在obsidian-web中需要调用git pull命令拉取最新的笔记。为了实现自动化,采用ssh证书方式进行免密操作。但是,在通过docker-compose方式部署时遇到了问题:
- 私钥为了保证安全性,没有打到镜像中,而是通过挂载的方式注入到容器中;
- 挂载到容器后,私钥文件的权限和所有者存在问题(期望的是root用户的600权限,而实际却是宿主机用户的644权限);
- 尝试使用docker的secrets,没有成功。
最终,通过脚本方式解决了此问题。
首先是docker-compose.yml文件的修改:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
|
services:
caddy:
image: caddy:2.7.6-alpine
volumes:
- ./caddy/Caddyfile:/etc/caddy/Caddyfile
- ./caddy/data:/data
- ./caddy/config:/config
- ./caddy/www:/www
- ./caddy/webtool:/webtool
restart: unless-stopped
depends_on:
- obsidian-web
networks:
- backend
ports:
- "80:80"
- "443:443"
- "443:443/udp"
obsidian-web:
image: obsidian-web:1.0.1
volumes:
- ./obsidian-web/note:/app/note
- ./obsidian-web/templates:/app/templates
- ./obsidian-web/static:/app/static
- ./obsidian-web/assets:/app/assets
- ./obsidian-web/config.yml:/app/config.yml
- ./obsidian-web/id_ed25519:/root/.ssh/id_ed25519
# entrypoint: # 解决ssh私钥权限等问题
# - /bin/sh
# - -c
# - |
# chown root:root /root/.ssh/id_ed25519 && \
# chmod 600 /root/.ssh/id_ed25519 && \
# echo "github.com ssh-ed25519 GKJl...." > /root/.ssh/known_hosts
# ./obsidian-web
command:
- -pre
- |
chown root:root /root/.ssh/id_ed25519 && \
chmod 600 /root/.ssh/id_ed25519 && \
echo "github.com ssh-ed25519 0dh..." > /root/.ssh/known_hosts
restart: unless-stopped
networks:
- backend
networks:
backend:
|
其中关键是通过entrypoint配置,覆盖掉镜像中的默认行为。替换掉的逻辑为将私钥文件的所有人修改为root,权限设置为600,并且将github.com写入known_hosts文件,最后再启动obsidian-web。
另外,在部署完成后,需要先git clone远程仓库,使用的命令如下:
1
|
sudo docker compose run --rm --entrypoint sh obsidian-web -c "chown root:root /root/.ssh/id_ed25519 && chmod 600 /root/.ssh/id_ed25519 && git clone git@github.com:MACDfree/note.git note"
|
2024年5月14日
最终在obsidian-web中增加了启动前执行脚本参数。原因是使用sh方式会导致在docker compose down时无法处理SIGTERM信号,导致要10秒后才能停止应用。