我有一个包含机密的 Azure KeyVault,我们将其称为“test1”。
我有一个运行 2 个 bash 脚本的 Azure DevOps 发布管道。一个是内联的,另一个是基于文件的。
内联脚本没有输入参数,因为它可以在没有输入参数的情况下处理变量组(即 Azure Key Vault)中的变量(秘密)。
基于文件的脚本有一个输入,在 DevOps 方面是$(test1).
对于内联脚本:
echo "1" $test1
echo "2" test1
echo "3" "$test1"
echo "4" $(test1)
echo "5" ${test1}
echo "6" "$(test1)"
echo "7" "${test1}"
对于基于文件的脚本:
test1=$1
echo "1" $test1
echo "2" test1
echo "3" "$test1"
echo "4" $(test1)
echo "5" ${test1}
echo "6" "$(test1)"
echo "7" "${test1}"
正如您所看到的,这两个脚本是相同的。
内联脚本的输出:
2024-01-26T09:45:29.0382744Z 1
2024-01-26T09:45:29.0384501Z 2 test1
2024-01-26T09:45:29.0385029Z 3
2024-01-26T09:45:29.0385401Z 4 ***
2024-01-26T09:45:29.0385658Z 5
2024-01-26T09:45:29.0385948Z 6 ***
2024-01-26T09:45:29.0386188Z 7
基于文件的脚本的输出:
2024-01-26T09:45:28.6888518Z 1 ***
2024-01-26T09:45:28.6890152Z 2 test1
2024-01-26T09:45:28.6890863Z 3 ***
2024-01-26T09:45:28.7077227Z /d/a/r1/a/_secret/echo.sh: line 6: test1: command not found
2024-01-26T09:45:28.7104148Z 4
2024-01-26T09:45:28.7113476Z 5 ***
2024-01-26T09:45:28.7278287Z /d/a/r1/a/_secret/echo.sh: line 8: test1: command not found
2024-01-26T09:45:28.7287815Z 6
2024-01-26T09:45:28.7289441Z 7 ***
问题:
- 为什么输出不同?一个人以这种方式识别变量,另一个人以另一种方式识别变量。有什么区别,或者我做错了什么?
- 是否可以使用基于文件的脚本,而无需输入秘密参数,这些秘密来自变量组或“Azure Key Vault”代理作业。
这是因为基于文件的脚本不会替换
$(VARIABLE)占位符。您应该使用环境变量:就您而言,这是一个很好的例子:
检查此文档以了解如何使用秘密变量:设置秘密变量
对于第一个查询,这是因为基于文件的脚本不会替换 $(VARIABLE) 占位符,但它可以读取您传递的参数:
echo $(args)。在这里,您对 test1 秘密使用了相同名称的 test1(参数)。对于 2 查询,要使用基于文件的脚本而不需要机密的输入参数,您可以将机密变量映射为环境。
并在 bash 文件中输出环境。您无法输出$TEST1。
输出:
另外,在Azure Key value任务中,您可以选择以下选项,以便秘密变量可以公开作业中的所有任务。
如果您使用链接到键值变量的变量组,请确保范围处于发布或正确阶段,并且不会在作业中的先前任务中覆盖,以便秘密变量可以映射到环境。