在DC / OS中的docker容器内运行时,ssh-agent不记得标识

时间:2017-08-10 05:13:24

标签: docker ssh-keys dcos

我正在尝试使用DC / OS和Docker运行服务。我使用here中我所在地区的模板创建了我的堆栈。我还创建了以下Dockerfile:

FROM ubuntu:16.04
RUN apt-get update && apt-get install -y expect openssh-client

WORKDIR "/root"
ENTRYPOINT eval "$(ssh-agent -s)" && \
           mkdir -p .ssh && \
           echo $PRIVATE_KEY > .ssh/id_rsa && \
           chmod 600 /root/.ssh/id_rsa && \
           expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\" send \"\"; interact " && \
           while true; do ssh-add -l; sleep 2; done

我有一个私有存储库,我想在docker容器启动时克隆/拉出。这就是我尝试将私钥添加到ssh-agent

的原因

如果我在本地将此映像作为docker容器运行并使用PRIVATE_KEY环境变量提供私钥,则一切正常。我看到身份已被添加。

我遇到的问题是,当我尝试使用docker镜像在DC / OS上运行服务时,ssh-agent似乎不记得使用私钥添加的身份。

我已检查过DC / OS的错误日志。没有错误。

有谁知道为什么在DC / OS上运行docker容器与在本地运行它时有什么不同?

编辑:我已添加DC / OS服务说明的详细信息,以防万一:

{
 "id": "/SOME-ID",
 "instances": 1,
  "cpus": 1,
  "mem": 128,
  "disk": 0,
  "gpus": 0,
  "constraints": [],
  "fetch": [],
  "storeUrls": [],
  "backoffSeconds": 1,
  "backoffFactor": 1.15,
  "maxLaunchDelaySeconds": 3600,
  "container": {
                "type": "DOCKER",
                "volumes": [],
                "docker": {
                "image": "IMAGE NAME FROM DOCKERHUB",
                "network": "BRIDGE",
                "portMappings": [{
                                  "containerPort": SOME PORT NUMBER,
                                  "hostPort": SOME PORT NUMBER,
                                  "servicePort": SERVICE PORT NUMBER,
                                  "protocol": "tcp",
                                  "name": “default”
                                 }],
                "privileged": false,
                "parameters": [],
                "forcePullImage": true
               }
  },
  "healthChecks": [],
  "readinessChecks": [],
  "dependencies": [],
  "upgradeStrategy": {
                      "minimumHealthCapacity": 1,
                      "maximumOverCapacity": 1
                     },
  "unreachableStrategy": {
                          "inactiveAfterSeconds": 300,
                          "expungeAfterSeconds": 600
                         },
  "killSelection": "YOUNGEST_FIRST",
  "requirePorts": true,
  "env": {
          "PRIVATE_KEY": "ID_RSA PRIVATE_KEY WITH \n LINE BREAKS",
         }
  }

2 个答案:

答案 0 :(得分:0)

通过PRIVATE_KEY传递的密钥文件内容最初包含换行符。在将PRIVATE_KEY变量内容回显到~/.ssh/id_rsa后,换行符将会消失。您可以通过使用双引号包装$PRIVATE_KEY变量来解决该问题。

在没有附加TTY的情况下启动容器时会出现另一个问题,通常是通过-i -t命令行参数docker run。密码请求将失败,并且不会将ssh密钥添加到ssh-agent。对于在DC / OS中运行的容器,交互可能没有意义,因此您应该相应地更改入口点脚本。这将要求您的ssh密钥无密码。

这个改变的Dockerfile应该可以工作:

ENTRYPOINT eval "$(ssh-agent -s)" && \
           mkdir -p .ssh && \
           echo "$PRIVATE_KEY" > .ssh/id_rsa && \
           chmod 600 /root/.ssh/id_rsa && \
           ssh-add /root/.ssh/id_rsa && \
           while true; do ssh-add -l; sleep 2; done

答案 1 :(得分:0)

Docker版本

检查您的本地版本的Docker是否与DC / OS代理上安装的版本匹配。默认情况下,DC / OS 1.9.3 AWS CloudFormation模板使用CoreOS 1235.12.0附带的Docker 1.12.6。从那时起,入口点行为可能已发生变化。

Docker Command

检查Mesos任务日志以查找有问题的Marathon应用程序,并查看执行的docker run命令。在本地测试时,您可能会传递稍微不同的参数。

脚本错误

正如另一个答案中所提到的,您提供的脚本有几个错误,可能与失败有关,也可能没有。

  1. echo $PRIVATE_KEY应为echo "$PRIVATE_KEY"以保留换行符。否则密钥解密将失败Bad passphrase, try again for /root/.ssh/id_rsa:
  2. expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\" send \"\"; interact "应为expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\"; send \"\n\"; interact "。它错过了分号和换行符。否则,expect命令会在没有执行的情

    3. 基于文件的秘密

    Enterprise DC / OS 1.10(现在为1.10.0-rc1)有一个名为File Based Secrets的新功能,它允许注入文件(如id_rsa文件),而不将其内容包含在Marathon应用程序定义中,并将其安全地存储在{ {3}}使用Vault

    基于文件的秘密不会为您执行ssh-add,但它应该使文件更容易,更安全。

    Mesos Bug

    Mesos 1.2.0切换到使用Docker --env_file而不是-e来传入环境变量。这会触发https://docs.mesosphere.com/1.10/security/secrets/use-secrets/,它不支持换行符。一个Docker env_file bug,但修复程序可能不在您正在使用的次要版本中。

    手动解决方法是将rsa_id转换为base64以用于Marathon定义并返回到入口点脚本中。

相关问题
最新问题