在docker(17.05)的后续版本中，您可以使用多阶段构建。哪个是最安全的选择，因为之前的构建只能被后续的构建使用，然后被销毁

有关更多信息，请参阅我的stackoverflow问题的答案

正如eczajk已经在Daniel van Flymen的回答中评论的那样，删除键并使用-squash似乎不安全，因为它们仍然会在历史记录中可见(docker history -no-trunc)。

在Docker 18.09中，你可以使用“构建秘密”特性。在我的情况下，我克隆了一个私人git回购使用我的主机SSH密钥与以下在我的Dockerfile:

# syntax=docker/dockerfile:experimental

[...]

RUN --mount=type=ssh git clone [...]

[...]

为了能够使用这个，你需要在运行docker build之前启用新的BuildKit后端:

export DOCKER_BUILDKIT=1

你需要在docker build中添加——ssh default参数。

更多信息请点击:https://medium.com/@tonistiigi/build- secrets.and -ssh- foring-in dock-18-09-ae8161d066

Docker容器应该被视为它们自己的“服务”。为了分离关注点，你应该分离功能:

1)数据应该在数据容器中:使用链接卷将repo克隆到。然后可以将该数据容器链接到需要它的服务。

2)使用一个容器来运行git克隆任务(即它唯一的任务是克隆)，当你运行它时将数据容器链接到它。

3) ssh-key也一样:把它作为一个卷(如上所述)，当你需要它时链接到git克隆服务

这样，克隆任务和密钥都是临时的，只在需要时才活动。

现在，如果你的应用程序本身是一个git接口，你可能会考虑直接使用github或bitbucket REST api来完成你的工作:这就是它们的设计目的。

为了在容器中注入ssh密钥，你有多种解决方案:

使用带有ADD指令的Dockerfile，你可以在构建过程中注入它 简单地执行cat id_rsa | docker run -i <image> sh -c 'cat > /root/.ssh/id_rsa' 使用docker cp命令，允许您在容器运行时注入文件。

在一个运行的docker容器中，你可以使用docker -i (interactive)选项发出ssh-keygen。这将转发容器提示，在docker容器中创建密钥。

如果你正在使用Docker Compose，一个简单的选择是像这样转发SSH代理:

something:
    container_name: something
    volumes:
        - $SSH_AUTH_SOCK:/ssh-agent # Forward local machine SSH key to docker
    environment:
        SSH_AUTH_SOCK: /ssh-agent

或者等效地，如果使用docker run:

$ docker run --mount type=bind,source=$SSH_AUTH_SOCK,target=/ssh-agent \
             --env SSH_AUTH_SOCK=/ssh-agent \
             some-image