Tuo*_*nen 10 ssh configuration jenkins ansible docker
在docker中,当容器必须与外部系统通信时,如何确定配置known_hosts,authorized_keys和ssh连接的要求?
例如,我正在运行jenkins容器并尝试从作业中的github检出项目,但连接失败并出现错误 host key verification failed
这可以通过登录到容器,手动连接到github并在提示时信任主机密钥来解决.然而,这不是正确的解决方案,因为一切都需要100%自动化(我正在使用ansible和docker构建CI管道).另一个(笨重的)解决方案是为运行容器配备ansible,但这会使事情变得混乱且难以维护.Jenkins容器甚至没有ssh守护进程,我不知道如何从其他主机ssh到容器.第三个选项是使用我自己的Dockerfile扩展jenkins映像,其中配置了ssh,但这将是硬编码并将容器锁定到这个特定的环境.
那么docker管理(和自动化)与外部系统连接的正确方法是什么?
Kon*_*rov 11
要信任github.com主机,您可以在启动或构建容器时发出以下命令:
ssh-keyscan -t rsa github.com >> ~/.ssh/known_hosts
这会将github公钥添加到已知的hosts文件中.
如果一切都在 Dockerfile 中完成,那就很容易了。在我的 Dockerfile 中:
ARG PRIVATE_SSH_KEY
# Authorize SSH Host
RUN mkdir -p /root/.ssh && \
chmod 0700 /root/.ssh && \
ssh-keyscan example.com > /root/.ssh/known_hosts && \
# Add the keys and set permissions
echo "$PRIVATE_SSH_KEY" > /root/.ssh/id_rsa && \
chmod 600 /root/.ssh/id_rsa
...do stuff with private key
# Remove SSH keys
RUN rm -rf /root/.ssh/
您显然需要将私钥作为参数传递给建筑物(docker-compose build 或 docker build)。
我就是这样做的,但不确定您是否会喜欢这个解决方案。我有一个私有 git 存储库,其中包含authorized_keys 和公钥集合。然后,我使用 ansible 克隆此存储库并替换authorized_keys:
- git: repo=my_repo dest=my_local_folder force=yes accept_hostkey=yes
- shell: "cp my_local_folder/authorized_keys ~/.ssh/"
使用accept_hostkey实际上允许我自动化该过程(当然,我相信来源)。
| 归档时间: |
|
| 查看次数: |
11923 次 |
| 最近记录: |