管理變數群組

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

本文說明如何在 Azure Pipelines 中建立和使用變數群組。 變數群組會儲存您可以傳入 YAML 管線的值和秘密，或跨專案中的多個管線提供。

變數群組中的秘密變數是 受保護的資源。 您可以新增核准、檢查和管線許可權的組合，以限制對變數群組中秘密變數的存取。 存取非Secret 變數不受核准、檢查或管線許可權所限制。

變數群組會遵循連結 庫安全性模型 來取得角色和許可權。

必要條件

• 您有權建立管線和變數的 Azure DevOps Services 組織和專案。
• Azure DevOps 組織或 Azure DevOps Server 集合中的專案。 如果您沒有專案，請建立專案 。
• 如果您使用 Azure DevOps CLI，則需要 Azure CLI 2.30.0 版或更新版本搭配 Azure DevOps CLI 擴充功能。 如需詳細資訊，請參閱 開始使用 Azure DevOps CLI。

設定 CLI

如果您使用 Azure DevOps CLI，您必須設定 CLI 以與您的 Azure DevOps 組織和專案搭配使用。

1. 使用 az login 命令登入您的 Azure DevOps 組織。

   az login
   

2. 如果出現提示，請從終端機視窗中顯示的清單中選取您的訂用帳戶。

3. 使用下列命令，確定您正在執行最新版的 Azure CLI 和 Azure DevOps 擴充功能。

   az upgrade
   az extension add --name azure-devops --upgrade
   

4. 在 Azure DevOps CLI 命令中，您可以使用下列方式設定預設組織和專案：

   az devops configure --defaults organization=<YourOrganizationURL> project=<Project Name or ID>`
   

   如果您尚未設定預設組織和專案，您可以使用 detect=true 命令中的 參數，根據目前的目錄自動偵測組織和項目內容。 如果未設定或偵測到預設值，您必須在命令中明確指定 org 和 project 參數。

建立變數群組

您可以在專案中建立管線執行的變數群組。

注意

若要建立秘密變數群組，以將來自 Azure 金鑰保存庫的秘密連結為變數，請遵循將變數群組連結至 Azure 金鑰保存庫 中的秘密中的指示。

Azure Pipelines UI

1. 在您的 Azure DevOps 專案中，從左側功能表中選取 [管線連結>庫]。

2. 在 [程式庫] 頁面上，選取 [+ 變數群組]。

   

3. 在新的變數群組頁面上，於 [屬性] 底下，輸入變數群組的名稱和選擇性描述。

4. 在 [變數] 下，選取 [+ 新增]，然後輸入要包含在群組中的變數名稱和值。 如果您想要加密並安全地儲存值，請選取變數旁邊的鎖定圖示。

5. 選取 [+ 新增 ] 以新增每個新變數。 當您完成新增變數時，請選取 [ 儲存]。

   

您現在可以在專案管線中使用這個變數群組。

Azure DevOps CLI

在 Azure DevOps Services 中，您可以使用 Azure DevOps CLI 來建立變數群組。

若要建立變數群組，請使用 az pipelines variable-group create 命令。

例如，下列命令會建立名為 home-office-config的變數群組、新增變數 app-location=home-office 和 app-name=contoso，並以 YAML 格式輸出結果。

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

輸出：

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

更新變數群組

Azure Pipelines UI

您可以使用 Azure Pipelines 使用者介面來更新變數群組。

1. 在您的 Azure DevOps 專案中，從左側功能表中選取 [管線連結>庫]。
2. 在 [ 連結庫] 頁面上，選取您要更新的變數群組。 您也可以將滑鼠停留在變數群組清單上、選取 [更多選項 ] 圖示，然後從功能表中選取 [ 編輯 ]。
3. 在變數群組頁面上，變更任何屬性，然後選取 [ 儲存]。

Azure DevOps CLI

在 Azure DevOps Services 中，您可以使用 Azure DevOps CLI 來更新變數群組。

列出變數群組

若要使用 Azure DevOps CLI 來更新變數群組或其中變數，請使用變數群組 group-id。

您可以從變數群組建立命令的輸出取得變數群組標識符的值，或使用 az pipelines variable-group list 命令。

例如，下列命令會以遞增順序列出前三個專案變數群組，並傳回結果，包括數據表格式的變數群組標識符。

az pipelines variable-group list --top 3 --query-order Asc --output table

輸出：

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

更新變數群組

若要更新變數群組，請使用 az pipelines variable-group update 命令。

注意

您無法使用 Azure DevOps CLI 來更新類型的 AzureKeyVault 變數群組。

例如，下列命令會更新標識碼為 4 的變數群組，以變更 name 和 description，並輸出結果為數據表格式。

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

輸出：

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

顯示變數群組的詳細數據

您可以使用 az pipelines variable-group show 命令來顯示變數群組的詳細數據。 例如，下列命令會顯示標識碼為 4 變數群組的詳細數據，並以 YAML 格式傳回結果。

az pipelines variable-group show --group-id 4 --output yaml

輸出：

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

刪除變數群組

Azure Pipelines UI

您可以在 Azure Pipelines 使用者介面中刪除變數群組。

1. 在您的 Azure DevOps 專案中，從左側功能表中選取 [管線連結>庫]。
2. 在 [ 鏈接庫 ] 頁面上，將滑鼠停留在您想要刪除的變數群組上，然後選取 [ 更多選項 ] 圖示。
3. 從功能表中選取 [ 刪除 ]，然後在確認畫面上選取 [ 刪除 ]。

Azure DevOps CLI

在 Azure DevOps Services 中，您可以使用 Azure DevOps CLI 刪除變數群組。

若要刪除變數群組，請使用 az pipelines variable-group delete 命令。 例如，下列命令會刪除標識碼為的 1 變數群組，而且不會提示確認。

az pipelines variable-group delete --group-id 1 --yes

管理變數群組中的變數

Azure Pipelines UI

您可以使用 Azure Pipelines 使用者介面，在變數群組中變更、新增或刪除變數。

1. 在您的 Azure DevOps 專案中，從左側功能表中選取 [管線連結>庫]。
2. 在 [ 連結庫] 頁面上，選取您要更新的變數群組。 您也可以將滑鼠停留在變數群組清單上、選取 [更多選項 ] 圖示，然後從功能表中選取 [ 編輯 ]。
3. 在變數群組頁面上，您可以：
   • 變更任何變數名稱或值。
   • 選取變數名稱旁邊的垃圾箱圖示，以刪除任何變數。
   • 選取變數值旁的鎖定圖示，將變數變更為秘密或非秘密。
   • 選取 [+ 新增] 以新增變數。
4. 進行變更之後，請選取 [ 儲存]。

Azure DevOps CLI

在 Azure DevOps Services 中，您可以使用 Azure DevOps CLI 來管理變數群組中的變數。

列出變數群組中的變數

若要列出變數群組中的變數，請使用 az pipelines variable-group variable list 命令。 例如，下列命令會列出標識碼為 4 變數群組中的所有變數，並以數據表格式顯示結果。

az pipelines variable-group variable list --group-id 4 --output table

輸出：

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

將變數新增至變數群組

若要將變數新增至變數群組，請使用 az pipelines variable-group variable create 命令。

例如，下列命令會在識別碼 為的變數群組中，建立名為 requires-login 的新變數，其預設值 true 為 4。 結果會以數據表格式顯示。

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

輸出：

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

更新變數群組中的變數

若要更新變數群組中的變數，請使用 az pipelines variable-group variable update 命令。

注意

您無法使用 Azure DevOps CLI 來更新類型 AzureKeyVault 變數群組中的變數。 您可以透過 az keyvault 命令更新變數。

例如，下列命令會使用標識碼 4為的變數群組中新值false來更新requires-login變數，並以 YAML 格式顯示結果。 命令會指定變數為 secret。

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

輸出會顯示值， null 而不是 false ，因為它是秘密隱藏值。

requires-login:
  isSecret: true
  value: null

管理秘密變數

若要管理秘密變數，請使用 az pipelines variable-group variable update 命令搭配下列參數：

• secret：設定為 true ，表示變數的值是保密的。
• prompt-value：設定為 true 以使用環境變數或透過標準輸入提示來更新秘密變數的值。
• value：對於秘密變數，請使用 prompt-value 提示參數透過標準輸入輸入值。 針對非互動式主控台，您可以挑選前面加上 AZURE_DEVOPS_EXT_PIPELINE_VAR_的環境變數。 例如，您可以使用環境變數 來輸入名為 MySecret 的變數 AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecret。

從變數群組中刪除變數

若要從變數群組中刪除變數，請使用 az pipelines variable-group variable delete 命令。 例如，下列命令會從標識碼 4為的變數群組中刪除requires-login變數。

az pipelines variable-group variable delete --group-id 4 --name requires-login

命令會提示確認，因為這是預設值。 --yes使用 參數略過確認提示。

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

在管線中使用變數群組

您可以在 YAML 或傳統管線中使用變數群組。 您對變數群組所做的變更會自動提供給變數群組所連結的所有定義或階段。

YAML

如果您只將 YAML 管線中的變數群組命名，任何可以將程式代碼推送至存放庫的人，都可以擷取變數群組中的秘密內容。 因此，若要搭配 YAML 管線使用變數群組，您必須授權管線使用群組。 您可以授權管線在 Azure Pipelines 使用者介面中使用變數群組，或使用 Azure DevOps CLI。

透過管線 UI 進行授權

您可以使用 Azure Pipelines 使用者介面，授權管線使用您的變數群組。

1. 在您的 Azure DevOps 專案中，從左側功能表中選取 [管線連結>庫]。
2. 在 [ 連結庫] 頁面上，選取您要授權的變數群組。
3. 在變數群組頁面上，選取 [ 管線許可權] 索引卷標。
4. 在 [ 管線許可權] 畫面上，選取 + 並選取要授權的管線。 或者，選取 [ 更多動作] 圖示，選取 [ 開啟存取權]，然後再次選取 [ 開啟存取 權] 以確認。

選取管線會授權該管線使用變數群組。 若要授權另一個管線，請再次選取 + 圖示。 選取 [ 開啟存取 權] 會授權所有專案管線使用變數群組。 如果您在群組中沒有任何秘密，則開啟存取可能是一個很好的選項。

授權變數群組的另一種方式是選取管線、選取 [ 編輯]，然後手動將組建排入佇列。 您會看到資源授權錯誤，然後可以明確地將管線新增為變數群組的授權使用者。

透過 Azure DevOps CLI 進行授權

在 Azure DevOps Services 中，您可以使用 Azure DevOps CLI 來授權變數群組。

若要授權所有項目管線使用變數群組，請將 az pipelines variable-group create 命令中的 參數設定authorize為 true。 如果您在群組中沒有任何秘密，則此開啟存取可能是一個很好的選項。

將變數群組連結至管線

一旦您授權 YAML 管線使用變數群組，您就可以在管線中的群組內使用變數。

若要使用變數群組中的變數，請在 YAML 管線檔案中新增組名的參考。

variables:
- group: my-variable-group

您可以在相同的管線中參考多個變數群組。 如果多個變數群組包含具有相同名稱的變數，則使用檔案中變數的最後一個變數群組會設定變數的值。 如需變數優先順序的詳細資訊，請參閱 變數的擴充。

您也可以參考範本中的變數群組。 下列 variables.yml 樣本檔案參考變數群組 my-variable-group。 變數群組包含名為的 myhello變數。

variables:
- group: my-variable-group

YAML 管線會參考variables.yml範本，並使用變數群組 my-variable-group中的變數$(myhello)。

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

在連結變數群組中使用變數

您可以存取連結變數群組中的變數值，就像存取管線內定義的變數一樣。 例如，若要存取連結至管線之變數群組中名為 customer 的變數值，您可以在 $(customer) 工作參數或腳本中使用。

如果您在管線檔案中使用獨立變數和變數群組，請使用 name-value 獨立變數的語法。

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

若要參考變數群組中的變數，您可以使用巨集語法或運行時間表達式。 在下列範例中，群組 my-variable-group 具有名為的 myhello變數。

若要使用執行時間表示式：

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

若要使用巨集語法：

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

您無法直接在文稿中存取秘密變數，包括加密的變數和密鑰保存庫變數。 您必須將這些變數當做自變數傳遞至工作。 如需詳細資訊，請參閱 秘密變數。

傳統

在傳統管線中使用變數群組

傳統管線可以使用變數群組，而不需個別授權。 若要使用變數群組：

1. 開啟您的傳統管線。

2. 選取 [變數>變數群組]，然後選取 [鏈接變數群組]。

   • 在組建管線中，您會看到可用的群組清單。 選取變數群組，然後選取 [ 鏈接]。 群組中的所有變數都可用於管線內。

   • 在發行管線中，您也會在管線中看到階段的下拉式清單。 將變數群組連結至管線本身，或連結至發行管線的一或多個特定階段。 如果您連結至一或多個階段，變數群組中的變數會限定於這些階段，而且無法在發行的其他階段中存取。

   

當您在多個範圍中設定具有相同名稱的變數時，會先使用下列優先順序最高：

1. 在佇列時設定的變數
2. 管線中設定的變數
3. 變數群組中的變數集

如需變數優先順序的詳細資訊，請參閱 變數的擴充。

注意

連結至相同範圍中管線之不同群組中的變數（例如作業或階段）將會碰撞，而且結果可能會無法預測。 請確定您針對所有變數群組的變數使用不同的名稱。

相關文章

• 定義變數
• 定義自訂變數
• 在變數群組中使用秘密和非秘密變數
• 在 Azure Pipelines 中使用 Azure Key Vault 秘密
• 新增核准和檢查