1

我们有一个多阶段 YAML 管道,可以对现有的一组 Azure 资源执行 CI/CD

阶段是

  1. 建造
  2. 部署到开发和运行测试
  3. 如果 Previous 成功 - 部署到生产环境并运行测试

我们AzureRmWebAppDeployment在部署阶段使用该任务,并使用该任务的 AppSettings 参数来指定特定于环境的设置。例如

- task: AzureRmWebAppDeployment@4
      displayName: 'Deploy Azure App Service'
      inputs:
        azureSubscription: '$(azureSubscriptionEndpoint)'
        appType: '$(webAppKind)'
        WebAppName: 'EXISTING__AZURE_RESOURCENAME-DEV'
        Package: '$(Pipeline.Workspace)/**/*.zip'
        AppSettings: >
          -AzureAd:CallbackPath /signin-oidc
          -AzureAd:ClientId [GUID was here]
          -AzureAd:Domain [domain was here]
          -AzureAd:Instance https://login.microsoftonline.com/ 
          -AzureAd:TenantId [Id was here]
          -EmailServer:SMTPPassword SECRETPASSWORD
          -EmailServer:SMTPUsername SECRETUSERNAME

该集中有两个设置EmailServer: SMTPUsernameEmailServer: SMTPPassword我想从 Azure KeyVault 中提取它们。我知道如何使用语法从 Azure 门户引用 KV 机密

@Microsoft.KeyVault(SecretUri=https://our.vault.azure.net/secrets/SendGridPassword/ReferenceGuidHere)

但是如何引用 YAML 管道中的值以便在 Azure 中设置它?

4

2 回答 2

3

正如 Thomas 在此评论中所指出的,从 CI/CD YAML 引用 Azure Key Vault 机密

我可以像这样在 YAML 文件中显式设置值:

-EmailServer:SMTPPassword @Microsoft.KeyVault(SecretUri=https://our.vault.azure.net/secrets/SendGridPassword/ReferenceGuidHere)
于 2020-09-21T13:38:03.900 回答
1

您需要将带有 RunAsPreJob 的 AzureKeyVault@1 任务设置为 true,这将使您的密钥保管库值可用作 CI/CD 作业环境变量,因此您可以在其余部分将其用作 $(KEY-OF-SECRET-VALUE)工作的各个阶段。

以下 yaml 文件是一个工作示例。我们为 python unittest 设置了一组从 Azure key-vault 提供的环境变量

trigger:
  batch: true # disable concurrent build for pipeline
  branches:
    include:
    - '*'  # CI start for all branches

pool:
  vmImage: ubuntu-16.04

stages:

- stage: Test
  jobs:
  - job: sample_test_stage
    steps:
    - task: AzureKeyVault@1
      inputs:
        azureSubscription: 'YOUR SUBSCRIPTION HERE'
        KeyVaultName: 'THE-KEY-VAULT-NAME'
        SecretsFilter: '*'
        RunAsPreJob: true
    - task: UsePythonVersion@0
      inputs:
        versionSpec: '3.7'
    - script : python -m unittest discover -v -s tests
      displayName: 'Execute python unittest'
      env: { MY-ENV-VAL-1: $(SECRET-VALUE-1), MY-ENV-VAL-2: $(SECRET-VALUE-2)}

请注意,有时您需要批准 AzureDevops 和其他 Azure 服务(如 KeyVault)之间的连接

于 2020-09-21T13:52:14.597 回答