我有以下Dockerfile:
FROM ubuntu:16.04
RUN apt-get update \
&& apt-get upgrade -y \
&& apt-get install -y \
git \
make \
python-pip \
python2.7 \
python2.7-dev \
ssh \
&& apt-get autoremove \
&& apt-get clean
ARG password
ARG username
ENV password $password
ENV username $username
RUN pip install git+http://$username:[email protected]/scm/do/repo.git
我使用以下命令从此Dockerfile构建映像:
docker build -t myimage:v1 --build-arg password="somepassoword" --build-arg username="someuser" .
但是,在构建日志中,我作为--build-arg
传递的用户名和密码是可见的。
Step 8/8 : RUN pip install git+http://$username:[email protected]/scm/do/repo.git
---> Running in 650d9423b549
Collecting git+http://someuser:[email protected]/scm/do/repo.git
如何隐藏它们?或者是否有不同的方式在Dockerfile中传递凭据?
更新
你知道,我专注于你问题的错误部分。您根本不应该使用用户名和密码。您应该使用access keys,它允许对私有存储库进行只读访问。
一旦创建了ssh密钥并将公共组件添加到存储库,就可以将私钥放入映像中:
RUN mkdir -m 700 -p /root/.ssh
COPY my_access_key /root/.ssh/id_rsa
RUN chmod 700 /root/.ssh/id_rsa
现在,您可以在安装Python项目时使用该密钥:
RUN pip install git+ssh://[email protected]/you/yourproject.repo
(原始答案如下)
您通常不会将凭据烘焙到这样的图像中。除了您已经发现的问题之外,它还会使您的图像变得不那么有用,因为您需要在每次更改凭据时重建它,或者如果有多个人希望能够使用它。
通常通过以下各种机制之一在运行时提供凭据:
USERNAME=myname
PASSWORD=secret
然后在docker run
命令行中包含它:
docker run --env-file myenvfile.env ...
USERNAME
和PASSWORD
环境变量将可用于容器中的进程。-v
的docker run
选项将该文件作为绑定挂载暴露在容器中:
docker run -v /path/to/myfile:/path/inside/container ...
这会将文件公开为容器内的/path/inside/container
。它比这更糟糕:他们永远在docker history
。
我过去做过两件事:
你可以configure pip to use local packages,或download dependencies ahead of time into "wheel" files。在Docker之外,您可以从私有存储库下载包,在那里提供凭据,然后您可以在生成的.whl
文件中复制。
pip install wheel
pip wheel --wheel-dir ./wheels git+http://$username:[email protected]/scm/do/repo.git
docker build .
COPY ./wheels/ ./wheels/
RUN pip install wheels/*.whl
第二种是使用多阶段Dockerfile,其中第一阶段完成所有安装,第二阶段不需要凭证。这可能看起来像
FROM ubuntu:16.04 AS build
RUN apt-get update && ...
...
RUN pip install git+http://$username:[email protected]/scm/do/repo.git
FROM ubuntu:16.04
RUN apt-get update \
&& apt-get upgrade -y \
&& apt-get install \
python2.7
COPY --from=build /usr/lib/python2.7/site-packages/ /usr/lib/python2.7/site-packages/
COPY ...
CMD ["./app.py"]
在第二种情况下值得仔细检查,没有任何内容泄漏到您的最终图像中,因为ARG值仍然可用于第二阶段。