Блог

Я вижу, что в конвейерах выпуска Azure мы можем считывать секреты либо путем создания группы переменных на основе хранилища ключей в библиотеке, либо с помощью задачи «Azure Key vault» в конвейере. Оба они выполняют одно и то же, т.Е. считывают секретное значение из хранилища ключей, с той разницей, что мы можем связать переменную group с несколькими конвейерами, а задача «Azure Key vault» останется ограниченной одним конвейером.

Я хочу понять, что является наилучшей практикой при чтении секретов из хранилища ключей Azure в конвейерах выпуска. Какой из двух подходов рекомендуется здесь и почему?

Какой из двух подходов рекомендуется здесь и почему?

Возможность повторного использования — это самое большое различие между ними, а также основа для вас, чтобы решить, какой способ выбрать.

Если вы подтвердите, что ваше задание является одноразовым, вы можете выбрать задачу хранилища ключей Azure. В этом случае вам не нужно настраивать группу переменных в библиотеке и связывать библиотеку с конвейером выпуска.

Но если вам нужно повторно использовать его или вы планируете повторно использовать его в будущем, выберите переменную группу в библиотеке, чтобы вам не нужно было добавлять задачу хранилища ключей Azure в каждый конвейер.

Но вы бы порекомендовали использовать переменные конвейера, когда у нас уже есть эти секреты в Azure key vault. В этом случае это не будет дублировать эти секреты в Azure Key Vault и переменных конвейера.

Я не рекомендую использовать те переменные, которые были установлены в хранилище ключей Azure в переменных конвейера. Поскольку переменная в конвейере перезапишет значение переменной, заданной в хранилище ключей Azure.