在 GitHub Actions 中使用机密
构建机密是作为构建过程的一部分使用的敏感信息,例如密码或 API 令牌。 Docker Build 支持两种形式的秘密:
本页面展示了如何通过 GitHub Actions 使用机密。有关秘密的一般介绍,请参阅 构建秘密。
秘密坐骑
在以下示例中,使用并公开
工作流程中 GitHub 提供的GITHUB_TOKEN密钥。
首先,创建一个Dockerfile使用秘密的:
# syntax=docker/dockerfile:1
FROM alpine
RUN --mount=type=secret,id=github_token \
cat /run/secrets/github_token在此示例中,秘密名称是github_token。以下工作流程使用输入公开此秘密secrets:
name: ci
on:
push:
branches:
- "main"
jobs:
docker:
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v4
- name: Set up QEMU
uses: docker/setup-qemu-action@v3
- name: Set up Docker Buildx
uses: docker/setup-buildx-action@v3
- name: Build
uses: docker/build-push-action@v5
with:
context: .
platforms: linux/amd64,linux/arm64
tags: user/app:latest
secrets: |
"github_token=${{ secrets.GITHUB_TOKEN }}" 笔记
您还可以使用输入向构建公开秘密文件
secret-files:secret-files: | "MY_SECRET=./secret.txt"
如果您使用 GitHub 机密 并需要处理多行值,则需要将键值对放在引号之间:
secrets: |
"MYSECRET=${{ secrets.GPG_KEY }}"
GIT_AUTH_TOKEN=abcdefghi,jklmno=0123456789
"MYSECRET=aaaaaaaa
bbbbbbb
ccccccccc"
FOO=bar
"EMPTYLINE=aaaa
bbbb
ccc"
"JSON_SECRET={""key1"":""value1"",""key2"":""value2""}" | 钥匙 | 价值 |
|---|---|
MYSECRET | *********************** |
GIT_AUTH_TOKEN | abcdefghi,jklmno=0123456789 |
MYSECRET | aaaaaaaa\nbbbbbbb\nccccccccc |
FOO | bar |
EMPTYLINE | aaaa\n\nbbbb\nccc |
JSON_SECRET | {"key1":"value1","key2":"value2"} |
笔记
引号需要双重转义。
SSH挂载
SSH 安装允许您通过 SSH 服务器进行身份验证。例如,执行git clone,或从私有存储库获取应用程序包。
以下 Dockerfile 示例使用 SSH 挂载从私有 GitHub 存储库获取 Go 模块。
# syntax=docker/dockerfile:1
ARG GO_VERSION="1.21"
FROM golang:${GO_VERSION}-alpine AS base
ENV CGO_ENABLED=0
ENV GOPRIVATE="github.com/foo/*"
RUN apk add --no-cache file git rsync openssh-client
RUN mkdir -p -m 0700 ~/.ssh && ssh-keyscan github.com >> ~/.ssh/known_hosts
WORKDIR /src
FROM base AS vendor
# this step configure git and checks the ssh key is loaded
RUN --mount=type=ssh <<EOT
set -e
echo "Setting Git SSH protocol"
git config --global url."git@github.com:".insteadOf "https://github.com/"
(
set +e
ssh -T git@github.com
if [ ! "$?" = "1" ]; then
echo "No GitHub SSH key loaded exiting..."
exit 1
fi
)
EOT
# this one download go modules
RUN --mount=type=bind,target=. \
--mount=type=cache,target=/go/pkg/mod \
--mount=type=ssh \
go mod download -x
FROM vendor AS build
RUN --mount=type=bind,target=. \
--mount=type=cache,target=/go/pkg/mod \
--mount=type=cache,target=/root/.cache \
go build ...要构建此 Dockerfile,您必须指定构建器可以在带有 的步骤中使用的 SSH 安装--mount=type=ssh。
以下 GitHub Action 工作流程使用MrSquaare/ssh-setup-action
第三方操作在 GitHub 运行器上引导 SSH 设置。该操作创建一个由 GitHub Action 密钥定义的私钥SSH_GITHUB_PPK,并将其添加到位于 的 SSH 代理套接字文件中SSH_AUTH_SOCK。构建步骤中的 SSH 挂载采用SSH_AUTH_SOCK默认情况,因此无需显式指定 SSH 代理套接字的 ID 或路径。
name: ci
on:
push:
branches:
- "main"
jobs:
docker:
runs-on: ubuntu-latest
steps:
-
name: Checkout
uses: actions/checkout@v3
-
name: Set up SSH
uses: MrSquaare/ssh-setup-action@7bfdda6ef6839504e3a5b2625ad971b17461a0db # v3.0.0
with:
host: github.com
private-key: ${{ secrets.SSH_GITHUB_PPK }}
private-key-name: github-ppk
-
name: Build and push
uses: docker/build-push-action@v5
with:
context: .
ssh: default
push: true
tags: user/app:latestname: ci
on:
push:
branches:
- "main"
jobs:
docker:
runs-on: ubuntu-latest
steps:
-
name: Checkout
uses: actions/checkout@v3
-
name: Set up SSH
uses: MrSquaare/ssh-setup-action@7bfdda6ef6839504e3a5b2625ad971b17461a0db # v3.0.0
with:
host: github.com
private-key: ${{ secrets.SSH_GITHUB_PPK }}
private-key-name: github-ppk
-
name: Build
uses: docker/bake-action@v4
with:
set: |
*.ssh=default