Docker build dockerfile с ключами SSH, используемыми во время процесса сборки (для частных репозиториев Git)

Docker-Compose v3

Я пытаюсь установить простые репозитории GitHub, которые были закрыты моей компанией. Мы работаем над переходом наших проектов на Docker. Итак, в настоящее время мы используем Docker и Docker-Compose для создания и запуска наших контейнеров.

Но 90% наших проектов используют частные репозитории, заказные драгоценные камни, и в конечном итоге мы будем использовать частные контейнеры.

Кажется, я не могу установить свои репозитории, несмотря на то, что переместил свои ключи SSH на контейнер через Habitus, вручную скопировал их во время процесса сборки и попытался установить тома. Но я ничего не работаю.

например. DockerFile

FROM ubuntu # Installing tons of libraries. Not all of these might be needed RUN apt-get -y update && apt-get -y upgrade && apt-get -y install nodejs npm ruby curl openssh-server git php RUN curl -sS https://getcomposer.org/installer | php -- --install-dir=/usr/local/bin --filename=composer # pulling id_rsa from local habitus network (this SUCCEEDS) ARG host RUN wget -O ~/.ssh/id_rsa http://$host:8080/v1/secrets/file/id_rsa && chmod 600 ~/.ssh/id_rsa # checking the ssh files are installed (this FAILS) RUN ssh -vvv -T git@git.my.company.com RUN gem install bundler RUN bundle install 

Команда через Habitus

 sudo habitus --build host=192.168.99.100 --secrets=true 

Вывод

 OpenSSH_7.2p2 Ubuntu-4ubuntu2.2, OpenSSL 1.0.2g 1 Mar 2016 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * Pseudo-terminal will not be allocated because stdin is not a terminal. debug1: Connecting to 192.168.99.100 [192.168.99.100] port 22. debug1: Connection established. debug1: permanently_set_uid: 0/0 debug1: key_load_public: No such file or directory debug1: identity file /root/.ssh/id_rsa type -1 debug1: key_load_public: No such file or directory debug1: identity file /root/.ssh/id_rsa-cert type -1 debug1: key_load_public: No such file or directory debug1: identity file /root/.ssh/id_dsa type -1 debug1: key_load_public: No such file or directory debug1: identity file /root/.ssh/id_dsa-cert type -1 debug1: key_load_public: No such file or directory debug1: identity file /root/.ssh/id_ecdsa type -1 debug1: key_load_public: No such file or directory debug1: identity file /root/.ssh/id_ecdsa-cert type -1 debug1: key_load_public: No such file or directory debug1: identity file /root/.ssh/id_ed25519 type -1 debug1: key_load_public: No such file or directory debug1: identity file /root/.ssh/id_ed25519-cert type -1 debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.2 debug1: Remote protocol version 2.0, remote software version OpenSSH_7.2 debug1: match: OpenSSH_7.2p2 Ubuntu-4ubuntu2.2 pat OpenSSH* compat 0x04000000 debug1: Authenticating to git.my.company.com:22 as 'git' debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug1: kex: algorithm: curve25519-sha256@libssh.org debug1: kex: host key algorithm: ecdsa-sha2-nistp256 debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none debug1: expecting SSH2_MSG_KEX_ECDH_REPLY debug1: Server host key: ecdsa-sha2-nistp256 SHA256:OkseSPnItLVT0phkACs7TwGA1CZb9nMBSwp5UxdkIf4 debug1: Host 'git.my.company.com' is known and matches the ECDSA host key. debug1: Found key in /root/.ssh/known_hosts:1 debug1: rekey after 134217728 blocks debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug1: rekey after 134217728 blocks debug1: SSH2_MSG_NEWKEYS received debug1: SSH2_MSG_EXT_INFO received debug1: kex_input_ext_info: server-sig-algs=<rsa-sha2-256,rsa-sha2-512> debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey debug1: Next authentication method: publickey debug1: Offering RSA public key: /root/.ssh/id_rsa debug1: Server accepts key: pkalg rsa-sha2-512 blen 535 debug1: read_passphrase: can't open /dev/tty: No such device or address debug1: Trying private key: /root/.ssh/id_dsa debug1: Trying private key: /root/.ssh/id_ecdsa debug1: Trying private key: /root/.ssh/id_ed25519 debug1: No more authentication methods to try. Permission denied (publickey). 

Теперь я пробовал много других методов. С каждым методом у меня была та же проблема. Я иногда ставил свою сборку в сон в течение нескольких минут, пока я нахожу SSH на сервере и проверяю папку ~ / .ssh /. Каждый раз все файлы соответствуют тому, что находится на моем локале, который успешно связывает установку Gems. Итак, почему это говорит мне: «Не могу открыть / dev / tty: …»

Он ищет кодовую фразу. Это потому, что контейнер докеров работает как «root»? Можно ли обойти это?

Как вы, ребята, добавляете свои SSH-ключи в DockerFile во время процесса сборки, чтобы вы могли запускать команды типа «Установка пакета» или «npm install»? Я пробовал интернет в течение нескольких дней, пытаясь найти все решения, которые я нахожу, но я всегда получаю тот же ответ от попыток SSH.

Для частных модулей npm вы можете проверить официальную документацию. Докер и частные модули

Что касается рубиновых драгоценных камней, вы можете найти подобное решение здесь .

Добавьте идентификатор к агенту ssh в каждой строке, которую вы хотите вызвать ssh.

 RUN eval $(ssh-agent);ssh-add;ssh -vvv -T git@git.my.company.com 

Точно так же, как голова к кому-либо еще, которая постоянно сталкивается с Mac OS X, вызывая эту ошибку при попытках SSH:

 debug1: read_passphrase: can't open /dev/tty: No such device or address debug1: Trying private key: /root/.ssh/id_dsa debug1: Trying private key: /root/.ssh/id_ecdsa debug1: Trying private key: /root/.ssh/id_ed25519 debug1: No more authentication methods to try. Permission denied (publickey). 

Перед выполнением любых вызовов SSH необходимо включить специальную переменную ENV. В противном случае он всегда будет искать пароль. Я считаю, что это нечетное значение по умолчанию для запуска SSH-команд как root.

 ENV DEBIAN_FRONTEND noninteractive 

В конце ваших команд вы должны запустить:

 RUN unset DEBIAN_FRONTEND 

Вот мой пример файла докеров:

 FROM ubuntu RUN apt-get -y update && apt-get -y upgrade && apt-get -y install nodejs-legacy npm ruby curl openssh-server git php RUN curl -sS https://getcomposer.org/installer | php -- --install-dir=/usr/local/bin --filename=composer #### THE SETTING OF DEBIAN noninteractive #### ENV DEBIAN_FRONTEND noninteractive RUN gem install bundler RUN mkdir /website WORKDIR /website # I made this temporary SSH key folder in the relative path of my Dockerfile because that is a requirement of DockerFile. However, I plan on using Habitus to safely and conveniently wget my keys from a local server RUN mkdir /root/.ssh COPY dockerkeys /root/.ssh RUN ssh -v -T git@git.my.company.com COPY . . RUN bundle install RUN composer install RUN npm install #### UNSETTING DEBIAN ENV #### RUN unset DEBIAN_FRONTEND RUN bundle install RUN composer install RUN npm install CMD [ "npm", "start" ] 

Я не тестировал его с другими изображениями, но принцип остался прежним. Похоже, вам нужно явно установить неинтерактивную оболочку. В противном случае он будет запрашивать пароль для вашего SSH-ключа каждый раз.

Попробуйте OnVault , секретный магазин, который будет использоваться при построении образа Docker. Он способен связывать ключи ssh во время выполнения, точно на требуемом этапе сборки и удаляет его сразу после завершения (перед тем как передать слой изображению). Это не оставляет следов ключей ssh ​​в изображении докеров, что повышает безопасность.

Некоторые преимущества:

  • Потребности в добавлении и удалении ключей ssh ​​устраняются
  • Уменьшает сложности с докер-файлом
  • Поскольку он связывает всю .ssh папку, конфигурации для нескольких учетных записей GitHub в вашем локальном, работает и во время шагов сборки.
  • Это двоичный файл и может использоваться с ключевым словом ONVAULT . например: RUN ONVAULT bundle install

Примечание: его работы для меня, и это просто .. !!, попробуйте 😉