创建一个包装docker构建shell脚本，该脚本获取文件，然后调用docker构建，然后删除文件。

在我的快速浏览中，这里没有提到一个简单的解决方案：

有一个名为docker_build.sh的包装脚本让它创建tarball，将大文件复制到当前工作目录调用docker构建清理油布球、大文件等

这个解决方案很好，因为（1.）它没有复制SSH私钥的安全漏洞（2.）另一个解决方案使用sudo绑定，所以它有另一个安全漏洞，因为它需要root权限才能进行绑定。

我在一个项目和一些数据文件中遇到了同样的问题，由于HIPAA的原因，我无法在回购上下文中移动这些文件。我最终使用了2个Dockerfile。一个构建主应用程序，而不需要我在容器外部所需的东西，并将其发布到内部存储库。然后，第二个dockerfile提取该图像并添加数据，然后创建一个新图像，然后将其部署并永远不会存储在任何地方。不太理想，但它对我将敏感信息排除在回购之外的目的起到了作用。

我经常发现自己为此使用--buildarg选项。例如，在Dockerfile中放入以下内容后：

ARG SSH_KEY
RUN echo "$SSH_KEY" > /root/.ssh/id_rsa

你可以这样做：

docker build -t some-app --build-arg SSH_KEY="$(cat ~/file/outside/build/context/id_rsa)" .

但请注意Docker文档中的以下警告：

警告：不建议使用构建时间变量来传递密钥，如github密钥、用户凭据等。使用docker history命令，映像的任何用户都可以看到构建时间变量值。

如果您阅读第2745期中的讨论，不仅docker可能永远不支持符号链接，他们也可能永远不会支持在您的上下文之外添加文件。这似乎是一种设计理念，即进入docker构建的文件应该明确地成为其上下文的一部分，或者来自一个URL，在该URL中，它可能也会以固定版本部署，这样构建就可以用docker容器附带的公知URL或文件重复。

我更喜欢从版本控制的源代码构建，即docker构建-t东西http://my.git.org/repo-否则我会在随机的地方用随机文件进行构建。从根本上说，不是……——斯文·多维迪特，多克公司

只是我的看法，但我认为您应该进行重组，以分离代码和docker存储库。这样，容器可以是通用的，并在运行时而不是构建时引入任何版本的代码。

或者，使用docker作为基本的代码部署工件，然后将dockerfile放在代码存储库的根目录中。如果您这样做，那么使用父docker容器获取更一般的系统级详细信息和子容器获取特定于您的代码的设置可能是有意义的。

我想今年早些时候，buildx中添加了一个功能来实现这一点。

如果你有dockerfile 1.4+和buildx 0.8+，你可以这样做

docker buildx build --build-context othersource= ../something/something .

然后在docker文件中，可以使用from命令添加上下文

ADD –from=othersource . /stuff

查看此相关帖子https://www.docker.com/blog/dockerfiles-now-support-multiple-build-contexts/

在Linux上，您可以装载其他目录，而不是符号链接它们

mount --bind olddir newdir

看见https://superuser.com/questions/842642了解更多详情。

我不知道其他操作系统是否也有类似的功能。我还尝试使用Samba共享一个文件夹并将其重新安装到Docker上下文中，这同样有效。