如果你正在使用Docker Compose，一个简单的选择是像这样转发SSH代理:

something:
    container_name: something
    volumes:
        - $SSH_AUTH_SOCK:/ssh-agent # Forward local machine SSH key to docker
    environment:
        SSH_AUTH_SOCK: /ssh-agent

或者等效地，如果使用docker run:

$ docker run --mount type=bind,source=$SSH_AUTH_SOCK,target=/ssh-agent \
             --env SSH_AUTH_SOCK=/ssh-agent \
             some-image

最简单的方法是，获得一个发射台帐户并使用:ssh-import-id

Docker容器应该被视为它们自己的“服务”。为了分离关注点，你应该分离功能:

1)数据应该在数据容器中:使用链接卷将repo克隆到。然后可以将该数据容器链接到需要它的服务。

2)使用一个容器来运行git克隆任务(即它唯一的任务是克隆)，当你运行它时将数据容器链接到它。

3) ssh-key也一样:把它作为一个卷(如上所述)，当你需要它时链接到git克隆服务

这样，克隆任务和密钥都是临时的，只在需要时才活动。

现在，如果你的应用程序本身是一个git接口，你可能会考虑直接使用github或bitbucket REST api来完成你的工作:这就是它们的设计目的。

如果您需要在构建时使用SSH，那么这个问题就更难解决了。例如，如果你使用git克隆，或者在我的情况下，pip和npm从私有存储库下载。

我发现的解决方案是使用——build-arg标志添加键。然后你可以使用新的实验——squash命令(添加1.13)来合并图层，这样键在删除后就不再可用了。以下是我的解决方案:

建造的命令

$ docker build -t example --build-arg ssh_prv_key="$(cat ~/.ssh/id_rsa)" --build-arg ssh_pub_key="$(cat ~/.ssh/id_rsa.pub)" --squash .

Dockerfile

FROM python:3.6-slim

ARG ssh_prv_key
ARG ssh_pub_key

RUN apt-get update && \
    apt-get install -y \
        git \
        openssh-server \
        libmysqlclient-dev

# Authorize SSH Host
RUN mkdir -p /root/.ssh && \
    chmod 0700 /root/.ssh && \
    ssh-keyscan github.com > /root/.ssh/known_hosts

# Add the keys and set permissions
RUN echo "$ssh_prv_key" > /root/.ssh/id_rsa && \
    echo "$ssh_pub_key" > /root/.ssh/id_rsa.pub && \
    chmod 600 /root/.ssh/id_rsa && \
    chmod 600 /root/.ssh/id_rsa.pub

# Avoid cache purge by adding requirements first
ADD ./requirements.txt /app/requirements.txt

WORKDIR /app/

RUN pip install -r requirements.txt

# Remove SSH keys
RUN rm -rf /root/.ssh/

# Add the rest of the files
ADD . .

CMD python manage.py runserver

更新:如果你正在使用Docker 1.13并且有实验功能，你可以在build命令中添加——squash，它将合并层，删除SSH密钥并从Docker历史记录中隐藏它们。

这个问题真的很烦人。由于您不能在dockerfile上下文中添加/复制任何文件，这意味着不可能只链接~/。Ssh /id_rsa到镜像的/root/目录下。Ssh /id_rsa，当你确实需要一个密钥来做一些事情，比如从一个私有的repo链接克隆git…，在构建docker映像期间。

不管怎样，我找到了一个变通的办法，不那么有说服力，但对我来说确实有效。

在dockerfile中: 将此文件添加为/root/.ssh/id_rsa 做你想做的，比如git克隆，作曲家… rm /root/.Ssh /id_rsa 一次拍摄的剧本: Cp你的密钥文件夹持有dockerfile 码头工人建造 Rm复制的密钥 任何时候你需要从这个镜像运行一个有SSH要求的容器，只要为运行命令添加-v就可以了，比如: Docker运行-v ~/.ssh/id_rsa:/root/。Ssh /id_rsa——name容器镜像命令

这个解决方案在项目源代码和构建的docker映像中都没有私钥，因此不再需要担心安全问题。

如果您不关心SSH密钥的安全性，这里有许多很好的答案。如果你有，我找到的最好的答案是从上面一个评论的链接到这个GitHub评论由diegosandrim。所以其他人更有可能看到它，以防回购消失，这里是这个答案的编辑版本:

这里的大多数解决方案最终都将私钥保留在映像中。这很糟糕，因为任何访问映像的人都可以访问您的私钥。由于我们对挤压的行为了解不够，即使你删除键并挤压该层，情况仍然可能是这样。

我们用aws s3 cli生成一个预签名URL来访问密钥，并限制访问大约5分钟，我们将这个预签名URL保存到repo目录下的一个文件中，然后在dockerfile中将其添加到映像中。

在dockerfile中，我们有一个RUN命令，执行所有这些步骤:使用pre-sing URL获取ssh密钥，运行npm install，并删除ssh密钥。

通过在单个命令中执行此操作，ssh密钥将不会存储在任何层中，但将存储预签名URL，这不是问题，因为URL将在5分钟后失效。

构建脚本看起来像:

# build.sh
aws s3 presign s3://my_bucket/my_key --expires-in 300 > ./pre_sign_url
docker build -t my-service .

Dockerfile是这样的:

FROM node

COPY . .

RUN eval "$(ssh-agent -s)" && \
    wget -i ./pre_sign_url -q -O - > ./my_key && \
    chmod 700 ./my_key && \
    ssh-add ./my_key && \
    ssh -o StrictHostKeyChecking=no git@github.com || true && \
    npm install --production && \
    rm ./my_key && \
    rm -rf ~/.ssh/*

ENTRYPOINT ["npm", "run"]

CMD ["start"]