docker container run

说明

docker run 命令在新容器中运行命令，如果需要，拉取镜像并启动容器。

您可以使用 docker start 命令重启一个已停止的容器，并保留其所有先前的更改。使用 docker ps -a 查看所有容器的列表，包括已停止的容器。

选项

示例

分配名称 (--name)

--name 标志允许您为容器指定自定义标识符。以下示例使用 nginx:alpine 镜像以分离模式运行一个名为 test 的容器。

$ docker run --name test -d nginx:alpine
4bed76d3ad428b889c56c1ecc2bf2ed95cb08256db22dc5ef5863e1d03252a19
$ docker ps
CONTAINER ID   IMAGE          COMMAND                  CREATED        STATUS                  PORTS     NAMES
4bed76d3ad42   nginx:alpine   "/docker-entrypoint.…"   1 second ago   Up Less than a second   80/tcp    test

您可以使用其他命令按名称引用容器。例如，以下命令将停止并移除一个名为 test 的容器

$ docker stop test
test
$ docker rm test
test

如果您未使用 --name 标志指定自定义名称，则守护进程会为容器分配一个随机生成的名称，例如 vibrant_cannon。使用自定义名称的好处是可以为容器提供一个易于记忆的 ID。

此外，如果将容器连接到用户定义的桥接网络，同一网络上的其他容器可以通过 DNS 按名称引用该容器。

$ docker network create mynet
cb79f45948d87e389e12013fa4d969689ed2c3316985dd832a43aaec9a0fe394
$ docker run --name test --net mynet -d nginx:alpine
58df6ecfbc2ad7c42d088ed028d367f9e22a5f834d7c74c66c0ab0485626c32a
$ docker run --net mynet busybox:latest ping test
PING test (172.18.0.2): 56 data bytes
64 bytes from 172.18.0.2: seq=0 ttl=64 time=0.073 ms
64 bytes from 172.18.0.2: seq=1 ttl=64 time=0.411 ms
64 bytes from 172.18.0.2: seq=2 ttl=64 time=0.319 ms
64 bytes from 172.18.0.2: seq=3 ttl=64 time=0.383 ms
...

捕获容器 ID (--cidfile)

为了便于自动化，您可以让 Docker 将容器 ID 写入您选择的文件中。这类似于某些程序将它们的进程 ID 写入文件（您可能见过它们被称为 PID 文件）的方式

$ docker run --cidfile /tmp/docker_test.cid ubuntu echo "test"

这将创建一个容器并将 test 打印到控制台。cidfile 标志使 Docker 尝试创建一个新文件并将容器 ID 写入其中。如果文件已存在，Docker 会返回错误。当 docker run 退出时，Docker 会关闭此文件。

PID 设置 (--pid)

--pid=""  : Set the PID (Process) Namespace mode for the container,
             'container:<name|id>': joins another container's PID namespace
             'host': use the host's PID namespace inside the container

默认情况下，所有容器都启用 PID 命名空间。

PID 命名空间提供进程隔离。PID 命名空间移除系统进程的视图，并允许进程 ID 重用，包括 PID 1。

在某些情况下，您可能希望容器共享主机的进程命名空间，以便容器内的进程可以看到系统上的所有进程。例如，您可以构建一个包含 strace 或 gdb 等调试工具的容器，但希望在调试容器内的进程时使用这些工具。

示例：在容器内运行 htop

要在共享主机进程命名空间的容器中运行 htop

1. 运行一个带有 --pid=host 选项的 alpine 容器

   $ docker run --rm -it --pid=host alpine
   

2. 在容器中安装 htop

   / # apk add --quiet htop
   

3. 调用 htop 命令。

   / # htop
   

示例：加入另一个容器的 PID 命名空间

加入另一个容器的 PID 命名空间对于调试该容器很有用。

1. 启动一个运行 Redis 服务器的容器

   $ docker run --rm --name my-nginx -d nginx:alpine
   

2. 运行一个 Alpine 容器，将其 --pid 命名空间附加到 my-nginx 容器

   $ docker run --rm -it --pid=container:my-nginx \
     --cap-add SYS_PTRACE \
     --security-opt seccomp=unconfined \
     alpine
   

3. 在 Alpine 容器中安装 strace

   / # apk add strace
   

4. 附加到进程 1，即 my-nginx 容器的进程 ID

   / # strace -p 1
   strace: Process 1 attached
   

禁用容器的命名空间重映射 (--userns)

如果在守护进程上启用了用户命名空间，则所有容器默认都会启用用户命名空间。要禁用特定容器的用户命名空间重映射，可以将 --userns 标志设置为 host。

docker run --userns=host hello-world

host 是 --userns 标志唯一有效的值。

有关更多信息，请参阅使用用户命名空间隔离容器。

UTS 设置 (--uts)

--uts=""  : Set the UTS namespace mode for the container
            'host': use the host's UTS namespace inside the container

UTS 命名空间用于设置在该命名空间中运行的进程可见的主机名和域。默认情况下，所有容器，包括带有 --network=host 的容器，都有自己的 UTS 命名空间。将 --uts 设置为 host 会导致容器使用与主机相同的 UTS 命名空间。

注意

Docker 不允许将 --hostname 和 --domainname 标志与 --uts=host 结合使用。这是为了防止在主机 UTS 命名空间中运行的容器尝试更改主机的配置。

如果您希望容器的主机名随主机的更改而更改，您可能希望与主机共享 UTS 命名空间。更高级的用例是在容器中更改主机的主机名。

IPC 设置 (--ipc)

--ipc="MODE"  : Set the IPC mode for the container

--ipc 标志接受以下值

如果未指定，则使用守护进程的默认设置，可以是 "private" 或 "shareable"，具体取决于守护进程的版本和配置。

System V 进程间通信 (IPC) 命名空间提供了命名共享内存段、信号量和消息队列的隔离。

共享内存段用于以内存速度加速进程间通信，而不是通过管道或网络堆栈。共享内存通常用于数据库以及科学计算和金融服务行业中的定制（通常是 C/OpenMPI、C++/使用 Boost 库）高性能应用程序。如果这类应用程序被分解成多个容器，您可能需要共享容器的 IPC 机制，为主（即“捐赠者”）容器使用 "shareable" 模式，为其他容器使用 "container:<捐赠者名称或 ID>"。

提升容器权限 (--privileged)

--privileged 标志赋予容器以下能力

• 启用所有 Linux 内核功能
• 禁用默认的 seccomp 配置
• 禁用默认的 AppArmor 配置
• 禁用 SELinux 进程标签
• 授予访问所有主机设备的权限
• 使 /sys 可读写
• 使 cgroups 挂载可读写

换句话说，容器几乎可以执行主机所能执行的所有操作。此标志的存在是为了允许特殊的用例，例如在 Docker 中运行 Docker。

警告

请谨慎使用 --privileged 标志。具有 --privileged 的容器不是一个安全的沙箱进程。此模式下的容器可以在主机上获得 root shell 并控制系统。

对于大多数用例，不应首选此标志。如果您的容器需要提升权限，您应该优先显式授予必要的权限，例如使用 --cap-add 添加单独的内核功能。

有关更多信息，请参阅 运行时权限和 Linux 功能

以下示例无效，因为 Docker 默认会删除大多数潜在危险的内核功能，包括 CAP_SYS_ADMIN（挂载文件系统所需）。

$ docker run -t -i --rm ubuntu bash
root@bc338942ef20:/# mount -t tmpfs none /mnt
mount: permission denied

当您添加 --privileged 标志时，它将生效

$ docker run -t -i --privileged ubuntu bash
root@50e3f57e16e6:/# mount -t tmpfs none /mnt
root@50e3f57e16e6:/# df -h
Filesystem      Size  Used Avail Use% Mounted on
none            1.9G     0  1.9G   0% /mnt

设置工作目录 (-w, --workdir)

$ docker run -w /path/to/dir/ -i -t ubuntu pwd

-w 选项在指定的目录内执行命令，在本例中为 /path/to/dir/。如果路径不存在，Docker 会在容器内创建它。

按容器设置存储驱动程序选项 (--storage-opt)

$ docker run -it --storage-opt size=120G fedora /bin/bash

这（大小）在创建时将容器文件系统的大小限制为 120G。此选项仅适用于 btrfs、overlay2、windowsfilter 和 zfs 存储驱动程序。

对于 overlay2 存储驱动程序，仅当后端文件系统为 xfs 并使用 pquota 挂载选项挂载时，才可以使用 size 选项。在此条件下，您可以传递小于后端文件系统大小的任何大小。

对于 windowsfilter、btrfs 和 zfs 存储驱动程序，您不能传递小于 Default BaseFS Size 的大小。

挂载 tmpfs (--tmpfs)

--tmpfs 标志允许您创建 tmpfs 挂载。

您可以传递给 --tmpfs 的选项与 Linux mount -t tmpfs -o 命令的选项相同。以下示例将一个空的 tmpfs 挂载到容器中，并使用 rw、noexec、nosuid、size=65536k 选项。

$ docker run -d --tmpfs /run:rw,noexec,nosuid,size=65536k my_image

有关更多信息，请参阅 tmpfs 挂载。

挂载卷 (-v)

$ docker  run  -v $(pwd):$(pwd) -w $(pwd) -i -t  ubuntu pwd

上面的示例使用 -v 标志将当前目录挂载到容器内的相同路径，将其设置为工作目录，然后在容器内运行 pwd 命令。

从 Docker Engine 23 版本开始，您可以在主机上使用相对路径。

$ docker  run  -v ./content:/content -w /content -i -t  ubuntu pwd

上面的示例使用 -v 标志将当前目录中的 content 目录挂载到容器内的 /content 路径，将其设置为工作目录，然后在容器内运行 pwd 命令。

$ docker run -v /doesnt/exist:/foo -w /foo -i -t ubuntu bash

当绑定挂载的卷的主机目录不存在时，Docker 会自动在主机上为您创建此目录。在上面的示例中，Docker 在启动容器之前创建了 /doesnt/exist 文件夹。

只读挂载卷 (--read-only)

$ docker run --read-only -v /icanwrite busybox touch /icanwrite/here

您可以将卷与 --read-only 标志结合使用，以控制容器写入文件的位置。--read-only 标志将容器的根文件系统挂载为只读，禁止写入容器指定卷以外的位置。

$ docker run -t -i -v /var/run/docker.sock:/var/run/docker.sock -v /path/to/static-docker-binary:/usr/bin/docker busybox sh

通过绑定挂载 Docker Unix 套接字和静态链接的 Docker 二进制文件（请参阅获取 Linux 二进制文件），您可以授予容器完全访问权限来创建和操作主机的 Docker daemon。

在 Windows 上，您必须使用 Windows 风格的路径语义来指定路径。

PS C:\> docker run -v c:\foo:c:\dest microsoft/nanoserver cmd /s /c type c:\dest\somefile.txt
Contents of file

PS C:\> docker run -v c:\foo:d: microsoft/nanoserver cmd /s /c type d:\somefile.txt
Contents of file

使用基于 Windows 的容器时，以下示例会失败，因为卷或绑定挂载在容器内的目的地必须是以下之一：不存在或为空的目录；或除 C: 之外的驱动器。此外，绑定挂载的源必须是本地目录，而不是文件。

net use z: \\remotemachine\share
docker run -v z:\foo:c:\dest ...
docker run -v \\uncpath\to\directory:c:\dest ...
docker run -v c:\foo\somefile.txt:c:\dest ...
docker run -v c:\foo:c: ...
docker run -v c:\foo:c:\existing-directory-with-contents ...

有关卷的详细信息，请参阅 在容器中管理数据

使用 --mount 标志添加绑定挂载或卷

--mount 标志允许您在容器中挂载卷、主机目录和 tmpfs 挂载。

--mount 标志支持 -v 或 --volume 标志支持的大多数选项，但使用不同的语法。有关 --mount 标志的详细信息以及 --volume 和 --mount 之间的比较，请参阅绑定挂载。

尽管没有计划弃用 --volume，但建议使用 --mount。

示例

$ docker run --read-only --mount type=volume,target=/icanwrite busybox touch /icanwrite/here

$ docker run -t -i --mount type=bind,src=/data,dst=/data busybox sh

发布或暴露端口 (-p, --expose)

$ docker run -p 127.0.0.1:80:8080/tcp nginx:alpine

这将容器的端口 8080 绑定到主机 127.0.0.1 上的 TCP 端口 80。您还可以指定 udp 和 sctp 端口。网络概述页面详细解释了如何使用 Docker 发布端口。

注意

发布容器端口时，如果您未指定 IP 地址（即使用 -p 80:80 而不是 -p 127.0.0.1:80:80），Docker 默认会将端口发布到所有接口（地址 0.0.0.0）。这些端口可以在外部访问。这也适用于您配置 UFW 阻止此特定端口的情况，因为 Docker 管理自己的 iptables 规则。了解更多

$ docker run --expose 80 nginx:alpine

这会暴露容器的端口 80，但不会将端口发布到主机系统的接口。

发布所有暴露的端口 (-P, --publish-all)

$ docker run -P nginx:alpine

-P 或 --publish-all 标志将所有暴露的端口发布到主机。Docker 将每个暴露的端口绑定到主机上的一个随机端口。

-P 标志仅发布使用 Dockerfile EXPOSE 指令或 docker run 命令的 --expose 标志明确标记为暴露的端口号。

端口范围在 /proc/sys/net/ipv4/ip_local_port_range 定义的临时端口范围内。使用 -p 标志显式映射单个端口或端口范围。

设置拉取策略 (--pull)

使用 --pull 标志在创建（和运行）容器时设置镜像拉取策略。

--pull 标志可以取以下值之一

从镜像创建（和运行）容器时，守护进程会检查镜像是否存在于本地镜像缓存中。如果镜像缺失，则向 CLI 返回错误，允许其发起拉取。

默认（missing）是仅在镜像不存在于守护进程的镜像缓存中时才拉取镜像。此默认设置允许您运行仅本地存在的镜像（例如，您从 Dockerfile 构建但尚未推送到注册表的镜像），并减少网络流量。

always 选项在创建容器之前始终发起拉取。此选项确保镜像是最新的，并防止您使用过时的镜像，但在您想在推送之前测试本地构建的镜像的情况下可能不适用（因为拉取镜像会覆盖镜像缓存中现有的镜像）。

never 选项在创建容器时禁用（隐式）拉取镜像，并且仅使用镜像缓存中可用的镜像。如果找不到指定的镜像，则会产生错误，并且不会创建容器。此选项在网络不可用或在创建容器时防止隐式拉取镜像的情况下很有用。

以下示例展示了设置了 --pull=never 选项的 docker run 命令，由于镜像在镜像缓存中缺失，因此会产生错误

$ docker run --pull=never hello-world
docker: Error response from daemon: No such image: hello-world:latest.

设置环境变量 (-e, --env, --env-file)

$ docker run -e MYVAR1 --env MYVAR2=foo --env-file ./env.list ubuntu bash

使用 -e、--env 和 --env-file 标志在您运行的容器中设置简单的（非数组）环境变量，或覆盖您正在运行的镜像的 Dockerfile 中定义的环境变量。

您可以在运行容器时定义变量及其值

$ docker run --env VAR1=value1 --env VAR2=value2 ubuntu env | grep VAR
VAR1=value1
VAR2=value2

您也可以使用导出到本地环境的变量

export VAR1=value1
export VAR2=value2

$ docker run --env VAR1 --env VAR2 ubuntu env | grep VAR
VAR1=value1
VAR2=value2

运行命令时，Docker CLI 客户端会检查变量在本地环境中的值并将其传递给容器。如果未提供 = 并且该变量未在本地环境中导出，则在容器中取消设置该变量。

您也可以从文件中加载环境变量。此文件应使用 <variable>=value（将变量设置为给定值）或 <variable>（从本地环境获取值）的语法，并使用 # 进行注释。以 # 开头的行被视为行注释并被忽略，而出现在行中其他任何位置的 # 被视为变量值的一部分。

$ cat env.list
# This is a comment
VAR1=value1
VAR2=value2
USER

$ docker run --env-file env.list ubuntu env | grep -E 'VAR|USER'
VAR1=value1
VAR2=value2
USER=jonzeolla

设置容器元数据 (-l, --label, --label-file)

标签是应用于容器元数据的 key=value 对。为一个容器设置两个标签

$ docker run -l my-label --label com.example.foo=bar ubuntu bash

my-label 键未指定值，因此标签默认为空字符串（""）。要添加多个标签，请重复使用标签标志（-l 或 --label）。

key=value 必须是唯一的，以避免覆盖标签值。如果您指定具有相同键但不同值的标签，则每个后续值都会覆盖前一个值。Docker 使用您提供的最后一个 key=value。

使用 --label-file 标志从文件中加载多个标签。使用换行符分隔文件中的每个标签。以下示例从当前目录的标签文件中加载标签

$ docker run --label-file ./labels ubuntu bash

标签文件格式与加载环境变量的格式类似。（与环境变量不同，标签对容器内运行的进程不可见。）以下示例展示了标签文件格式

com.example.label1="a label"

# this is a comment
com.example.label2=another\ label
com.example.label3

您可以通过提供多个 --label-file 标志来加载多个标签文件。

有关使用标签的其他信息，请参阅 标签。

将容器连接到网络 (--network)

要启动容器并将其连接到网络，请使用 --network 选项。

如果要将正在运行的容器添加到网络，请使用 docker network connect 子命令。

您可以将多个容器连接到同一网络。连接后，容器仅使用其他容器的 IP 地址或名称即可进行通信。对于支持多主机连接的 overlay 网络或自定义插件，连接到同一多主机网络但从不同引擎启动的容器也可以通过这种方式通信。

注意

默认的 bridge 网络只允许容器使用内部 IP 地址相互通信。用户创建的 bridge 网络使用容器名称提供容器之间的 DNS 解析。

您可以使用 docker network disconnect 命令将容器从网络断开。

以下命令创建名为 my-net 的网络并将 busybox 容器添加到 my-net 网络中。

$ docker network create my-net
$ docker run -itd --network=my-net busybox

在用户定义的网络上启动容器时，您还可以使用 --ip 和 --ip6 标志为容器选择 IP 地址。要为容器分配静态 IP，必须为网络指定子网块。

$ docker network create --subnet 192.0.2.0/24 my-net
$ docker run -itd --network=my-net --ip=192.0.2.69 busybox

要将容器连接到多个网络，请重复使用 --network 选项。

$ docker network create --subnet 192.0.2.0/24 my-net1
$ docker network create --subnet 192.0.3.0/24 my-net2
$ docker run -itd --network=my-net1 --network=my-net2 busybox

要在连接到多个网络时指定选项，请使用 --network 标志的扩展语法。可以在扩展的 --network 语法中指定用逗号分隔的选项包括

$ docker network create --subnet 192.0.2.0/24 my-net1
$ docker network create --subnet 192.0.3.0/24 my-net2
$ docker run -itd --network=name=my-net1,ip=192.0.2.42 --network=name=my-net2,ip=192.0.3.42 busybox

以 net.ipv4.、net.ipv6. 或 net.mpls. 开头的 sysctl 设置可以使用 driver-opt 标签 com.docker.network.endpoint.sysctls 按接口设置。接口名称必须是字符串 IFNAME。

要为一个接口设置多个 sysctl，请引用整个 driver-opt 字段，如果需要，请记住转义 shell 中的引号。例如，如果到 my-net 的接口名称为 eth0，则以下示例设置了 sysctls net.ipv4.conf.eth0.log_martians=1 和 net.ipv4.conf.eth0.forwarding=0，并分配了 IPv4 地址 192.0.2.42。

$ docker network create --subnet 192.0.2.0/24 my-net
$ docker run -itd --network=name=my-net,\"driver-opt=com.docker.network.endpoint.sysctls=net.ipv4.conf.IFNAME.log_martians=1,net.ipv4.conf.IFNAME.forwarding=0\",ip=192.0.2.42 busybox

注意

网络驱动程序可能会限制可以修改的 sysctl 设置，并且为了保护网络运行，将来可能会添加新的限制。

有关在使用 run 命令时将容器连接到网络的更多信息，请参阅Docker 网络概述。

从容器挂载卷 (--volumes-from)

$ docker run --volumes-from 777f7dc92da7 --volumes-from ba8c0c54f0f2:ro -i -t ubuntu pwd

--volumes-from 标志挂载引用容器中所有定义的卷。您可以重复使用 --volumes-from 参数来指定多个容器。容器 ID 可以选择性地附加 :ro 或 :rw 后缀，分别以只读或读写模式挂载卷。默认情况下，Docker 以与引用容器相同的模式（读写或只读）挂载卷。

像 SELinux 这样的标签系统要求对挂载到容器中的卷内容设置适当的标签。如果没有标签，安全系统可能会阻止容器内运行的进程使用该内容。默认情况下，Docker 不会更改操作系统设置的标签。

要在容器上下文中更改标签，您可以向卷挂载添加两个后缀之一 :z 或 :Z。这些后缀告诉 Docker 重新标记共享卷上的文件对象。z 选项告诉 Docker 两个容器共享卷内容。因此，Docker 使用共享内容标签标记内容。共享卷标签允许所有容器读/写内容。Z 选项告诉 Docker 使用私有非共享标签标记内容。只有当前容器可以使用私有卷。

分离模式 (-d, --detach)

--detach（或 -d）标志将容器作为后台进程启动，它不会占用您的终端窗口。根据设计，在分离模式下启动的容器在用于运行容器的根进程退出时也会退出，除非您同时指定 --rm 选项。如果您将 -d 与 --rm 一起使用，则容器会在退出或守护进程退出时被删除，以先发生者为准。

不要将 service x start 命令传递给分离的容器。例如，此命令尝试启动 nginx 服务。

$ docker run -d -p 80:80 my_image service nginx start

这成功地启动了容器内的 nginx 服务。但是，它破坏了分离容器的范例，因为根进程（service nginx start）返回，而分离的容器按设计停止。结果，nginx 服务启动了但无法使用。相反，要启动像 nginx Web 服务器这样的进程，请执行以下操作

$ docker run -d -p 80:80 my_image nginx -g 'daemon off;'

要与分离的容器进行输入/输出，请使用网络连接或共享卷。这些是必需的，因为容器不再监听运行 docker run 的命令行。

覆盖分离序列 (--detach-keys)

使用 --detach-keys 选项覆盖 Docker 用于分离的键序列。如果 Docker 的默认序列与您用于其他应用程序的键序列冲突，这将非常有用。有两种方法可以定义自己的分离键序列：作为每个容器的覆盖，或作为整个配置的配置属性。

要覆盖单个容器的序列，请将 --detach-keys="<sequence>" 标志与 docker attach 命令一起使用。<sequence> 的格式可以是字母 [a-Z]，也可以是 ctrl- 与以下任意一项的组合

• a-z （单个小写字母）
• @ （@ 符号）
• [ （左方括号）
• \\ （两个反斜杠）
• _ （下划线）
• ^ （脱字符）

这些 a、ctrl-a、X 或 ctrl-\\ 值都是有效键序列的示例。要为所有容器配置不同的默认配置键序列，请参阅配置文件部分。

将主机设备添加到容器 (--device)

$ docker run -it --rm \
    --device=/dev/sdc:/dev/xvdc \
    --device=/dev/sdd \
    --device=/dev/zero:/dev/foobar \
    ubuntu ls -l /dev/{xvdc,sdd,foobar}

brw-rw---- 1 root disk 8, 2 Feb  9 16:05 /dev/xvdc
brw-rw---- 1 root disk 8, 3 Feb  9 16:05 /dev/sdd
crw-rw-rw- 1 root root 1, 5 Feb  9 16:05 /dev/foobar

通常需要将设备直接暴露给容器。--device 选项可以实现这一点。例如，将特定的块存储设备、环回设备或音频设备添加到原本没有特权的容器（不带 --privileged 标志），并让应用程序直接访问它。

默认情况下，容器能够 read、write 和 mknod 这些设备。这可以使用每个 --device 标志的第三组选项 :rwm 来覆盖。如果容器在特权模式下运行，Docker 会忽略指定的权限。

$ docker run --device=/dev/sda:/dev/xvdc --rm -it ubuntu fdisk  /dev/xvdc

Command (m for help): q
$ docker run --device=/dev/sda:/dev/xvdc:r --rm -it ubuntu fdisk  /dev/xvdc
You will not be able to write the partition table.

Command (m for help): q

$ docker run --device=/dev/sda:/dev/xvdc:rw --rm -it ubuntu fdisk  /dev/xvdc

Command (m for help): q

$ docker run --device=/dev/sda:/dev/xvdc:m --rm -it ubuntu fdisk  /dev/xvdc
fdisk: unable to open /dev/xvdc: Operation not permitted

注意

--device 选项不能安全地用于瞬态设备。您不应该将可能被移除的块设备通过 --device 添加到不受信任的容器中。

对于 Windows，传递给 --device 选项的字符串格式为 --device=<IdType>/<Id>。从 Windows Server 2019 和 Windows 10 October 2018 Update 开始，Windows 仅支持 class 的 IdType 和作为设备接口类 GUID 的 Id。请参阅Windows 容器文档 中定义的表格，获取容器支持的设备接口类 GUID 列表。

如果您为进程隔离的 Windows 容器指定此选项，Docker 会将实现请求的设备接口类 GUID 的所有设备都提供给容器使用。例如，以下命令使主机上的所有 COM 端口在容器中可见。

PS C:\> docker run --device=class/86E0D1E0-8089-11D0-9CE4-08003E301F73 mcr.microsoft.com/windows/servercore:ltsc2019

注意

--device 选项仅在进程隔离的 Windows 容器上受支持，如果容器隔离设置为 hyperv，则会产生错误。

CDI 设备

注意

CDI 功能是实验性的，并且可能会发生变化。CDI 目前仅支持 Linux 容器。

容器设备接口 (CDI) 是一种标准化的机制，用于容器运行时创建能够与第三方设备交互的容器。

通过 CDI，设备配置使用 JSON 或 YAML 文件进行声明性定义。除了使容器能够与设备节点交互外，它还允许您指定设备的附加配置，例如环境变量、主机挂载（如共享对象）和可执行钩子。

您可以使用设备的完全限定名通过 --device 标志引用 CDI 设备，如以下示例所示

$ docker run --device=vendor.com/class=device-name --rm -it ubuntu

这将启动一个可访问指定 CDI 设备 vendor.com/class=device-name 的 ubuntu 容器，前提是

• 运行守护进程的系统上，在配置的 CDI 规范目录之一中，有所请求设备的有效 CDI 规范（JSON 或 YAML 文件）。
• 守护进程中已启用 CDI 功能；请参阅启用 CDI 设备。

附加到 STDIN/STDOUT/STDERR (-a, --attach)

--attach（或 -a）标志告诉 docker run 绑定到容器的 STDIN、STDOUT 或 STDERR。这使得根据需要操作输出和输入成为可能。您可以指定要连接到三个标准流（STDIN、STDOUT、STDERR）中的哪一个，如下所示

$ docker run -a stdin -a stdout -i -t ubuntu /bin/bash

以下示例通过仅附加到容器的 STDIN，将数据通过管道输入容器并打印容器的 ID。

$ echo "test" | docker run -i -a stdin ubuntu cat -

以下示例不会在控制台打印任何内容，除非发生错误，因为输出仅附加到容器的 STDERR。容器的日志仍然会存储写入 STDERR 和 STDOUT 的内容。

$ docker run -a stderr ubuntu echo test

以下示例展示了使用 --attach 将文件通过管道输入容器的方法。命令在构建完成后打印容器的 ID，并且您可以使用 docker logs 检索构建日志。如果您需要将文件或其他内容通过管道输入容器并在容器运行完成后检索容器的 ID，这将非常有用。

$ cat somefile | docker run -i -a stdin mybuilder dobuild

注意

在容器内作为 PID 1 运行的进程受到 Linux 的特殊处理：它会忽略任何默认操作的信号。因此，除非代码中对此进行了处理，否则进程不会因 SIGINT 或 SIGTERM 而终止。

另请参阅 docker cp 命令。

保持 STDIN 打开 (-i, --interactive)

--interactive（或 -i）标志保持容器的 STDIN 打开，并允许您通过标准输入向容器发送输入。

$ echo hello | docker run --rm -i busybox cat
hello

-i 标志最常与 --tty 标志一起使用，将容器的 I/O 流绑定到伪终端，为容器创建交互式终端会话。有关更多示例，请参阅分配伪 TTY。

$ docker run -it debian
root@10a3e71492b0:/# factor 90
90: 2 3 3 5
root@10a3e71492b0:/# exit
exit

单独使用 -i 标志允许组合使用，例如将输入通过管道输入容器

$ docker run --rm -i busybox echo "foo bar baz" \
  | docker run --rm -i busybox awk '{ print $2 }' \
  | docker run --rm -i busybox rev
rab

指定初始化进程

您可以使用 --init 标志指示应将初始化进程用作容器中的 PID 1。指定初始化进程可确保在创建的容器内执行初始化系统的常规职责，例如收割僵尸进程。

使用的默认初始化进程是在 Docker daemon 进程的系统路径中找到的第一个 docker-init 可执行文件。此 docker-init 二进制文件包含在默认安装中，并由 tini 支持。

分配伪 TTY (-t, --tty)

--tty（或 -t）标志将伪 TTY 附加到容器，将您的终端连接到容器的 I/O 流。为容器分配伪 TTY 意味着您可以使用 TTY 设备提供的输入和输出功能。

例如，以下命令在 debian 容器中运行 passwd 命令，为 root 用户设置新密码。

$ docker run -i debian passwd root
New password: karjalanpiirakka9
Retype new password: karjalanpiirakka9
passwd: password updated successfully

如果您仅使用 -i 标志（允许您将文本发送到容器的 STDIN）运行此命令，则 passwd 提示会以明文显示密码。但是，如果您尝试相同的操作但同时添加了 -t 标志，则密码会被隐藏

$ docker run -it debian passwd root
New password:
Retype new password:
passwd: password updated successfully

这是因为 passwd 可以使用 TTY 的回显关闭功能抑制字符输出到终端。

您可以在不使用 -i 标志的情况下使用 -t 标志。这仍然会为容器分配一个伪 TTY，但无法写入 STDIN。这唯一可能有用的情况是容器的输出需要 TTY 环境。

指定自定义 cgroups

使用 --cgroup-parent 标志，您可以传递特定的 cgroup 来在其中运行容器。这允许您自行创建和管理 cgroups。您可以为这些 cgroups 定义自定义资源，并将容器置于一个共同的父组下。

使用动态创建的设备 (--device-cgroup-rule)

Docker 在容器创建时分配可用的设备。分配的设备会被添加到 cgroup.allow 文件中，并在容器运行时创建到容器中。当您需要向正在运行的容器添加新设备时，这会带来问题。

一种解决方案是向容器添加更宽松的规则，使其能够访问更广泛的设备。例如，假设容器需要访问主设备号为 42 且次设备号可以是任意数字（随着新设备出现而添加）的字符设备，请添加以下规则

$ docker run -d --device-cgroup-rule='c 42:* rmw' --name my-container my-image

然后，用户可以要求 udev 执行一个脚本，以便在新设备添加时使用 docker exec my-container mknod newDevX c 42 <minor> 命令在容器中创建所需的设备。

注意

您仍然需要将最初存在的设备显式添加到 docker run / docker create 命令中。

访问 NVIDIA GPU

--gpus 标志允许您访问 NVIDIA GPU 资源。首先，您需要安装 nvidia-container-runtime。

注意

您也可以使用 --device 标志将 GPU 指定为 CDI 设备，请参阅CDI 设备。

有关更多信息，请阅读指定容器的资源。

要使用 --gpus，请指定要使用的 GPU（或全部）。如果您未提供值，Docker 会使用所有可用的 GPU。以下示例暴露所有可用的 GPU。

$ docker run -it --rm --gpus all ubuntu nvidia-smi

使用 device 选项指定 GPU。以下示例暴露特定的 GPU。

$ docker run -it --rm --gpus device=GPU-3a23c669-1f69-c64e-cf85-44e9b07e7a2a ubuntu nvidia-smi

以下示例暴露第一个和第三个 GPU。

$ docker run -it --rm --gpus '"device=0,2"' ubuntu nvidia-smi

重启策略 (--restart)

使用 --restart 标志指定容器的重启策略。重启策略控制 Docker daemon 在容器退出后是否重启容器。Docker 支持以下重启策略

$ docker run --restart=always redis

这将运行具有 always 重启策略的 redis 容器。如果容器退出，Docker 会重启它。

当容器上激活了重启策略时，它会在 docker ps 中显示为 Up 或 Restarting。使用 docker events 查看生效的重启策略也很有用。

每次重启前都会增加一个递增的延迟（从 100 毫秒开始，是前一次延迟的两倍），以防止服务器过载。这意味着 daemon 会等待 100 毫秒，然后是 200 毫秒、400、800、1600 等，直到达到 on-failure 限制、达到最长 1 分钟的延迟，或者您使用 docker stop 或 docker rm -f 命令停止或删除容器。

如果容器成功重启（容器已启动并运行至少 10 秒），延迟将重置为其默认值 100 毫秒。

指定重启尝试次数限制

使用 on-failure 策略时，您可以指定 Docker 尝试重启容器的最大次数。默认情况下，Docker 不会停止尝试重启容器。

下面的示例运行 redis 容器，其重启策略为 on-failure，最大重启次数为 10。

$ docker run --restart=on-failure:10 redis

如果 redis 容器连续以非零退出状态退出超过 10 次，Docker 将停止尝试重启该容器。提供最大重启限制仅对 on-failure 策略有效。

检查容器重启情况

可以使用 docker inspect 命令获取容器的（尝试）重启次数。例如，要获取容器 "my-container" 的重启次数；

$ docker inspect -f "{{ .RestartCount }}" my-container
2

或者，要获取容器上次（重新）启动的时间；

$ docker inspect -f "{{ .State.StartedAt }}" my-container
2015-03-04T23:47:07.691840179Z

将 --restart（重启策略）与 --rm（清理）标志结合使用会导致错误。容器重启时，已连接的客户端会断开连接。

清理 (--rm)

默认情况下，即使容器退出，其文件系统也会持久化。这使得调试变得容易得多，因为你可以检查容器的最终状态并保留所有数据。

如果你正在运行短期的 前台 进程，这些容器文件系统可能会开始堆积。如果你希望 Docker 在容器退出时自动清理容器并删除文件系统，请使用 --rm 标志

--rm: Automatically remove the container when it exits

注意

如果设置了 --rm 标志，Docker 在删除容器时也会删除与该容器关联的匿名卷。这类似于运行 docker rm -v my-container。只有未指定名称的卷会被删除。例如，运行以下命令时，卷 /foo 会被删除，但 /bar 不会。

$ docker run --rm -v /foo -v awesome:/bar busybox top

通过 --volumes-from 继承的卷会遵循相同的逻辑被删除：如果原始卷指定了名称，则不会被删除。

向容器 hosts 文件添加条目 (--add-host)

可以使用一个或多个 --add-host 标志向容器的 /etc/hosts 文件添加其他主机。此示例为名为 my-hostname 的主机添加一个静态地址。

$ docker run --add-host=my-hostname=8.8.8.8 --rm -it alpine

/ # ping my-hostname
PING my-hostname (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: seq=0 ttl=37 time=93.052 ms
64 bytes from 8.8.8.8: seq=1 ttl=37 time=92.467 ms
64 bytes from 8.8.8.8: seq=2 ttl=37 time=92.252 ms
^C
--- my-hostname ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 92.209/92.495/93.052 ms

可以用方括号括住 IPv6 地址

$ docker run --add-host my-hostname=[2001:db8::33] --rm -it alpine

--add-host 标志支持一个特殊的 host-gateway 值，该值解析为主机的内部 IP 地址。当你希望容器连接到在主机上运行的服务时，这会很有用。

通常使用 host.docker.internal 作为指代 host-gateway 的主机名。Docker Desktop 会自动解析此主机名，请参阅探索网络特性。

以下示例展示了特殊的 host-gateway 值如何工作。该示例运行一个 HTTP 服务器，通过解析为主机内部 IP 的 host.docker.internal 主机名，将文件从主机提供给容器。

$ echo "hello from host!" > ./hello
$ python3 -m http.server 8000
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...
$ docker run \
  --add-host host.docker.internal=host-gateway \
  curlimages/curl -s host.docker.internal:8000/hello
hello from host!

--add-host 标志也接受 : 分隔符，例如

$ docker run --add-host=my-hostname:8.8.8.8 --rm -it alpine

日志驱动 (--log-driver)

容器可以使用与 Docker 守护进程不同的日志驱动。使用 docker run 命令配合 --log-driver=<DRIVER> 来配置容器的日志驱动。

要了解支持的日志驱动以及如何使用它们，请参阅配置日志驱动。

要禁用容器的日志记录，请将 --log-driver 标志设置为 none

$ docker run --log-driver=none -d nginx:alpine
5101d3b7fe931c27c2ba0e65fd989654d297393ad65ae238f20b97a020e7295b
$ docker logs 5101d3b
Error response from daemon: configured logging driver does not support reading

在容器中设置 ulimits (--ulimit)

由于在容器中设置 ulimit 需要额外权限，而默认容器中不具备这些权限，你可以使用 --ulimit 标志进行设置。以 <type>=<soft limit>[:<hard limit>] 格式指定 --ulimit 的软限制和硬限制。例如

$ docker run --ulimit nofile=1024:1024 --rm debian sh -c "ulimit -n"
1024

注意

如果不提供硬限制值，Docker 会对这两个值都使用软限制值。如果不提供任何值，它们将继承自守护进程上设置的默认 ulimits。

注意

as 选项已弃用。换句话说，以下脚本不受支持

$ docker run -it --ulimit as=1024 fedora /bin/bash

支持的 --ulimit 选项

Docker 将值发送到相应的 OS syscall，并且不执行任何字节转换。设置值时请考虑到这一点。

关于 nproc 的用法

使用 ulimit 标志设置 nproc 时请务必小心，因为 Linux 使用 nproc 设置的是用户（而不是容器）可用的最大进程数量。例如，使用 daemon 用户启动四个容器

$ docker run -d -u daemon --ulimit nproc=3 busybox top

$ docker run -d -u daemon --ulimit nproc=3 busybox top

$ docker run -d -u daemon --ulimit nproc=3 busybox top

$ docker run -d -u daemon --ulimit nproc=3 busybox top

第四个容器失败，并报告 "[8] System error: resource temporarily unavailable" 错误。这是因为调用者设置了 nproc=3，导致前三个容器用尽了为 daemon 用户设置的三个进程配额。

使用信号停止容器 (--stop-signal)

--stop-signal 标志向容器发送系统调用信号以使其退出。此信号可以是 SIG<NAME> 格式的信号名称，例如 SIGKILL，也可以是匹配内核系统调用表中某个位置的无符号数，例如 9。

默认值由镜像中的 STOPSIGNAL 定义，如果镜像未定义 STOPSIGNAL，则为 SIGTERM。

可选安全选项 (--security-opt)

--security-opt 标志允许你覆盖容器的默认标签方案。在以下命令中指定级别，可以实现在容器之间共享相同内容。

$ docker run --security-opt label=level:s0:c100,c200 -it fedora bash

注意

不支持 MLS 标签的自动翻译。

要完全禁用容器的安全标签，可以使用 label=disable

$ docker run --security-opt label=disable -it ubuntu bash

如果你想对容器内的进程实施更严格的安全策略，可以指定一个自定义的 type 标签。以下示例运行一个只允许监听 Apache 端口的容器。

$ docker run --security-opt label=type:svirt_apache_t -it ubuntu bash

注意

你需要编写策略来定义 svirt_apache_t 类型。

为防止容器进程获取额外权限，可以使用以下命令

$ docker run --security-opt no-new-privileges -it ubuntu bash

这意味着 `su` 或 `sudo` 等提升权限的命令将不再起作用。它还会导致 seccomp 过滤器在权限被丢弃后才应用，这可能意味着你可以拥有更严格的过滤器集。更多详情，请参阅内核文档。

在 Windows 上，可以使用 --security-opt 标志来指定 credentialspec 选项。credentialspec 必须采用 file://spec.txt 或 registry://keyname 格式。

使用超时停止容器 (--stop-timeout)

--stop-timeout 标志设置了在发送预定义（请参阅 --stop-signal）系统调用信号后，等待容器停止的秒数。如果容器在超时时间过后仍未退出，它会被强制使用 SIGKILL 信号终止。

如果将 --stop-timeout 设置为 -1，则不应用超时，并且守护进程会无限期等待容器退出。

守护进程确定默认值，Linux 容器为 10 秒，Windows 容器为 30 秒。

指定容器的隔离技术 (--isolation)

此选项在 Windows 上运行 Docker 容器时很有用。--isolation=<value> 选项设置容器的隔离技术。在 Linux 上，只支持使用 Linux 命名空间的 default 选项。在 Linux 上，以下两个命令是等效的

$ docker run -d busybox top
$ docker run -d --isolation default busybox top

在 Windows 上，--isolation 可以采用以下值之一

Windows Server 操作系统上的默认隔离是 process，而 Windows 客户端操作系统（例如 Windows 10）上是 hyperv。进程隔离性能更好，但要求镜像和主机使用相同的内核版本。

在 Windows Server 上，假设是默认配置，以下命令是等效的，并且会导致 process 隔离。

PS C:\> docker run -d microsoft/nanoserver powershell echo process
PS C:\> docker run -d --isolation default microsoft/nanoserver powershell echo process
PS C:\> docker run -d --isolation process microsoft/nanoserver powershell echo process

如果你在 Docker 守护进程上设置了 --exec-opt isolation=hyperv 选项，或者正在针对基于 Windows 客户端的守护进程运行，则以下命令是等效的，并且会导致 hyperv 隔离。

PS C:\> docker run -d microsoft/nanoserver powershell echo hyperv
PS C:\> docker run -d --isolation default microsoft/nanoserver powershell echo hyperv
PS C:\> docker run -d --isolation hyperv microsoft/nanoserver powershell echo hyperv

指定容器可用内存的硬限制 (-m, --memory)

这些参数始终设置容器可用内存的上限。Linux 在 cgroup 上设置此值，容器中的应用程序可以在 /sys/fs/cgroup/memory/memory.limit_in_bytes 查询它。

在 Windows 上，这会根据使用的隔离类型对容器产生不同的影响。

• 使用 process 隔离时，Windows 报告的是主机系统的全部内存，而不是对容器内部运行的应用程序的限制

  PS C:\> docker run -it -m 2GB --isolation=process microsoft/nanoserver powershell Get-ComputerInfo *memory*
  
  CsTotalPhysicalMemory      : 17064509440
  CsPhyicallyInstalledMemory : 16777216
  OsTotalVisibleMemorySize   : 16664560
  OsFreePhysicalMemory       : 14646720
  OsTotalVirtualMemorySize   : 19154928
  OsFreeVirtualMemory        : 17197440
  OsInUseVirtualMemory       : 1957488
  OsMaxProcessMemorySize     : 137438953344

• 使用 hyperv 隔离时，Windows 会创建一个辅助 VM，其大小足以容纳内存限制，再加上托管容器所需的最少 OS。该大小被报告为“总物理内存”。

  PS C:\> docker run -it -m 2GB --isolation=hyperv microsoft/nanoserver powershell Get-ComputerInfo *memory*
  
  CsTotalPhysicalMemory      : 2683355136
  CsPhyicallyInstalledMemory :
  OsTotalVisibleMemorySize   : 2620464
  OsFreePhysicalMemory       : 2306552
  OsTotalVirtualMemorySize   : 2620464
  OsFreeVirtualMemory        : 2356692
  OsInUseVirtualMemory       : 263772
  OsMaxProcessMemorySize     : 137438953344

在运行时配置命名空间内核参数（sysctls） (--sysctl)

--sysctl 在容器中设置命名空间内核参数（sysctls）。例如，要在容器的网络命名空间中打开 IP 转发，请运行此命令。

$ docker run --sysctl net.ipv4.ip_forward=1 someimage

注意

并非所有 sysctls 都具有命名空间特性。Docker 不支持在容器内更改会同时修改主机系统的 sysctls。随着内核的发展，预计将有更多 sysctls 获得命名空间特性。

当前支持的 sysctls

IPC 命名空间

• kernel.msgmax、kernel.msgmnb、kernel.msgmni、kernel.sem、kernel.shmall、kernel.shmmax、kernel.shmmni、kernel.shm_rmid_forced。
• 以 fs.mqueue.* 开头的 Sysctls
• 如果使用 --ipc=host 选项，则不允许使用这些 sysctls。

网络命名空间

• 以 net.* 开头的 Sysctls
• 如果使用 --network=host 选项，则不允许使用这些 sysctls。