管理变量组

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

本文介绍如何在 Azure Pipelines 中创建和使用变量组。 变量组存储您可以传递到 YAML 管道或在项目中的多个管道中提供的值和机密。

变量组中的机密变量是受保护的资源。 可以添加审批、检查和管道权限的组合，以限制对变量组中机密变量的访问。 对非机密变量的访问不受审批、检查和管道权限的限制。

变量组遵循库安全模型的角色和权限。

先决条件

• 有权创建管道和变量的 Azure DevOps Services 组织和项目。
• Azure DevOps 组织或 Azure DevOps Server 集合中的项目。 如果没有项目，请创建一个项目 。
• 如果使用 Azure DevOps CLI，则需要使用 Azure DevOps CLI 扩展的 Azure CLI 2.30.0 或更高版本。 有关详细信息，请参阅 Azure DevOps CLI 入门。

设置 CLI

如果使用 Azure DevOps CLI，则需要设置 CLI 以与 Azure DevOps 组织和项目配合使用。

1. 使用 az login 命令登录到 Azure DevOps 组织。

   Azure CLI

   az login
   

2. 如果出现提示，请从终端窗口中显示的列表中选择订阅。

3. 使用以下命令确保运行最新版本的 Azure CLI 和 Azure DevOps 扩展。

   Azure CLI

   az upgrade
   az extension add --name azure-devops --upgrade
   

4. 在 Azure DevOps CLI 命令中，可以使用以下命令设置默认组织和项目：

   Azure CLI

   az devops configure --defaults organization=<YourOrganizationURL> project=<Project Name or ID>`
   

   如果尚未设置默认组织和项目，可以使用 detect=true 命令中的参数根据当前目录自动检测组织和项目上下文。 如果未配置或检测到默认值，则需要在命令中显式指定 org 和 project 参数。

创建变量组

可以为项目中的管道运行创建变量组。

备注

若要创建机密变量组以将 Azure 密钥保管库中的机密链接为变量，请按照 Azure 密钥库中将变量组链接到机密的说明进行操作。

Azure Pipelines UI

1. 在 Azure DevOps 项目中，从左侧菜单中选择管道>库。

2. 在“库”页上，选择“+ 变量组”。

   

3. 在新变量组页面的“属性”下，输入变量组的名称和可选描述。

4. 在“变量”下，选择“+ 添加”，然后输入要包含在组中的变量名称和值。 如果想要加密并安全地存储该值，请选择变量旁边的锁定图标。

5. 选择“+ 添加”以添加每个新变量。 添加完变量后，选择“保存”。

   

现在就可以在项目管道中使用此变量组。

Azure DevOps CLI

在 Azure DevOps Services 中，可以使用 Azure DevOps CLI 来创建变量组。

要创建变量组，请使用 az pipelines variable-group create 命令。

例如，以下命令创建了一个名为 home-office-config 的变量组，添加了 app-location=home-office 和 app-name=contoso 变量，并以 YAML 格式输出结果。

Azure CLI

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

输出：

YAML

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

更新变量组

Azure Pipelines UI

可以使用 Azure Pipelines 用户界面更新变量组。

1. 在 Azure DevOps 项目中，从左侧菜单中选择管道>库。
2. 在“库”页面上，选择要更新的变量组。 也可以将鼠标悬停在变量组列表上，选择“更多选项”图标，然后从菜单中选择“编辑”。
3. 在变量组页面中，更改任何属性，然后选择“保存”。

Azure DevOps CLI

在 Azure DevOps Services 中，可以使用 Azure DevOps CLI 来更新变量组。

列出变量组

要使用 Azure DevOps CLI 更新变量组或其中的变量，则需要使用变量组 group-id。

可以从创建变量组命令的输出中获取变量组 ID 的值，或使用 az pipelines variable-group list 命令。

例如，以下命令按升序列出前三个项目变量组，并以表格格式返回结果（包括变量组 ID）。

Azure CLI

az pipelines variable-group list --top 3 --query-order Asc --output table

输出：

输出

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

更新变量组

要更新变量组，请使用 az pipelines variable-group update 命令。

备注

无法使用 Azure DevOps CLI 更新类型 AzureKeyVault 变量组。

例如，以下命令更新 ID 为 4 的变量组，更改 name 和 description，并以表格格式输出结果。

Azure CLI

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

输出：

输出

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

显示变量组的详细信息

可以使用 az pipelines variable-group show 命令来显示变量组的详细信息。 例如，以下命令显示 ID 为 4 的变量组的详细信息，并以 YAML 格式返回结果。

Azure CLI

az pipelines variable-group show --group-id 4 --output yaml

输出：

YAML

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

删除变量组

Azure Pipelines UI

可以在 Azure Pipelines 用户界面中删除变量组。

1. 在 Azure DevOps 项目中，从左侧菜单中选择管道>库。
2. 在“库”页面上，将鼠标悬停在要删除的变量组上，然后选择“更多选项”图标。
3. 从菜单中选择“删除”，然后在确认屏幕上选择“删除”。

Azure DevOps CLI

在 Azure DevOps 服务中，可以使用 Azure DevOps CLI 来删除变量组。

要删除变量组，请使用 az pipelines variable-group delete 命令。 例如，以下命令会删除 ID 为 1 的变量组并且不提示确认。

Azure CLI

az pipelines variable-group delete --group-id 1 --yes

管理变量组中的变量

Azure Pipelines UI

可以使用 Azure Pipelines 用户界面更改、添加或删除变量组中的变量。

1. 在 Azure DevOps 项目中，从左侧菜单中选择管道>库。
2. 在“库”页面上，选择要更新的变量组。 也可以将鼠标悬停在变量组列表上，选择“更多选项”图标，然后从菜单中选择“编辑”。
3. 在变量组页面上可以：
   • 更改任何变量名或变量值。
   • 选择变量名旁边的垃圾桶图标，删除任何变量。
   • 选择变量值旁边的锁定图标，将变量更改为机密或非机密变量。
   • 通过选择“+ 添加”以添加新的变量。
4. 进行更改后，请选择“保存”。

Azure DevOps CLI

在 Azure DevOps 服务中，可以使用 Azure DevOps CLI 管理变量组中的变量。

列出变量组中的变量

要列出变量组中的变量，请使用 az pipelines variable-group variable list 命令。 例如，以下命令可列出 ID 为 4 的变量组中的所有变量，并以表格格式显示结果。

Azure CLI

az pipelines variable-group variable list --group-id 4 --output table

输出：

输出

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

将变量添加到变量组

要将变量添加到变量组，请使用 az pipelines variable-group variable create 命令。

例如，以下命令将在 ID 为 4 的变量组中创建一个名为 requires-login、默认值为 true 的新变量。 结果以表格形式显示。

Azure CLI

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

输出：

输出

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

更新变量组中的变量

要更新变量组中的变量，请使用 az pipelines variable-group variable update 命令。

备注

无法使用 Azure DevOps CLI 更新类型 AzureKeyVault 变量组中的变量。 可以通过命令更新变量 az keyvault 。

例如，以下命令可使用 ID 为 4 的变量组中的新值 false 更新 requires-login 变量，并以 YAML 格式显示结果。 该命令指定变量为 secret。

Azure CLI

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

输出显示值为 null，而不是 false，因为这是一个机密隐藏值。

YAML

requires-login:
  isSecret: true
  value: null

管理机密变量

要管理机密变量，请使用带有以下参数的 az pipelines variable-group variable update 命令：

• secret：设置为 true 表示对变量值保密。
• prompt-value：设置为 true 可通过环境变量或标准输入提示更新机密变量的值。
• value：对于机密变量，请使用 prompt-value 参数会提示通过标准输入来输入值。 对于非交互式控制台，可以使用前缀为 AZURE_DEVOPS_EXT_PIPELINE_VAR_ 的环境变量。 例如，可以使用环境变量 AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecret 输入名为 MySecret 的变量。

从变量组中删除变量

要从变量组中删除变量，请使用 az pipelines variable-group variable delete 命令。 例如，以下命令可从 ID 为 4 的变量组中删除 requires-login 变量。

Azure CLI

az pipelines variable-group variable delete --group-id 4 --name requires-login

命令会提示进行确认，因为这是默认值。 使用 --yes 参数跳过确认提示。

输出

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

在管道中使用变量组

可以在 YAML 或经典管道中使用变量组。 对变量组所做的更改会自动提供给该变量组所链接的所有定义或阶段。

YAML

如果仅在 YAML 管道中指定变量组，任何可以将代码推送到存储库的人都可以提取变量组中机密的内容。 因此，要在 YAML 管道中使用变量组，必须授权管道使用该组。 可以授权管道在 Azure Pipelines 用户界面中使用变量组，也可以使用 Azure DevOps CLI。

通过管道 UI 进行授权

可以使用 Azure Pipelines 用户界面授权管道使用变量组。

1. 在 Azure DevOps 项目中，从左侧菜单中选择管道>库。
2. 在“库”页面上，选择要授权的变量组。
3. 在变量组页面上，选择“管道权限”选项卡。
4. 在“管道权限”屏幕上选择 +，然后选择要授权的管道。 或者，选择“更多操作”图标，选择“打开访问权限”，然后再次选择“打开访问权限”以进行确认。

选择管道后，该管道就有权使用变量组。 要授权另一个管道，请再次选择 + 图标。 选择“开放访问”可授权所有项目管道使用变量组。 如果组中没有任何机密，开放访问可能是不错的选择。

另一种授权变量组的方法是选择管道，选择“编辑”，然后手动将生成排队。 此时会出现一个资源授权错误，然后可以显式地将管道添加为变量组的授权用户。

通过 Azure DevOps CLI 进行授权

在 Azure DevOps 服务中，可以使用 Azure DevOps CLI 来授权变量组。

要授权所有项目管道使用变量组，请将 az pipelines variable-group create 命令中的 authorize 参数设置为 true。 如果组中没有任何机密，则此开放访问可能是一个不错的选择。

将变量组链接到管道

授权 YAML 管道使用变量组后，可以在管道中的组中使用变量。

若要使用变量组中的变量，请在 YAML 管道文件中添加对组名称的引用。

YAML

variables:
- group: my-variable-group

可以在同一管道中引用多个变量组。 如果多个变量组包含具有相同名称的变量，则使用文件中变量的最后一个变量组将设置变量的值。 有关变量优先级的详细信息，请参阅变量的扩展。

还可以在模板中引用变量组。 以下 variables.yml 模板文件引用了变量组 my-variable-group。 变量组包括名为 myhello 的变量。

YAML

variables:
- group: my-variable-group

YAML 管道会引用 variables.yml 模板，并使用变量组 my-variable-group 中的变量 $(myhello)。

YAML

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

在链接变量组中使用变量

访问链接变量组中的变量值的方式与访问管道中定义的变量的方式相同。 例如，要访问链接到管道的变量组中名为 customer 的变量的值，可以在任务参数或脚本中使用 $(customer)。

如果在管道文件中同时使用独立变量和变量组，请对独立变量使用 name-value 语法。

YAML

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

要引用变量组中的变量，可以使用宏语法或运行时表达式。 在下面的示例中，组 my-variable-group 具有名为 myhello 的变量。

要使用运行时表达式：

YAML

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

要使用宏语法：

YAML

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

无法直接在脚本中访问秘密变量，包括加密变量和密钥保管库变量。 必须将这些变量作为参数传递给任务。 有关详细信息，请参阅机密变量。

经典

在经典管道中使用变量组

经典管道可以使用变量组，无需单独授权。 要使用变量组：

1. 打开经典管道。

2. 选择变量>变量组，然后选择“链接变量组”。

   • 在生成管道中，可以看到可用组的列表。 选择变量组，然后选择“ 链接”。 组中的所有变量都可在管道中使用。

   • 在发布管道中，还会看到管道中阶段的下拉列表。 将变量组链接到管道本身，或者链接到发布管道的一个或多个特定阶段。 如果链接到一个或多个阶段，则变量组中的变量仅限于这些阶段，并且在发布的其他阶段无法访问。

   

当在多个作用域中设置同名变量时，将使用以下优先级（最高优先级排在首位）：

1. 在排队时设置的变量
2. 管道中设置的变量
3. 变量组中设置的变量

有关变量优先级的详细信息，请参阅变量的扩展。

备注

链接到同一作用域（例如作业或阶段）中的管道的不同组中的变量将出现冲突，结果可能不可预知。 确保对所有变量组的变量使用不同的名称。

相关文章

• 定义变量
• 定义自定义变量
• 在变量组中使用机密和非机密变量
• 在 Azure Pipelines 中使用 Azure Key Vault 机密
• 添加审批和检查