你的问题踩中了Jenkins Pipeline和Shell命令交互的常见坑——变量插值冲突，尤其是密码里的$这类特殊字符会被Jenkins或Shell错误解析，导致密码失效。直接拼接字符串的方式很容易因为转义遗漏出问题，这里给你两种可靠的修改方案，优先推荐第二种：

方案一：隔离Jenkins插值，用单引号保护密码 #

这种方法通过单引号避免Jenkins提前解析密码里的特殊字符，同时在远程Shell中用单引号锁定密码内容：

withCredentials([sshUserPrivateKey(credentialsId: 'id', keyFileVariable: 'keyFile', passphraseVariable: '', usernameVariable: 'user')]) { 
  // 用三重单引号定义多行命令，Jenkins不会内部插值
  sh '''
    ssh -i "$keyFile" "${user}@${virtualMachine}" -C '
      CONTAINER_NAME="''' + dockerContainerName + '''" 
      DOCKER_TAG="''' + dockerImageTag + '''" 
      JASYPT_MASTER_PASSWORD='\''$JASYPT_MASTER_PW'\'' 
      docker-compose -f /tmp/docker-compose-jenkins.yml up
    '
  '''.stripIndent()
}

这里的'\''是Shell实用技巧：先关闭单引号，插入转义的单引号，再重新打开单引号，确保密码里的任何特殊字符都不会被Shell解析。

方案二：通过环境变量传递（推荐） #

这是更健壮的方式，彻底避免字符串拼接带来的转义问题，所有参数都通过环境变量传递：

// 先把本地变量注入Jenkins环境
env.CONTAINER_NAME = dockerContainerName
env.DOCKER_TAG = dockerImageTag

withCredentials([
  sshUserPrivateKey(credentialsId: 'id', keyFileVariable: 'keyFile', passphraseVariable: '', usernameVariable: 'user'),
  // 假设JASYPT_MASTER_PW是通过凭证管理获取的，若为直接传入的变量可忽略该行
  string(credentialsId: 'jasypt-master-password', variable: 'JASYPT_MASTER_PW')
]) { 
  sh '''
    ssh -i "$keyFile" "${user}@${virtualMachine}" -C '
      export CONTAINER_NAME="$CONTAINER_NAME"
      export DOCKER_TAG="$DOCKER_TAG"
      export JASYPT_MASTER_PASSWORD="$JASYPT_MASTER_PW"
      docker-compose -f /tmp/docker-compose-jenkins.yml up
    '
  '''.stripIndent()
}

为什么原来的写法会出问题？ #

你之前用双引号包裹sh命令，Jenkins会先对所有${变量}做插值替换。比如密码123$ABC里的$ABC会被Jenkins当成未定义的变量，直接替换为空，导致实际传递的密码变成123。就算Jenkins没解析，传到远程Shell后，Shell也会把$ABC当成变量解析，同样会丢失这部分内容。

方案核心要点 #

1. 用三重单引号定义Shell脚本：Jenkins不会解析单引号内的内容，直接把完整命令传给Shell执行，避免提前插值破坏密码。
2. 环境变量传递参数：把需要的参数放到Jenkins环境中，远程Shell直接引用这些环境变量，并用双引号包裹，确保特殊字符完整保留。
3. ssh内部用单引号包裹执行脚本：防止远程Shell再次解析特殊字符，保证参数原样传递给docker-compose。

内容的提问来源于stack exchange，提问作者Joe