在通过dockerfile构建docker镜像时,我必须克隆一个github repo。我已将我的公共ssh密钥添加到我的git hub帐户,我可以从我的docker主机克隆repo。虽然我看到我可以通过在像$SSH_AUTH_SOCK这样的泊坞机运行时映射docker run --rm -it --name container_name \
-v $(dirname $SSH_AUTH_SOCK):$(dirname $SSH_AUTH_SOCK) \
-e SSH_AUTH_SOCK=$SSH_AUTH_SOCK my_image env变量来使用docker host的ssh密钥。
在docker build期间我该怎么做?
答案 0 :(得分:11)
您可以使用Docker的新功能将现有的SSH代理连接或密钥转发给构建器。例如,这可以在构建过程中克隆您的私有存储库。
步骤:
首先设置环境变量以使用新的BuildKit
export DOCKER_BUILDKIT=1
然后使用新的(实验性)语法创建Dockerfile:
# syntax=docker/dockerfile:experimental
FROM alpine
# install ssh client and git
RUN apk add --no-cache openssh-client git
# download public key for github.com
RUN mkdir -p -m 0600 ~/.ssh && ssh-keyscan github.com >> ~/.ssh/known_hosts
# clone our private repository
RUN --mount=type=ssh git clone git@github.com:myorg/myproject.git myproject
并使用
构建图像docker build --ssh default .
在此处详细了解:https://medium.com/@tonistiigi/build-secrets-and-ssh-forwarding-in-docker-18-09-ae8161d066
答案 1 :(得分:5)
不幸的是,您无法将ssh套接字转发到构建容器,因为Docker当前不支持构建时卷安装。
这已经讨论了很长一段时间了,请参阅GitHub上的以下问题以供参考:
正如您所看到的,针对不同的用例,已多次请求此功能。到目前为止,维护人员一直在犹豫是否要解决这个问题,因为他们认为在构建期间安装卷会破坏可移植性:
构建的结果应独立于底层主机
正如this讨论中所述。
答案 2 :(得分:3)
这可以使用替代构建脚本来解决。例如,您可以创建一个bash脚本并将其放在~/usr/local/bin/docker-compose或您最喜欢的位置:
#!/bin/bash
trap 'kill $(jobs -p)' EXIT
socat TCP-LISTEN:56789,reuseaddr,fork UNIX-CLIENT:${SSH_AUTH_SOCK} &
/usr/bin/docker-compose $@
然后在您的Dockerfile中,您将使用现有的ssh套接字:
...
ENV SSH_AUTH_SOCK /tmp/auth.sock
...
&& apk add --no-cache socat openssh \
&& /bin/sh -c "socat -v UNIX-LISTEN:${SSH_AUTH_SOCK},unlink-early,mode=777,fork TCP:172.22.1.11:56789 &> /dev/null &" \
&& bundle install \
...
or any other ssh commands will works
现在您可以调用我们的自定义docker-compose build。它会使用共享的ssh套接字调用实际的docker脚本。
答案 3 :(得分:0)
这也很有趣:
它看起来像:
mkfifo myfifo
nc -lk 12345 <myfifo | nc -U $SSH_AUTH_SOCK >myfifo
RUN mkfifo myfifo
RUN while true; do \
nc 172.17.0.1 12345 <myfifo | nc -Ul /tmp/ssh-agent.sock >myfifo \
done &
RUN export SSH_AUTH_SOCK=/tmp/ssh-agent.sock
RUN ssh ...