Sử dụng các khóa SSH bên trong container docker

Tôi có một ứng dụng thực thi nhiều nội dung thú vị khác nhau với Git (như chạy git clone & git đẩy) và tôi đang cố gắng cập bến nó.

Tôi đang gặp phải một vấn đề mặc dù tôi cần có thể thêm khóa SSH vào vùng chứa để 'người dùng' của container sử dụng.

Tôi đã thử sao chép nó vào /root/.ssh/, thay đổi $HOME, tạo ra một trình bao bọc git ssh, và vẫn không gặp may.

Dưới đây là Dockerfile để tham khảo:

#DOCKER-VERSION 0.3.4                                                           

from  ubuntu:12.04                                                              

RUN  apt-get update                                                             
RUN  apt-get install python-software-properties python g++ make git-core openssh-server -y
RUN  add-apt-repository ppa:chris-lea/node.js                                   
RUN  echo "deb http://archive.ubuntu.com/ubuntu precise universe" >> /etc/apt/sources.list
RUN  apt-get update                                                             
RUN  apt-get install nodejs -y                                                  

ADD . /src                                                                       
ADD ../../home/ubuntu/.ssh/id_rsa /root/.ssh/id_rsa                             
RUN   cd /src; npm install                                                      

EXPOSE  808:808                                                                 

CMD   [ "node", "/src/app.js"]

app.js chạy các lệnh git như git pull

Đó là một vấn đề khó hơn nếu bạn cần sử dụng SSH khi xây dựng. Ví dụ: nếu bạn đang sử dụng git clone, hoặc trong trường hợp của tôi pipvà npmđể tải xuống từ kho lưu trữ riêng.

Giải pháp tôi tìm thấy là thêm các phím của bạn bằng --build-argcờ. Sau đó, bạn có thể sử dụng --squashlệnh thử nghiệm mới (đã thêm 1.13) để hợp nhất các lớp để các khóa không còn khả dụng sau khi xóa. Đây là giải pháp của tôi:

Xây dựng lệnh

$ docker build -t example --build-arg ssh_prv_key="$(cat ~/.ssh/id_rsa)" --build-arg ssh_pub_key="$(cat ~/.ssh/id_rsa.pub)" --squash .

Dockerfile

FROM python:3.6-slim

ARG ssh_prv_key
ARG ssh_pub_key

RUN apt-get update && \
    apt-get install -y \
        git \
        openssh-server \
        libmysqlclient-dev

# Authorize SSH Host
RUN mkdir -p /root/.ssh && \
    chmod 0700 /root/.ssh && \
    ssh-keyscan github.com > /root/.ssh/known_hosts

# Add the keys and set permissions
RUN echo "$ssh_prv_key" > /root/.ssh/id_rsa && \
    echo "$ssh_pub_key" > /root/.ssh/id_rsa.pub && \
    chmod 600 /root/.ssh/id_rsa && \
    chmod 600 /root/.ssh/id_rsa.pub

# Avoid cache purge by adding requirements first
ADD ./requirements.txt /app/requirements.txt

WORKDIR /app/

RUN pip install -r requirements.txt

# Remove SSH keys
RUN rm -rf /root/.ssh/

# Add the rest of the files
ADD . .

CMD python manage.py runserver

Cập nhật: Nếu bạn đang sử dụng Docker 1.13 và có các tính năng thử nghiệm, bạn có thể nối thêm --squashlệnh xây dựng sẽ hợp nhất các lớp, xóa các khóa SSH và ẩn chúng khỏi docker history.

Hóa ra khi sử dụng Ubuntu, ssh_config không chính xác. Bạn cần phải thêm

RUN  echo "    IdentityFile ~/.ssh/id_rsa" >> /etc/ssh/ssh_config

vào Dockerfile của bạn để nhận nó nhận ra khóa ssh của bạn.

Lưu ý : chỉ sử dụng phương pháp này cho hình ảnh riêng tư và sẽ luôn như vậy!

Khóa ssh vẫn được lưu trong ảnh, ngay cả khi bạn loại bỏ khóa trong lệnh lớp sau khi thêm nó (xem bình luận trong bài này ).

Trong trường hợp của tôi, điều này là ổn, vì vậy đây là những gì tôi đang sử dụng:

# Setup for ssh onto github
RUN mkdir -p /root/.ssh
ADD id_rsa /root/.ssh/id_rsa
RUN chmod 700 /root/.ssh/id_rsa
RUN echo "Host github.com\n\tStrictHostKeyChecking no\n" >> /root/.ssh/config

Nếu bạn đang sử dụng docker, soạn thảo một lựa chọn dễ dàng là chuyển tiếp tác nhân SSH như thế:

something:
    container_name: something
    volumes:
        - $SSH_AUTH_SOCK:/ssh-agent # Forward local machine SSH key to docker
    environment:
        SSH_AUTH_SOCK: /ssh-agent

Mở rộng câu trả lời của Peter Grainger Tôi đã có thể sử dụng bản dựng nhiều giai đoạn có sẵn kể từ Docker 17.05. Trang chính thức nêu rõ:

Với các bản dựng nhiều giai đoạn, bạn sử dụng nhiều FROMcâu lệnh trong Dockerfile của mình. Mỗi FROMhướng dẫn có thể sử dụng một cơ sở khác nhau và mỗi hướng dẫn bắt đầu một giai đoạn mới của quá trình xây dựng. Bạn có thể sao chép có chọn lọc các tạo tác từ giai đoạn này sang giai đoạn khác, bỏ lại mọi thứ bạn không muốn trong hình ảnh cuối cùng.

Ghi nhớ điều này ở đây là ví dụ của tôi Dockerfilebao gồm ba giai đoạn xây dựng. Nó có nghĩa là để tạo ra một hình ảnh sản xuất của ứng dụng web khách.

# Stage 1: get sources from npm and git over ssh
FROM node:carbon AS sources
ARG SSH_KEY
ARG SSH_KEY_PASSPHRASE
RUN mkdir -p /root/.ssh && \
    chmod 0700 /root/.ssh && \
    ssh-keyscan bitbucket.org > /root/.ssh/known_hosts && \
    echo "${SSH_KEY}" > /root/.ssh/id_rsa && \
    chmod 600 /root/.ssh/id_rsa
WORKDIR /app/
COPY package*.json yarn.lock /app/
RUN eval `ssh-agent -s` && \
    printf "${SSH_KEY_PASSPHRASE}\n" | ssh-add $HOME/.ssh/id_rsa && \
    yarn --pure-lockfile --mutex file --network-concurrency 1 && \
    rm -rf /root/.ssh/

# Stage 2: build minified production code
FROM node:carbon AS production
WORKDIR /app/
COPY --from=sources /app/ /app/
COPY . /app/
RUN yarn build:prod

# Stage 3: include only built production files and host them with Node Express server
FROM node:carbon
WORKDIR /app/
RUN yarn add express
COPY --from=production /app/dist/ /app/dist/
COPY server.js /app/
EXPOSE 33330
CMD ["node", "server.js"]

.dockerignorelặp lại nội dung của .gitignoretệp (nó ngăn chặn node_modulesvà dẫn đến các distthư mục của dự án bị sao chép):

.idea
dist
node_modules
*.log

Ví dụ lệnh để xây dựng một hình ảnh:

$ docker build -t ezze/geoport:0.6.0 \
  --build-arg SSH_KEY="$(cat ~/.ssh/id_rsa)" \
  --build-arg SSH_KEY_PASSPHRASE="my_super_secret" \
  ./

Nếu khóa SSH riêng của bạn không có cụm mật khẩu, chỉ cần xác định SSH_KEY_PASSPHRASEđối số trống .

Đây là cách nó hoạt động:

1). Chỉ ở giai đoạn đầu tiên package.json,yarn.lock các tệp và khóa SSH riêng được sao chép sang hình ảnh trung gian đầu tiên có tên sources. Để tránh nhắc nhở mật khẩu khóa SSH, nó sẽ tự động được thêm vào ssh-agent. Cuối cùng, yarnlệnh sẽ cài đặt tất cả các phụ thuộc cần thiết từ NPM và sao chép kho git riêng từ Bitbucket qua SSH.

2). Giai đoạn thứ hai xây dựng và thu nhỏ mã nguồn của ứng dụng web và đặt nó vào distthư mục của hình ảnh trung gian tiếp theo có tên production. Lưu ý rằng mã nguồn đã cài đặt node_modulesđược sao chép từ hình ảnh có tênsources được tạo ở giai đoạn đầu tiên bởi dòng này:

COPY --from=sources /app/ /app/

Có lẽ nó cũng có thể là dòng sau:

COPY --from=sources /app/node_modules/ /app/node_modules/

Chúng tôi chỉ có node_modules thư mục từ hình ảnh trung gian đầu tiên ở đây, không SSH_KEYvà SSH_KEY_PASSPHRASEđối số nữa. Tất cả phần còn lại cần thiết để xây dựng được sao chép từ thư mục dự án của chúng tôi.

3). Ở giai đoạn thứ ba, chúng tôi giảm kích thước của hình ảnh cuối cùng sẽ được gắn thẻ ezze/geoport:0.6.0bằng cách chỉ bao gồmdist thư mục từ hình ảnh trung gian thứ hai có tên productionvà cài đặt Node Express để khởi động máy chủ web.

Danh sách hình ảnh cung cấp một đầu ra như thế này:

REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
ezze/geoport        0.6.0               8e8809c4e996        3 hours ago         717MB
<none>              <none>              1f6518644324        3 hours ago         1.1GB
<none>              <none>              fa00f1182917        4 hours ago         1.63GB
node                carbon              b87c2ad8344d        4 weeks ago         676MB

trong đó các hình ảnh không được gắn thẻ sẽ chuyển sang giai đoạn xây dựng trung gian thứ nhất và thứ hai.

Nếu bạn chạy

$ docker history ezze/geoport:0.6.0 --no-trunc

bạn sẽ không thấy bất kỳ đề cập nào SSH_KEYvà SSH_KEY_PASSPHRASEtrong hình ảnh cuối cùng.

Để đưa khóa ssh cho bạn, trong một vùng chứa, bạn có nhiều giải pháp:

1. Sử dụng Dockerfile với ADDhướng dẫn, bạn có thể tiêm nó trong quá trình xây dựng của mình

2. Đơn giản chỉ cần làm một cái gì đó như cat id_rsa | docker run -i <image> sh -c 'cat > /root/.ssh/id_rsa'

3. Sử dụng docker cplệnh cho phép bạn tiêm tệp trong khi container đang chạy.

Một giải pháp đa nền tảng là sử dụng liên kết gắn kết để chia sẻ .sshthư mục của máy chủ lưu trữ vào thùng chứa:

docker run -v /home/<host user>/.ssh:/home/<docker user>/.ssh <image>

Tương tự như tác nhân chuyển tiếp phương pháp này sẽ làm cho các khóa công khai có thể truy cập vào container. Một ưu điểm nữa là nó cũng hoạt động với người dùng không phải root và sẽ giúp bạn kết nối với GitHub. Tuy nhiên, một lưu ý cần xem xét là tất cả nội dung (bao gồm cả khóa riêng) từ .sshthư mục sẽ được chia sẻ, vì vậy phương pháp này chỉ được mong muốn để phát triển và chỉ dành cho hình ảnh container đáng tin cậy.

Docker container nên được coi là "dịch vụ" của riêng họ. Để tách mối quan tâm, bạn nên tách chức năng:

1) Dữ liệu phải ở trong bộ chứa dữ liệu: sử dụng âm lượng được liên kết để sao chép repo vào. Kho chứa dữ liệu đó sau đó có thể được liên kết với dịch vụ cần nó.

2) Sử dụng bộ chứa để chạy tác vụ nhân bản git, (nghĩa là công việc duy nhất của nó là nhân bản) liên kết bộ chứa dữ liệu với nó khi bạn chạy nó.

3) Tương tự cho khóa ssh: đặt nó là một ổ đĩa (như được đề xuất ở trên) và liên kết nó với dịch vụ git clone khi bạn cần

Bằng cách đó, cả nhiệm vụ nhân bản và chìa khóa đều phù du và chỉ hoạt động khi cần thiết.

Bây giờ nếu bản thân ứng dụng của bạn là giao diện git, bạn có thể muốn xem xét các API REST của github hoặc bitbucket để thực hiện công việc của mình: đó là những gì chúng được thiết kế cho.

Dòng này là một vấn đề:

ADD ../../home/ubuntu/.ssh/id_rsa /root/.ssh/id_rsa

Khi chỉ định các tệp bạn muốn sao chép vào hình ảnh, bạn chỉ có thể sử dụng các đường dẫn tương đối - liên quan đến thư mục chứa Dockerfile của bạn. Vì vậy, thay vào đó bạn nên sử dụng:

ADD id_rsa /root/.ssh/id_rsa

Và đặt tệp id_rsa vào cùng thư mục chứa Dockerfile của bạn.

Kiểm tra điều này để biết thêm chi tiết: http://docs.docker.io/reference/builder/#add

Chúng tôi đã gặp vấn đề tương tự khi thực hiện cài đặt npm trong thời gian xây dựng docker.

Lấy cảm hứng từ giải pháp từ Daniel van Flymen và kết hợp nó với git url viết lại , chúng tôi đã tìm thấy một phương pháp đơn giản hơn một chút để xác thực cài đặt npm từ repos github riêng tư - chúng tôi đã sử dụng mã thông báo oauth2 thay vì các phím.

Trong trường hợp của chúng tôi, các phụ thuộc npm được chỉ định là "git + https://github.com/ ..."

Để xác thực trong bộ chứa, các url cần phải được viết lại để phù hợp với xác thực ssh (ssh: //git@github.com/) hoặc xác thực mã thông báo (https: // $ {GITHUB_TOKEN} @ github.com /)

Lệnh xây dựng:

docker build -t sometag --build-arg GITHUB_TOKEN=$GITHUB_TOKEN . 

Thật không may, tôi đang sử dụng docker 1.9, vì vậy - tùy chọn -sash vẫn chưa có, cuối cùng nó cần được thêm vào

Dockerfile:

FROM node:5.10.0

ARG GITHUB_TOKEN

#Install dependencies
COPY package.json ./

# add rewrite rule to authenticate github user
RUN git config --global url."https://${GITHUB_TOKEN}@github.com/".insteadOf "https://github.com/"

RUN npm install

# remove the secret token from the git config file, remember to use --squash option for docker build, when it becomes available in docker 1.13
RUN git config --global --unset url."https://${GITHUB_TOKEN}@github.com/".insteadOf

# Expose the ports that the app uses
EXPOSE 8000

#Copy server and client code
COPY server /server 
COPY clients /clients

Chuyển tiếp ổ cắm xác thực ssh đến vùng chứa:

docker run --rm -ti \
        -v $SSH_AUTH_SOCK:/tmp/ssh_auth.sock \
        -e SSH_AUTH_SOCK=/tmp/ssh_auth.sock \
        -w /src \
        my_image

Kịch bản của bạn sẽ có thể thực hiện a git clone.

Bổ sung: Nếu bạn muốn các tệp được sao chép thuộc về một người dùng cụ thể bạn cần sử dụng chownvì việc sử dụng người dùng khác ngoài root bên trong vùng chứa sẽ gitkhông thành công.

Bạn có thể thực hiện việc xuất bản này lên môi trường chứa một số biến bổ sung:

docker run ...
        -e OWNER_USER=$(id -u) \
        -e OWNER_GROUP=$(id -g) \
        ...

Sau khi sao chép, bạn phải thực thi chown $OWNER_USER:$OWNER_GROUP -R <source_folder>để đặt quyền sở hữu phù hợp trước khi bạn rời khỏi vùng chứa để người dùng không truy cập được bên ngoài vùng chứa.

Như eczajk đã nhận xét trong câu trả lời của Daniel van Flymen, dường như không an toàn để xóa các phím và sử dụng --squash, vì chúng vẫn sẽ hiển thị trong lịch sử ( docker history --no-trunc).

Thay vào đó với Docker 18.09, giờ đây bạn có thể sử dụng tính năng "xây dựng bí mật". Trong trường hợp của tôi, tôi đã nhân bản một repo git riêng bằng cách sử dụng khóa SSH của máy chủ với phần sau trong Dockerfile của tôi:

# syntax=docker/dockerfile:experimental

[...]

RUN --mount=type=ssh git clone [...]

[...]

Để có thể sử dụng điều này, bạn cần kích hoạt phụ trợ BuildKit mới trước khi chạy docker build:

export DOCKER_BUILDKIT=1

Và bạn cần thêm --ssh defaulttham số docker build.

Thông tin thêm về điều này tại đây: https://medium.com/@tonistiigi/build-secrets-and-ssh-forwarding-in-docker-18-09-ae8161d066

Vấn đề này thực sự là một vấn đề gây phiền nhiễu. Vì bạn không thể thêm / sao chép bất kỳ tệp nào bên ngoài ngữ cảnh dockerfile, điều đó có nghĩa là không thể chỉ liên kết ~ / .ssh / id_rsa vào hình ảnh /root/.ssh/id_rsa và khi bạn chắc chắn cần một khóa để thực hiện một số điều cần thiết như git clone từ một liên kết repo riêng ..., trong quá trình xây dựng hình ảnh docker của bạn.

Dù sao, tôi đã tìm thấy một giải pháp để giải quyết, không quá thuyết phục nhưng đã làm việc cho tôi.

1. trong dockerfile của bạn:

   • thêm tệp này dưới dạng /root/.ssh/id_rsa
   • làm những gì bạn muốn, chẳng hạn như git clone, nhà soạn nhạc ...
   • rm /root/.ssh/id_rsa ở cuối

2. một kịch bản để làm trong một lần chụp:

   • cp chìa khóa của bạn vào thư mục giữ dockerfile
   • xây dựng bến tàu
   • rm khóa sao chép

3. bất cứ lúc nào bạn phải chạy một container từ hình ảnh này với một số yêu cầu ssh, chỉ cần thêm -v cho lệnh chạy, như:

   docker chạy -v ~ / .ssh / id_rsa: /root/.ssh/id_rsa - tên lệnh chứa hình ảnh container

Giải pháp này không dẫn đến khóa riêng trong cả nguồn dự án và hình ảnh docker được xây dựng, do đó không còn vấn đề bảo mật nào phải lo lắng nữa.

Tôi đã gặp vấn đề tương tự ngày hôm nay và phiên bản sửa đổi một chút với các bài viết trước Tôi thấy cách tiếp cận này hữu ích hơn với tôi

docker run -it -v ~/.ssh/id_rsa:/root/.my-key:ro image /bin/bash

(Lưu ý rằng cờ chỉ đọc để container sẽ không làm hỏng khóa ssh của tôi trong mọi trường hợp.)

Bên trong container bây giờ tôi có thể chạy:

ssh-agent bash -c "ssh-add ~/.my-key; git clone <gitrepourl> <target>"

Vì vậy, tôi không nhận được Bad owner or permissions on /root/.ssh/..lỗi đó được ghi nhận bởi @kross

'bạn có thể chọn lọc để máy chủ từ xa truy cập vào ssh-agent cục bộ của mình như thể nó đang chạy trên máy chủ'

https://developer.github.com/guides/USE-ssh-agent-forwarding/

Bạn cũng có thể liên kết thư mục .ssh của mình giữa máy chủ và vùng chứa, tôi không biết phương thức này có bất kỳ ý nghĩa bảo mật nào không nhưng nó có thể là phương pháp dễ nhất. Một cái gì đó như thế này sẽ hoạt động:

$ sudo docker run -it -v /root/.ssh:/root/.ssh someimage bash

Hãy nhớ rằng docker chạy với sudo (trừ khi bạn không), nếu đây là trường hợp bạn sẽ sử dụng các phím ssh gốc.

Bắt đầu từ docker API 1.39+(Kiểm tra phiên bản API với docker version) xây dựng docker cho phép --sshtùy chọn với ổ cắm tác nhân hoặc khóa để cho phép Docker Engine chuyển tiếp các kết nối tác nhân SSH.

Xây dựng lệnh

export DOCKER_BUILDKIT=1
docker build --ssh default=~/.ssh/id_rsa .

Dockerfile

# syntax=docker/dockerfile:experimental
FROM python:3.7

# Install ssh client (if required)
RUN apt-get update -qq
RUN apt-get install openssh-client -y

# Download public key for github.com
RUN --mount=type=ssh mkdir -p -m 0600 ~/.ssh && ssh-keyscan github.com >> ~/.ssh/known_hosts

# Clone private repository
RUN --mount=type=ssh git clone git@github.com:myorg/myproject.git myproject

Thêm thông tin:

• https://docs.docker.com/develop/develop-images/build_enhancements/#USE-ssh-to-access-private-data-in-builds
• https://github.com/moby/buildkit/blob/master/frontend/dockerfile/docs/experimental.md#run---mounttypessh

Nếu bạn không quan tâm đến tính bảo mật của các khóa SSH, có rất nhiều câu trả lời hay ở đây. Nếu bạn làm như vậy, câu trả lời tốt nhất tôi tìm thấy là từ một liên kết trong một bình luận ở trên đến bình luận GitHub này của diegocsandrim . Vì vậy, những người khác có nhiều khả năng nhìn thấy nó hơn, và trong trường hợp repo đó biến mất, đây là phiên bản chỉnh sửa của câu trả lời đó:

Hầu hết các giải pháp ở đây cuối cùng đều để lại khóa riêng trong ảnh. Điều này là xấu, vì bất cứ ai có quyền truy cập vào hình ảnh đều có quyền truy cập vào khóa riêng của bạn. Vì chúng ta không biết đủ về hành vi củasquash , nên điều này vẫn có thể xảy ra ngay cả khi bạn xóa khóa và xóa lớp đó.

Chúng tôi tạo URL ký trước để truy cập khóa bằng aws s3 cli và giới hạn quyền truy cập trong khoảng 5 phút, chúng tôi lưu URL đăng nhập trước này vào một tệp trong thư mục repo, sau đó trong dockerfile chúng tôi thêm nó vào hình ảnh.

Trong dockerfile, chúng ta có lệnh RUN thực hiện tất cả các bước sau: sử dụng URL trước khi hát để lấy khóa ssh, chạy cài đặt npm và xóa khóa ssh.

Bằng cách thực hiện điều này trong một lệnh duy nhất, khóa ssh sẽ không được lưu trữ trong bất kỳ lớp nào, nhưng URL ký trước sẽ được lưu trữ và đây không phải là vấn đề vì URL sẽ không hợp lệ sau 5 phút.

Kịch bản xây dựng trông như sau:

# build.sh
aws s3 presign s3://my_bucket/my_key --expires-in 300 > ./pre_sign_url
docker build -t my-service .

Dockerfile trông như thế này:

FROM node

COPY . .

RUN eval "$(ssh-agent -s)" && \
    wget -i ./pre_sign_url -q -O - > ./my_key && \
    chmod 700 ./my_key && \
    ssh-add ./my_key && \
    ssh -o StrictHostKeyChecking=no git@github.com || true && \
    npm install --production && \
    rm ./my_key && \
    rm -rf ~/.ssh/*

ENTRYPOINT ["npm", "run"]

CMD ["start"]

Trong các phiên bản sau của docker (17.05), bạn có thể sử dụng các bản dựng nhiều giai đoạn . Đây là tùy chọn an toàn nhất vì các bản dựng trước chỉ có thể được sử dụng cho bản dựng tiếp theo và sau đó bị hủy

Xem câu trả lời cho câu hỏi stackoverflow của tôi để biết thêm

Tổng quan ngắn gọn về những thách thức của SSH trong các container Docker được trình bày chi tiết tại đây . Để kết nối với điều khiển từ xa đáng tin cậy từ trong một container mà không bị rò rỉ bí mật, có một số cách:

• Chuyển tiếp tác nhân SSH (chỉ dành cho Linux, không đơn giản)
• Sẵn sàng SSH với BuildKit (Thử nghiệm, chưa được Compose hỗ trợ )
• Sử dụng một liên kết gắn kết để tiếp xúc ~/.sshvới container. (Chỉ phát triển, có khả năng không an toàn)
• Docker Secrets (Đa nền tảng, tăng thêm độ phức tạp)

Ngoài ra, còn có khả năng sử dụng kho lưu trữ khóa chạy trong bộ chứa docker riêng biệt có thể truy cập khi chạy khi sử dụng Compose. Hạn chế ở đây là sự phức tạp bổ sung do máy móc cần thiết để tạo và quản lý kho lưu trữ khóa như Vault của HashiCorp .

Để sử dụng khóa SSH trong bộ chứa Docker độc lập, hãy xem các phương thức được liên kết ở trên và xem xét các nhược điểm của từng tùy thuộc vào nhu cầu cụ thể của bạn. Tuy nhiên, nếu bạn đang chạy bên trong Soạn thảo và muốn chia sẻ khóa cho ứng dụng khi chạy (phản ánh thực tiễn của OP), hãy thử điều này:

• Tạo một docker-compose.envtập tin và thêm nó vào của bạn.gitignore tập tin .
• Cập nhật docker-compose.ymlvà thêmenv_file cho dịch vụ yêu cầu chìa khóa.
• Truy cập khóa công khai từ môi trường trong thời gian chạy ứng dụng, ví dụ process.node.DEPLOYER_RSA_PUBKEYtrong trường hợp ứng dụng Node.js.

Cách tiếp cận trên là lý tưởng để phát triển và thử nghiệm và, trong khi nó có thể đáp ứng các yêu cầu sản xuất, trong sản xuất, bạn nên sử dụng một trong những phương pháp khác được xác định ở trên.

Tài nguyên bổ sung:

• Docker Docs: Sử dụng mount mount
• Docker Docs: Quản lý dữ liệu nhạy cảm với bí mật Docker
• Tràn ngăn xếp: Sử dụng các khóa SSH bên trong thùng chứa docker
• Tràn ngăn xếp: Sử dụng ssh-agent với docker trên macOS

Bạn có thể sử dụng xây dựng nhiều giai đoạn để xây dựng container Đây là cách tiếp cận bạn có thể thực hiện: -

Giai đoạn 1 xây dựng hình ảnh với ssh

FROM ubuntu as sshImage
LABEL stage=sshImage
ARG SSH_PRIVATE_KEY
WORKDIR /root/temp

RUN apt-get update && \
    apt-get install -y git npm 

RUN mkdir /root/.ssh/ &&\
    echo "${SSH_PRIVATE_KEY}" > /root/.ssh/id_rsa &&\
    chmod 600 /root/.ssh/id_rsa &&\
    touch /root/.ssh/known_hosts &&\
    ssh-keyscan github.com >> /root/.ssh/known_hosts

COPY package*.json ./

RUN npm install

RUN cp -R node_modules prod_node_modules

Giai đoạn 2: xây dựng container của bạn

FROM node:10-alpine

RUN mkdir -p /usr/app

WORKDIR /usr/app

COPY ./ ./

COPY --from=sshImage /root/temp/prod_node_modules ./node_modules

EXPOSE 3006

CMD ["npm", "run", "dev"] 

thêm thuộc tính env trong tệp soạn thảo của bạn:

   environment:
      - SSH_PRIVATE_KEY=${SSH_PRIVATE_KEY}

sau đó vượt qua args từ tập lệnh xây dựng như thế này:

docker-compose build --build-arg SSH_PRIVATE_KEY="$(cat ~/.ssh/id_rsa)"

Và loại bỏ các container trung gian nó để bảo mật. Điều này sẽ giúp bạn cổ vũ.

Một cách đơn giản và an toàn để đạt được điều này mà không cần lưu khóa của bạn trong lớp hình ảnh Docker hoặc thông qua thể dục dụng cụ ssh_agent là:

1. Là một trong các bước trong của bạn Dockerfile, tạo một .sshthư mục bằng cách thêm:

   RUN mkdir -p /root/.ssh

2. Dưới đây chỉ ra rằng bạn muốn gắn thư mục ssh dưới dạng ổ đĩa:

   VOLUME [ "/root/.ssh" ]

3. Đảm bảo rằng bộ chứa của bạn ssh_configbiết nơi tìm các khóa công khai bằng cách thêm dòng này:

   RUN echo " IdentityFile /root/.ssh/id_rsa" >> /etc/ssh/ssh_config

4. Cho phép .sshthư mục người dùng cục bộ của bạn vào vùng chứa trong thời gian chạy:

   docker run -v ~/.ssh:/root/.ssh -it image_name

   Hoặc trong dockerCompose.ymlphần thêm của bạn dưới phím âm lượng của dịch vụ:

   - "~/.ssh:/root/.ssh"

Cuối cùng của bạn Dockerfilenên chứa một cái gì đó như:

FROM node:6.9.1

RUN mkdir -p /root/.ssh
RUN  echo "    IdentityFile /root/.ssh/id_rsa" >> /etc/ssh/ssh_config

VOLUME [ "/root/.ssh" ]

EXPOSE 3000

CMD [ "launch" ]

Tôi đang cố gắng giải quyết vấn đề theo cách khác: thêm khóa ssh công khai vào hình ảnh. Nhưng trong các thử nghiệm của mình, tôi phát hiện ra rằng "docker cp" là để sao chép TỪ một container vào máy chủ. Mục 3 trong câu trả lời của creak dường như đang nói rằng bạn có thể sử dụng cp docker để tiêm các tệp vào một thùng chứa. Xem https://docs.docker.com/engine/reference/commandline/cp/

đoạn trích

Sao chép tập tin / thư mục từ hệ thống tập tin chứa vào đường dẫn máy chủ. Đường dẫn có liên quan đến thư mục gốc của hệ thống tập tin.

  Usage: docker cp CONTAINER:PATH HOSTPATH

  Copy files/folders from the PATH to the HOSTPATH

Bạn có thể chuyển các khóa được ủy quyền vào vùng chứa của mình bằng thư mục dùng chung và đặt quyền bằng tệp docker như thế này:

FROM ubuntu:16.04
RUN apt-get install -y openssh-server
RUN mkdir /var/run/sshd
EXPOSE 22
RUN cp /root/auth/id_rsa.pub /root/.ssh/authorized_keys
RUN rm -f /root/auth
RUN chmod 700 /root/.ssh
RUN chmod 400 /root/.ssh/authorized_keys
RUN chown root. /root/.ssh/authorized_keys
CMD /usr/sbin/sshd -D

Và docker run của bạn chứa một cái gì đó như sau để chia sẻ thư mục auth trên máy chủ (giữ Authorised_keys) với container sau đó mở cổng ssh có thể truy cập qua cổng 7001 trên máy chủ.

-d -v /home/thatsme/dockerfiles/auth:/root/auth -–publish=127.0.0.1:7001:22

Bạn có thể muốn xem https://github.com/jpetazzo/nsenter dường như là một cách khác để mở shell trên container và thực thi các lệnh trong container.

Đến buổi tiệc muộn, điều này sẽ làm cho các khóa hệ điều hành máy chủ của bạn có sẵn để root bên trong container, nhanh chóng:

docker run -v ~/.ssh:/mnt -it my_image /bin/bash -c "ln -s /mnt /root/.ssh; ssh user@10.20.30.40"

Tôi không ủng hộ việc sử dụng Dockerfile để cài đặt các khóa vì các lần lặp trong vùng chứa của bạn có thể để lại các khóa riêng tư.

Bạn có thể sử dụng các bí mật để quản lý mọi dữ liệu nhạy cảm mà container cần trong thời gian chạy nhưng bạn không muốn lưu trữ trong hình ảnh hoặc trong kiểm soát nguồn, chẳng hạn như:

• Tên người dùng và mật khẩu
• Chứng chỉ và khóa TLS
• Khóa SSH
• Dữ liệu quan trọng khác như tên của cơ sở dữ liệu hoặc máy chủ nội bộ
• Chuỗi chung hoặc nội dung nhị phân (kích thước tối đa 500 kb)

https://docs.docker.com/engine/swarm/secrets/

Tôi đã cố gắng tìm ra cách thêm khóa ký vào một container để sử dụng trong thời gian chạy (không xây dựng) và đã gặp câu hỏi này. Bí mật Docker dường như là giải pháp cho trường hợp sử dụng của tôi và vì chưa có ai đề cập đến nó nên tôi sẽ thêm nó.

Trong trường hợp của tôi, tôi đã gặp vấn đề với nodejs và 'npm i' từ một kho lưu trữ từ xa. Tôi đã sửa nó thêm người dùng 'nút' vào vùng chứa nodejs và 700 đến ~ / .ssh trong vùng chứa.

Dockerfile:

USER node #added the part
COPY run.sh /usr/local/bin/
CMD ["run.sh"]

chạy.sh:

#!/bin/bash
chmod 700 -R ~/.ssh/; #added the part

docker-compose.yml:

nodejs:
      build: ./nodejs/10/
      container_name: nodejs
      restart: always
      ports:
        - "3000:3000"
      volumes:
        - ../www/:/var/www/html/:delegated
        - ./ssh:/home/node/.ssh #added the part
      links:
        - mailhog
      networks:
        - work-network

sau đó nó bắt đầu hoạt động

Cách đơn giản nhất, lấy tài khoản launchpad và sử dụng: ssh-import-id

Trong bộ chứa docker đang chạy, bạn có thể phát hành ssh-keygen với tùy chọn docker -i (tương tác). Điều này sẽ chuyển tiếp lời nhắc của container để tạo khóa bên trong container docker.

Đối với debian / root / ủy quyền

RUN set -x && apt-get install -y openssh-server

RUN mkdir /var/run/sshd
RUN mkdir -p /root/.ssh
RUN sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin yes/' /etc/ssh/sshd_config
RUN  echo "ssh-rsa AAAA....yP3w== rsa-key-project01" >> /root/.ssh/authorized_keys
RUN chmod -R go= /root/.ssh