如何在一个服务器上配置多个 GitHub 仓库的 Deploy Keys

在现代化的软件开发流程中，自动化部署是一个不可或缺的环节。GitHub 作为最流行的代码托管平台之一，提供了 Deploy Keys 功能，允许服务器通过 SSH 密钥访问特定的仓库，而无需使用个人账户的凭据。然而，当我们需要在一个服务器上配置多个 GitHub 仓库的 Deploy Keys 时，事情就变得复杂了。本文将详细介绍如何在一个服务器上配置多个 GitHub 仓库的 Deploy Keys，确保你的部署流程既安全又高效。

1. 理解 Deploy Keys

Deploy Keys 是 GitHub 提供的一种 SSH 密钥，用于授权服务器访问特定的仓库。与个人账户的 SSH 密钥不同，Deploy Keys 只能访问一个仓库，且通常只具有读取权限（除非你明确赋予写入权限）。这使得 Deploy Keys 非常适合用于自动化部署场景。

2. 生成 SSH 密钥对

首先，我们需要为每个 GitHub 仓库生成一个独立的 SSH 密钥对。假设我们有两个仓库：repo1 和 repo2。

# 为 repo1 生成 SSH 密钥
ssh-keygen -t rsa -b 4096 -C "repo1_deploy_key" -f ~/.ssh/repo1_deploy_key

# 为 repo2 生成 SSH 密钥
ssh-keygen -t rsa -b 4096 -C "repo2_deploy_key" -f ~/.ssh/repo2_deploy_key

这将在 ~/.ssh/ 目录下生成两个密钥对：repo1_deploy_key 和 repo2_deploy_key，以及对应的公钥文件 repo1_deploy_key.pub 和 repo2_deploy_key.pub。

3. 配置 SSH 配置文件

为了在同一台服务器上管理多个 Deploy Keys，我们需要配置 SSH 客户端，使其能够根据不同的仓库使用不同的密钥。编辑 ~/.ssh/config 文件：

# ~/.ssh/config

# 配置 repo1 的 Deploy Key
Host github-repo1
    HostName github.com
    User git
    IdentityFile ~/.ssh/repo1_deploy_key

# 配置 repo2 的 Deploy Key
Host github-repo2
    HostName github.com
    User git
    IdentityFile ~/.ssh/repo2_deploy_key

在这个配置中，我们为每个仓库定义了一个别名（github-repo1 和 github-repo2），并指定了对应的私钥文件。

4. 添加 Deploy Keys 到 GitHub

接下来，我们需要将生成的公钥添加到 GitHub 仓库的 Deploy Keys 设置中。

1. 打开 repo1_deploy_key.pub 文件，复制其内容。
2. 登录 GitHub，进入 repo1 仓库的 Settings -> Deploy Keys 页面。
3. 点击 Add deploy key，将公钥内容粘贴到 Key 字段中，并为其命名（例如 repo1_deploy_key）。
4. 重复上述步骤，将 repo2_deploy_key.pub 添加到 repo2 仓库的 Deploy Keys 中。

5. 测试 SSH 连接

配置完成后，我们可以通过 SSH 测试连接是否成功。

# 测试 repo1 的连接
ssh -T git@github-repo1

# 测试 repo2 的连接
ssh -T git@github-repo2

如果配置正确，你应该会看到类似以下的输出：

Hi username/repo1! You've successfully authenticated, but GitHub does not provide shell access.
Hi username/repo2! You've successfully authenticated, but GitHub does not provide shell access.

6. 在自动化脚本中使用 Deploy Keys

现在，你可以在自动化部署脚本中使用这些别名来克隆或拉取代码。例如：

# 克隆 repo1
git clone git@github-repo1:username/repo1.git

# 克隆 repo2
git clone git@github-repo2:username/repo2.git

7. 安全注意事项

• 密钥权限：确保私钥文件的权限设置为 600，即只有文件所有者可以读写。

  chmod 600 ~/.ssh/repo1_deploy_key
  chmod 600 ~/.ssh/repo2_deploy_key

• 密钥管理：定期轮换 Deploy Keys，尤其是在团队成员变动或密钥泄露的情况下。
• 最小权限原则：除非必要，否则不要为 Deploy Keys 赋予写入权限，以减少潜在的安全风险。

8. 总结

通过以上步骤，你已经成功在一个服务器上配置了多个 GitHub 仓库的 Deploy Keys。这种方法不仅提高了部署的安全性，还使得自动化部署流程更加灵活和高效。希望这篇硬核教程能够帮助你更好地管理服务器与 GitHub 仓库之间的连接。

如果你有任何问题或需要进一步的帮助，欢迎在评论区留言讨论！