Bitbucket管道可以使用您创建的Docker镜像,它具有在构建期间运行的ssh客户端设置,只要它托管在可公开访问的容器注册表上即可.

创建一个Docker镜像.

在某处可以使用ssh密钥Create a Docker image.图像还需要在容器将运行的用户下具有host key for your environment(s) saved.这通常是root用户,但如果您在Dockerfile中有USER命令,则可能会有所不同.

您可以复制已填充的已知主机文件,或者在映像构建时动态配置文件：

RUN ssh-keyscan your.staging-host.com

发布图像

将您的图像发布到可公开访问但私有的注册表.您可以host your own或使用像Docker Hub这样的服务.

配置管道

Configure pipelines to build with your docker image.

如果您使用Docker Hub

image:
  name: account-name/java:8u66
  username: $USERNAME
  password: $PASSWORD
  email: $EMAIL

或者您自己的外部注册表

  name: docker.your-company-name.com/account-name/java:8u66

限制主机上的访问权限

您不希望使用ssh密钥访问遍布全球的主机,因此我还将这些部署ssh密钥的访问权限限制为only run your deploy commands.

您的登台主机上的authorized_keys文件：

command="/path/to/your/deploy-script",no-agent-forwarding,no-port-forwarding,no-X11-forwarding ssh-dss AAAAC8ghi9ldw== deploy@bitbucket

不幸的是bitbucket don’t publish an IP list to restrict access to因为他们使用共享基础设施来管道.如果它们恰好在AWS上运行,那么亚马逊就会执行publish IP lists.

from="10.5.0.1",command="",no-... etc

还要记得和他们约会,不时让他们过期.我知道ssh键不强制执行日期,但无论如何都要做到这一点.