草庐IT

git - 在 Kubernetes pod 中克隆一个安全的 git 存储库

coder 2023-05-27 原文

我遇到了一个有趣的情况,我需要将私有(private) github 存储库克隆到我在 Kubernetes 中运行的 docker 容器中。最初我尝试使用 gitRepo 挂载,但是,在我的部署 list 中使用 OAuth key 是 Not Acceptable ,我想使用 repo 部署 key 而不是附加到我的 GitHub 帐户的 OAuth key 。

理想情况下,我会使用使用 secret 进行身份验证的 gitRepo 挂载,但在撰写本文时此功能不可用。

约束

我需要以下内容:

  • 容器内的一个 repo,我可以在容器运行时间歇性地 pull 出
  • 必须使用 GitHub 部署 key 访问该存储库
  • key 必须保持安全(在 Kubernetes secret 中)并且不存储在 docker 镜像中
  • 存储库必须在同一个 Pod 中的两个容器之间共享——一个写入,一个读取

    • 可能的解决方案:

    将 SSH key 挂载为 secret 并克隆:

    我尝试使用在单独的 pod 中运行的 bash 脚本将 repo 克隆到一个 emptydir 中(无论如何,这个脚本必须运行,我也将它用于其他用途),但是我随后遇到了将 ssh key 输入到荚。 This question是关于这个问题的,但是它似乎没有办法做到这一点。我能够通过 secret 安装获取 key ,但随后权限设置为 777。为了解决这个问题,我将 key 安装到 /test/ 中。目录,然后尝试 cp他们进入 /root/.ssh/ .这给了我这些奇怪的错误:
    cp: '/test/id_rsa' and '/root/.ssh/id_rsa' are the same file
cp: '/test/id_rsa.pub' and '/root/.ssh/id_rsa.pub' are the same file

    我也尝试使用 cat并将它们通过管道传输到他们的文件中,但这不起作用。起初,当我的路径错误时,它给了我这些错误:
    cat: /keys/id_rsa: input file is output file
cat: /keys/id_rsa.pub: input file is output file

    一旦我修复了路径,它什么也没做,默默地失败了。 kubectl exec进入容器显示 /root/.ssh/ 中没有文件.

    我想我已经几乎走到了这条道路的底部,所以我认为这不是解决方案。

    配置 ssh 以忽略 key 权限

    如果 SSH 有办法忽略 key 的权限——我相信默认情况下它强制执行 644 或更少——那么上述解决方案可能是可能的。我很惊讶我还没有找到任何方法来做到这一点,但我的 google-fu 总是出现结果说你只需要正确设置权限。

    将 key 安全地放入容器的其他一些方法

    理想情况下,我希望在容器中有一个 key ,以便将来使用其他存储库对该项目进行潜在的扩展。可能还有其他一些我没有想到或尝试过的方法来做到这一点。

    在容器内使用 OAuth key 进行克隆

    我曾考虑尝试在环境变量中使用 OAuth key ,然后使用它通过 HTTPS 克隆存储库。这不太理想,但如果有效,我会接受。现在唯一阻止我这样做的是我不能使用部署 key 。如果有一种方法可以通过部署 key 使用 OAuth,我还没有找到它,但如果有人知道更多,它可能是解决方案。

    在 docker 镜像中克隆

    仓库中没有任何东西让我在 docker 镜像中感到不舒服,所以我可以走这条路。这样做的问题是我需要能够下 pull 对 repo 的更新。如果我把它放在容器里,如果没有我的 key ,我将无法 pull 。可能有一些我没有尝试过的解决方法。

    我现在觉得我没有什么可以尝试的了,所以任何建议都值得一试。

    类似问题

    This question与我正在尝试做的非常相似,但是我觉得由于他们没有使用 Kubernetes 而我正在使用,因此值得单独发布,因为 secret 和挂载文件的方法不同。

    This question谈到将 SSH key 放入 Kubernetes 的容器中,但是我并没有死心塌地在 SSH 上使用 git,所以我认为这应该是它自己的问题。

    最佳答案

    尝试挂载包含部署 key 的 key ,如下所示:

    volumeMounts:
  - mountPath: /root/.ssh
    name: ssh-key
volumes:
- name: ssh-key
  secret:
    secretName: ssh-key
    defaultMode: 256

    这是我如何使用它的完整示例:
    apiVersion: batch/v2alpha1
kind: ScheduledJob
metadata:
  name: transporter
spec:
  schedule: 0 5 * * *
  jobTemplate:
    spec:
      template:
        spec:
          nodeSelector:
            role: mysqldump
          containers:
          - name: transporter
            image: camil/mysqldump
            command: ["/bin/bash", "-c"]
            args:
              - ssh-keyscan -t rsa $TARGET_HOST > ~/.ssh/known_hosts && ssh -i /root/.ssh/private/id_rsa $LINUX_USER@$TARGET_HOST 'mkdir mysqldump || true' && scp -i /root/.ssh/private/id_rsa /mysqldump/* $LINUX_USER@$TARGET_HOST:/home/$LINUX_USER/mysqldump
            env:
              - name: TARGET_HOST
                valueFrom:
                  configMapKeyRef:
                    name: transporter
                    key: target.host
              - name: LINUX_USER
                valueFrom:
                  configMapKeyRef:
                    name: transporter
                    key: linux.user
            imagePullPolicy: Always
            volumeMounts:
              - mountPath: /mysqldump
                name: mysqldump
              - mountPath: /root/.ssh/private
                name: ssh-key
          volumes:
            - name: mysqldump
              hostPath:
                path: /home/core/mysqldump
            - name: ssh-key
              secret:
                secretName: ssh-key
                defaultMode: 256
          restartPolicy: OnFailure

    关于git - 在 Kubernetes pod 中克隆一个安全的 git 存储库,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41067668/

    储库Kuberneteskeybrgitgithubdockerssh

    有关git - 在 Kubernetes pod 中克隆一个安全的 git 存储库的更多相关文章

    1. ruby - 使用 Vim Rails,您可以创建一个新的迁移文件并一次性打开它吗? - 2

      使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta

    2. ruby-on-rails - Rails - 一个 View 中的多个模型 - 2

      我需要从一个View访问多个模型。以前,我的links_controller仅用于提供以不同方式排序的链接资源。现在我想包括一个部分(我假设)显示按分数排序的顶级用户(@users=User.all.sort_by(&:score))我知道我可以将此代码插入每个链接操作并从View访问它,但这似乎不是“ruby方式”,我将需要在不久的将来访问更多模型。这可能会变得很脏,是否有针对这种情况的任何技术?注意事项:我认为我的应用程序正朝着单一格式和动态页面内容的方向发展,本质上是一个典型的网络应用程序。我知道before_filter但考虑到我希望应用程序进入的方向,这似乎很麻烦。最终从任何

    3. ruby-on-rails - 渲染另一个 Controller 的 View - 2

      我想要做的是有2个不同的Controller,client和test_client。客户端Controller已经构建,我想创建一个test_clientController,我可以使用它来玩弄客户端的UI并根据需要进行调整。我主要是想绕过我在客户端中内置的验证及其对加载数据的管理Controller的依赖。所以我希望test_clientController加载示例数据集,然后呈现客户端Controller的索引View,以便我可以调整客户端UI。就是这样。我在test_clients索引方法中试过这个:classTestClientdefindexrender:template=>

    4. ruby - 如何使用 Ruby aws/s3 Gem 生成安全 URL 以从 s3 下载文件 - 2

      我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A

    5. ruby-on-rails - 如果 Object::try 被发送到一个 nil 对象,为什么它会起作用? - 2

      如果您尝试在Ruby中的nil对象上调用方法,则会出现NoMethodError异常并显示消息:"undefinedmethod‘...’fornil:NilClass"然而,有一个tryRails中的方法,如果它被发送到一个nil对象,它只返回nil:require'rubygems'require'active_support/all'nil.try(:nonexisting_method)#noNoMethodErrorexceptionanymore那么try如何在内部工作以防止该异常? 最佳答案 像Ruby中的所有其他对象

    6. ruby - 为什么 SecureRandom.uuid 创建一个唯一的字符串? - 2

      关闭。这个问题需要detailsorclarity.它目前不接受答案。想改进这个问题吗?通过editingthispost添加细节并澄清问题.关闭8年前。Improvethisquestion为什么SecureRandom.uuid创建一个唯一的字符串?SecureRandom.uuid#=>"35cb4e30-54e1-49f9-b5ce-4134799eb2c0"SecureRandom.uuid方法创建的字符串从不重复?

    7. ruby-on-rails - Rails - 从另一个模型中创建一个模型的实例 - 2

      我有一个正在构建的应用程序,我需要一个模型来创建另一个模型的实例。我希望每辆车都有4个轮胎。汽车模型classCar轮胎模型classTire但是,在make_tires内部有一个错误,如果我为Tire尝试它,则没有用于创建或新建的activerecord方法。当我检查轮胎时,它没有这些方法。我该如何补救?错误是这样的:未定义的方法'create'forActiveRecord::AttributeMethods::Serialization::Tire::Module我测试了两个环境:测试和开发,它们都因相同的错误而失败。 最佳答案

    8. ruby - 用 Ruby 编写一个简单的网络服务器 - 2

      我想在Ruby中创建一个用于开发目的的极其简单的Web服务器(不,不想使用现成的解决方案)。代码如下:#!/usr/bin/rubyrequire'socket'server=TCPServer.new('127.0.0.1',8080)whileconnection=server.acceptheaders=[]length=0whileline=connection.getsheaders想法是从命令行运行这个脚本,提供另一个脚本,它将在其标准输入上获取请求,并在其标准输出上返回完整的响应。到目前为止一切顺利,但事实证明这真的很脆弱,因为它在第二个请求上中断并出现错误:/usr/b

    9. ruby - 一个 YAML 对象可以引用另一个吗? - 2

      我想让一个yaml对象引用另一个,如下所示:intro:"Hello,dearuser."registration:$introThanksforregistering!new_message:$introYouhaveanewmessage!上面的语法只是它如何工作的一个例子(这也是它在thiscpanmodule中的工作方式。)我正在使用标准的ruby​​yaml解析器。这可能吗? 最佳答案 一些yaml对象确实引用了其他对象:irb>require'yaml'#=>trueirb>str="hello"#=>"hello"ir

    10. ruby - 如何安全地删除文件? - 2

      在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?

    随机推荐