构建机密
构建机密是指应用程序构建过程中使用的任何敏感信息,例如密码或 API 令牌。
构建参数和环境变量不适合用于向构建传递机密,因为它们会保留在最终镜像中。相反,您应该使用机密挂载或 SSH 挂载,它们可以安全地向构建公开机密。
构建机密的类型
- 机密挂载是用于向构建传递机密的通用挂载。机密挂载从构建客户端获取机密,并在构建指令执行期间临时使其在构建容器内部可用。例如,如果您的构建需要与私有制品服务器或 API 通信,这会非常有用。
- SSH 挂载是用于在构建中提供 SSH socket 或密钥的专用挂载。当您需要在构建中获取私有 Git 仓库时,通常会使用它们。
- 远程上下文的 Git 认证是一组预定义的机密,用于当您使用也是私有仓库的远程 Git 上下文进行构建时。这些机密是“预检”机密:它们不会在构建指令内部使用,但用于向构建器提供获取上下文所需的凭据。
使用构建机密
对于机密挂载和 SSH 挂载,使用构建机密是一个两步过程。首先,您需要将机密传递给 docker build 命令,然后需要在 Dockerfile 中使用该机密。
要将机密传递给构建,请使用 docker build --secret 标志,或 Bake 的等效选项。
$ docker build --secret id=aws,src=$HOME/.aws/credentials .
variable "HOME" {
default = null
}
target "default" {
secret = [
"id=aws,src=${HOME}/.aws/credentials"
]
}要在构建中使用机密并使其对 RUN 指令可访问,请在 Dockerfile 中使用 --mount=type=secret 标志。
RUN --mount=type=secret,id=aws \
AWS_SHARED_CREDENTIALS_FILE=/run/secrets/aws \
aws s3 cp ...机密挂载
机密挂载以文件或环境变量的形式向构建容器公开机密。您可以使用机密挂载将敏感信息传递给构建,例如 API 令牌、密码或 SSH 密钥。
来源
机密的来源可以是文件或环境变量。当您使用 CLI 或 Bake 时,类型可以自动检测。您也可以使用 type=file 或 type=env 显式指定。
以下示例将环境变量 KUBECONFIG 挂载到机密 ID kube,作为构建容器中 /run/secrets/kube 的文件。
$ docker build --secret id=kube,env=KUBECONFIG .
当您使用来自环境变量的机密时,可以省略 env 参数,将机密绑定到与变量同名的文件。在以下示例中,API_TOKEN 变量的值挂载到构建容器中的 /run/secrets/API_TOKEN。
$ docker build --secret id=API_TOKEN .
目标
在 Dockerfile 中使用机密时,默认情况下机密会挂载到文件。机密在构建容器中的默认文件路径是 /run/secrets/<id>。您可以使用 Dockerfile 中 RUN --mount 标志的 target 和 env 选项来自定义机密在构建容器中的挂载方式。
以下示例将机密 ID aws 挂载到构建容器中 /run/secrets/aws 的文件。
RUN --mount=type=secret,id=aws \
AWS_SHARED_CREDENTIALS_FILE=/run/secrets/aws \
aws s3 cp ...要将机密挂载为不同名称的文件,请使用 --mount 标志中的 target 选项。
RUN --mount=type=secret,id=aws,target=/root/.aws/credentials \
aws s3 cp ...要将机密挂载为环境变量而不是文件,请使用 --mount 标志中的 env 选项。
RUN --mount=type=secret,id=aws-key-id,env=AWS_ACCESS_KEY_ID \
--mount=type=secret,id=aws-secret-key,env=AWS_SECRET_ACCESS_KEY \
--mount=type=secret,id=aws-session-token,env=AWS_SESSION_TOKEN \
aws s3 cp ...可以同时使用 target 和 env 选项将机密挂载为文件和环境变量。
SSH 挂载
如果您想在构建中使用的凭据是 SSH agent socket 或密钥,则可以使用 SSH 挂载而不是机密挂载。克隆私有 Git 仓库是 SSH 挂载的常见用例。
以下示例使用 Dockerfile SSH 挂载克隆私有 GitHub 仓库。
# syntax=docker/dockerfile:1
FROM alpine
ADD git@github.com:me/myprivaterepo.git /src/要将 SSH socket 传递给构建,请使用 docker build --ssh 标志,或 Bake 的等效选项。
$ docker buildx build --ssh default .
远程上下文的 Git 认证
BuildKit 支持两个预定义的构建机密:GIT_AUTH_TOKEN 和 GIT_AUTH_HEADER。当您使用远程私有 Git 仓库进行构建时,使用它们指定 HTTP 认证参数,包括:
- 将私有 Git 仓库作为构建上下文进行构建
- 在构建中使用
ADD获取私有 Git 仓库
例如,假设您在 https://gitlab.com/example/todo-app.git 有一个私有 GitLab 项目,并且您想使用该仓库作为构建上下文运行构建。未认证的 docker build 命令会失败,因为构建器没有权限拉取该仓库。
$ docker build https://gitlab.com/example/todo-app.git
[+] Building 0.4s (1/1) FINISHED
=> ERROR [internal] load git source https://gitlab.com/example/todo-app.git
------
> [internal] load git source https://gitlab.com/example/todo-app.git:
0.313 fatal: could not read Username for 'https://gitlab.com': terminal prompts disabled
------
要对构建器向 Git 服务器进行认证,请设置 GIT_AUTH_TOKEN 环境变量以包含有效的 GitLab 访问令牌,并将其作为机密传递给构建。
$ GIT_AUTH_TOKEN=$(cat gitlab-token.txt) docker build \
--secret id=GIT_AUTH_TOKEN \
https://gitlab.com/example/todo-app.git
GIT_AUTH_TOKEN 也适用于 ADD,以便在构建中获取私有 Git 仓库。
FROM alpine
ADD https://gitlab.com/example/todo-app.git /srcHTTP 认证方案
默认情况下,通过 HTTP 进行的 Git 认证使用 Bearer 认证方案。
Authorization: Bearer <GIT_AUTH_TOKEN>如果您需要使用 Basic 方案(包含用户名和密码),可以设置 GIT_AUTH_HEADER 构建机密。
$ export GIT_AUTH_TOKEN=$(cat gitlab-token.txt)
$ export GIT_AUTH_HEADER=basic
$ docker build \
--secret id=GIT_AUTH_TOKEN \
--secret id=GIT_AUTH_HEADER \
https://gitlab.com/example/todo-app.git
BuildKit 当前仅支持 Bearer 和 Basic 方案。
多个主机
您可以按主机设置 GIT_AUTH_TOKEN 和 GIT_AUTH_HEADER 机密,这允许您对不同的主机名使用不同的认证参数。要指定主机名,请将主机名作为后缀附加到机密 ID。
$ export GITLAB_TOKEN=$(cat gitlab-token.txt)
$ export GERRIT_TOKEN=$(cat gerrit-username-password.txt)
$ export GERRIT_SCHEME=basic
$ docker build \
--secret id=GIT_AUTH_TOKEN.gitlab.com,env=GITLAB_TOKEN \
--secret id=GIT_AUTH_TOKEN.gerrit.internal.example,env=GERRIT_TOKEN \
--secret id=GIT_AUTH_HEADER.gerrit.internal.example,env=GERRIT_SCHEME \
https://gitlab.com/example/todo-app.git