2回答

慕婉清6462132

根据我的经验，不要使用git配置来解决这个问题。仅使用 .以下是专门为此制作的指南：https://gist.github.com/MicahParks/1ba2b19c39d1e5fccc3e892837b10e21~/.netrc我也会将其内容粘贴在下面。问题命令行工具需要能够从私有 GitLab 获取依赖项，但需要身份验证。go这假设您的私有 GitLab 托管在 。privategitlab.company.com环境变量建议使用以下环境变量：export GO111MODULE=onexport GOPRIVATE=privategitlab.company.com上面的行可能最适合您的 shell 启动，例如 .~/.bashrc解释GO111MODULE=on告诉Golang命令行工具您正在使用模块。我还没有在私有GitLab上不使用Golang模块的项目上对此进行测试。GOPRIVATE=privategitlab.company.com告诉Golang命令行工具不要对列出的主机名（如公共模块代理）使用公共互联网资源。从您的私有 GitLab 获取个人访问令牌为了将来证明这些说明，请按照 GitLab 文档中的本指南进行操作。我知道Golang命令行工具需要该范围才能工作，我可能也怀疑，但尚未确认这一点。read_apiread_repository设置~/.netrc为了使 Golang 命令行工具能够向 GitLab 进行身份验证，最好使用一个文件。~/.netrc若要创建该文件（如果该文件不存在），请运行以下命令：touch ~/.netrcchmod 600 ~/.netrc现在编辑文件的内容以匹配以下内容：machine privategitlab.company.com login USERNAME_HERE password TOKEN_HEREWhere 将替换为您的 GitLab 用户名，并替换为上一节中获取的访问令牌。USERNAME_HERETOKEN_HERE常见错误不要使用如下内容设置全局 git 配置：git config --global url."git@privategitlab.company.com:".insteadOf "https://privategitlab.company.com"我相信在撰写本文时，Golang命令行工具并不完全支持SSH git，这可能会导致与.~/.netrc奖励：SSH 配置文件对于该工具的常规使用，而不是Golang命令行工具，设置文件很方便。为此，请运行以下命令：git~/.ssh/configmkdir ~/.sshchmod 700 ~/.sshtouch ~/.ssh/configchmod 600 ~/.ssh/config请注意，上述文件和目录的权限是essentail，以便SSH在大多数Linux系统上以默认配置工作。然后，编辑该文件以匹配以下内容：~/.ssh/configHost privategitlab.company.com  Hostname privategitlab.company.com  User USERNAME_HERE  IdentityFile ~/.ssh/id_rsa请注意，上述文件中的间距很重要，如果文件不正确，将使文件无效。您的 GitLab 用户名在哪里，并且是文件系统中 SSH 私钥的路径。您已经将其公钥上传到GitLab。以下是一些说明。USERNAME_HERE~/.ssh/id_rsa

0 0

0

慕妹3242003

我在私有仓库中遇到了这个问题。我使用作为解决方案，但是，我遇到了困难，因为其他答案中存在各种假设。在我的情况下，我的密钥文件名有问题，另一个问题是AppArmor。github.comssh-agent我将在下面详细讨论我的设置和这些问题。实验性 Docker 功能首先，在 中，您希望通过在第一行添加类似这样的注释来允许较新的选项：Dockerfile# syntax=docker/dockerfile:experimental这将使我们能够使用该选项。--mount=type=ssh注意：如果注释不在第一行，它将被忽略，并且诸如--mount=...之类的扩展名将失败。基本设置Dockerfile像你一样，我们使用Go alpine。我们还确保获得.openssh-clientFROM golang:alpine AS build-envRUN apk --no-cache add build-base git mercurial gcc curl openssh-client详细，我们添加我们的代码（整个文件夹）：ADD . .创建 & 文件known_hosts.gitconfig现在我们有一个问题，因为默认情况下，SSH不会识别密钥。为避免此问题，我们希望将（在您的情况下）密钥添加到我们的已知主机。我们还希望确保将其与SSH一起使用，而不是与HTTPS一起使用。github.comgitlab.comgithub.comRUN mkdir -p -m 0700 ~/.ssh && \&nbsp; &nbsp; ssh-keyscan github.com >> ~/.ssh/known_hosts && \&nbsp; &nbsp; echo -e "[url \"git@github.com:<company-name>\"]\n\tinsteadOf = https://github.com/<company-name>" >> ~/.gitconfig注意：此时 docker 中的 ~ 始终是 /root。有些人附加一个卷，让 Docker 访问他们的文件。我不认为这是安全的，如果你运行CircleCI等在线工具，它很可能会崩溃。known_hosts构建 Go 应用程序这为我们提供了最终构建应用程序的所有必要元素：ENV GO111MODULE=onENV GOPRIVATE=github.com/<company-name>RUN --mount=type=ssh cd cmd/app/ && go build -o app我们的 Dockerfile 还有几行，这里没有介绍，用于定义其他文件和最终的 ENTRYPOINT。加载键输入ssh-agent我们几乎准备好运行 .但是我们仍然需要在我们的.这很简单：docker build ...ssh-agentssh-add id_rsa超级非常重要：密钥的名称必须是预期的默认值之一。 就是其中之一。如果您的密钥名称不是默认值之一，则不会选取该密钥。sshid_rsa以下是在我的一个测试中检查的名称。运行命令时会看到这些内容（见下文）。ssh -A -v ...#18 0.828 debug1: identity file /root/.ssh/id_rsa type -1#18 0.828 debug1: identity file /root/.ssh/id_rsa-cert type -1#18 0.828 debug1: identity file /root/.ssh/id_dsa type -1#18 0.828 debug1: identity file /root/.ssh/id_dsa-cert type -1#18 0.829 debug1: identity file /root/.ssh/id_ecdsa type -1#18 0.829 debug1: identity file /root/.ssh/id_ecdsa-cert type -1#18 0.829 debug1: identity file /root/.ssh/id_ecdsa_sk type -1#18 0.829 debug1: identity file /root/.ssh/id_ecdsa_sk-cert type -1#18 0.829 debug1: identity file /root/.ssh/id_ed25519 type -1#18 0.829 debug1: identity file /root/.ssh/id_ed25519-cert type -1#18 0.829 debug1: identity file /root/.ssh/id_ed25519_sk type -1#18 0.829 debug1: identity file /root/.ssh/id_ed25519_sk-cert type -1#18 0.829 debug1: identity file /root/.ssh/id_xmss type -1#18 0.829 debug1: identity file /root/.ssh/id_xmss-cert type -1您可以使用以下命令检查密钥是否已加载：ssh-add -l每个键的名称应显示在行的末尾。它必须是上面提到的默认值之一（您也可以摆弄docker文件中的条目）。Host.ssh/config构建 Docker 映像为了构建映像，我们现在按如下方式运行：dockerDOCKER_BUILDKIT=1 docker build --progress=plain .（当然，您可以使用其他选项，例如--build-arg GO_VERSION=...来强制使用golang的一个版本）这使您能够更好地了解正在发生的事情。不知何故，它会阻止 Docker 保存中间映像和容器，因此如果没有该选项，您将无法进行太多调试。--progress=plainDOCKER_BUILDKIT=1选项--ssh default可能仍需要此命令行选项。我实际上使用它。但是，在最新版本的 docker 中，如果检测到（或类似的？），它会自动打开。我不太确定它是否可以在所有情况下检测到这种情况。如果遇到问题，请确保在命令行中包含该选项。git@github.com... docker build ...在我的经验中，没有必要具体说明任何细节。就足够了。default调试 SSH 连接如果您在连接时遇到问题（即SSH告诉您连接被拒绝），那么您可以在调试之前添加RUN命令以调试该部分：RUN ... go build ...RUN ssh -A -v -l git github.com该选项告诉 SSH 使用 检索私钥。要求 SSH 打印出调试信息。该选项定义用户名。对于 ，您需要用作用户名。默认情况下，使用 Docker 内部的 .这是行不通的。-Assh-agent-v-lgithub.comgitssh$USERroot如果连接有效，则告诉您已获得授权，但没有要连接的 shell，因此您立即被踢出。如果您没有看到该友好消息，则 SSH 尚未正确设置。实际上，您可以在控制台中测试该连接，如下所示：github.com$ ssh -l git github.comPTY allocation request failed on channel 0Hi <your-name>! You've successfully authenticated, but GitHub does not provide shell access.Connection to github.com closed.问题 1：apparmor所有这些都对我不起作用。事实是，会创建一个隐藏在下方的套接字，并且默认情况下不允许该路径进入工具和服务。至少，如果你的内核像Ubuntu服务器一样有apparmor，它就不会起作用。ssh-agent/run/user/<uid>/keyring/sshdocker ...您可以通过查看您的或类似文件（可能是 ）来查看这种情况。将出现“已拒绝”错误，如下所示：/var/log/syslog/var/log/auth.logOct 28 10：42：13 ubuntu2004 kernel： [78018.511407] audit： type=1400 audit（1635442933.692：143）： apparmor=“DENIED” operation=“connect” profile=“snap.docker.docker” name=“/run/user/1000/keyring/ssh” pid=36260 comm=“docker” requested_mask=“wr” denied_mask=“wr” fsuid=1000 ouid=1000我们看到我的密钥环套接字的完整路径，拒绝访问的apparmor配置文件的名称，以及操作，这里是“连接”。要解决此问题，您首先需要找到配置文件。这是在 ：/var/lib/snapd/var/lib/snapd/apparmor/profiles/snap.docker.docker然后运行以下命令：$ sudo apparmor_parser -r \&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; /var/lib/snapd/apparmor/profiles/snap.docker.docker以刷新 apparmor 设置。如果您不使用Docker的快照版本，则配置文件通常位于下，但我无法在较新版本的Docker（2021）中看到该文件.../etc/apparmor.d/...编辑该文件，转到末尾，然后在结束字符之前，输入以下行：}/run/user/1000/keyring/ssh rw,这意味着将能够读取和写入此特定套接字。docker显然，这是一个特定的用户。如果不是您，请使用您的用户 ID （） 或要运行的用户标识符。1000id -udocker build ...您也可以允许该计算机上的所有用户，但不建议这样做：/run/user/[0-9]*/keyring/ssh rw,（它仍然非常安全，因为你只给docker权限，但你永远不会知道...）问题 2：密钥文件名我在这里重复第二个问题，因为这非常重要。来自 Docker 的密钥查找将搜索一个名为 （和其他类似的默认密钥名称，见上文）的密钥。如果你为密钥使用特殊名称，比如说 ，那么 Docker 不会选取它。id_rsagithub_rsa您可以通过添加以下内容来将该文件用于此目的：.ssh/configHost github.com&nbsp; IdentityFile /root/.ssh/github_rsa在某个时候，我摆弄了这样，但无法使它工作。可能是因为问题#1（又名apparmor）。但是，如果您要与许多程序员共享您的名称，则需要很好地记录以这种方式使用特殊名称。大多数程序员不做这样的事情，他们可能需要一段时间才能找出为什么他们不能在他们的系统上创建Docker映像。Dockerfile什么都不做！chmod在许多页面/答案中，您会看到权限通常使用命令进行解析。例如，如果有人认为 Docker 无法访问他们的密钥，因为其文件夹上的权限为 700 （rwx-----） 或文件的权限为 600 （rw-------），则可能认为更改这些权限会有所帮助。它不会。中的条目足以根据需要共享您的私钥。chmod/run/user/1000~/.ssh/...ssh-agent关于使用的附注.netrc据我所知，当您使用 时，您会在 Docker 映像中包含您的凭据。这意味着任何获得图像副本的人都有您的凭据。可能不是你想要的东西。如果您的图像仅在内部使用，则可能没问题....netrc

0 0

0