Azure Pipelines - Atualização do Sprint 240
Funcionalidades
- Acessar o Barramento de Serviço do Azure a partir de Pipelines usando a autenticação de ID do Microsoft Entra
- Pipelines e tarefas preenchem variáveis para personalizar a autenticação de federação de identidade de carga de trabalho
- Repetições para tarefas do servidor
- Tarefas que usam uma versão de corredor de nó de fim de vida para executar avisos de emissão
- O DockerCompose0 usa o Docker Compose v2 no modo de compatibilidade v1
Acessar o Barramento de Serviço do Azure a partir de Pipelines usando a autenticação de ID do Microsoft Entra
Agora você pode usar a autenticação do Microsoft Entra ID para acessar o Barramento de Serviço do Azure a partir do Azure Pipelines. Isso permite que você aproveite a federação de identidades de carga de trabalho para remover o gerenciamento de segredos e o RBAC do Azure para controle de acesso refinado.
As identidades que acessam o Barramento de Serviço do Azure precisam receber uma das funções internas do Azure para o Barramento de Serviço do Azure no Barramento de Serviço acessado.
PublishToAzureServiceBus@2 tarefa
As novas tarefas PublishToAzureServiceBus@2 podem ser configuradas usando uma conexão de serviço do Azure. Crie uma conexão de serviço do Azure e preencha as serviceBusQueueName propriedades e serviceBusNamespace da nova tarefa:
- task: PublishToAzureServiceBus@2
inputs:
azureSubscription: my-azure-service-connection
serviceBusQueueName: my-service-bus-queue
serviceBusNamespace: my-service-bus-namespace
useDataContractSerializer: false
messageBody: |
{
"foo": "bar"
}
Tarefas do servidor
As tarefas de servidor personalizado (sem agente) que usam ServiceBus a execução podem especificar uma Conexão de Serviço do Azure como EndpointId e omitir ConnectionString. Consulte Criação de tarefas do servidor.
Pipelines e tarefas preenchem variáveis para personalizar a autenticação de federação de identidade de carga de trabalho
O ponto de extremidade da API REST para solicitar tokens OIDC agora está disponível na System.OidcRequestUri variável de pipeline. Os desenvolvedores de tarefas podem aproveitar essa variável para gerar um idToken para autenticação com o Entra ID.
Se você estiver usando tarefas do Marketplace ou tarefas personalizadas para implantar no Azure, lembre-se de que essas tarefas podem ainda não oferecer suporte à federação de identidades de carga de trabalho. Recomendamos que os desenvolvedores de tarefas habilitem a federação de identidades de carga de trabalho para melhorar as medidas de segurança.
As tarefas que recebem uma connectedService:AzureRM entrada no task.json podem ser atualizadas para dar suporte à federação de identidades de carga de trabalho seguindo estas etapas:
- Utilize a API REST do Oidctoken para solicitar um idToken (seta 1 no diagrama acima).
- Troque o idToken por um token de acesso usando o fluxo de credenciais federadas da API OAuth, especificando o idToken como
client_assertion(setas 2 & 4 no diagrama acima);
ou: - Para tarefas que atuam como um wrapper em torno de uma ferramenta que executa a própria autenticação, use o método de autenticação das ferramentas para especificar o token federado.
As tarefas de nó podem usar o pacote azure-pipelines-tasks-artifacts-common npm para obter o idToken. Consulte o exemplo de código para obter detalhes de implementação.
Solicitando um novo idToken
A System.OidcRequestUri variável de pipeline e AZURESUBSCRIPTION_SERVICE_CONNECTION_ID a variável de ambiente expostas nas tarefas e AzurePowerShell@5 permitem que os AzureCLI@2 autores do pipeline se autentiquem a partir de seu próprio script:
PowerShell Az
- task: AzurePowerShell@5
inputs:
azureSubscription: 'my-azure-subscription'
scriptType: inlineScript
inline: |
# Request fresh idToken
Invoke-RestMethod -Headers @{
Authorization = "Bearer $(System.AccessToken)"
'Content-Type' = 'application/json'
} `
-Uri "${env:SYSTEM_OIDCREQUESTURI}?api-version=7.1&serviceConnectionId=${env:AZURESUBSCRIPTION_SERVICE_CONNECTION_ID}" `
-Method Post `
| Select-Object -ExpandProperty oidcToken
| Set-Variable idToken
# Fetch current context
$azContext = Get-AzContext
# Start new Az session
Connect-AzAccount -ApplicationId $azContext.Account.Id `
-TenantId $azContext.Tenant.Id `
-SubscriptionId $azContext.Subscription.Id `
-FederatedToken $idToken
CLI do Azure
- task: AzureCLI@2
inputs:
addSpnToEnvironment: true
azureSubscription: 'my-azure-subscription'
scriptType: bash
scriptLocation: inlineScript
inlineScript: |
# Request fresh idToken
OIDC_REQUEST_URL="${SYSTEM_OIDCREQUESTURI}?api-version=7.1&serviceConnectionId=${AZURESUBSCRIPTION_SERVICE_CONNECTION_ID}"
ARM_OIDC_TOKEN=$(curl -s -H "Content-Length: 0" -H "Content-Type: application/json" -H "Authorization: Bearer $(System.AccessToken)" -X POST $OIDC_REQUEST_URL | jq -r '.oidcToken')
# Save subscription context
ARM_SUBSCRIPTION_ID=$(az account show --query id -o tsv)
# New az-cli session
az login --service-principal -u $servicePrincipalId --tenant $tenantId --allow-no-subscriptions --federated-token $ARM_OIDC_TOKEN
az account set --subscription $ARM_SUBSCRIPTION_ID
Repetições para tarefas do servidor
Tarefas de servidor que chamam sistemas externos, como AzureFunction ou InvokeRESTAPI, podem ocasionalmente falhar devido a erros transitórios, como esgotamento de recursos de computação. Anteriormente, essas falhas causavam a falha de todo o trabalho e, potencialmente, do pipeline.
Para melhorar a resiliência contra erros transitórios, introduzimos suporte para a propriedade em tarefas do retryCountOnTaskFailure servidor. Suponha que você tenha o seguinte código YAML em seu pipeline:
- stage: deploy
jobs:
- job:
pool: server
steps:
- task: AzureFunction@1
retryCountOnTaskFailure: 2
inputs:
function: 'https://api.fabrikamfiber.com'
key: $(functionKey)
method: 'POST'
waitForCompletion: 'false'
Se https://api.fabrikamfiber.com ocorrer um erro transitório, o Azure Pipelines tentará novamente a solicitação até três vezes (a tentativa inicial mais duas novas tentativas especificadas pelo retryCountOnTaskFailure). Cada nova tentativa inclui um período de espera crescente. O número máximo de tentativas permitidas é 10.
O retryCountOnTaskFailure não está disponível para a ManualValidation tarefa e outras tarefas que não envolvem chamadas externas do sistema.
Tarefas que usam uma versão de corredor de nó de fim de vida para executar avisos de emissão
As tarefas de pipeline que dependem de uma versão do Nó não mais mantida começarão a receber avisos:
A versão
<version>da tarefaTaskNamedepende de uma versão do nó (10) que está em fim de vida. Entre em contato com o proprietário da extensão para obter uma versão atualizada da tarefa. Os mantenedores de tarefas devem revisar as diretrizes de atualização do Nó: https://aka.ms/node-runner-guidance
Para suprimir esses avisos, você pode definir uma variável de ambiente ou pipeline no nível do pipeline (trabalho) ou da tarefa. Por exemplo:
variables:
AZP_AGENT_CHECK_IF_TASK_NODE_RUNNER_IS_DEPRECATED: false
DockerCompose@0 usa o Docker Compose v2 no modo de compatibilidade v1
O Docker Compose v1 chegará ao fim de sua vida útil e será removido dos Hosted Agents em 24 de julho de 2024. Atualizamos a tarefa DockerCompose@0 para usar o Docker Compose v2 no modo de compatibilidade v1 se o Docker Compose v1 não estiver disponível no agente.
No entanto, o modo de compatibilidade não resolve todos os problemas de compatibilidade. Consulte Migrar para Compor V2. Alguns utilizadores precisarão de mais tempo para atualizar os seus projectos Docker Compose para compatibilidade com o Docker Compose v2. Nesses casos, siga estas instruções para usar a tarefa DockerComposeV0 com docker-compose v1.
NOTA: Este guia baseia-se na documentação autónoma Install Compose
Utilizar docker-compose v1 no Windows
Adicione a etapa do powershell ao seu pipeline para baixar o docker-Compose v1.29.2 e usá-lo com a tarefa DockerComposeV0 no Windows:
variables:
dockerComposePath: C:\docker-compose
steps:
- powershell: |
mkdir -f $(dockerComposePath)
# GitHub now requires TLS1.2. In PowerShell, run the following
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Start-BitsTransfer -Source "https://github.com/docker/compose/releases/download/1.29.1/docker-compose-windows-x86_64.exe" -Destination $(dockerComposePath)\docker-compose.exe
displayName: Download docker-compose
- task: DockerCompose@0
inputs:
containerregistrytype: 'Azure Container Registry'
dockerComposeFile: '**/docker-compose.yml'
action: 'Run a Docker Compose command'
dockerComposeCommand: 'run'
dockerComposePath: $(dockerComposePath)\docker-compose.exe
Utilizar docker-compose v1 no Linux
Adicione a etapa bash ao seu pipeline para baixar o Docker-Compose v1.29.2 e usá-lo com a tarefa DockerComposeV0 no Linux:
variables:
dockerComposePath: /tmp/docker-compose
steps:
- bash: |
sudo mkdir $(dockerComposePath)
sudo curl -SL https://github.com/docker/compose/releases/download/1.29.2/docker-compose-linux-x86_64 -o $(dockerComposePath)/docker-compose
sudo chmod 755 $(dockerComposePath)/docker-compose
displayName: Download docker-compose
- task: DockerCompose@0
inputs:
containerregistrytype: 'Azure Container Registry'
dockerComposeFile: $(Build.SourcesDirectory)/DockerComposeV0/docker-compose.yml
action: 'Run a Docker Compose command'
dockerComposeCommand: 'run'
dockerComposePath: $(dockerComposePath)/docker-compose
Próximos passos
Nota
Esses recursos serão lançados nas próximas duas a três semanas.
Vá até o Azure DevOps e dê uma olhada.
Como fornecer feedback
Gostaríamos muito de ouvir o que você pensa sobre esses recursos. Use o menu Ajuda para relatar um problema ou fornecer uma sugestão.
Você também pode obter conselhos e suas perguntas respondidas pela comunidade no Stack Overflow.