但是在容器内部,我无法使其正常工作。我在这里找到了一些信息(链接),并将其包含在我的Dockerfile中,具体来说是Set-Service、Start-Service和Get-Service命令。这有效,但是这行代码无法构建——它无法识别printf。我尝试用echo替换它,但也失败了。
如果我从Dockerfile中删除此行,则可以构建和运行此容器;然后我尝试使用powershell会话进入其中,并尝试手动运行
ssh-add C:\Users\Jenkins\.ssh\id_rsa
,但我收到响应无法打开连接到您的认证代理。
如果我运行Get-Service ssh-agent
,它会报告ssh-agent正在运行。所以我的问题如下:
- 为什么
ssh-add
命令不起作用? - 如何在容器中添加我的SSH密钥?
- 当我使
ssh-add
命令正常工作时,如何在Dockerfile中指定密码?
# escape=`
FROM mcr.microsoft.com/windows/servercore
ARG SSH_KEY_PASSPHRASE
COPY .\files\Git-2.18.0-64-bit.exe C:\installers\git-installer.exe
COPY .\files\Git-2.18.0-64-bit.inf C:\installers\git-installer-script.inf
RUN powershell -Command `
# Install Git ; `
Start-Process -filepath C:\installers\git-installer.exe -passthru -wait -argumentlist "/LOADINF=C:\installers\git-installer-script.inf","/VERYSILENT","/NORESTART" ; `
Remove-Item C:\installers\ -Force -Recurse;
RUN powershell -Command `
net user /add Jenkins; `
net localgroup Administrators Jenkins /add;
USER Jenkins
RUN powershell -Command `
mkdir ~\.ssh;
COPY .\id_rsa C:\Users\Jenkins\.ssh\id_rsa
RUN powershell -Command `
# Make sure you're running as an Administrator `
Set-Service ssh-agent -StartupType Automatic; `
Start-Service ssh-agent; `
Get-Service ssh-agent;
# This doesn't work and I don't know how to do this
RUN printf "${SSH_KEY_PASSPHRASE}" | ssh-add C:\Users\Jenkins\.ssh\id_rsa
编辑 1
我现在发现,如果在Dockerfile中不使用ssh-add
命令运行此容器,然后使用ssh URL运行git clone,则会显示无法验证bitbucket主机的真实性,是否要继续连接?我输入“yes”,然后它会在请求'c/Users/Jenkins/.ssh/id_rsa'密钥的密码之前,"将我的bit bucket主机永久地添加到已知主机列表中"。
一旦我输入密钥密码,它就可以成功克隆存储库。 这个结果让我很惊讶,并产生了一个新问题:
- 如果我还没有添加它,它怎么知道c/Users/Jenkins/.ssh中的ssh密钥? 我显然在某些地方缺少了一些理解。
编辑 2
我尝试修改我的Dockerfile,并发现以下行:RUN powershell -Command mkdir ~\.ssh
在某种程度上似乎很重要。如果我删除此行并运行该容器,我可以看到我的密钥存在于C:\Users\Jenkins\.ssh\
中,但是如果我运行ssh-add .\Users\Jenkins\.ssh\id_rsa
,则会失败并出现权限过大
的错误。
如果我包含mkdir
行,则对我来说没有明显的区别,但是ssh-add
命令似乎可以工作,并报告Identity added: .\Users\Jenkins\.ssh\id_rsa (<my company domain>+<my windows username@PC name>)
。
如果我不手动创建.ssh文件夹,则它似乎仍会在COPY
命令期间隐式创建,但是ssh-add
会失败。这里到底发生了什么?
接下来,我将ssh-add
命令包含到我的Dockerfile中并进行了重建,我可以看到该密钥已被添加-它报告Identity added: .\Users\Jenkins\.ssh\id_rsa
。
此时,我无法与Git交互,因为路径未设置,因此我修改了Dockerfile以通过将以下行添加到安装Git的命令中来设置路径;
${env:PATH} = 'C:\Git\bin;C:\Git\usr\bin;C:\Git\mingw64\bin;' + $env:PATH;
[Environment]::SetEnvironmentVariable('PATH', ${env:PATH}, [EnvironmentVariableTarget]::Machine);
现在当我构建镜像时,
ssh-add
命令会失败,提示“无法连接到您的身份验证代理”。
我运行了Get-Service ssh-agent
,它报告它正在运行。所以,Git被加入路径中后,
ssh-add
命令出现了不同。
这里发生了什么?
我该如何解决这个问题?我还重新创建了一个没有口令的密钥,因此在docker build期间不需要输入口令,并指定了Windows的版本。
这是我的更新后的Dockerfile:
# escape=`
FROM mcr.microsoft.com/windows/servercore:1903
# Install Git
COPY .\files\Git-2.18.0-64-bit.exe C:\installers\git-installer.exe
COPY .\files\Git-2.18.0-64-bit.inf C:\installers\git-installer-script.inf
RUN powershell -Command `
Start-Process -filepath C:\installers\git-installer.exe -passthru -wait -argumentlist "/LOADINF=C:\installers\git-installer-script.inf","/VERYSILENT","/NORESTART" ; `
Remove-Item C:\installers\ -Force -Recurse; `
# Set the path to include Git folders - not listed in my original post `
${env:PATH} = 'C:\Git\bin;C:\Git\usr\bin;C:\Git\mingw64\bin;' + $env:PATH; `
[Environment]::SetEnvironmentVariable('PATH', ${env:PATH}, [EnvironmentVariableTarget]::Machine);
# Create a Jenkins user with admin permissions
RUN powershell -Command `
net user /add Jenkins; `
net localgroup Administrators Jenkins /add;
USER Jenkins
# The presence or absence of this mkdir command affects ssh-add for some reason
RUN powershell -Command `
mkdir ~\.ssh;
# This key was created without a passphrase
COPY .\id_rsa C:\Users\Jenkins\.ssh\id_rsa
RUN powershell -Command `
# Make sure you're running as an Administrator `
Set-Service ssh-agent -StartupType Automatic; `
Start-Service ssh-agent; `
Get-Service ssh-agent; `
ssh-add .\Users\Jenkins\.ssh\id_rsa;
编辑 3
感谢我在这里找到的信息,似乎不能成功运行ssh-add
的原因是未设置SSH_AUTH_SOCK
环境变量。
运行ssh-agent
提供了设置此环境变量所需的数据,在Linux中,您可以运行eval $(ssh-agent)
,但在Windows的powershell中,不识别eval
命令。在这个阶段,我尝试从上一个dockerfile中注释掉ssh-add
命令,然后在容器内手动运行ssh-agent
命令,并使用$Env:SSH_AUTH_SOCK = "<value returned from ssh-agent>"
设置环境变量,它成功运行。如果我运行Get-ChildItem Env:
,我会看到列出了这个新环境变量。
然后我尝试运行git clone ssh://git@mybitbucketurl/myrepo.git
,报告说:"the authenticity of host mybitbucketurl (xx.yy.zz.aa:port) can't be established. Are you sure you want to continue (yes/no)?"
我输入了"yes"并且它"Permanently added mybitbucketurl:port,[xx.yy.zz.aa]:port (RSA) to the list of known hosts",然后克隆了我的仓库。
我想现在我已经解决了这个问题,只需要找出如何在powershell中执行eval
命令的等效命令。当我在寻找如何做到这一点时,我发现了这个链接,其中有一个答案列出了这个命令:ssh-agent ssh-add C:\Users\<username>\.ssh\id_rsa
。
我尝试在我的容器中手动运行这个命令,它报告说已添加身份验证信息,但当我尝试运行git clone
时,它首先将URL添加到已知主机列表中,然后失败并显示"fatal: could not read from remote repository"。
运行Get-ChildItem Env:
显示SSH_AUTH_SOCK
环境变量未设置,因此我猜像这样运行是一种隔离的会话,虽然我不知道这个命令正在发生什么。
因此,从这里看来,我需要找出如何在powershell中运行ssh-agent
命令并永久设置环境变量后使用它的结果。
一旦我解决了这个问题,我需要找出如何将我的Git主机URL添加到已知主机列表中。
编辑 4
我的问题的关键似乎是我的 Docker 镜像的构建时间和运行时间之间的差异,特别是我希望通过ssh-agent
和 ssh-add
实现什么。 如果我设置镜像以包含 ssh 密钥,然后运行它,我可以手动执行以下操作(请注意我已从 PowerShell 切换到 bash):$ echo $SSH_AUTH_SOCK
$ eval $(ssh-agent)
Agent pid 2036
$ sh-add Users/Jenkins/.ssh/id_rsa
Identity added: Users/Jenkins/.ssh/id_rsa
$ echo $SSH_AUTH_SOCK
/tmp/ssh-qCM264wFqpqq/agent.1748
因此,我可以看到运行时容器中执行了我想要的操作。但是,如果我尝试在Dockerfile中的构建时运行这些命令,则事情并不像我希望的那样工作。经过一些思考,我怀疑eval $(ssh-agent)
命令可能会运行,但SSH_AUTH_SOCK
环境变量在映像层中未被保留,在运行容器时,ssh-agent 将不会运行,可能需要启动某些内容。
正确的方法是什么:
- 我是否应该通过启动脚本在容器启动期间尝试使这些命令运行?
- 是否有方法仍然在构建时(即从Dockerfile)实现此目的 - 为此,我需要手动设置
SSH_AUTH_SOCK
环境变量,但每次运行ssh-agent
时似乎不同 - 追求这个值得吗?