我正在尝试使用DC/OS和Docker运行服务。我使用来自here的区域模板创建了Stack。我还创建了以下Dockerfile:

FROM ubuntu:16.04
RUN apt-get update && apt-get install -y expect openssh-client

WORKDIR "/root"
ENTRYPOINT eval "$(ssh-agent -s)" && \
           mkdir -p .ssh && \
           echo $PRIVATE_KEY > .ssh/id_rsa && \
           chmod 600 /root/.ssh/id_rsa && \
           expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\" send \"\"; interact " && \
           while true; do ssh-add -l; sleep 2; done

我有一个私有(private)存储库,我想在Docker容器启动时从中复制/拉取。这就是为什么我试图将私钥添加到ssh-agent的原因。

如果我将此图像作为docker容器在本地运行,并使用PRIVATE_KEY环境变量提供私钥,则一切正常。我看到已添加身份。

我遇到的问题是,当我尝试使用docker镜像在DC/OS上运行服务时,ssh-agent似乎不记得使用私钥添加的身份。

我已经从DC/OS检查了错误日志。没有错误。

有谁知道为什么在DC/OS上运行Docker容器与在本地运行Docker容器有何不同?

编辑:我添加了DC/OS服务描述的详细信息,以防它有所帮助:
{
 "id": "/SOME-ID",
 "instances": 1,
  "cpus": 1,
  "mem": 128,
  "disk": 0,
  "gpus": 0,
  "constraints": [],
  "fetch": [],
  "storeUrls": [],
  "backoffSeconds": 1,
  "backoffFactor": 1.15,
  "maxLaunchDelaySeconds": 3600,
  "container": {
                "type": "DOCKER",
                "volumes": [],
                "docker": {
                "image": "IMAGE NAME FROM DOCKERHUB",
                "network": "BRIDGE",
                "portMappings": [{
                                  "containerPort": SOME PORT NUMBER,
                                  "hostPort": SOME PORT NUMBER,
                                  "servicePort": SERVICE PORT NUMBER,
                                  "protocol": "tcp",
                                  "name": “default”
                                 }],
                "privileged": false,
                "parameters": [],
                "forcePullImage": true
               }
  },
  "healthChecks": [],
  "readinessChecks": [],
  "dependencies": [],
  "upgradeStrategy": {
                      "minimumHealthCapacity": 1,
                      "maximumOverCapacity": 1
                     },
  "unreachableStrategy": {
                          "inactiveAfterSeconds": 300,
                          "expungeAfterSeconds": 600
                         },
  "killSelection": "YOUNGEST_FIRST",
  "requirePorts": true,
  "env": {
          "PRIVATE_KEY": "ID_RSA PRIVATE_KEY WITH \n LINE BREAKS",
         }
  }

最佳答案

Docker版本

检查您的本地Docker版本是否与DC/OS代理上安装的版本匹配。默认情况下,DC/OS 1.9.3 AWS CloudFormation模板使用CoreOS 1235.12.0附带的Docker 1.12.6。此后,入口点的行为可能已更改。

Docker命令

检查Mesos任务日志以查找有问题的Marathon应用程序,并查看执行了什么docker run命令。在本地测试时,您可能会传递略有不同的参数。

脚本错误

如另一个答案中所述,您提供的脚本有几个错误,这些错误可能与失败有关,也可能与失败无关。

  • echo $PRIVATE_KEY应该是echo "$PRIVATE_KEY"以保留换行符。否则, key 解密将失败,并带有Bad passphrase, try again for /root/.ssh/id_rsa:
  • expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\" send \"\"; interact "应该是expect -c "spawn ssh-add /root/.ssh/id_rsa; expect \"Enter passphrase for /root/.ssh/id_rsa:\"; send \"\n\"; interact "。它缺少分号和换行符。否则,expect命令将失败而无法执行。

  • 基于文件的 secret

    Enterprise DC/OS 1.10(现在为1.10.0-rc1)具有一项名为“基于文件的 secret ”的新功能,该功能允许注入(inject)文件(例如id_rsa文件)而不将其内容包含在Marathon应用程序定义中,并使用Vault将它们安全地存储在DC/OS Secrets中。
  • 创建:https://docs.mesosphere.com/1.10/security/secrets/create-secrets/
  • 用法:https://docs.mesosphere.com/1.10/security/secrets/use-secrets/

  • 基于文件的 secret 不会为您完成ssh-add的操作,但是它将使文件更容易,更安全地放入容器中。

    Mesos Bug

    Mesos 1.2.0切换为使用Docker --env_file而不是-e来传递环境变量。这会触发一个Docker env_file bug,它不支持换行符。 workaround was put into Mesos and DC/OS,但是该修补程序可能不在您使用的次要版本中。

    手动的解决方法是将马拉松定义的rsa_id转换为base64并返回到入口点脚本中。

    关于docker - ssh-agent在DC/OS的docker容器内运行时不记得身份,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/45604968/

    10-11 22:05
    查看更多