2

这个问题是对这个问题 How to pass jenkins credentials into docker build command?的跟进。

我从我的 groovy 管道中的 jenkins 凭证存储中获取 ssh 密钥文件,并通过 --build-arg 将其传递给 docker build 命令,以便我可以从我的 docker 容器中的私有 git repos 签出和构建工件

凭证存储 id:cicd-user,它可以按照我的 groovy Jenkinsfile 的预期检查我的私人作品

checkout([$class: 'GitSCM',
            userRemoteConfigs: [[credentialsId: 'cicd-user', url:'ssh://git@bitbucket.myorg.co:7999/A/software.git']]

我访问它并尝试将其传递给 docker build 命令:

  withCredentials([sshUserPrivateKey(credentialsId: 'cicd-user', keyFileVariable: 'FILE')]) { 
           sh "cd ${WORKSPACE} && docker build -t ${some-name} --build-arg USERNAME=cicd-user --build-arg  PRIV_KEY_FILE=\$FILE --network=host -f software/tools/jenkins/${some-name}/Dockerfile ."
        }

在 Dockerfile 我做

RUN echo "$PRIV_KEY_FILE" > /home/"$USERNAME"/.ssh/id_rsa && \
 chmod 700 /home/"$USERNAME"/.ssh/id_rsa 

运行 echo "Host bitbucket.myorg.co\n\tStrictHostKeyChecking no\n" >> ~/.ssh/config

但我看到以下问题

“加载密钥“/home/cicd-user/.ssh/id_rsa”:(无效格式)“git@Bitbucket.mycomp.co:Permission denied(公钥)“致命:无法从远程存储库读取”

过去,我通过如下所示的 cat'ing 从外部将 ssh priv 密钥作为 --build-arg 传递

--build-arg ssh_prv_key="$(cat ~/.ssh/id_rsa)"

我应该做类似的事情吗

--build-arg PRIV_KEY_FILE="$(cat $FILE)"

关于可能出了什么问题或我应该在哪里寻找正确调试的任何想法?

4

1 回答 1

3

我昨天遇到了同样的问题,我想我已经想出了一个可行的解决方案。

以下是我采取的基本步骤 - 使用sshagent 插件在 Jenkins 作业中管理 sshagent。您可能也可以使用 withCredentials ,尽管这不是我最终获得成功的原因。

docker build可以使用命令 --ssh 标志 使 ssagent(或密钥)可用于特定的构建步骤。(功能参考)重要的是要注意,要使其工作(在当前时间),您需要设置 DOCKER_BUILDKIT=1。如果您忘记执行此操作,那么它似乎会忽略此配置并且 ssh 连接将失败。一旦设置好了,sshagent

缩减查看管道:

pipeline {
    agent {
        // ...
    }
    environment {
        // Necessary to enable Docker buildkit features such as --ssh
        DOCKER_BUILDKIT = "1"
    }
    stages {
        // other stages

        stage('Docker Build') {
            steps {
                // Start ssh agent and add the private key(s) that will be needed in docker build
                sshagent(['credentials-id-of-private-key']) {
                    // Make the default ssh agent (the one configured above) accessible in the build
                    sh 'docker build --ssh default .'
                }
            }
        // other stages
        }
    }
}

在 Dockerfile 中,有必要明确指定需要它访问 ssh 代理的行。这可以通过包含mount=type=ssh在相关的 RUN 命令中来完成。

对我来说,这看起来大致是这样的:

FROM node:14
# Retrieve bitbucket host key
RUN mkdir -p -m -0600 ~/.ssh && ssh-keyscan bitbucket.org >> ~/.ssh/known_hosts
...
# Mount ssh agent for install
RUN --mount=type=ssh npm i
...

使用此配置,npm install 能够通过 sshagent 使用 docker build 中的 SSH 私钥来安装存储在 Bitbucket 上的私有 git 存储库。

于 2021-04-01T01:24:43.400 回答