ssh-agent在DC / OS中的Docker容器中运行时不记得身份

我正在尝试使用DC / OS和Docker运行服务。 我从这里使用我的地区的模板创build我的堆栈。 我还创build了以下Dockerfile: 

FROM ubuntu:16.04 RUN apt-get update && apt-get install -y expect openssh-client WORKDIR "/root" ENTRYPOINT eval "$(ssh-agent -s)" && \ mkdir -p .ssh && \ echo $PRIVATE_KEY > .ssh/id_rsa && \ chmod 600 /root/.ssh/id_rsa && \ expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\" send \"\"; interact " && \ while true; do ssh-add -l; sleep 2; done

我有一个私人存储库,我想从Docker容器启动时克隆/拉取。 这就是为什么我试图添加私钥到ssh-agent

如果我在本地运行这个镜像作为Docker容器,并使用PRIVATE_KEY环境variables提供私钥,那么一切正常。 我看到身份被添加。

我遇到的问题是,当我尝试使用docker镜像在DC / OS上运行服务时, ssh-agent似乎不记得使用私钥添加的身份。

我已经检查了DC / OS的错误日志。 没有错误。

有谁知道为什么在DC / OS上运行Docker容器与在本地运行相比有什么不同?

编辑:我已经添加了DC / OS服务的描述的详细信息,以防止它的帮助: 

 { "id": "/SOME-ID", "instances": 1, "cpus": 1, "mem": 128, "disk": 0, "gpus": 0, "constraints": [], "fetch": [], "storeUrls": [], "backoffSeconds": 1, "backoffFactor": 1.15, "maxLaunchDelaySeconds": 3600, "container": { "type": "DOCKER", "volumes": [], "docker": { "image": "IMAGE NAME FROM DOCKERHUB", "network": "BRIDGE", "portMappings": [{ "containerPort": SOME PORT NUMBER, "hostPort": SOME PORT NUMBER, "servicePort": SERVICE PORT NUMBER, "protocol": "tcp", "name": “default” }], "privileged": false, "parameters": [], "forcePullImage": true } }, "healthChecks": [], "readinessChecks": [], "dependencies": [], "upgradeStrategy": { "minimumHealthCapacity": 1, "maximumOverCapacity": 1 }, "unreachableStrategy": { "inactiveAfterSeconds": 300, "expungeAfterSeconds": 600 }, "killSelection": "YOUNGEST_FIRST", "requirePorts": true, "env": { "PRIVATE_KEY": "ID_RSA PRIVATE_KEY WITH \n LINE BREAKS", } }

Docker版本

检查您的本地版本的Docker是否与安装在DC / OS代理上的版本匹配。 默认情况下,DC / OS 1.9.3 AWS CloudFormation模板使用Docker 1.12.6附带的CoreOS 1235.12.0 。 从那时起入口点行为可能发生了变化。

Docker命令

查看有问题的Marathon应用程序的Mesos任务日志,并查看执行了哪个docker run命令。 在本地testing时,您可能会传递稍微不同的参数。

脚本错误

正如另一个答案中提到的,您提供的脚本有几个错误,可能与失败有关,也可能没有关系。

  1. echo $PRIVATE_KEY应该是echo "$PRIVATE_KEY"来保留换行符。 否则,密钥解密将以失败的Bad passphrase, try again for /root/.ssh/id_rsa:失败Bad passphrase, try again for /root/.ssh/id_rsa:
  2. expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\" send \"\"; interact "应该是expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\"; send \"\n\"; interact " 。 它缺less一个分号和一个换行符。 否则expect命令会失败而不执行。

基于文件的秘密

企业DC / OS 1.10(1.10.0-rc1 out now)有一个名为File Based Secrets的新function,它允许注入文件(如id_rsa文件),而不将其内容包含在Marathon应用程序定义中,使用DC /操作系统的秘密 。

  • 创作: https : //docs.mesosphere.com/1.10/security/secrets/create-secrets/
  • 用法: https : //docs.mesosphere.com/1.10/security/secrets/use-secrets/

基于文件的秘密不会为你做ssh-add,但是它可以让文件进入容器变得更容易和更安全。

Mesos Bug

Mesos 1.2.0切换到使用Docker –env_file而不是-e传入环境variables。 这会触发Docker env_file错误 ,它不支持换行符。 一个解决方法被放入到Mesos和DC / OS中 ,但修补程序可能不在您正在使用的次要版本中。

手动解决方法是将rsa_id转换为base64作为Marathon定义,并返回到入口点脚本。

通过PRIVATE_KEY传递的密钥文件内容最初包含换行符。 在将PRIVATE_KEYvariables内容回显到~/.ssh/id_rsa ,换行符将会消失。 你可以通过用双引号包装$PRIVATE_KEYvariables来解决这个问题。

当容器启动时没有连接TTY,通常通过-i -t命令行参数到docker run ,另一个问题就出现了。 密码请求将失败,不会将ssh密钥添加到ssh-agent。 对于在DC / OS中运行的容器,交互可能没有意义,所以您应该相应地更改入口点脚本。 这将需要你的SSH密码是无密码的。

这个更改的Dockerfile应该可以工作: 

 ENTRYPOINT eval "$(ssh-agent -s)" && \ mkdir -p .ssh && \ echo "$PRIVATE_KEY" > .ssh/id_rsa && \ chmod 600 /root/.ssh/id_rsa && \ ssh-add /root/.ssh/id_rsa && \ while true; do ssh-add -l; sleep 2; done
    Interesting Posts

    docker不开始使用gcloud密钥作为卷