使用 GitHub Actions 的密鑰

密鑰
目錄

建置密鑰是敏感資訊,例如密碼或 API 權杖,在建置過程中使用。 Docker 建置支援兩種形式的密鑰

  • 密鑰掛載 將密鑰作為檔案新增到建置容器中(預設情況下位於 /run/secrets 下)。
  • SSH 掛載 將 SSH 代理通訊端或金鑰新增到建置容器中。

此頁面說明如何使用 GitHub Actions 的密鑰。 如需密鑰的簡介,請參閱 建置密鑰

密鑰掛載

以下範例使用並公開了 GitHub 在您的工作流程中提供的 GITHUB_TOKEN 密鑰

首先,建立一個使用密鑰的 Dockerfile

# syntax=docker/dockerfile:1
FROM alpine
RUN --mount=type=secret,id=github_token,env=GITHUB_TOKEN ...

在此範例中,密鑰名稱為 github_token。 以下工作流程使用 secrets 輸入公開此密鑰

name: ci

on:
  push:

jobs:
  docker:
    runs-on: ubuntu-latest
    steps:
      - name: Set up QEMU
        uses: docker/setup-qemu-action@v3

      - name: Set up Docker Buildx
        uses: docker/setup-buildx-action@v3

      - name: Build
        uses: docker/build-push-action@v6
        with:
          platforms: linux/amd64,linux/arm64
          tags: user/app:latest
          secrets: |
            "github_token=${{ secrets.GITHUB_TOKEN }}"

**注意**

您也可以使用 secret-files 輸入將密鑰檔案公開給建置

secret-files: |
  "MY_SECRET=./secret.txt"

如果您使用 GitHub 密鑰

secrets: |
  "MYSECRET=${{ secrets.GPG_KEY }}"
  GIT_AUTH_TOKEN=abcdefghi,jklmno=0123456789
  "MYSECRET=aaaaaaaa
  bbbbbbb
  ccccccccc"
  FOO=bar
  "EMPTYLINE=aaaa

  bbbb
  ccc"
  "JSON_SECRET={""key1"":""value1"",""key2"":""value2""}"
金鑰
MYSECRET***********************
GIT_AUTH_TOKENabcdefghi,jklmno=0123456789
MYSECRETaaaaaaaa\nbbbbbbb\nccccccccc
FOObar
EMPTYLINEaaaa\n\nbbbb\nccc
JSON_SECRET{"key1":"value1","key2":"value2"}

**注意**

引號需要雙重跳脫。

SSH 掛載

SSH 掛載可讓您使用 SSH 伺服器進行驗證。 例如,執行 git clone 或從私人儲存庫擷取應用程式套件。

以下 Dockerfile 範例使用 SSH 掛載從私人 GitHub 儲存庫擷取 Go 模組。

# syntax=docker/dockerfile:1

ARG GO_VERSION="1.23"

FROM golang:${GO_VERSION}-alpine AS base
ENV CGO_ENABLED=0
ENV GOPRIVATE="github.com/foo/*"
RUN apk add --no-cache file git rsync openssh-client
RUN mkdir -p -m 0700 ~/.ssh && ssh-keyscan github.com >> ~/.ssh/known_hosts
WORKDIR /src

FROM base AS vendor
# this step configure git and checks the ssh key is loaded
RUN --mount=type=ssh <<EOT
  set -e
  echo "Setting Git SSH protocol"
  git config --global url."git@github.com:".insteadOf "https://github.com/"
  (
    set +e
    ssh -T git@github.com
    if [ ! "$?" = "1" ]; then
      echo "No GitHub SSH key loaded exiting..."
      exit 1
    fi
  )
EOT
# this one download go modules
RUN --mount=type=bind,target=. \
    --mount=type=cache,target=/go/pkg/mod \
    --mount=type=ssh \
    go mod download -x

FROM vendor AS build
RUN --mount=type=bind,target=. \
    --mount=type=cache,target=/go/pkg/mod \
    --mount=type=cache,target=/root/.cache \
    go build ...

要建置此 Dockerfile,您必須在步驟中使用 --mount=type=ssh 指定建置器可以使用的 SSH 掛載。

以下 GitHub Action 工作流程使用第三方動作 MrSquaare/ssh-setup-action 在 GitHub 執行器上進行 SSH 設定。該動作會建立由 GitHub Action 密鑰 SSH_GITHUB_PPK 定義的私鑰,並將其新增至 SSH_AUTH_SOCK 的 SSH 代理程式通訊端檔案。建置步驟中的 SSH 掛載預設會採用 SSH_AUTH_SOCK,因此不需要明確指定 SSH 代理程式通訊端的 ID 或路徑。

name: ci

on:
  push:

jobs:
  docker:
    runs-on: ubuntu-latest
    steps:
      - name: Set up SSH
        uses: MrSquaare/ssh-setup-action@2d028b70b5e397cf8314c6eaea229a6c3e34977a # v3.1.0
        with:
          host: github.com
          private-key: ${{ secrets.SSH_GITHUB_PPK }}
          private-key-name: github-ppk

      - name: Build and push
        uses: docker/build-push-action@v6
        with:
          ssh: default
          push: true
          tags: user/app:latest
name: ci

on:
  push:

jobs:
  docker:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout
        uses: actions/checkout@v4

      - name: Set up SSH
        uses: MrSquaare/ssh-setup-action@2d028b70b5e397cf8314c6eaea229a6c3e34977a # v3.1.0
        with:
          host: github.com
          private-key: ${{ secrets.SSH_GITHUB_PPK }}
          private-key-name: github-ppk

      - name: Build
        uses: docker/bake-action@v5
        with:
          set: |
            *.ssh=default