Változócsoportok kezelése
Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019
Ez a cikk azt ismerteti, hogyan hozhat létre és használhat változócsoportokat az Azure Pipelinesban. A változócsoportok olyan értékeket és titkos kulcsokat tárolnak, amelyeket átadhat egy YAML-folyamatnak, vagy elérhetővé teheti egy projekt több folyamatában.
A változócsoportok titkos változói védett erőforrások. Jóváhagyások, ellenőrzések és folyamatengedélyek kombinációjával korlátozhatja a titkos változókhoz való hozzáférést egy változócsoportban. A nem biztonságos változókhoz való hozzáférést nem korlátozzák jóváhagyások, ellenőrzések vagy folyamatengedélyek.
A változó csoportok a szerepkörök és engedélyek tárbiztonsági modelljét követik.
Változócsoport létrehozása
A projekt folyamatfuttatásaihoz változócsoportokat hozhat létre.
Feljegyzés
Ha titkos változócsoportot szeretne létrehozni, amely egy Azure-kulcstartó titkos kulcsait változóként szeretné összekapcsolni, kövesse az Azure-kulcstartó titkos kulcsainak csatolása című témakör utasításait.
Változócsoportot az Azure Pipelines felhasználói felületén hozhat létre.
Előfeltételek
Egy Azure DevOps-szervezet és -projekt, amely rendelkezik a folyamatok és változók létrehozására vonatkozó engedélyekkel.
A változócsoport létrehozása
Az Azure DevOps-projektben válassza a Pipelines>Library elemet a bal oldali menüből.
A Tár lapon válassza a + Változó csoport lehetőséget.
Az új változócsoport lap Tulajdonságok csoportjában adja meg a változócsoport nevét és opcionális leírását.
A Változók csoportban válassza a + Hozzáadás lehetőséget, majd adjon meg egy változónevet és értéket, amely szerepel a csoportban. Ha titkosítani szeretné és biztonságosan szeretné tárolni az értéket, válassza a változó melletti zárolás ikont.
Az új változók hozzáadásához válassza a + Hozzáadás lehetőséget. Amikor befejezte a változók hozzáadását, válassza a Mentés lehetőséget.
Ezt a változócsoportot most már használhatja a projektfolyamatokban.
Titkos kódok csatolása Azure Key Vaultból
Létrehozhat egy változócsoportot, amely egy meglévő Azure-kulcstartóhoz kapcsolódik, és megfelelteti a kiválasztott Key Vault-titkos kulcsokat a változócsoportnak. Csak a titkos kódok nevei vannak hozzárendelve a változócsoporthoz, nem a titkos értékekhez. A változócsoportra mutató folyamatfuttatások lekérik a legújabb titkos értékeket a tárolóból.
A kulcstartóban lévő meglévő titkos kulcsok módosításai automatikusan elérhetők lesznek a változócsoportot használó összes folyamat számára. Ha azonban titkos kulcsokat adnak hozzá vagy törölnek a tárolóból, a társított változócsoportok nem frissülnek automatikusan. Explicit módon frissítenie kell a titkos kulcsokat a változócsoportba való belefoglaláshoz.
Bár a Key Vault támogatja a titkosítási kulcsok és tanúsítványok tárolását és kezelését az Azure-ban, az Azure Pipelines változócsoport-integrációja csak a kulcstartó titkos kulcsainak leképezését támogatja. A titkosítási kulcsok és tanúsítványok nem támogatottak.
Feljegyzés
Az Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) használó kulcstartók nem támogatottak.
Előfeltételek
- Egy Azure Key Vault, amely tartalmazza a titkos kulcsokat. Kulcstartót az Azure Portal használatával hozhat létre.
- Azure-szolgáltatáskapcsolat a projekthez.
A változócsoport létrehozása
- Az Azure DevOps-projektben válassza a Pipelines>Library>+ változócsoportot.
- A Változócsoportok lapon adja meg a változócsoport nevét és opcionális leírását.
- Engedélyezze a Titkos kulcsok csatolása egy Azure-kulcstartóból változó váltógombként.
- Válassza ki az Azure-előfizetés végpontját és a key vault nevét.
- Engedélyezze az Azure DevOps számára, hogy hozzáférjen a kulcstartóhoz a tároló neve melletti Engedélyezés gombra kattintva.
- A Titkos kulcsok kiválasztása képernyőn válassza ki a tároló adott titkos kulcsait a változócsoporthoz való leképezéshez, majd válassza az OK gombot.
- A Titkos változó csoport mentéséhez válassza a Mentés lehetőséget.
Feljegyzés
Az Azure-szolgáltatáskapcsolatnak legalább Beolvasási és listázási engedélyekkel kell rendelkeznie a kulcstartón, amelyet az előző lépésekben engedélyezheti. Ezeket az engedélyeket az Azure Portalról is megadhatja az alábbi lépések végrehajtásával:
- Nyissa meg a Kulcstartó beállításai lehetőséget, majd válassza az Access konfigurációs ugrás lehetőséget >a szabályzatok eléréséhez.
- Ha az Azure Pipelines-projekt nem szerepel a legalább beolvasási és listázási engedélyekkel rendelkező Alkalmazások területen, válassza a Létrehozás lehetőséget az Access szabályzatok lapján.
- A Titkos engedélyek területen válassza a Beolvasás és a Lista lehetőséget, majd a Tovább gombot.
- Válassza ki a szolgáltatásnevet, majd kattintson a Tovább gombra.
- Válassza ismét a Tovább gombot, tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.
További információ: Az Azure Key Vault titkos kulcsainak használata.
Változócsoportok frissítése
A változócsoportokat az Azure Pipelines felhasználói felületén frissítheti.
- Az Azure DevOps-projektben válassza a Pipelines>Library elemet a bal oldali menüből.
- A Tár lapon válassza ki a frissíteni kívánt változócsoportot. Rámutathat a változócsoport-lista ikonra, a További beállítások ikonra, majd a szerkesztés gombra a menüben.
- A változócsoport lapján módosítsa bármelyik tulajdonságot, majd válassza a Mentés lehetőséget.
Változócsoport törlése
Az Azure Pipelines felhasználói felületén törölheti a változócsoportokat.
- Az Azure DevOps-projektben válassza a Pipelines>Library elemet a bal oldali menüből.
- A Tár lapon mutasson a törölni kívánt változócsoportra, és válassza a További beállítások ikont.
- Válassza a Törlés lehetőséget a menüből, majd válassza a Törlés lehetőséget a megerősítést kérő képernyőn.
Változók kezelése változócsoportokban
Változócsoportok változóit az Azure Pipelines felhasználói felületén módosíthatja, hozzáadhatja vagy törölheti.
- Az Azure DevOps-projektben válassza a Pipelines>Library elemet a bal oldali menüből.
- A Tár lapon válassza ki a frissíteni kívánt változócsoportot. Rámutathat a változócsoport-lista ikonra, a További beállítások ikonra, majd a szerkesztés gombra a menüben.
- A változócsoportlapon a következőt teheti:
- Módosítsa bármelyik változó nevét vagy értékét.
- Törölje bármelyik változót a változó neve melletti szemétgyűjtő ikon kiválasztásával.
- Módosítsa a változókat titkos vagy nem titkos értékre a változó értéke melletti zárolás ikon kiválasztásával.
- Új változók hozzáadása a + Hozzáadás lehetőség kiválasztásával.
- A módosítások elvégzése után válassza a Mentés lehetőséget.
Változócsoportok használata folyamatokban
A YAML-ben vagy a klasszikus folyamatokban használhat változócsoportokat. A változócsoportokon végzett módosítások automatikusan elérhetők lesznek a változócsoporthoz társított összes definícióhoz vagy fázishoz.
Változócsoportok használata YAML-folyamatokban
Miután engedélyezte egy YAML-folyamat számára, hogy változócsoportot használjon, használhatja a változócsoportot vagy a benne lévő változókat a folyamatban.
A YAML-folyamat engedélyezése a változócsoport használatára
Ha csak a YAML-folyamatokban nevezi el a változócsoportot, bárki, aki le tudja küldeni a kódot az adattárba, kinyerheti a változócsoport titkos kulcsainak tartalmát. Ezért ha YAML-folyamatokkal szeretne változócsoportot használni, engedélyeznie kell a folyamatot a csoport használatára. A klasszikus folyamatok külön engedélyezés nélkül is használhatnak változócsoportokat.
Az Azure Pipelines felhasználói felületén engedélyezheti a folyamatok számára a változócsoportok használatát.
- Az Azure DevOps-projektben válassza a Pipelines>Library elemet a bal oldali menüből.
- A Kódtár lapon válassza ki az engedélyezni kívánt változócsoportot.
- A változócsoportlapon válassza a Folyamatengedélyek lapot.
- A Folyamatengedélyek képernyőn válassza ki+, majd válassza ki az engedélyezni kívánt folyamatot. Vagy válassza a További műveletek ikont, válassza a Hozzáférés megnyitása lehetőséget, majd a hozzáférés ismételt megnyitása lehetőséget a megerősítéshez.
A folyamat kiválasztása engedélyezi a folyamat számára a változócsoport használatát. Egy másik folyamat engedélyezéséhez válassza újra az ikont + . A Nyílt hozzáférés lehetőség választásával az összes projektfolyamat használhatja a változócsoportot. A nyílt hozzáférés akkor lehet jó megoldás, ha nincsenek titkos kulcsok a csoportban.
A változócsoportok engedélyezésének másik módja a folyamat kiválasztása, a Szerkesztés, majd a build manuális üzenetsorba helyezése. Erőforrás-engedélyezési hiba jelenik meg, és explicit módon hozzáadhatja a folyamatot a változócsoport jogosult felhasználójaként.
A változócsoport használata a YAML-folyamatban
Ha változócsoportból szeretne változót használni, adjon hozzá egy hivatkozást a YAML-folyamatfájl csoportnevére. Ezután használhat változókat a fájl változócsoportjából.
variables:
- group: my-variable-group
Ugyanabban a folyamatban több változócsoportra is hivatkozhat. Ha több változócsoport is tartalmazza ugyanazt a változót, a fájlban lévő változót használó utolsó változócsoport beállítja a változó értékét. A változók elsőbbségével kapcsolatos további információkért lásd a változók kiterjesztését ismertető témakört.
Sablon változócsoportra is hivatkozhat. Az alábbi variables.yml sablonfájl a változócsoportra my-variable-group
hivatkozik. A változócsoport tartalmaz egy .myhello
variables:
- group: my-variable-group
A YAML-folyamat a variables.yml sablonra hivatkozik, és a változócsoport my-variable-group
változóját $(myhello)
használja.
stages:
- stage: MyStage
variables:
- template: variables.yml
jobs:
- job: Test
steps:
- script: echo $(myhello)
Változócsoport változóinak használata YAML-folyamatokban
A változóértékeket egy csatolt változócsoportban ugyanúgy érheti el, mint a folyamaton belül definiált változókat. Például a folyamathoz csatolt változócsoportban elnevezett customer
változó értékének eléréséhez használhat $(customer)
tevékenységparamétert vagy szkriptet.
Ha a folyamatfájlban önálló változókat és változócsoportokat is használ, használja az name
-value
önálló változók szintaxisát.
variables:
- group: my-variable-group
- name: my-standalone-variable
value: 'my-standalone-variable-value'
Egy változócsoport változóira való hivatkozáshoz használhat makrószintaxist vagy futtatókörnyezeti kifejezést. Az alábbi példákban a csoportnak my-variable-group
van egy változója.myhello
Futtatókörnyezeti kifejezés használata:
variables:
- group: my-variable-group
- name: my-passed-variable
value: $[variables.myhello]
- script: echo $(my-passed-variable)
Makrószintaxis használata:
variables:
- group: my-variable-group
steps:
- script: echo $(myhello)
A titkos változók, köztük a titkosított változók és a kulcstartó változói közvetlenül nem érhetők el szkriptekben. Ezeket a változókat argumentumként kell átadnia egy tevékenységnek. További információ: Titkos kódváltozók.
Változócsoportok használata klasszikus folyamatokban
A klasszikus folyamatok külön engedélyezés nélkül is használhatnak változócsoportokat. Változócsoport használata:
Nyissa meg a klasszikus folyamatot.
Válassza a Változók>változócsoportok lehetőséget, majd válassza a Változócsoport csatolása lehetőséget.
A buildelési folyamatban megjelenik az elérhető csoportok listája. Változócsoport csatolása a folyamathoz. A csoport összes változója elérhető a folyamaton belül.
A kiadási folyamatban a folyamat szakaszainak legördülő listája is megjelenik. Csatolja a változócsoportot magához a folyamathoz vagy a kiadási folyamat egy vagy több konkrét szakaszához. Ha egy vagy több fázisra hivatkozik, a változócsoport változói ezekre a szakaszokra terjednek ki, és nem érhetők el a kiadás többi szakaszában.
Ha egy azonos nevű változót több hatókörben állít be, a rendszer a következő prioritást használja, először a legmagasabbat:
- Várakozás során beállított változó
- Változókészlet a folyamatban
- Változókészlet a változócsoportban
A változók elsőbbségével kapcsolatos további információkért lásd a változók kiterjesztését ismertető témakört.
Feljegyzés
Az ugyanabban a hatókörben lévő folyamathoz (például feladathoz vagy fázishoz) csatolt különböző csoportok változói ütköznek, és az eredmény kiszámíthatatlan lehet. Győződjön meg arról, hogy különböző neveket használ a változókhoz az összes változócsoportban.