GitLab CI Local 项目中如何映射主机文件到 CI 作业

在 GitLab CI Local 项目中，开发者经常需要将主机上的文件（如 GPG 私钥）映射到 CI 作业环境中使用。本文将详细介绍两种实现方式：使用 Shell 执行器和 Docker 执行器。

Shell 执行器方案

Shell 执行器是默认的执行方式，它直接使用主机环境运行 CI 作业，因此可以自然访问主机文件系统。以下是典型的使用场景：

1. 首先在主机上准备好私钥文件：

echo "I am the private key" > private.key

2. 在 CI 配置文件中，通过环境变量引用该文件路径：

job:
  script:
    - echo "显示私钥路径"
    - ls -la $PRIVATE_KEY
    - cat $PRIVATE_KEY

3. 运行 CI 时传入文件路径变量：

gitlab-ci-local --variable PRIVATE_KEY="$(pwd)/private.key"

这种方式简单直接，适合不需要容器隔离的场景。

Docker 执行器方案

当使用 Docker 执行器时，需要通过卷挂载(volume)方式将主机文件映射到容器内：

1. 准备 CI 配置文件：

job:
  image: busybox
  script:
    - echo "容器内查看私钥"
    - ls -la $PRIVATE_KEY
    - cat $PRIVATE_KEY

2. 运行命令时指定卷挂载：

gitlab-ci-local --variable PRIVATE_KEY="/secrets/private.key" --volume "$(pwd)/private.key:/secrets/private.key:ro"

关键参数说明：

• --volume 参数格式为"主机路径:容器路径:权限"
• ro 表示只读权限，确保容器内不能修改主机文件
• 容器内路径应与环境变量指定的路径一致

GPG 密钥处理实践

对于 GPG 密钥的特殊场景，建议采用以下最佳实践：

1. 准备测试环境：

mkdir -p gnupg && chmod 0700 gnupg
export GNUPGHOME="$(pwd)/gnupg"

2. 生成测试密钥对：

gpg --generate-key --batch key.batch
gpg --armor --export-secret-keys "John Doe" > private_key.key

3. CI 配置示例：

before_script:
  - export GNUPGHOME="$(mktemp -d)"
  - gpg --import "$PRIVATE_KEY_PATH"

job:
  script:
    - gpg --decrypt encrypted_file.gpg

注意事项

1. 区分路径和内容：确保环境变量传递的是文件路径还是文件内容
2. 权限控制：容器内使用时应限制为只读权限
3. 临时目录：GPG 操作建议使用临时目录存储密钥环
4. 密钥保护：实际生产环境中应采取更安全的密钥管理方式

通过以上方法，开发者可以灵活地在 GitLab CI Local 项目中处理主机文件映射需求，无论是简单的配置文件还是敏感的加密密钥。