最佳实践通常是不从容器进行出站ssh连接。如果要添加到容器中的是二进制代码或应用程序代码,请在Docker之外管理源代码管理设置,并将数据复制到图像中。如果应用程序需要运行其数据,请再次从外部获取并使用
docker run -v
把它注入容器。
正如您所说,安全地管理这个关键材料,并遵守sshs-unix权限要求,是非常棘手的。如果我真的没有选择,但要做这个ID,请编写一个入口点脚本,将私钥从绑定装载的卷复制到容器用户。
.ssh
目录。但我的第一选择是重新设计我的应用程序流,根本不需要这个。