我们有一个需要go get专用存储库的存储库。为此，我们使用SSH密钥访问私有存储库/模块。

我们正在使用Google Secret Manager存储此SSH密钥，并使用build-arg标志将其传递给Docker。现在，当我们在本地执行此操作时，Dockerfile将按预期的方式构建并运行。这是我们用于本地构建的命令：

export SSH_PRIVATE_KEY="$(gcloud secrets versions access latest --secret=secret-data)" && \
docker build --build-arg SSH_PRIVATE_KEY -t my-image .

但是，当我们尝试将此设置移至Google Cloud Build时，我们从Bitbucket中遇到了403个禁止的错误，这使我相信SSH密钥未正确读取或未正确格式化。

完整的403错误为：

https://api.bitbucket.org/2.0/repositories/my-repo?fields=scm: 403 Forbidden
Step #0 - "Build":  server response: Access denied. You must have write or admin access.

甚至更奇怪的是，当我运行Cloud Build本地仿真器时，使用以下命令可以正常工作：cloud-build-local --config=builder/cloudbuild-prod.yaml --dryrun=false .

我尝试了许多不同的格式和方法，因此出于绝望，我要求社区提供帮助。可能是什么问题？

这是我们的cloudbuild.yaml：

steps:
# Get secret
  - id: 'Get Secret'
    name: gcr.io/cloud-builders/gcloud
    entrypoint: 'bash'
    args:
      - '-c'
      - |
          gcloud secrets versions access latest --secret=secret-data > /workspace/SSH_PRIVATE_KEY.txt

# Build
  - id: 'Build'
    name: 'gcr.io/cloud-builders/docker'
    entrypoint: 'bash'
    args:
      - '-c'
      - |
          export SSH_PRIVATE_KEY=$(cat /workspace/SSH_PRIVATE_KEY.txt) &&
          docker build --build-arg SSH_PRIVATE_KEY -t my-image .

解决方法

# Build
  - id: 'Build'
    name: 'gcr.io/cloud-builders/docker'
    entrypoint: 'bash'
    args:
      - '-c'
      - |
          export SSH_PRIVATE_KEY=$(cat /workspace/SSH_PRIVATE_KEY.txt) 
          docker build --build-arg $$SSH_PRIVATE_KEY -t my-image .

FROM golang:1.15.1

WORKDIR $GOPATH/src/bitbucket.org/gml/my-srv

ENTRYPOINT ["./my-srv"]

ARG CREDENTIALS

RUN git config \
    --system \
    url."https://${CREDENTIALS}@bitbucket.org/".insteadOf \
    "https://bitbucket.org/"

RUN go env -w GOPRIVATE="bitbucket.org/my-team"

COPY . .

RUN make build