如何将主机文件夹挂载到Docker容器中，保持主机只读但可写入容器

是否可以将主卷上的文件夹挂载到容器中，使主机文件夹保持只读状态，同时允许容器修改自己的覆盖文件中的文件？

用例：我们有一个使用由厨师pipe理的docker executor的gitlab实例。 gitlab亚军旋转了一个容器，为我们部署。我们在主机上有一个共享的ssh密钥，我们可以将它安装到容器中，这样我们就可以进入我们所有的服务器并进行部署。

问题：我们有其他团队也使用我们的gitlab实例。他们需要ssh进入他们的服务器。他们覆盖了id_rsa，允许他们连接，但是这写入主机文件夹，然后又打破了我们的pipe道。