使用 GitHub Actions 的机密

构建密钥是敏感信息，例如密码或 API 令牌，作为构建过程的一部分被消耗。 Docker 构建支持两种形式的密钥：

秘密挂载将密钥作为文件添加到构建容器中（默认在 /run/secrets 下）。
SSH挂载将SSH代理套接字或密钥添加到构建容器中。

此页面展示了如何在 GitHub Actions 中使用密钥。关于密钥的总体介绍，请参见构建密钥。

密钥	值
`MYSECRET`	`***********************`
`GIT_AUTH_TOKEN`	`abcdefghi,jklmno=0123456789`
`MYSECRET`	`aaaaaaaa\nbbbbbbb\nccccccccc`
`FOO`	`bar`
`EMPTYLINE`	`aaaa\n\nbbbb\nccc`
`JSON_SECRET`	`{"key1":"value1","key2":"value2"}`

SSH 挂载

SSH 挂载允许您使用 SSH 服务器进行身份验证。例如，执行 git clone，或从私有仓库获取应用程序包。

以下 Dockerfile 示例使用 SSH 挂载从私有 GitHub 仓库获取 Go 模块。

# syntax=docker/dockerfile:1

ARG GO_VERSION="1.23"

FROM golang:${GO_VERSION}-alpine AS base
ENV CGO_ENABLED=0
ENV GOPRIVATE="github.com/foo/*"
RUN apk add --no-cache file git rsync openssh-client
RUN mkdir -p -m 0700 ~/.ssh && ssh-keyscan github.com >> ~/.ssh/known_hosts
WORKDIR /src

FROM base AS vendor
# this step configure git and checks the ssh key is loaded
RUN --mount=type=ssh <<EOT
  set -e
  echo "Setting Git SSH protocol"
  git config --global url."git@github.com:".insteadOf "https://github.com/"
  (
    set +e
    ssh -T git@github.com
    if [ ! "$?" = "1" ]; then
      echo "No GitHub SSH key loaded exiting..."
      exit 1
    fi
  )
EOT
# this one download go modules
RUN --mount=type=bind,target=. \
    --mount=type=cache,target=/go/pkg/mod \
    --mount=type=ssh \
    go mod download -x

FROM vendor AS build
RUN --mount=type=bind,target=. \
    --mount=type=cache,target=/go/pkg/mod \
    --mount=type=cache,target=/root/.cache \
    go build ...

要构建此 Dockerfile，您必须在使用 --mount=type=ssh 的步骤中指定 builder 可以使用的 SSH 挂载。

以下 GitHub Action 工作流程使用第三方操作 MrSquaare/ssh-setup-action 来在 GitHub runner 上初始化 SSH 设置。该操作使用 GitHub Action 密钥 SSH_GITHUB_PPK 定义创建私钥，并将其添加到位于 SSH_AUTH_SOCK 的 SSH 代理套接字文件中。构建步骤中的 SSH 挂载默认假设 SSH_AUTH_SOCK，因此无需显式指定 SSH 代理套接字的 ID 或路径。

name: ci

on:
  push:

jobs:
  docker:
    runs-on: ubuntu-latest
    steps:
      - name: Set up SSH
        uses: MrSquaare/ssh-setup-action@2d028b70b5e397cf8314c6eaea229a6c3e34977a # v3.1.0
        with:
          host: github.com
          private-key: ${{ secrets.SSH_GITHUB_PPK }}
          private-key-name: github-ppk

      - name: Build and push
        uses: docker/build-push-action@v6
        with:
          ssh: default
          push: true
          tags: user/app:latest

name: ci

on:
  push:

jobs:
  docker:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout
        uses: actions/checkout@v4

      - name: Set up SSH
        uses: MrSquaare/ssh-setup-action@2d028b70b5e397cf8314c6eaea229a6c3e34977a # v3.1.0
        with:
          host: github.com
          private-key: ${{ secrets.SSH_GITHUB_PPK }}
          private-key-name: github-ppk

      - name: Build
        uses: docker/bake-action@v5
        with:
          set: |
            *.ssh=default