Управление группами переменных

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

В этой статье объясняется, как создавать и использовать группы переменных в Azure Pipelines. Группы переменных хранят значения и секреты, которые можно передать в конвейер YAML или сделать доступными для нескольких конвейеров в проекте.

Секретные переменные в группах переменных защищены ресурсами. Можно добавить сочетания утверждений, проверок и разрешений конвейера, чтобы ограничить доступ к секретным переменным в группе переменных. Доступ к несекретным переменным не ограничен утверждениями, проверками или разрешениями конвейера.

Группы переменных соответствуют модели безопасности библиотеки для ролей и разрешений.

Предварительные условия

• Организация и проект Azure DevOps Services, где у вас есть разрешения на создание конвейеров и переменных.
• Проект в организации Azure DevOps или коллекции Azure DevOps Server. Создайте проект , если у вас его нет.
• Если вы используете интерфейс командной строки Azure DevOps, вам потребуется Azure CLI версии 2.30.0 или более поздней с расширением Azure DevOps CLI. Дополнительные сведения см. в статье "Начало работы с Azure DevOps CLI".

Настройка CLI

Если вы используете интерфейс командной строки Azure DevOps, необходимо настроить интерфейс командной строки для работы с организацией и проектом Azure DevOps.

1. Войдите в организацию Azure DevOps с помощью команды az login .

   az login
   

2. Если появится запрос, выберите подписку из списка, отображаемого в окне терминала.

3. Убедитесь, что вы используете последнюю версию Azure CLI и расширение Azure DevOps, выполнив следующие команды.

   az upgrade
   az extension add --name azure-devops --upgrade
   

4. В командах ИНТЕРФЕЙСА командной строки Azure DevOps можно задать организацию и проект по умолчанию с помощью:

   az devops configure --defaults organization=<YourOrganizationURL> project=<Project Name or ID>
   

   Если вы не установили организацию и проект по умолчанию, можно использовать detect=true параметр в командах для автоматического обнаружения контекста организации и проекта на основе текущего каталога. Если значения по умолчанию не настроены или обнаружены, необходимо явно указать параметры org и project в командах.

Создание группы переменных

В вашем проекте можно создавать группы переменных для запусков конвейеров.

Примечание.

Чтобы создать группу секретных переменных для связывания секретов из хранилища ключей Azure в качестве переменных, следуйте инструкциям в статье "Связывание группы переменных с секретами в Azure Key Vault".

Пользовательский интерфейс Azure Pipelines

1. В проекте Azure DevOps выберите библиотеку Pipelines>в меню слева.

2. На странице Библиотека выберите + Группа переменных.

   

3. На странице новой группы переменных в разделе "Свойства" введите имя и необязательное описание для группы переменных.

4. В разделе "Переменные" выберите + Добавить, а затем введите имя и значение переменной для включения в группу. Если вы хотите зашифровать и безопасно сохранить значение, щелкните значок блокировки рядом с переменной.

5. Нажмите кнопку +Добавить, чтобы добавить каждую новую переменную. После завершения добавления переменных нажмите кнопку "Сохранить".

   

Теперь эту группу переменных можно использовать в конвейерах проекта.

CLI Azure DevOps

В Azure DevOps Services можно создавать группы переменных с помощью Azure DevOps CLI.

Чтобы создать группу переменных, используйте команду az pipelines variable-group create .

Например, следующая команда создает группу переменных с именем home-office-config, добавляет переменные app-location=home-office и app-name=contosoвыходные данные в формате YAML.

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

Выходные данные:

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Обновление групп переменных

Пользовательский интерфейс Azure Pipelines

Группы переменных можно обновить с помощью пользовательского интерфейса Azure Pipelines.

1. В проекте Azure DevOps выберите библиотеку Pipelines>в меню слева.
2. На странице библиотеки выберите группу переменных, которую вы хотите обновить. Вы также можете наведите указатель мыши на список групп переменных, выберите значок "Дополнительные параметры " и выберите " Изменить " в меню.
3. На странице группы переменных измените любой из свойств и нажмите кнопку "Сохранить".

CLI Azure DevOps

В Azure DevOps Services можно обновить группы переменных с помощью Azure DevOps CLI.

Список групп переменных

Чтобы обновить группу переменных или переменные в ней с помощью интерфейса командной строки Azure DevOps, используйте группу group-idпеременных.

Вы можете получить значение идентификатора группы переменных из выходных данных команды создания группы переменных или использовать команду az pipelines variable-group list .

Например, следующая команда содержит первые три группы переменных проекта в порядке возрастания и возвращает результаты, включая идентификатор группы переменных в формате таблицы.

az pipelines variable-group list --top 3 --query-order Asc --output table

Выходные данные:

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

Обновление группы переменных

Чтобы обновить группу переменных, используйте команду az pipelines variable-group update .

Примечание.

Невозможно обновить группу переменных типов AzureKeyVault с помощью Azure DevOps CLI.

Например, следующая команда обновляет группу переменных с идентификатором 4, чтобы изменить name и description, и выходные данные выводятся в табличном формате.

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

Выходные данные:

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

Отображение сведений о группе переменных

Команду az pipelines variable-group show можно использовать для отображения сведений о группе переменных. Например, следующая команда содержит сведения о группе переменных с идентификатором 4 и возвращает результаты в формате YAML.

az pipelines variable-group show --group-id 4 --output yaml

Выходные данные:

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Удаление группы переменных

Пользовательский интерфейс Azure Pipelines

Группы переменных можно удалить в пользовательском интерфейсе Azure Pipelines.

1. В проекте Azure DevOps выберите библиотеку Pipelines>в меню слева.
2. На странице библиотеки наведите указатель мыши на группу переменных, которую вы хотите удалить, и выберите значок "Дополнительные параметры".
3. Выберите "Удалить" в меню и нажмите кнопку "Удалить" на экране подтверждения.

CLI Azure DevOps

В Azure DevOps Services можно удалить группы переменных с помощью Azure DevOps CLI.

Чтобы удалить группу переменных, используйте команду az pipelines variable-group delete . Например, следующая команда удаляет группу переменных с идентификатором 1 и не запрашивает подтверждение.

az pipelines variable-group delete --group-id 1 --yes

Управление переменными в группах переменных

Пользовательский интерфейс Azure Pipelines

Вы можете изменять, добавлять или удалять переменные в группах переменных с помощью пользовательского интерфейса Azure Pipelines.

1. В проекте Azure DevOps выберите библиотеку Pipelines>в меню слева.
2. На странице библиотеки выберите группу переменных, которую вы хотите обновить. Вы также можете наведите указатель мыши на список групп переменных, выберите значок "Дополнительные параметры " и выберите " Изменить " в меню.
3. На странице группы переменных можно:
   • Измените любое из имен или значений переменной.
   • Удалите любые переменные, выбрав значок мусора рядом с именем переменной.
   • Измените переменные на секретные или несекретные, выбрав значок блокировки рядом со значением переменной.
   • Добавьте новые переменные, нажав кнопку +Добавить.
4. После внесения изменений нажмите кнопку "Сохранить".

CLI Azure DevOps

В Azure DevOps Services можно управлять переменными в группах переменных с помощью Azure DevOps CLI.

Перечисление переменных в группе переменных

Чтобы получить список переменных в группе переменных, используйте команду az pipelines variable-group variable list. Например, следующая команда перечисляет все переменные в группе переменных с идентификатором 4 и отображает результат в формате таблицы.

az pipelines variable-group variable list --group-id 4 --output table

Выходные данные:

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

Добавление переменных в группу переменных

Чтобы добавить переменную в группу переменных, используйте команду az pipelines variable-group create .

Например, следующая команда создает новую переменную с именем requires-login по умолчанию в группе переменных true с идентификатором4. Результат отображается в формате таблицы.

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

Выходные данные:

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

Обновление переменных в группе переменных

Чтобы обновить переменные в группе переменных, используйте команду az pipelines variable-group update .

Примечание.

Нельзя обновлять переменные в группе переменных типа AzureKeyVault с помощью Azure DevOps CLI. Переменные можно обновить с помощью az keyvault команд.

Например, следующая команда обновляет requires-login переменную с новым значением false в группе переменных с идентификатором 4и отображает результат в формате YAML. Команда указывает, что переменная является переменной secret.

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

Выходные данные показывают значение как null, а не false, потому что это скрытое значение.

requires-login:
  isSecret: true
  value: null

Управление секретными переменными

Чтобы управлять секретными переменными, используйте команду az pipelines variable-group variable update с помощью следующих параметров:

• secret: задано значение, указывающее true , что значение переменной хранится в секрете.
• prompt-value: устанавливается в true, чтобы обновить значение секретной переменной с использованием переменной среды или ввода через стандартный вход.
• value: для секретных переменных используйте параметр prompt-value, чтобы вас попросили ввести значение через стандартный ввод. Для неинтерактивных консолей можно использовать переменную среды с префиксом AZURE_DEVOPS_EXT_PIPELINE_VAR_. Например, можно ввести переменную с именем MySecret с помощью переменной AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecretсреды.

Удаление переменных из группы переменных

Чтобы удалить переменную из группы переменных, используйте команду az pipelines variable-group delete . Например, следующая команда удаляет requires-login переменную из группы переменных с идентификатором 4.

az pipelines variable-group variable delete --group-id 4 --name requires-login

Команда запрашивает подтверждение, потому что это поведение по умолчанию. --yes Используйте параметр, чтобы пропустить запрос подтверждения.

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

Использование групп переменных в конвейерах

Группы переменных можно использовать в yamL или классических конвейерах. Изменения, внесенные в группу переменных, автоматически доступны для всех определений или этапов, с которыми связана группа переменных.

YAML

Если вы назовете только группу переменных в конвейерах YAML, любой пользователь, который может отправить код в репозиторий, может извлечь содержимое секретов в группе переменных. Таким образом, чтобы использовать группу переменных с конвейерами YAML, необходимо авторизовать конвейер для использования группы. Конвейер можно авторизовать для использования группы переменных в пользовательском интерфейсе Azure Pipelines или с помощью Azure DevOps CLI.

Авторизация через пользовательский интерфейс Пайплайнов

Конвейеры можно авторизовать для использования групп переменных с помощью пользовательского интерфейса Azure Pipelines.

1. В проекте Azure DevOps выберите библиотеку Pipelines>в меню слева.
2. На странице библиотеки выберите группу переменных, которую требуется авторизовать.
3. На странице группы переменных перейдите на вкладку "Разрешения конвейера ".
4. На экране разрешений конвейера выберите + и выберите конвейер для авторизации. Или щелкните значок "Дополнительные действия", выберите "Открыть доступ" и снова выберите "Открыть доступ", чтобы подтвердить.

Выбор конвейера разрешает этот конвейер использовать группу переменных. Чтобы авторизовать другой конвейер, снова выберите + значок. При выборе "Открыть доступ" все конвейеры проектов разрешаются использовать группу переменных. Открытый доступ может быть хорошим вариантом, если у вас нет секретов в группе.

Другой способ авторизации группы переменных — это выбрать конвейер, нажать "Изменить", а затем вручную добавить сборку в очередь. Вы увидите ошибку авторизации ресурса и можете явно добавить конвейер в качестве авторизованного пользователя группы переменных.

Авторизация с помощью интерфейса командной строки Azure DevOps

В Azure DevOps Services можно авторизовать группы переменных с помощью Azure DevOps CLI.

Чтобы авторизовать все конвейеры проекта для использования группы переменных, задайте параметр authorize в команде az pipelines variable-group create на true. Этот открытый доступ может быть хорошим вариантом, если у вас нет секретов в группе.

Связывание группы переменных с конвейером

После того как вы авторизуете конвейер YAML для использования группы переменных, переменные из этой группы можно будет использовать в конвейере.

Чтобы использовать переменные из группы переменных, добавьте ссылку на имя группы в файле конвейера YAML.

variables:
- group: my-variable-group

Вы можете ссылаться на несколько групп переменных в одном конвейере. Если несколько групп переменных включают переменные с одинаковым именем, последняя группа переменных, использующая переменную в файле, задает значение переменной. Дополнительные сведения о приоритете переменных см. в разделе "Расширение переменных".

Вы также можете ссылаться на группу переменных в шаблоне. Следующий файл шаблона variables.yml ссылается на группу my-variable-groupпеременных. Группа переменных содержит переменную с именем myhello.

variables:
- group: my-variable-group

Конвейер YAML ссылается на шаблон variables.yml и использует переменную $(myhello) из группы my-variable-groupпеременных.

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

Использование переменных в связанной группе переменных

Вы обращаетесь к значениям переменных в связанной группе переменных так же, как и к переменным, заданным в конвейере. Например, чтобы получить доступ к значению переменной, именованной customer в группе переменных, связанной с конвейером, можно использовать $(customer) в параметре задачи или скрипте.

Если в файле конвейера используются как автономные переменные, так и группы переменных, используйте name-value синтаксис для автономных переменных.

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

Чтобы ссылаться на переменную в группе переменных, можно использовать синтаксис макросов или выражение среды выполнения. В следующих примерах группа my-variable-group имеет переменную с именем myhello.

Чтобы использовать выражение среды выполнения, выполните приведенные действия.

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

Чтобы использовать синтаксис макроса, выполните следующее:

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

Доступ к секретным переменным, включая зашифрованные переменные и переменные хранилища ключей, нельзя получить непосредственно в скриптах. Эти переменные необходимо передать в качестве аргументов в задачу. Дополнительные сведения см. в разделе "Секретные переменные".

Классическое

Использование групп переменных в классических конвейерах

Классические конвейеры могут использовать группы переменных без отдельной авторизации. Чтобы использовать группу переменных, выполните приведенные действия.

1. Откройте классический конвейер.

2. Выберите Переменные>Группы переменных, и затем выберите Связать группу переменных.

   • В конвейере сборки отображается список доступных групп. Выберите группу переменных и нажмите Связать. Все переменные в группе доступны для использования в конвейере.

   • В конвейере выпуска также отображается выпадающий список этапов. Свяжите группу переменных с самим конвейером или с одной или несколькими конкретными этапами конвейера выпуска. Если вы привязываете к одной или нескольким стадиям, переменные из группы переменных относятся к этим стадиям и не будут доступны на других стадиях этого выпуска.

   

При установке переменной с одинаковым именем в нескольких областях используется следующая приоритетность:

1. Переменная, заданная во время очереди.
2. Переменная, заданная в конвейере
3. Переменная, заданная в группе переменных

Дополнительные сведения о приоритете переменных см. в разделе "Расширение переменных".

Примечание.

Переменные в разных группах, связанных с потоком данных в одном контексте (например, задание или этап), будут конфликтовать, и результат может быть непредсказуемым. Убедитесь, что для переменных во всех группах переменных используются разные имена.

Связанные статьи

• Определение переменных
• Определение пользовательских переменных
• Использование секретных и несекретных переменных в группах переменных
• Связывание группы переменных с секретами в Azure Key Vault
• Добавление утверждений и проверок