在docker中,当容器必须与外部系统通信时,如何确定配置known_hosts,authorized_keys和ssh连接的要求?
例如,我正在运行jenkins容器并尝试从作业中的github检出项目,但连接失败并显示错误host key verification failed
这可以通过登录到容器,手动连接到github并在提示时信任主机密钥来解决。然而,这不是正确的解决方案,因为一切都需要100%自动化(我正在使用ansible和docker构建CI管道)。另一个(笨重的)解决方案是为运行容器配备ansible,但这会使事情变得混乱且难以维护。 Jenkins容器甚至没有ssh守护进程,我不知道如何从其他主机ssh到容器。第三个选项是使用我自己的扩展jenkins映像的Dockerfile,其中配置了ssh,但这将是硬编码并将容器锁定到这个特定的环境。
那么docker管理(和自动化)与外部系统连接的正确方法是什么?
答案 0 :(得分:10)
要信任github.com主机,您可以在启动或构建容器时发出此命令:
ssh-keyscan -t rsa github.com >> ~/.ssh/known_hosts
这会将github公钥添加到已知的主机文件中。
答案 1 :(得分:3)
我就是这样做的,不确定你是否会喜欢这个解决方案。我有一个私有git存储库,其中包含带有公钥集合的authorized_keys。然后,我使用ansible克隆此存储库并替换authorized_keys:
- git: repo=my_repo dest=my_local_folder force=yes accept_hostkey=yes
- shell: "cp my_local_folder/authorized_keys ~/.ssh/"
使用 accept_hostkey 实际上允许我自动化该过程(当然,我相信源代码)。
答案 2 :(得分:2)
如果在Dockerfile中完成所有操作,那很容易。 在我的Dockerfile中:
ARG PRIVATE_SSH_KEY
# Authorize SSH Host
RUN mkdir -p /root/.ssh && \
chmod 0700 /root/.ssh && \
ssh-keyscan example.com > /root/.ssh/known_hosts && \
# Add the keys and set permissions
echo "$PRIVATE_SSH_KEY" > /root/.ssh/id_rsa && \
chmod 600 /root/.ssh/id_rsa
...do stuff with private key
# Remove SSH keys
RUN rm -rf /root/.ssh/
您显然需要将私钥作为参数传递给建筑物(docker-compose build或docker build)。
答案 3 :(得分:2)
有一个小技巧,但 git 版本应该 > 2.3
export GIT_SSH_COMMAND="ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no"
git clone git@gitlab.com:some/another/repo.git
或者干脆
GIT_SSH_COMMAND="ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no" git clone git@...
你甚至可以像这样指向私钥文件路径:
GIT_SSH_COMMAND="ssh -i /path/to/private_key_file -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no" git clone git@...
答案 4 :(得分:1)
一种解决方案是使用以下选项将主机的ssh密钥安装到docker中:
docker run -v /home/<host user>/.ssh:/home/<docker user>/.ssh <image>
这适用于git。
答案 5 :(得分:0)
试试这个: 登录主机,然后:
sudo mkdir /var/jenkins_home/.ssh/
sudo ssh-keyscan -t rsa github.com >> /var/jenkins_home/.ssh/known_hosts
Jenkins容器将主位置设置为持久映射,因此,在主机系统中运行它将生成所需的结果。