ssh-agent在DC / OS中的Docker容器中运行时不记得身份
我正在尝试使用DC / OS和Docker运行服务。 我从这里使用我的地区的模板创build我的堆栈。 我还创build了以下Dockerfile:
FROM ubuntu:16.04 RUN apt-get update && apt-get install -y expect openssh-client WORKDIR "/root" ENTRYPOINT eval "$(ssh-agent -s)" && \ mkdir -p .ssh && \ echo $PRIVATE_KEY > .ssh/id_rsa && \ chmod 600 /root/.ssh/id_rsa && \ expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\" send \"\"; interact " && \ while true; do ssh-add -l; sleep 2; done
我有一个私人存储库,我想从Docker容器启动时克隆/拉取。 这就是为什么我试图添加私钥到ssh-agent
。
如果我在本地运行这个镜像作为Docker容器,并使用PRIVATE_KEY
环境variables提供私钥,那么一切正常。 我看到身份被添加。
我遇到的问题是,当我尝试使用docker镜像在DC / OS上运行服务时, ssh-agent
似乎不记得使用私钥添加的身份。
我已经检查了DC / OS的错误日志。 没有错误。
有谁知道为什么在DC / OS上运行Docker容器与在本地运行相比有什么不同?
编辑:我已经添加了DC / OS服务的描述的详细信息,以防止它的帮助:
{ "id": "/SOME-ID", "instances": 1, "cpus": 1, "mem": 128, "disk": 0, "gpus": 0, "constraints": [], "fetch": [], "storeUrls": [], "backoffSeconds": 1, "backoffFactor": 1.15, "maxLaunchDelaySeconds": 3600, "container": { "type": "DOCKER", "volumes": [], "docker": { "image": "IMAGE NAME FROM DOCKERHUB", "network": "BRIDGE", "portMappings": [{ "containerPort": SOME PORT NUMBER, "hostPort": SOME PORT NUMBER, "servicePort": SERVICE PORT NUMBER, "protocol": "tcp", "name": “default” }], "privileged": false, "parameters": [], "forcePullImage": true } }, "healthChecks": [], "readinessChecks": [], "dependencies": [], "upgradeStrategy": { "minimumHealthCapacity": 1, "maximumOverCapacity": 1 }, "unreachableStrategy": { "inactiveAfterSeconds": 300, "expungeAfterSeconds": 600 }, "killSelection": "YOUNGEST_FIRST", "requirePorts": true, "env": { "PRIVATE_KEY": "ID_RSA PRIVATE_KEY WITH \n LINE BREAKS", } }
Docker版本
检查您的本地版本的Docker是否与安装在DC / OS代理上的版本匹配。 默认情况下,DC / OS 1.9.3 AWS CloudFormation模板使用Docker 1.12.6附带的CoreOS 1235.12.0 。 从那时起入口点行为可能发生了变化。
Docker命令
查看有问题的Marathon应用程序的Mesos任务日志,并查看执行了哪个docker run命令。 在本地testing时,您可能会传递稍微不同的参数。
脚本错误
正如另一个答案中提到的,您提供的脚本有几个错误,可能与失败有关,也可能没有关系。
-
echo $PRIVATE_KEY
应该是echo "$PRIVATE_KEY"
来保留换行符。 否则,密钥解密将以失败的Bad passphrase, try again for /root/.ssh/id_rsa:
失败Bad passphrase, try again for /root/.ssh/id_rsa:
-
expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\" send \"\"; interact "
应该是expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\"; send \"\n\"; interact "
。 它缺less一个分号和一个换行符。 否则expect命令会失败而不执行。
基于文件的秘密
企业DC / OS 1.10(1.10.0-rc1 out now)有一个名为File Based Secrets的新function,它允许注入文件(如id_rsa文件),而不将其内容包含在Marathon应用程序定义中,使用DC /操作系统的秘密 。
- 创作: https : //docs.mesosphere.com/1.10/security/secrets/create-secrets/
- 用法: https : //docs.mesosphere.com/1.10/security/secrets/use-secrets/
基于文件的秘密不会为你做ssh-add,但是它可以让文件进入容器变得更容易和更安全。
Mesos Bug
Mesos 1.2.0切换到使用Docker –env_file而不是-e传入环境variables。 这会触发Docker env_file错误 ,它不支持换行符。 一个解决方法被放入到Mesos和DC / OS中 ,但修补程序可能不在您正在使用的次要版本中。
手动解决方法是将rsa_id转换为base64作为Marathon定义,并返回到入口点脚本。
通过PRIVATE_KEY
传递的密钥文件内容最初包含换行符。 在将PRIVATE_KEY
variables内容回显到~/.ssh/id_rsa
,换行符将会消失。 你可以通过用双引号包装$PRIVATE_KEY
variables来解决这个问题。
当容器启动时没有连接TTY,通常通过-i -t
命令行参数到docker run
,另一个问题就出现了。 密码请求将失败,不会将ssh密钥添加到ssh-agent。 对于在DC / OS中运行的容器,交互可能没有意义,所以您应该相应地更改入口点脚本。 这将需要你的SSH密码是无密码的。
这个更改的Dockerfile应该可以工作:
ENTRYPOINT eval "$(ssh-agent -s)" && \ mkdir -p .ssh && \ echo "$PRIVATE_KEY" > .ssh/id_rsa && \ chmod 600 /root/.ssh/id_rsa && \ ssh-add /root/.ssh/id_rsa && \ while true; do ssh-add -l; sleep 2; done