注意:只使用这种方法的图像是私有的，将永远是!

ssh密钥仍然存储在映像中，即使您在添加密钥后在层命令中删除密钥(参见本文中的评论)。

在我的情况下，这是可以的，所以这是我使用的:

# Setup for ssh onto github
RUN mkdir -p /root/.ssh
ADD id_rsa /root/.ssh/id_rsa
RUN chmod 700 /root/.ssh/id_rsa
RUN echo "Host github.com\n\tStrictHostKeyChecking no\n" >> /root/.ssh/config

正如eczajk已经在Daniel van Flymen的回答中评论的那样，删除键并使用-squash似乎不安全，因为它们仍然会在历史记录中可见(docker history -no-trunc)。

在Docker 18.09中，你可以使用“构建秘密”特性。在我的情况下，我克隆了一个私人git回购使用我的主机SSH密钥与以下在我的Dockerfile:

# syntax=docker/dockerfile:experimental

[...]

RUN --mount=type=ssh git clone [...]

[...]

为了能够使用这个，你需要在运行docker build之前启用新的BuildKit后端:

export DOCKER_BUILDKIT=1

你需要在docker build中添加——ssh default参数。

更多信息请点击:https://medium.com/@tonistiigi/build- secrets.and -ssh- foring-in dock-18-09-ae8161d066

对于debian / root / authorized_keys:

RUN set -x && apt-get install -y openssh-server

RUN mkdir /var/run/sshd
RUN mkdir -p /root/.ssh
RUN sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin yes/' /etc/ssh/sshd_config
RUN  echo "ssh-rsa AAAA....yP3w== rsa-key-project01" >> /root/.ssh/authorized_keys
RUN chmod -R go= /root/.ssh

我把一个非常简单的解决方案放在一起，它适用于我的用例，我使用一个“builder”docker映像来构建一个单独部署的可执行文件。换句话说，我的“构建器”映像永远不会离开我的本地机器，并且只需要在构建阶段访问私有回购/依赖。

对于这个解决方案，您不需要更改Dockerfile。

运行容器时，挂载~/。SSH目录(这避免了必须将键直接烘焙到映像中，而是确保它们在构建阶段只在短时间内对单个容器实例可用)。在我的例子中，我有几个构建脚本来自动化我的部署。

在我的build-and-package.sh脚本中，我像这样运行容器:

# do some script stuff before    

...

docker run --rm \
   -v ~/.ssh:/root/.ssh \
   -v "$workspace":/workspace \
   -w /workspace builder \
   bash -cl "./scripts/build-init.sh $executable"

...

# do some script stuff after (i.e. pull the built executable out of the workspace, etc.)

build-init.sh脚本如下所示:

#!/bin/bash

set -eu

executable=$1

# start the ssh agent
eval $(ssh-agent) > /dev/null

# add the ssh key (ssh key should not have a passphrase)
ssh-add /root/.ssh/id_rsa

# execute the build command
swift build --product $executable -c release

因此，我们不是直接在docker run命令中执行swift构建命令(或任何与您的环境相关的构建命令)，而是执行build-init.sh脚本，该脚本启动ssh-agent，然后将ssh密钥添加到代理，最后执行swift构建命令。

注1:为了使其工作，您需要确保您的ssh密钥没有密码短语，否则ssh-add /root/。Ssh /id_rsa行将要求口令并中断构建脚本。

注意2:确保在脚本文件上设置了适当的文件权限，以便它们可以运行。

希望这为具有类似用例的其他人提供了一个简单的解决方案。

将ssh认证套接字转发给容器:

docker run --rm -ti \
        -v $SSH_AUTH_SOCK:/tmp/ssh_auth.sock \
        -e SSH_AUTH_SOCK=/tmp/ssh_auth.sock \
        -w /src \
        my_image

您的脚本将能够执行一个git克隆。

额外:如果你想克隆文件属于一个特定的用户，你需要使用chown，因为在容器中使用其他用户而不是root会使git失败。

你可以将一些额外的变量发布到容器的环境中:

docker run ...
        -e OWNER_USER=$(id -u) \
        -e OWNER_GROUP=$(id -g) \
        ...

克隆完成后，您必须执行chown $OWNER_USER:$OWNER_GROUP -R <source_folder>来在离开容器之前设置正确的所有权，以便容器外的非root用户可以访问这些文件。

下面是我如何在使用docker composer构建图像时使用ssh键:

.env

SSH_PRIVATE_KEY=[base64 encoded sshkey]

docker-compose.yml

version: '3'
services:
  incatech_crawler:
    build:
      context: ./
      dockerfile: Dockerfile
      args:
        SSH_PRIVATE_KEY: ${SSH_PRIVATE_KEY} 

dockerfile: ...

# Set the working directory to /app
WORKDIR /usr/src/app/
ARG SSH_PRIVATE_KEY 
 
RUN mkdir /root/.ssh/  
RUN echo -n ${SSH_PRIVATE_KEY} | base64 --decode > /root/.ssh/id_rsa_wakay_user