryzacji zasobów i można jawnie dodać potok jako autoryzowanego użytkownika grupy zmiennych.

Autoryzacja za pośrednictwem interfejsu wiersza polecenia usługi Azure DevOps

W usłudze Azure DevOps Services można autoryzować grupy zmiennych przy użyciu interfejsu wiersza polecenia usługi Azure DevOps.

Aby autoryzować wszystkie potoki projektu do używania grupy zmiennych, ustaw authorize parametr w poleceniu az pipelines variable-group create na truewartość . Ten otwarty dostęp może być dobrym rozwiązaniem, jeśli nie masz żadnych wpisów tajnych w grupie.

Łączenie grupy zmiennych z potokiem

Po autoryzacji potoku YAML do używania grupy zmiennych można użyć zmiennych w grupie w potoku.

Aby użyć zmiennych z grupy zmiennych, dodaj odwołanie do nazwy grupy w pliku potoku YAML.

variables:
- group: my-variable-group

W tym samym potoku można odwoływać się do wielu grup zmiennych. Jeśli wiele grup zmiennych zawiera zmienne o tej samej nazwie, ostatnia grupa zmiennych używająca zmiennej w pliku ustawia wartość zmiennej. Aby uzyskać więcej informacji na temat pierwszeństwa zmiennych, zobacz Rozszerzanie zmiennych.

Możesz również odwołać się do grupy zmiennych w szablonie. Poniższy plik szablonu variables.yml odwołuje się do grupy my-variable-groupzmiennych . Grupa zmiennych zawiera zmienną o nazwie myhello.

variables:
- group: my-variable-group

Potok YAML odwołuje się do szablonu variables.yml i używa zmiennej $(myhello) z grupy my-variable-groupzmiennych .

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

Używanie zmiennych w połączonej grupie zmiennych

Uzyskujesz dostęp do wartości zmiennych w połączonej grupie zmiennych w taki sam sposób, w jaki uzyskujesz dostęp do zmiennych zdefiniowanych w potoku. Aby na przykład uzyskać dostęp do wartości zmiennej o nazwie customer w grupie zmiennych połączonej z potokiem, można użyć $(customer) w parametrze zadania lub skrypsie.

Jeśli używasz zarówno zmiennych autonomicznych, jak i grup zmiennych w pliku potoku, użyj name-value składni dla zmiennych autonomicznych.

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

Aby odwołać się do zmiennej w grupie zmiennych, możesz użyć składni makr lub wyrażenia środowiska uruchomieniowego. W poniższych przykładach grupa my-variable-group ma zmienną o nazwie myhello.

Aby użyć wyrażenia środowiska uruchomieniowego:

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

Aby użyć składni makr:

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

Nie można uzyskać dostępu do zmiennych wpisów tajnych, w tym zaszyfrowanych zmiennych i zmiennych magazynu kluczy, bezpośrednio w skryptach. Te zmienne należy przekazać jako argumenty do zadania. Aby uzyskać więcej informacji, zobacz Zmienne tajne.

Klasyczny

Używanie grup zmiennych w potokach klasycznych

Potoki klasyczne mogą używać grup zmiennych bez oddzielnej autoryzacji. Aby użyć grupy zmiennych:

1. Otwórz potok klasyczny.

2. Wybierz pozycję Zmienne>Grupy zmiennych, a następnie wybierz pozycję Połącz grupę zmiennych.

   • W potoku kompilacji zostanie wyświetlona lista dostępnych grup. Wybierz grupę zmiennych i wybierz pozycję Połącz. Wszystkie zmienne w grupie są dostępne do użycia w potoku.

   • W potoku wydania zostanie również wyświetlona lista rozwijana etapów w potoku. Połącz grupę zmiennych z samym potokiem lub z co najmniej jednym określonym etapem potoku wydania. Jeśli łączysz się z co najmniej jednym etapem, zmienne z grupy zmiennych są ograniczone do tych etapów i nie są dostępne w innych etapach wydania.

   

Podczas ustawiania zmiennej o tej samej nazwie w wielu zakresach jest używany następujący pierwszeństwo, najwyższy pierwszy:

1. Zmienna ustawiona w czasie kolejki
2. Zmienna ustawiona w potoku
3. Zmienna ustawiona w grupie zmiennych

Aby uzyskać więcej informacji na temat pierwszeństwa zmiennych, zobacz Rozszerzanie zmiennych.

Uwaga

Zmienne w różnych grupach połączonych z potokiem w tym samym zakresie (na przykład zadanie lub etap) będą zderzać się, a wynik może być nieprzewidywalny. Upewnij się, że używasz różnych nazw zmiennych we wszystkich grupach zmiennych.

Powiązane artykuły

• Definiowanie zmiennych
• Definiowanie zmiennych niestandardowych
• Używanie zmiennych tajnych i niezabezpieczonych w grupach zmiennych
• Używanie wpisów tajnych usługi Azure Key Vault w usłudze Azure Pipelines
• Dodawanie zatwierdzeń i kontroli