Коллеги, добрый день. Кто-нибудь настраивал ssh для ci? Помогите разобраться. Есть два

сервера - gitlab runner (srv1) и сервер на который нужно развернуть приложение (srv2).
При обычной настройке ssh мне нужно сгенерировать ключи на srv2, передать открытый ключ на srv1 и можно подключаться.
А вот при использовании runner c docker никак не могу понять логику. На оф.сайте написаны следующие шаги:
1) Сгенерировать ключи без passphrase
2) Создать CI/CD переменную с закрытым ключом
3) Создать в gitlab-ci.yml секцию before_script:
before_script:
- 'command -v ssh-agent >/dev/null || ( apt-get update -y && apt-get install openssh-client -y )'
- eval $(ssh-agent -s)
- echo "$SSH_PRIVATE_KEY" | tr -d '\r' | ssh-add -
- mkdir -p ~/.ssh
- chmod 700 ~/.ssh
4) Подтвердить ключи
5) Добавить публичный ключ к сервисам, к которым нужен доступ. Если это репо gitlab, то добавить ключ нужно в deploy key.

Что непонятно:
1) Ключи генерируются на gitlab runner (srv1), верно? А в before_script созданный на srv1 закрытый ключ копируется в docker контейнер в котором работает runner?
2) Допустим нужно скопировать docker-compose на srv2. Скрипт будет такой:
script:
- scp -r ./docker-compose.yml root@${DEPLOYMENT_SERVER_IP}:~/
Но как в этом случае должна сработать авторизация? Ведь ничего не передавалось на srv2. Получается у меня на srv1 в runner контейнере есть закрытый ключ от srv1 и открытый ключ в deploy key, но никакой связи с srv2 нет.

Настраивал. Из твоего описания ничего не понятно. Но если совсем кратко - на удаленном сервере есть публичная часть в ~/.ssh/authorized_keys

делай, как делал. на целевом сервере должен быть открытая часть ключа, за раннере - закрытая. самый просто способ её туда доставить - переменные окружения