Változócsoportok kezelése

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Ez a cikk azt ismerteti, hogyan hozhat létre és használhat változócsoportokat az Azure Pipelinesban. A változócsoportok olyan értékeket és titkos kulcsokat tárolnak, amelyeket átadhat egy YAML-folyamatnak, vagy elérhetővé teheti egy projekt több folyamatában.

A változócsoportok titkos változói védett erőforrások. Jóváhagyások, ellenőrzések és folyamatengedélyek kombinációjával korlátozhatja a titkos változókhoz való hozzáférést egy változócsoportban. A nem biztonságos változókhoz való hozzáférést nem korlátozzák jóváhagyások, ellenőrzések vagy folyamatengedélyek.

A változó csoportok a szerepkörök és engedélyek tárbiztonsági modelljét követik.

Változócsoport létrehozása

A projekt folyamatfuttatásaihoz változócsoportokat hozhat létre.

Feljegyzés

Ha titkos változócsoportot szeretne létrehozni, amely egy Azure-kulcstartó titkos kulcsait változóként szeretné összekapcsolni, kövesse az Azure-kulcstartó titkos kulcsainak csatolása című témakör utasításait.

Azure Pipelines felhasználói felület

Változócsoportot az Azure Pipelines felhasználói felületén hozhat létre.

Előfeltételek

Egy Azure DevOps-szervezet és -projekt, amely rendelkezik a folyamatok és változók létrehozására vonatkozó engedélyekkel.

A változócsoport létrehozása

1. Az Azure DevOps-projektben válassza a Pipelines>Library elemet a bal oldali menüből.

2. A Tár lapon válassza a + Változó csoport lehetőséget.

   

3. Az új változócsoport lap Tulajdonságok csoportjában adja meg a változócsoport nevét és opcionális leírását.

4. A Változók csoportban válassza a + Hozzáadás lehetőséget, majd adjon meg egy változónevet és értéket, amely szerepel a csoportban. Ha titkosítani szeretné és biztonságosan szeretné tárolni az értéket, válassza a változó melletti zárolás ikont.

5. Az új változók hozzáadásához válassza a + Hozzáadás lehetőséget. Amikor befejezte a változók hozzáadását, válassza a Mentés lehetőséget.

   

Ezt a változócsoportot most már használhatja a projektfolyamatokban.

Azure DevOps parancssori felület

Az Azure DevOps Servicesben változócsoportokat hozhat létre az Azure DevOps parancssori felületével.

Előfeltételek

• Egy Azure DevOps-szervezet és -projekt, amely rendelkezik a folyamatok és változók létrehozására vonatkozó engedélyekkel.

• Az Azure CLI 2.30.0-s vagy újabb verziója az Azure DevOps CLI bővítményével. További információ: Ismerkedés az Azure DevOps parancssori felületével.

  Az Azure DevOps CLI-bővítmény automatikusan telepíti az az pipelines változócsoport-parancs első futtatásakor.

  Az Azure DevOps CLI-parancsokban beállíthatja az alapértelmezett szervezetet a paraméter használatával az devops configure --defaults organization=<YourOrganizationURL>, vagy a --detect true paraméterrel automatikusan észlelheti a szervezetet.

  Az alapértelmezett projektet a következővel az devops configure -d project=<Project Name or ID>konfigurálhatja: .

  Ha nem észleli a szervezetet, vagy nem konfigurál egy alapértelmezett szervezetet vagy projektet, meg kell adnia a org parancsokban szereplő paramétereket és project paramétereket.

A változócsoport létrehozása

Változócsoport létrehozásához használja az az pipelines variable-group create parancsot.

A következő parancs például létrehoz egy változócsoportot, home-office-confighozzáadja a változókat app-location=home-office és app-name=contosoa kimeneteket YAML formátumban.

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

Hozam:

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Titkos kódok csatolása Azure Key Vaultból

Létrehozhat egy változócsoportot, amely egy meglévő Azure-kulcstartóhoz kapcsolódik, és megfelelteti a kiválasztott Key Vault-titkos kulcsokat a változócsoportnak. Csak a titkos kódok nevei vannak hozzárendelve a változócsoporthoz, nem a titkos értékekhez. A változócsoportra mutató folyamatfuttatások lekérik a legújabb titkos értékeket a tárolóból.

A kulcstartóban lévő meglévő titkos kulcsok módosításai automatikusan elérhetők lesznek a változócsoportot használó összes folyamat számára. Ha azonban titkos kulcsokat adnak hozzá vagy törölnek a tárolóból, a társított változócsoportok nem frissülnek automatikusan. Explicit módon frissítenie kell a titkos kulcsokat a változócsoportba való belefoglaláshoz.

Bár a Key Vault támogatja a titkosítási kulcsok és tanúsítványok tárolását és kezelését az Azure-ban, az Azure Pipelines változócsoport-integrációja csak a kulcstartó titkos kulcsainak leképezését támogatja. A titkosítási kulcsok és tanúsítványok nem támogatottak.

Feljegyzés

Az Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) használó kulcstartók nem támogatottak.

Előfeltételek

• Egy Azure Key Vault, amely tartalmazza a titkos kulcsokat. Kulcstartót az Azure Portal használatával hozhat létre.
• Azure-szolgáltatáskapcsolat a projekthez.

A változócsoport létrehozása

1. Az Azure DevOps-projektben válassza a Pipelines>Library>+ változócsoportot.
2. A Változócsoportok lapon adja meg a változócsoport nevét és opcionális leírását.
3. Engedélyezze a Titkos kulcsok csatolása egy Azure-kulcstartóból változó váltógombként.
4. Válassza ki az Azure-előfizetés végpontját és a key vault nevét.
5. Engedélyezze az Azure DevOps számára, hogy hozzáférjen a kulcstartóhoz a tároló neve melletti Engedélyezés gombra kattintva.
6. A Titkos kulcsok kiválasztása képernyőn válassza ki a tároló adott titkos kulcsait a változócsoporthoz való leképezéshez, majd válassza az OK gombot.
7. A Titkos változó csoport mentéséhez válassza a Mentés lehetőséget.

Feljegyzés

Az Azure-szolgáltatáskapcsolatnak legalább Beolvasási és listázási engedélyekkel kell rendelkeznie a kulcstartón, amelyet az előző lépésekben engedélyezheti. Ezeket az engedélyeket az Azure Portalról is megadhatja az alábbi lépések végrehajtásával:

1. Nyissa meg a Kulcstartó beállításai lehetőséget, majd válassza az Access konfigurációs ugrás lehetőséget >a szabályzatok eléréséhez.
2. Ha az Azure Pipelines-projekt nem szerepel a legalább beolvasási és listázási engedélyekkel rendelkező Alkalmazások területen, válassza a Létrehozás lehetőséget az Access szabályzatok lapján.
3. A Titkos engedélyek területen válassza a Beolvasás és a Lista lehetőséget, majd a Tovább gombot.
4. Válassza ki a szolgáltatásnevet, majd kattintson a Tovább gombra.
5. Válassza ismét a Tovább gombot, tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

További információ: Az Azure Key Vault titkos kulcsainak használata.

Változócsoportok frissítése

Azure Pipelines felhasználói felület

A változócsoportokat az Azure Pipelines felhasználói felületén frissítheti.

1. Az Azure DevOps-projektben válassza a Pipelines>Library elemet a bal oldali menüből.
2. A Tár lapon válassza ki a frissíteni kívánt változócsoportot. Rámutathat a változócsoport-lista ikonra, a További beállítások ikonra, majd a szerkesztés gombra a menüben.
3. A változócsoport lapján módosítsa bármelyik tulajdonságot, majd válassza a Mentés lehetőséget.

Azure DevOps parancssori felület

Az Azure DevOps Servicesben az Azure DevOps CLI használatával frissítheti a változócsoportokat.

Változócsoportok listázása

Ha frissíteni szeretne egy változócsoportot vagy a benne lévő változókat az Azure DevOps PARANCSSOR használatával, használja a változócsoportot group-id.

A változócsoport-azonosító értékét lekérheti a változócsoport-létrehozási parancs kimenetéből, vagy használhatja az az pipelines változócsoportlista parancsot.

Az alábbi parancs például növekvő sorrendben felsorolja az első három projektváltozócsoportot, és táblaformátumban adja vissza az eredményeket, beleértve a változócsoport azonosítóját is.

az pipelines variable-group list --top 3 --query-order Asc --output table

Hozam:

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

Változócsoport frissítése

Egy változócsoport frissítéséhez használja az az pipelines változócsoport frissítési parancsot.

Az alábbi parancs például az azonosítóval 4 frissíti a változócsoportot, name hogy az és descriptiona kimenetek táblaformátumban változjanak.

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

Hozam:

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

Változócsoport részleteinek megjelenítése

Az az pipelines variable-group show paranccsal megjelenítheti a változócsoportok részleteit. Az alábbi parancs például az azonosítóval 4 rendelkező változócsoport adatait jeleníti meg, és YAML formátumban adja vissza az eredményeket.

az pipelines variable-group show --group-id 4 --output yaml

Hozam:

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Változócsoport törlése

Azure Pipelines felhasználói felület

Az Azure Pipelines felhasználói felületén törölheti a változócsoportokat.

1. Az Azure DevOps-projektben válassza a Pipelines>Library elemet a bal oldali menüből.
2. A Tár lapon mutasson a törölni kívánt változócsoportra, és válassza a További beállítások ikont.
3. Válassza a Törlés lehetőséget a menüből, majd válassza a Törlés lehetőséget a megerősítést kérő képernyőn.

Azure DevOps parancssori felület

Az Azure DevOps Servicesben az Azure DevOps CLI használatával törölheti a változócsoportokat.

Változócsoport törléséhez használja az az pipelines változócsoport törlési parancsát. A következő parancs például törli az azonosítóval 1 rendelkező változócsoportot, és nem kéri a megerősítést.

az pipelines variable-group delete --group-id 1 --yes

Változók kezelése változócsoportokban

Azure Pipelines felhasználói felület

Változócsoportok változóit az Azure Pipelines felhasználói felületén módosíthatja, hozzáadhatja vagy törölheti.

1. Az Azure DevOps-projektben válassza a Pipelines>Library elemet a bal oldali menüből.
2. A Tár lapon válassza ki a frissíteni kívánt változócsoportot. Rámutathat a változócsoport-lista ikonra, a További beállítások ikonra, majd a szerkesztés gombra a menüben.
3. A változócsoportlapon a következőt teheti:
   • Módosítsa bármelyik változó nevét vagy értékét.
   • Törölje bármelyik változót a változó neve melletti szemétgyűjtő ikon kiválasztásával.
   • Módosítsa a változókat titkos vagy nem titkos értékre a változó értéke melletti zárolás ikon kiválasztásával.
   • Új változók hozzáadása a + Hozzáadás lehetőség kiválasztásával.
4. A módosítások elvégzése után válassza a Mentés lehetőséget.

Azure DevOps parancssori felület

Az Azure DevOps Servicesben az Azure DevOps parancssori felületével kezelheti a változócsoportok változóit.

Változók listázása egy változócsoportban

A változócsoportok változóinak listázásához használja az az pipelines változócsoport változólista parancsot. Az alábbi parancs például felsorolja a változócsoport összes változóját azonosítóval 4 , és táblaformátumban jeleníti meg az eredményt.

az pipelines variable-group variable list --group-id 4 --output table

Hozam:

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

Változók hozzáadása változócsoporthoz

Ha változót szeretne hozzáadni egy változócsoporthoz, használja az az pipelines változócsoport-változó létrehozási parancsát.

A következő parancs például létrehoz egy új változót requires-login , amelynek az alapértelmezett értéke true az azonosítóval 4rendelkező változócsoportban van. Az eredmény táblázatos formátumban jelenik meg.

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

Hozam:

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

Változócsoportok változóinak frissítése

Egy változócsoport változóinak frissítéséhez használja az az pipelines változócsoport változófrissítési parancsát.

Az alábbi parancs például az azonosítóval 4frissíti a requires-login változót a változócsoport új értékévelfalse, és YAML formátumban jeleníti meg az eredményt. A parancs azt adja meg, hogy a változó egy secret.

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

A kimenet az értéket null ahelyett false , hogy titkos rejtett értékként jeleníti meg.

requires-login:
  isSecret: true
  value: null

Titkos változók kezelése

Titkos változók kezeléséhez használja az az pipelines változócsoport változófrissítési parancsát a következő paraméterekkel:

• secret: Úgy van true beállítva, hogy jelezze, hogy a változó értéke titokban marad.
• prompt-value: Beállíthatja, hogy true egy titkos változó értékét egy környezeti változóval vagy a standard bemeneten keresztüli kéréssel frissítse.
• value: Titkos változók esetén használja a prompt-value paramétert, amely a standard bemeneten keresztül kéri az érték megadását. Neminteraktív konzolok esetén a környezeti változót előtaggal AZURE_DEVOPS_EXT_PIPELINE_VAR_veheti fel. Megadhat például egy környezeti változóval AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecretelnevezett MySecret változót.

Változók törlése változócsoportból

Ha egy változót szeretne törölni egy változócsoportból, használja az az pipelines változócsoportváltozó törlési parancsát. A következő parancs például törli a változót a requires-login változócsoportból azonosítóval 4.

az pipelines variable-group variable delete --group-id 4 --name requires-login

A parancssor megerősítést kér, mert ez az alapértelmezett érték.

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

Változócsoportok használata folyamatokban

A YAML-ben vagy a klasszikus folyamatokban használhat változócsoportokat. A változócsoportokon végzett módosítások automatikusan elérhetők lesznek a változócsoporthoz társított összes definícióhoz vagy fázishoz.

Változócsoportok használata YAML-folyamatokban

Miután engedélyezte egy YAML-folyamat számára, hogy változócsoportot használjon, használhatja a változócsoportot vagy a benne lévő változókat a folyamatban.

A YAML-folyamat engedélyezése a változócsoport használatára

Ha csak a YAML-folyamatokban nevezi el a változócsoportot, bárki, aki le tudja küldeni a kódot az adattárba, kinyerheti a változócsoport titkos kulcsainak tartalmát. Ezért ha YAML-folyamatokkal szeretne változócsoportot használni, engedélyeznie kell a folyamatot a csoport használatára. A klasszikus folyamatok külön engedélyezés nélkül is használhatnak változócsoportokat.

Azure Pipelines felhasználói felület

Az Azure Pipelines felhasználói felületén engedélyezheti a folyamatok számára a változócsoportok használatát.

1. Az Azure DevOps-projektben válassza a Pipelines>Library elemet a bal oldali menüből.
2. A Kódtár lapon válassza ki az engedélyezni kívánt változócsoportot.
3. A változócsoportlapon válassza a Folyamatengedélyek lapot.
4. A Folyamatengedélyek képernyőn válassza ki+, majd válassza ki az engedélyezni kívánt folyamatot. Vagy válassza a További műveletek ikont, válassza a Hozzáférés megnyitása lehetőséget, majd a hozzáférés ismételt megnyitása lehetőséget a megerősítéshez.

A folyamat kiválasztása engedélyezi a folyamat számára a változócsoport használatát. Egy másik folyamat engedélyezéséhez válassza újra az ikont + . A Nyílt hozzáférés lehetőség választásával az összes projektfolyamat használhatja a változócsoportot. A nyílt hozzáférés akkor lehet jó megoldás, ha nincsenek titkos kulcsok a csoportban.

A változócsoportok engedélyezésének másik módja a folyamat kiválasztása, a Szerkesztés, majd a build manuális üzenetsorba helyezése. Erőforrás-engedélyezési hiba jelenik meg, és explicit módon hozzáadhatja a folyamatot a változócsoport jogosult felhasználójaként.

Azure DevOps parancssori felület

Az Azure DevOps Servicesben az Azure DevOps CLI használatával engedélyezheti a változócsoportokat.

Ha engedélyezni szeretné az összes projektfolyamat számára a változócsoport használatát, állítsa az authorize az pipelines változócsoport létrehozási parancsának paraméterét a következőre true: . A nyílt hozzáférés akkor lehet jó megoldás, ha nincsenek titkos kulcsok a csoportban.

A változócsoport használata a YAML-folyamatban

Ha változócsoportból szeretne változót használni, adjon hozzá egy hivatkozást a YAML-folyamatfájl csoportnevére. Ezután használhat változókat a fájl változócsoportjából.

variables:
- group: my-variable-group

Ugyanabban a folyamatban több változócsoportra is hivatkozhat. Ha több változócsoport is tartalmazza ugyanazt a változót, a fájlban lévő változót használó utolsó változócsoport beállítja a változó értékét. A változók elsőbbségével kapcsolatos további információkért lásd a változók kiterjesztését ismertető témakört.

Sablon változócsoportra is hivatkozhat. Az alábbi variables.yml sablonfájl a változócsoportra my-variable-grouphivatkozik. A változócsoport tartalmaz egy .myhello

variables:
- group: my-variable-group

A YAML-folyamat a variables.yml sablonra hivatkozik, és a változócsoport my-variable-groupváltozóját $(myhello) használja.

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

Változócsoport változóinak használata YAML-folyamatokban

A változóértékeket egy csatolt változócsoportban ugyanúgy érheti el, mint a folyamaton belül definiált változókat. Például a folyamathoz csatolt változócsoportban elnevezett customer változó értékének eléréséhez használhat $(customer) tevékenységparamétert vagy szkriptet.

Ha a folyamatfájlban önálló változókat és változócsoportokat is használ, használja az name-value önálló változók szintaxisát.

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

Egy változócsoport változóira való hivatkozáshoz használhat makrószintaxist vagy futtatókörnyezeti kifejezést. Az alábbi példákban a csoportnak my-variable-group van egy változója.myhello

Futtatókörnyezeti kifejezés használata:

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

Makrószintaxis használata:

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

A titkos változók, köztük a titkosított változók és a kulcstartó változói közvetlenül nem érhetők el szkriptekben. Ezeket a változókat argumentumként kell átadnia egy tevékenységnek. További információ: Titkos kódváltozók.

Változócsoportok használata klasszikus folyamatokban

A klasszikus folyamatok külön engedélyezés nélkül is használhatnak változócsoportokat. Változócsoport használata:

1. Nyissa meg a klasszikus folyamatot.

2. Válassza a Változók>változócsoportok lehetőséget, majd válassza a Változócsoport csatolása lehetőséget.

3. A buildelési folyamatban megjelenik az elérhető csoportok listája. Változócsoport csatolása a folyamathoz. A csoport összes változója elérhető a folyamaton belül.

   A kiadási folyamatban a folyamat szakaszainak legördülő listája is megjelenik. Csatolja a változócsoportot magához a folyamathoz vagy a kiadási folyamat egy vagy több konkrét szakaszához. Ha egy vagy több fázisra hivatkozik, a változócsoport változói ezekre a szakaszokra terjednek ki, és nem érhetők el a kiadás többi szakaszában.

   

Ha egy azonos nevű változót több hatókörben állít be, a rendszer a következő prioritást használja, először a legmagasabbat:

1. Várakozás során beállított változó
2. Változókészlet a folyamatban
3. Változókészlet a változócsoportban

A változók elsőbbségével kapcsolatos további információkért lásd a változók kiterjesztését ismertető témakört.

Feljegyzés

Az ugyanabban a hatókörben lévő folyamathoz (például feladathoz vagy fázishoz) csatolt különböző csoportok változói ütköznek, és az eredmény kiszámíthatatlan lehet. Győződjön meg arról, hogy különböző neveket használ a változókhoz az összes változócsoportban.

Kapcsolódó cikkek

• Változók meghatározása
• Egyéni változók definiálása
• Titkos és nem titkos változók használata változócsoportokban
• Azure Key Vault titkos kódjainak használata az Azure Pipelinesban
• Jóváhagyások és ellenőrzések hozzáadása