我想构建一个 Docker 容器,从私有 GitHub 存储库下载一些东西(在构建时!)。这意味着我需要提供 SSH 密钥,但我不想将它们复制到容器中,因为这样每个有权访问容器的人都可以使用它们。
我该如何解决这个问题?
基本上,我正在寻找诸如 SSH 代理转发之类的东西,但不是在容器运行时,而是在容器构建时。
有什么提示吗?
【问题讨论】:
一种简单而安全的方法是从 git 下载到您的主机,然后将下载的文件从您的主机复制到您的容器。不需要钥匙。
获取短容器id:
docker ps
获取完整的容器id:
docker inspect -f '{{.Id}}' SHORT_CONTAINER_ID
复制文件(在主机中):
sudo cp path-file-host /var/lib/docker/aufs/mnt/FULL_CONTAINER_ID/PATH-NEW-FILE
【讨论】:
docker build 会将构建上下文上传到服务器。你使用 Makefile 吗?这可以像在目录中运行 make 以执行 git clone $(URL) ./build/dep1 和 docker build . 一样简单。
推荐的方法是将 Dockerfile 添加到 repo 的根目录。在您的工作站上克隆 repo,然后执行“docker build”,将当前目录(构建上下文)发送到 docker 守护进程。
通常几乎不需要在 Dockerfile(在服务器上)内克隆私有存储库。
【讨论】:
docker build --build-arg 是可能的),或者您将凭据保存在本地计算机上并上传克隆/下载的代码到容器(更安全)。你必须选择一个。