docker - Dockerfile 添加容器和主机的 ssh 密钥
问题描述
我想在不询问密码的情况下将容器 ssh 放入主机。为此,我需要保存 ssh 密钥。我有以下dockerfile:
FROM easypi/alpine-arm
RUN apk update && apk upgrade
RUN apk add openssh
RUN ssh-keygen -f /root/.ssh/id_rsa
RUN ssh-copy-id -i /root/.ssh/id_rsa user@<ipadress of host>
但问题是IP地址不是恒定的。因此,如果我在其他机器上使用相同的图像,它将无法在那里工作。我该如何解决这个问题。
谢谢
解决方案
这些东西都不应该在你的 Dockerfile 中。将 ssh 私钥放入 Dockerfile 中尤其危险,因为任何拥有您的镜像的人几乎都可以轻松地取出密钥。
还要考虑从 Docker 容器进行入站或出站 ssh 连接是不寻常的;它们通常是自包含的,所有长期状态都应该由Dockerfile
它所在的源代码控制存储库来描述,并且它们通常运行不是 sshd 的单个服务器类型进程。
说了这么多:如果你真的想这样做,正确的方法是构建一个映像,该映像期望.ssh
目录从主机注入,并将出站 IP 地址作为某种参数。一种方法是编写一个 shell 脚本,它是“容器所做的唯一事情”:
#!/bin/sh
usage() {
echo "Usage: docker run --rm -it -v ...:$HOME/.ssh myimage $0 10.20.30.40"
}
if [ -n "$1" ]; then
usage >&2
exit 1
fi
if [ ! -f "$HOME/.ssh" ]; then
usage >&2
exit 1
fi
exec ssh "user@$1"
然后将其构建到您的 Dockerfile 中:
FROM easypi/alpine-arm
RUN apk update \
&& apk upgrade \
&& apk add openssh
COPY ssh_user.sh /usr/bin
CMD ["/usr/bin/ssh_user.sh"]
现在在主机上生成 ssh 密钥对
mkdir some_ssh
ssh-keygen -f some_ssh/id_rsa
ssh-copy-id -i some_ssh/id_rsa user@10.20.30.40
sudo chown root some_ssh
然后在运行时将其注入 Docker 容器
sudo docker run --rm -it \
-v $PWD/some_ssh:/root/.ssh \
my_image \
ssh_user.sh 10.20.30.40
(我很确定如果绑定挂载的 .ssh 目录不是由运行该进程的相同数字用户 ID 拥有,那么出站 ssh 连接会抱怨;因此chown root
上述内容。另请注意,您正在设置一个系统,其中您必须在主机上具有 root 权限才能进行简单的出站 ssh 连接,从安全角度来看,这感觉有点奇怪。[考虑您可以将任何目录放入该-v
选项并运行交互式 shell。])
推荐阅读
- git - 无法推送到新创建的 Bitbucket 存储库
- parsing - 从 ImageView 加载 URL
- php - 教义在设置后不更新 cmf SeoBundle 对象的属性
- react-native - 如何在 AsyncStorage 中创建数组?
- angular - 在继续之前等待单例服务结果 - Angular
- c# - 当侦听器连接到队列时,发布者无法在 RabbitMq 代理中发布消息
- c# - 如何以编程方式从与 Asp.NET MVC 中控制器的模型数据绑定的表中添加\删除行
- python - 为什么 numpy 数组具有 1) 列表作为索引和 2) 索引 0:1 vs 2) 0 给出不同的结果
- python - 根据范围替换numpy数组中的重复元素
- log4j - 使用 MDC 打印键和值