Dockerfile - 隐藏--build-args在构建时间内显示

问题描述 投票:0回答:2

我有以下Dockerfile:

FROM ubuntu:16.04

RUN apt-get update \
    && apt-get upgrade -y \
    && apt-get install -y \
    git \
    make \
    python-pip \
    python2.7 \
    python2.7-dev \
    ssh \
    && apt-get autoremove \
    && apt-get clean

ARG password
ARG username
ENV password $password
ENV username $username

RUN pip install git+http://$username:[email protected]/scm/do/repo.git

我使用以下命令从此Dockerfile构建映像:

docker build -t myimage:v1 --build-arg password="somepassoword" --build-arg username="someuser" .

但是,在构建日志中,我作为--build-arg传递的用户名和密码是可见的。

Step 8/8 : RUN pip install git+http://$username:[email protected]/scm/do/repo.git
 ---> Running in 650d9423b549
Collecting git+http://someuser:[email protected]/scm/do/repo.git

如何隐藏它们?或者是否有不同的方式在Dockerfile中传递凭据?

docker dockerfile docker-build
2个回答
2
投票

更新

你知道,我专注于你问题的错误部分。您根本不应该使用用户名和密码。您应该使用access keys,它允许对私有存储库进行只读访问。

一旦创建了ssh密钥并将公共组件添加到存储库,就可以将私钥放入映像中:

RUN mkdir -m 700 -p /root/.ssh
COPY my_access_key /root/.ssh/id_rsa
RUN chmod 700 /root/.ssh/id_rsa

现在,您可以在安装Python项目时使用该密钥:

RUN pip install git+ssh://[email protected]/you/yourproject.repo

(原始答案如下)

您通常不会将凭据烘焙到这样的图像中。除了您已经发现的问题之外,它还会使您的图像变得不那么有用,因为您需要在每次更改凭据时重建它,或者如果有多个人希望能够使用它。

通常通过以下各种机制之一在运行时提供凭据:

  • 环境变量:您可以将凭证放在文件中,例如: USERNAME=myname PASSWORD=secret 然后在docker run命令行中包含它: docker run --env-file myenvfile.env ... USERNAMEPASSWORD环境变量将可用于容器中的进程。
  • 绑定挂载:您可以将凭据放在一个文件中,然后使用-vdocker run选项将该文件作为绑定挂载暴露在容器中: docker run -v /path/to/myfile:/path/inside/container ... 这会将文件公开为容器内的/path/inside/container
  • Docker的秘密:如果你在swarm模式下运行Docker,你可以将你的凭据公开为docker secrets

2
投票

它比这更糟糕:他们永远在docker history

我过去做过两件事:

你可以configure pip to use local packages,或download dependencies ahead of time into "wheel" files。在Docker之外,您可以从私有存储库下载包,在那里提供凭据,然后您可以在生成的.whl文件中复制。

pip install wheel
pip wheel --wheel-dir ./wheels git+http://$username:[email protected]/scm/do/repo.git
docker build .
COPY ./wheels/ ./wheels/
RUN pip install wheels/*.whl

第二种是使用多阶段Dockerfile,其中第一阶段完成所有安装,第二阶段不需要凭证。这可能看起来像

FROM ubuntu:16.04 AS build
RUN apt-get update && ...
...
RUN pip install git+http://$username:[email protected]/scm/do/repo.git

FROM ubuntu:16.04
RUN apt-get update \
 && apt-get upgrade -y \
 && apt-get install \
      python2.7
COPY --from=build /usr/lib/python2.7/site-packages/ /usr/lib/python2.7/site-packages/
COPY ...
CMD ["./app.py"]

在第二种情况下值得仔细检查,没有任何内容泄漏到您的最终图像中,因为ARG值仍然可用于第二阶段。

© www.soinside.com 2019 - 2024. All rights reserved.