docker container run

描述

docker run 命令在新容器中运行命令，如果需要则拉取镜像并启动容器。

您可以使用 docker start 重新启动一个已停止的容器，并保留其所有之前的更改。使用 docker ps -a 查看所有容器的列表，包括已停止的容器。

选项

示例

分配名称（--name）

--name 标志允许您为容器指定自定义标识符。以下示例使用 nginx:alpine 镜像在分离模式下运行名为 test 的容器。

$ docker run --name test -d nginx:alpine
4bed76d3ad428b889c56c1ecc2bf2ed95cb08256db22dc5ef5863e1d03252a19
$ docker ps
CONTAINER ID   IMAGE          COMMAND                  CREATED        STATUS                  PORTS     NAMES
4bed76d3ad42   nginx:alpine   "/docker-entrypoint.…"   1 second ago   Up Less than a second   80/tcp    test

您可以使用其他命令按名称引用容器。例如，以下命令停止并删除名为 test 的容器

$ docker stop test
test
$ docker rm test
test

如果您没有使用 --name 标志指定自定义名称，守护进程会为容器分配一个随机生成的名称，例如 vibrant_cannon。使用自定义名称的好处是容器有一个易于记忆的 ID。

此外，如果您将容器连接到用户定义的桥接网络，同一网络上的其他容器可以通过 DNS 按名称引用该容器。

$ docker network create mynet
cb79f45948d87e389e12013fa4d969689ed2c3316985dd832a43aaec9a0fe394
$ docker run --name test --net mynet -d nginx:alpine
58df6ecfbc2ad7c42d088ed028d367f9e22a5f834d7c74c66c0ab0485626c32a
$ docker run --net mynet busybox:latest ping test
PING test (172.18.0.2): 56 data bytes
64 bytes from 172.18.0.2: seq=0 ttl=64 time=0.073 ms
64 bytes from 172.18.0.2: seq=1 ttl=64 time=0.411 ms
64 bytes from 172.18.0.2: seq=2 ttl=64 time=0.319 ms
64 bytes from 172.18.0.2: seq=3 ttl=64 time=0.383 ms
...

捕获容器 ID (--cidfile)

为了帮助自动化，您可以让 Docker 将容器 ID 写入您选择的文件。这类似于某些程序将其进程 ID 写入文件的方式（您可能见过它们是 PID 文件）

$ docker run --cidfile /tmp/docker_test.cid ubuntu echo "test"

这会创建一个容器并向控制台打印 test。cidfile 标志使 Docker 尝试创建一个新文件并将容器 ID 写入其中。如果文件已存在，Docker 会返回错误。当 docker run 退出时，Docker 会关闭此文件。

PID 设置 (--pid)

--pid=""  : Set the PID (Process) Namespace mode for the container,
             'container:<name|id>': joins another container's PID namespace
             'host': use the host's PID namespace inside the container

默认情况下，所有容器都启用了 PID 命名空间。

PID 命名空间提供进程分离。PID 命名空间移除了对系统进程的视图，并允许重新使用进程 ID，包括 PID 1。

在某些情况下，您希望容器共享主机的进程命名空间，允许容器内的进程查看系统上的所有进程。例如，您可以构建一个包含 strace 或 gdb 等调试工具的容器，但希望在调试容器内的进程时使用这些工具。

示例：在容器内运行 htop

要在共享主机进程命名空间的容器中运行 htop

1. 运行带有 --pid=host 选项的 alpine 容器

   $ docker run --rm -it --pid=host alpine
   

2. 在容器中安装 htop

   / # apk add --quiet htop
   

3. 调用 htop 命令。

   / # htop
   

例如，加入另一个容器的 PID 命名空间

加入另一个容器的 PID 命名空间对于调试该容器非常有用。

1. 启动一个运行 Redis 服务器的容器

   $ docker run --rm --name my-nginx -d nginx:alpine
   

2. 运行一个 Alpine 容器，它将 --pid 命名空间连接到 my-nginx 容器

   $ docker run --rm -it --pid=container:my-nginx \
     --cap-add SYS_PTRACE \
     --security-opt seccomp=unconfined \
     alpine
   

3. 在 Alpine 容器中安装 strace

   / # apk add strace
   

4. 连接到进程 1，即 my-nginx 容器的进程 ID

   / # strace -p 1
   strace: Process 1 attached
   

禁用容器的命名空间重新映射 (--userns)

如果您在守护程序上启用用户命名空间，则所有容器默认都会启用用户命名空间。要禁用特定容器的用户命名空间重新映射，可以将 --userns 标志设置为 host。

docker run --userns=host hello-world

host 是 --userns 标志唯一有效的值。

有关更多信息，请参阅使用用户命名空间隔离容器。

UTS 设置 (--uts)

--uts=""  : Set the UTS namespace mode for the container
            'host': use the host's UTS namespace inside the container

UTS 命名空间用于设置在该命名空间中对正在运行的进程可见的主机名和域。默认情况下，所有容器，包括带有 --network=host 的容器，都有自己的 UTS 命名空间。将 --uts 设置为 host 会导致容器使用与主机相同的 UTS 命名空间。

注意

Docker 不允许将 --hostname 和 --domainname 标志与 --uts=host 结合使用。这是为了防止在主机 UTS 命名空间中运行的容器尝试更改主机的配置。

如果您希望容器的主机名随主机的更改而更改，您可能希望与主机共享 UTS 命名空间。更高级的用例是从容器更改主机的主机名。

IPC 设置 (--ipc)

--ipc="MODE"  : Set the IPC mode for the container

--ipc 标志接受以下值

如果未指定，则使用守护进程的默认值，该值可以是 "private" 或 "shareable"，具体取决于守护进程的版本和配置。

System V 进程间通信 (IPC) 命名空间提供了命名共享内存段、信号量和消息队列的分离。

共享内存段用于以内存速度而不是通过管道或网络堆栈加速进程间通信。共享内存通常由数据库和自定义（通常是 C/OpenMPI，C++/使用 Boost 库）用于科学计算和金融服务行业的高性能应用程序使用。如果这些类型的应用程序被分解为多个容器，您可能需要共享容器的 IPC 机制，对主（即“捐赠者”）容器使用 "shareable" 模式，对其他容器使用 "container:<donor-name-or-ID>"。

提升容器权限 (--privileged)

--privileged 标志为容器提供以下功能

• 启用所有 Linux 内核功能
• 禁用默认的 seccomp 配置文件
• 禁用默认的 AppArmor 配置文件
• 禁用 SELinux 进程标签
• 授予对所有主机设备的访问权限
• 使 /sys 可读写
• 使 cgroups 挂载可读写

换句话说，容器可以做主机几乎所有的事情。此标志的存在是为了允许特殊用例，例如在 Docker 内部运行 Docker。

警告

请谨慎使用 --privileged 标志。带有 --privileged 的容器不是安全沙盒进程。处于此模式的容器可以在主机上获得 root shell 并控制系统。

对于大多数用例，不应将此标志作为首选解决方案。如果您的容器需要提升权限，您应该优先明确授予必要的权限，例如通过 --cap-add 添加单个内核功能。

有关更多信息，请参阅运行时权限和 Linux 功能

以下示例无法运行，因为默认情况下，Docker 会删除大多数潜在危险的内核功能，包括 CAP_SYS_ADMIN （挂载文件系统所需）。

$ docker run -t -i --rm ubuntu bash
root@bc338942ef20:/# mount -t tmpfs none /mnt
mount: permission denied

当您添加 --privileged 标志时，它会起作用

$ docker run -t -i --privileged ubuntu bash
root@50e3f57e16e6:/# mount -t tmpfs none /mnt
root@50e3f57e16e6:/# df -h
Filesystem      Size  Used Avail Use% Mounted on
none            1.9G     0  1.9G   0% /mnt

设置工作目录 (-w, --workdir)

$ docker run -w /path/to/dir/ ubuntu pwd

-w 选项在指定目录（本例中为 /path/to/dir/）内运行执行的命令。如果路径不存在，Docker 会在容器内部创建它。

为每个容器设置存储驱动程序选项 (--storage-opt)

$ docker run -it --storage-opt size=120G fedora /bin/bash

这（大小）在创建时将容器文件系统大小限制为 120G。此选项仅适用于 btrfs、overlay2、windowsfilter 和 zfs 存储驱动程序。

对于 overlay2 存储驱动程序，仅当后端文件系统为 xfs 且使用 pquota 挂载选项挂载时，大小选项才可用。在这些条件下，您可以传递小于后端文件系统大小的任何大小。

对于 windowsfilter、btrfs 和 zfs 存储驱动程序，您不能传递小于默认 BaseFS 大小的大小。

挂载 tmpfs (--tmpfs)

--tmpfs 标志允许您创建 tmpfs 挂载。

您可以传递给 --tmpfs 的选项与 Linux mount -t tmpfs -o 命令的选项相同。以下示例将一个空的 tmpfs 挂载到容器中，并带有 rw、noexec、nosuid、size=65536k 选项。

$ docker run -d --tmpfs /run:rw,noexec,nosuid,size=65536k my_image

有关更多信息，请参阅tmpfs 挂载。

挂载卷 (-v)

$ docker  run  -v $(pwd):$(pwd) -w $(pwd) -i -t  ubuntu pwd

上述示例使用 -v 标志将当前目录挂载到容器中的相同路径，并将其设置为工作目录，然后在容器内运行 pwd 命令。

从 Docker Engine 版本 23 开始，您可以使用主机上的相对路径。

$ docker  run  -v ./content:/content -w /content -i -t  ubuntu pwd

上述示例使用 -v 标志将当前目录中的 content 目录挂载到容器中的 /content 路径，并将其设置为工作目录，然后在容器内运行 pwd 命令。

$ docker run -v /doesnt/exist:/foo -w /foo -i -t ubuntu bash

当绑定挂载卷的主机目录不存在时，Docker 会自动在主机上为您创建此目录。在上述示例中，Docker 会在启动容器之前创建 /doesnt/exist 文件夹。

只读挂载卷 (--read-only)

$ docker run --read-only -v /icanwrite busybox touch /icanwrite/here

您可以将卷与 --read-only 标志结合使用，以控制容器写入文件的位置。--read-only 标志将容器的根文件系统挂载为只读，禁止写入容器指定卷以外的位置。

$ docker run -t -i -v /var/run/docker.sock:/var/run/docker.sock -v /path/to/static-docker-binary:/usr/bin/docker busybox sh

通过绑定挂载 Docker Unix socket 和静态链接的 Docker 二进制文件（参考获取 Linux 二进制文件），您可以让容器完全访问并操作主机的 Docker 守护进程。

在 Windows 上，您必须使用 Windows 风格的路径语义指定路径。

PS C:\> docker run -v c:\foo:c:\dest microsoft/nanoserver cmd /s /c type c:\dest\somefile.txt
Contents of file

PS C:\> docker run -v c:\foo:d: microsoft/nanoserver cmd /s /c type d:\somefile.txt
Contents of file

以下示例在使用基于 Windows 的容器时会失败，因为容器内卷或绑定挂载的目标必须是以下之一：不存在或空的目录；或除 C: 之外的驱动器。此外，绑定挂载的源必须是本地目录，而不是文件。

net use z: \\remotemachine\share
docker run -v z:\foo:c:\dest ...
docker run -v \\uncpath\to\directory:c:\dest ...
docker run -v c:\foo\somefile.txt:c:\dest ...
docker run -v c:\foo:c: ...
docker run -v c:\foo:c:\existing-directory-with-contents ...

有关卷的深入信息，请参阅管理容器中的数据

使用 --mount 标志添加绑定挂载或卷

--mount 标志允许您在容器中挂载卷、主机目录和 tmpfs 挂载。

--mount 标志支持 -v 或 --volume 标志支持的大多数选项，但使用不同的语法。有关 --mount 标志的深入信息，以及 --volume 和 --mount 之间的比较，请参阅绑定挂载。

尽管目前没有计划弃用 --volume，但建议使用 --mount。

示例

$ docker run --read-only --mount type=volume,target=/icanwrite busybox touch /icanwrite/here

$ docker run -t -i --mount type=bind,src=/data,dst=/data busybox sh

发布或暴露端口 (-p, --expose)

$ docker run -p 127.0.0.1:80:8080/tcp nginx:alpine

这会将容器的端口 8080 绑定到主机 127.0.0.1 上的 TCP 端口 80。您还可以指定 udp 和 sctp 端口。网络概述页面详细解释了如何使用 Docker 发布端口。

注意

当发布容器端口时，如果您没有指定 IP 地址（即 -p 80:80 而不是 -p 127.0.0.1:80:80），Docker 默认会在所有接口（地址 0.0.0.0）上发布端口。这些端口可以从外部访问。即使您已配置 UFW 阻止此特定端口，这也适用，因为 Docker 管理自己的 iptables 规则。阅读更多

$ docker run --expose 80 nginx:alpine

这会暴露容器的端口 80，但不会将端口发布到主机系统的接口。

发布所有暴露的端口 (-P, --publish-all)

$ docker run -P nginx:alpine

-P 或 --publish-all 标志将所有暴露的端口发布到主机。Docker 将每个暴露的端口绑定到主机上的随机端口。

-P 标志只发布那些使用 Dockerfile EXPOSE 指令或 docker run 命令的 --expose 标志明确标记为暴露的端口号。

端口范围在由 /proc/sys/net/ipv4/ip_local_port_range 定义的 临时端口范围 内。使用 -p 标志明确映射单个端口或端口范围。

设置拉取策略 (--pull)

使用 --pull 标志来设置创建（和运行）容器时的镜像拉取策略。

--pull 标志可以取以下值之一

从镜像创建（并运行）容器时，守护进程会检查镜像是否存在于本地镜像缓存中。如果镜像丢失，则会向 CLI 返回错误，允许它启动拉取。

默认值 (missing) 是仅当镜像不存在于守护进程的镜像缓存中时才拉取镜像。此默认值允许您运行仅本地存在的镜像（例如，您从 Dockerfile 构建但尚未推送到注册表的镜像），并减少网络使用。

always 选项始终在创建容器之前启动拉取。此选项可确保镜像是最新的，并防止您使用过时的镜像，但在您想要在推送之前测试本地构建的镜像的情况下可能不适用（因为拉取镜像会覆盖镜像缓存中现有的镜像）。

never 选项在创建容器时禁用（隐式）拉取镜像，并且只使用镜像缓存中可用的镜像。如果找不到指定的镜像，则会产生错误，并且不会创建容器。此选项在网络不可用或为防止在创建容器时隐式拉取镜像的情况下非常有用。

以下示例显示了 docker run 设置了 --pull=never 选项，由于镜像在镜像缓存中缺失，因此会产生错误

$ docker run --pull=never hello-world
docker: Error response from daemon: No such image: hello-world:latest.

设置环境变量 (-e, --env, --env-file)

$ docker run -e MYVAR1 --env MYVAR2=foo --env-file ./env.list ubuntu bash

使用 -e、--env 和 --env-file 标志在您正在运行的容器中设置简单的（非数组）环境变量，或者覆盖您正在运行的镜像的 Dockerfile 中定义的变量。

您可以在运行容器时定义变量及其值

$ docker run --env VAR1=value1 --env VAR2=value2 ubuntu env | grep VAR
VAR1=value1
VAR2=value2

您也可以使用导出到本地环境的变量

export VAR1=value1
export VAR2=value2

$ docker run --env VAR1 --env VAR2 ubuntu env | grep VAR
VAR1=value1
VAR2=value2

运行命令时，Docker CLI 客户端会检查变量在本地环境中的值，并将其传递给容器。如果未提供 = 并且该变量未在本地环境中导出，则该变量在容器中将不设置。

您还可以从文件中加载环境变量。该文件应使用 <variable>=value 语法（将变量设置为给定值）或 <variable> 语法（从本地环境获取值），并使用 # 表示注释。以 # 开头的行被视为行注释并被忽略，而出现在行中其他任何地方的 # 被视为变量值的一部分。

$ cat env.list
# This is a comment
VAR1=value1
VAR2=value2
USER

$ docker run --env-file env.list ubuntu env | grep -E 'VAR|USER'
VAR1=value1
VAR2=value2
USER=jonzeolla

在容器上设置元数据 (-l, --label, --label-file)

标签是一个 key=value 对，它将元数据应用于容器。要为容器添加两个标签

$ docker run -l my-label --label com.example.foo=bar ubuntu bash

my-label 键未指定值，因此标签默认为空字符串 ("")。要添加多个标签，请重复标签标志 (-l 或 --label)。

key=value 必须是唯一的，以避免覆盖标签值。如果您指定具有相同键但不同值的标签，则后续值会覆盖前一个值。Docker 使用您提供的最后一个 key=value。

使用 --label-file 标志从文件加载多个标签。文件中每个标签以 EOL 标记分隔。以下示例从当前目录中的标签文件加载标签

$ docker run --label-file ./labels ubuntu bash

标签文件格式类似于加载环境变量的格式。（与环境变量不同，标签对于在容器内部运行的进程是不可见的。）以下示例显示了标签文件格式

com.example.label1="a label"

# this is a comment
com.example.label2=another\ label
com.example.label3

您可以通过提供多个 --label-file 标志来加载多个标签文件。

有关使用标签的其他信息，请参阅标签。

将容器连接到网络 (--network)

要启动容器并将其连接到网络，请使用 --network 选项。

如果要将正在运行的容器添加到网络，请使用 docker network connect 子命令。

您可以将多个容器连接到同一个网络。一旦连接，容器可以使用另一个容器的 IP 地址或名称进行通信。对于支持多主机连接的 overlay 网络或自定义插件，连接到同一个多主机网络但从不同引擎启动的容器也可以通过这种方式进行通信。

注意

默认的桥接网络只允许容器使用内部 IP 地址相互通信。用户创建的桥接网络提供容器之间使用容器名称的 DNS 解析。

您可以使用 docker network disconnect 命令断开容器与网络的连接。

以下命令创建一个名为 my-net 的网络，并将一个 busybox 容器添加到 my-net 网络中。

$ docker network create my-net
$ docker run -itd --network=my-net busybox

在用户定义的网络上启动容器时，您还可以使用 --ip 和 --ip6 标志为容器选择 IP 地址。要为容器分配静态 IP，您必须为网络指定子网块。

$ docker network create --subnet 192.0.2.0/24 my-net
$ docker run -itd --network=my-net --ip=192.0.2.69 busybox

要将容器连接到多个网络，请重复 --network 选项。

$ docker network create --subnet 192.0.2.0/24 my-net1
$ docker network create --subnet 192.0.3.0/24 my-net2
$ docker run -itd --network=my-net1 --network=my-net2 busybox

要指定连接到多个网络时的选项，请使用 --network 标志的扩展语法。在扩展 --network 语法中可以指定的逗号分隔选项包括

$ docker network create --subnet 192.0.2.0/24 my-net1
$ docker network create --subnet 192.0.3.0/24 my-net2
$ docker run -itd --network=name=my-net1,ip=192.0.2.42 --network=name=my-net2,ip=192.0.3.42 busybox

以 net.ipv4.、net.ipv6. 或 net.mpls. 开头的 sysctl 设置可以通过 driver-opt 标签 com.docker.network.endpoint.sysctls 按接口设置。接口名称必须是字符串 IFNAME。

要为一个接口设置多个 sysctl，请引用整个 driver-opt 字段，并在必要时记住转义 shell 的引号。例如，如果连接到 my-net 的接口名为 eth0，以下示例设置 sysctls net.ipv4.conf.eth0.log_martians=1 和 net.ipv4.conf.eth0.forwarding=0，并分配 IPv4 地址 192.0.2.42。

$ docker network create --subnet 192.0.2.0/24 my-net
$ docker run -itd --network=name=my-net,\"driver-opt=com.docker.network.endpoint.sysctls=net.ipv4.conf.IFNAME.log_martians=1,net.ipv4.conf.IFNAME.forwarding=0\",ip=192.0.2.42 busybox

注意

网络驱动程序可能会限制可修改的 sysctl 设置，并且为了保护网络操作，将来可能会添加新的限制。

有关在使用 run 命令时将容器连接到网络的更多信息，请参阅Docker 网络概述。

从容器挂载卷 (--volumes-from)

$ docker run --volumes-from 777f7dc92da7 --volumes-from ba8c0c54f0f2:ro -i -t ubuntu pwd

--volumes-from 标志挂载所有从引用容器定义的卷。您可以通过重复 --volumes-from 参数来指定多个容器。容器 ID 可以选择以 :ro 或 :rw 为后缀，分别以只读或读写模式挂载卷。默认情况下，Docker 以与引用容器相同的模式（读写或只读）挂载卷。

SELinux 等标签系统要求在挂载到容器的卷内容上放置正确的标签。没有标签，安全系统可能会阻止容器内运行的进程使用内容。默认情况下，Docker 不会更改操作系统设置的标签。

要在容器上下文中更改标签，您可以在卷挂载上添加 :z 或 :Z 后缀。这些后缀告诉 Docker 重新标记共享卷上的文件对象。z 选项告诉 Docker 两个容器共享卷内容。因此，Docker 使用共享内容标签标记内容。共享卷标签允许所有容器读/写内容。Z 选项告诉 Docker 使用私有非共享标签标记内容。只有当前容器可以使用私有卷。

分离模式 (-d, --detach)

--detach（或 -d）标志将容器作为后台进程启动，不会占用您的终端窗口。默认情况下，以分离模式启动的容器会在用于运行容器的根进程退出时退出，除非您还指定了 --rm 选项。如果您同时使用 -d 和 --rm，容器会在其退出或守护进程退出时（以先发生者为准）被删除。

不要将 service x start 命令传递给分离的容器。例如，此命令尝试启动 nginx 服务。

$ docker run -d -p 80:80 my_image service nginx start

这成功启动了容器内的 nginx 服务。然而，它违反了分离容器的范例，因为根进程 (service nginx start) 返回，分离的容器按设计停止。结果，nginx 服务启动了但无法使用。相反，要启动 nginx Web 服务器等进程，请执行以下操作

$ docker run -d -p 80:80 my_image nginx -g 'daemon off;'

要与分离的容器进行输入/输出，请使用网络连接或共享卷。这些是必需的，因为容器不再侦听运行 docker run 的命令行。

覆盖分离序列 (--detach-keys)

使用 --detach-keys 选项来覆盖 Docker 的分离键序列。如果 Docker 的默认序列与您用于其他应用程序的键序列冲突，这会很有用。有两种方法可以定义自己的分离键序列，作为每个容器的覆盖或作为整个配置的配置属性。

要覆盖单个容器的序列，请将 --detach-keys="<sequence>" 标志与 docker attach 命令一起使用。<sequence> 的格式可以是字母 [a-Z]，也可以是 ctrl- 与以下任何一项的组合

• a-z（单个小写字母字符）
• @（at 符号）
• [（左括号）
• \\（两个反斜杠）
• _（下划线）
• ^（插入符）

这些 a、ctrl-a、X 或 ctrl-\\ 值都是有效键序列的示例。要为所有容器配置不同的配置默认键序列，请参阅配置文件部分。

将主机设备添加到容器 (--device)

$ docker run -it --rm \
    --device=/dev/sdc:/dev/xvdc \
    --device=/dev/sdd \
    --device=/dev/zero:/dev/foobar \
    ubuntu ls -l /dev/{xvdc,sdd,foobar}

brw-rw---- 1 root disk 8, 2 Feb  9 16:05 /dev/xvdc
brw-rw---- 1 root disk 8, 3 Feb  9 16:05 /dev/sdd
crw-rw-rw- 1 root root 1, 5 Feb  9 16:05 /dev/foobar

通常需要直接将设备暴露给容器。--device 选项支持这一点。例如，将特定的块存储设备、循环设备或音频设备添加到本来没有特权的容器（没有 --privileged 标志），并让应用程序直接访问它。

默认情况下，容器能够 read、write 和 mknod 这些设备。这可以通过使用第三组 :rwm 选项来覆盖每个 --device 标志。如果容器以特权模式运行，则 Docker 会忽略指定的权限。

$ docker run --device=/dev/sda:/dev/xvdc --rm -it ubuntu fdisk  /dev/xvdc

Command (m for help): q
$ docker run --device=/dev/sda:/dev/xvdc:r --rm -it ubuntu fdisk  /dev/xvdc
You will not be able to write the partition table.

Command (m for help): q

$ docker run --device=/dev/sda:/dev/xvdc:rw --rm -it ubuntu fdisk  /dev/xvdc

Command (m for help): q

$ docker run --device=/dev/sda:/dev/xvdc:m --rm -it ubuntu fdisk  /dev/xvdc
fdisk: unable to open /dev/xvdc: Operation not permitted

注意

--device 选项不能安全地与临时设备一起使用。您不应将可能被移除的块设备添加到不信任的容器中，即使带有 --device 也不行。

对于 Windows，传递给 --device 选项的字符串格式为 --device=<IdType>/<Id>。从 Windows Server 2019 和 Windows 10 October 2018 Update 开始，Windows 只支持 class 的 IdType 和作为设备接口类 GUID 的 Id。请参阅Windows 容器文档中定义的表格，了解容器支持的设备接口类 GUID 列表。

如果您为进程隔离的 Windows 容器指定此选项，Docker 会使实现所请求设备接口类 GUID 的 所有 设备在容器中可用。例如，以下命令使主机上的所有 COM 端口在容器中可见。

PS C:\> docker run --device=class/86E0D1E0-8089-11D0-9CE4-08003E301F73 mcr.microsoft.com/windows/servercore:ltsc2019

注意

--device 选项仅在进程隔离的 Windows 容器上受支持，如果容器隔离是 hyperv，则会产生错误。

CDI 设备

容器设备接口 (CDI) 是一种标准化的机制，用于容器运行时创建能够与第三方设备交互的容器。

CDI 目前仅支持 Linux 容器，并且自 Docker Engine 28.3.0 起默认启用。

通过 CDI，设备配置使用 JSON 或 YAML 文件以声明方式定义。除了使容器能够与设备节点交互外，它还允许您为设备指定其他配置，例如环境变量、主机挂载（例如共享对象）和可执行钩子。

您可以使用 --device 标志引用 CDI 设备，使用设备的完全限定名称，如下例所示

$ docker run --device=vendor.com/class=device-name --rm -it ubuntu

这将启动一个 ubuntu 容器，并访问指定的 CDI 设备 vendor.com/class=device-name，前提是

• 在运行守护进程的系统上，已配置的 CDI 规范目录中提供了所请求设备的有效 CDI 规范（JSON 或 YAML 文件）。
• 守护进程中已启用 CDI 功能；请参阅启用 CDI 设备。

连接到 STDIN/STDOUT/STDERR (-a, --attach)

--attach（或 -a）标志告诉 docker run 绑定到容器的 STDIN、STDOUT 或 STDERR。这使得可以根据需要操作输出和输入。您可以指定要连接到三个标准流（STDIN、STDOUT、STDERR）中的哪一个，例如

$ docker run -a stdin -a stdout -i -t ubuntu /bin/bash

以下示例将数据管道输入到容器中，并通过仅连接到容器的 STDIN 来打印容器的 ID。

$ echo "test" | docker run -i -a stdin ubuntu cat -

以下示例不会在控制台上打印任何内容，除非出现错误，因为输出仅连接到容器的 STDERR。容器的日志仍然存储写入 STDERR 和 STDOUT 的内容。

$ docker run -a stderr ubuntu echo test

以下示例展示了使用 --attach 将文件导入容器的方法。该命令在构建完成后打印容器的 ID，您可以使用 docker logs 检索构建日志。这在您需要将文件或其他内容导入容器并在容器运行完成后检索容器 ID 时非常有用。

$ cat somefile | docker run -i -a stdin mybuilder dobuild

注意

在容器内作为 PID 1 运行的进程被 Linux 特殊处理：它忽略任何具有默认操作的信号。因此，进程不会在 SIGINT 或 SIGTERM 上终止，除非它被编码为这样做。

另请参阅docker cp 命令。

保持 STDIN 打开 (-i, --interactive)

--interactive（或 -i）标志保持容器的 STDIN 打开，并允许您通过标准输入向容器发送输入。

$ echo hello | docker run --rm -i busybox cat
hello

-i 标志最常与 --tty 标志一起使用，将容器的 I/O 流绑定到伪终端，为容器创建交互式终端会话。有关更多示例，请参阅分配伪 TTY。

$ docker run -it debian
root@10a3e71492b0:/# factor 90
90: 2 3 3 5
root@10a3e71492b0:/# exit
exit

单独使用 -i 标志可以实现组合，例如将输入管道传输到容器

$ docker run --rm -i busybox echo "foo bar baz" \
  | docker run --rm -i busybox awk '{ print $2 }' \
  | docker run --rm -i busybox rev
rab

指定一个 init 进程

您可以使用 --init 标志来指示应将 init 进程用作容器中的 PID 1。指定 init 进程可确保在创建的容器内执行 init 系统的常规职责，例如回收僵尸进程。

使用的默认 init 进程是 Docker 守护进程进程系统路径中找到的第一个 docker-init 可执行文件。此 docker-init 二进制文件（包含在默认安装中）由 tini 提供支持。

分配一个伪 TTY (-t, --tty)

--tty（或 -t）标志将伪 TTY 连接到容器，将您的终端连接到容器的 I/O 流。为容器分配伪 TTY 意味着您可以访问 TTY 设备提供的输入和输出功能。

例如，以下命令在 debian 容器中运行 passwd 命令，为 root 用户设置新密码。

$ docker run -i debian passwd root
New password: karjalanpiirakka9
Retype new password: karjalanpiirakka9
passwd: password updated successfully

如果您仅使用 -i 标志（允许您向容器的 STDIN 发送文本）运行此命令，则 passwd 提示符将以纯文本显示密码。但是，如果您尝试相同操作，但也添加 -t 标志，则密码将被隐藏

$ docker run -it debian passwd root
New password:
Retype new password:
passwd: password updated successfully

这是因为 passwd 可以使用 echo-off TTY 功能抑制字符输出到终端。

您可以不带 -i 标志使用 -t 标志。这仍然会为容器分配一个伪 TTY，但无法写入 STDIN。唯一可能有用的是容器的输出需要 TTY 环境的情况。

指定自定义 cgroup

使用 --cgroup-parent 标志，您可以传递特定的 cgroup 来运行容器。这允许您自己创建和管理 cgroup。您可以为这些 cgroup 定义自定义资源，并将容器置于一个共同的父组下。

使用动态创建的设备 (--device-cgroup-rule)

Docker 在创建时将设备分配给容器。分配的设备被添加到 cgroup.allow 文件中，并在容器运行时创建到容器中。当您需要向正在运行的容器添加新设备时，这会带来问题。

一种解决方案是向容器添加一个更宽松的规则，允许它访问更广泛的设备。例如，假设容器需要访问主编号为 42 的字符设备和任意数量的次编号（随着新设备的出现而添加），添加以下规则

$ docker run -d --device-cgroup-rule='c 42:* rmw' --name my-container my-image

然后，用户可以要求 udev 执行一个脚本，该脚本在添加所需设备时将 docker exec my-container mknod newDevX c 42 <minor>。

注意

您仍然需要明确地将最初存在的设备添加到 docker run / docker create 命令中。

访问 NVIDIA GPU

--gpus 标志允许您访问 NVIDIA GPU 资源。首先您需要安装 nvidia-container-runtime。

注意

您还可以使用 --device 标志将 GPU 指定为 CDI 设备，请参阅CDI 设备。

阅读指定容器的资源以获取更多信息。

要使用 --gpus，请指定要使用的 GPU（或所有）。如果您未提供值，Docker 将使用所有可用的 GPU。以下示例暴露所有可用的 GPU。

$ docker run -it --rm --gpus all ubuntu nvidia-smi

使用 device 选项指定 GPU。以下示例暴露特定 GPU。

$ docker run -it --rm --gpus device=GPU-3a23c669-1f69-c64e-cf85-44e9b07e7a2a ubuntu nvidia-smi

以下示例暴露第一和第三个 GPU。

$ docker run -it --rm --gpus '"device=0,2"' ubuntu nvidia-smi

重启策略 (--restart)

使用 --restart 标志来指定容器的 重启策略。重启策略控制 Docker 守护进程在容器退出后是否重新启动容器。Docker 支持以下重启策略

$ docker run --restart=always redis

这会以 always 的重启策略运行 redis 容器。如果容器退出，Docker 会重新启动它。

当容器上激活了重启策略时，它在 docker ps 中显示为 Up 或 Restarting。使用 docker events 查看生效的重启策略也可能很有用。

每次重启前都会增加延迟（是前一次延迟的两倍，从 100 毫秒开始），以防止服务器泛洪。这意味着守护程序会等待 100 毫秒，然后 200 毫秒，400，800，1600，依此类推，直到达到 on-failure 限制、最大延迟 1 分钟，或者您 docker stop 或 docker rm -f 容器。

如果容器成功重启（容器启动并运行至少 10 秒），则延迟将重置为默认值 100 毫秒。

指定重启尝试的限制

在使用 on-failure 策略时，您可以指定 Docker 尝试重新启动容器的最大次数。默认情况下，Docker 永远不会停止尝试重新启动容器。

以下示例以 on-failure 重启策略和最大重启次数为 10 次运行 redis 容器。

$ docker run --restart=on-failure:10 redis

如果 redis 容器连续退出时带有非零退出状态超过 10 次，Docker 将停止尝试重新启动该容器。提供最大重启限制仅对 on-failure 策略有效。

检查容器重启

可以使用 docker inspect 命令获取容器的（尝试）重启次数。例如，要获取容器 "my-container" 的重启次数；

$ docker inspect -f "{{ .RestartCount }}" my-container
2

或者，获取容器上次（重新）启动的时间；

$ docker inspect -f "{{ .State.StartedAt }}" my-container
2015-03-04T23:47:07.691840179Z

将 --restart（重启策略）与 --rm（清理）标志组合使用会导致错误。在容器重启时，连接的客户端会断开连接。

清理 (--rm)

默认情况下，即使容器退出，容器的文件系统也会保留。这使得调试变得容易得多，因为您可以检查容器的最终状态并保留所有数据。

如果您运行短期 前台 进程，这些容器文件系统可能会开始堆积。如果您希望 Docker 在容器退出时自动清理容器并删除文件系统，请使用 --rm 标志

--rm: Automatically remove the container when it exits

注意

如果设置了 --rm 标志，Docker 还会删除与容器关联的匿名卷。这类似于运行 docker rm -v my-container。只有未指定名称的卷才会被删除。例如，在运行以下命令时，卷 /foo 将被删除，但 /bar 不会

$ docker run --rm -v /foo -v awesome:/bar busybox top

通过 --volumes-from 继承的卷以相同的逻辑删除：如果原始卷指定了名称，则不会删除。

向容器 hosts 文件添加条目 (--add-host)

您可以通过使用一个或多个 --add-host 标志向容器的 /etc/hosts 文件添加其他主机。此示例为名为 my-hostname 的主机添加一个静态地址

$ docker run --add-host=my-hostname=8.8.8.8 --rm -it alpine

/ # ping my-hostname
PING my-hostname (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: seq=0 ttl=37 time=93.052 ms
64 bytes from 8.8.8.8: seq=1 ttl=37 time=92.467 ms
64 bytes from 8.8.8.8: seq=2 ttl=37 time=92.252 ms
^C
--- my-hostname ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 92.209/92.495/93.052 ms

您可以将 IPv6 地址用方括号括起来

$ docker run --add-host my-hostname=[2001:db8::33] --rm -it alpine

--add-host 标志支持一个特殊的 host-gateway 值，该值解析为主机的内部 IP 地址。当您希望容器连接到在主机上运行的服务时，这很有用。

通常使用 host.docker.internal 作为指代 host-gateway 的主机名。Docker Desktop 会自动解析此主机名，请参阅探索网络功能。

以下示例展示了特殊 host-gateway 值的工作原理。该示例运行一个 HTTP 服务器，通过 host.docker.internal 主机名（该主机名解析为主机的内部 IP）将文件从主机提供给容器。

$ echo "hello from host!" > ./hello
$ python3 -m http.server 8000
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...
$ docker run \
  --add-host host.docker.internal=host-gateway \
  curlimages/curl -s host.docker.internal:8000/hello
hello from host!

--add-host 标志也接受 : 分隔符，例如

$ docker run --add-host=my-hostname:8.8.8.8 --rm -it alpine

日志驱动程序 (--log-driver)

容器可以拥有与 Docker 守护程序不同的日志驱动程序。使用 docker run 命令的 --log-driver=<DRIVER> 来配置容器的日志驱动程序。

要了解支持的日志驱动程序及其使用方法，请参阅配置日志驱动程序。

要禁用容器的日志记录，请将 --log-driver 标志设置为 none

$ docker run --log-driver=none -d nginx:alpine
5101d3b7fe931c27c2ba0e65fd989654d297393ad65ae238f20b97a020e7295b
$ docker logs 5101d3b
Error response from daemon: configured logging driver does not support reading

在容器中设置 ulimit (--ulimit)

由于在容器中设置 ulimit 需要默认容器中不提供的额外权限，因此您可以使用 --ulimit 标志进行设置。以 <type>=<soft limit>[:<hard limit>] 格式指定 --ulimit，其中包含软限制和硬限制。例如

$ docker run --ulimit nofile=1024:1024 --rm debian sh -c "ulimit -n"
1024

注意

如果您未提供硬限制值，Docker 会将软限制值用于这两个值。如果您未提供任何值，它们将从守护进程上设置的默认 ulimits 继承。

注意

as 选项已弃用。换句话说，不支持以下脚本

$ docker run -it --ulimit as=1024 fedora /bin/bash

--ulimit 支持的选项

Docker 将值发送到相应的 OS syscall，并且不执行任何字节转换。设置值时请考虑这一点。

nproc 用法

使用 ulimit 标志设置 nproc 时请小心，因为 Linux 使用 nproc 来设置用户（而不是容器）的最大可用进程数。例如，使用 daemon 用户启动四个容器

$ docker run -d -u daemon --ulimit nproc=3 busybox top

$ docker run -d -u daemon --ulimit nproc=3 busybox top

$ docker run -d -u daemon --ulimit nproc=3 busybox top

$ docker run -d -u daemon --ulimit nproc=3 busybox top

第四个容器失败并报告“[8] System error: resource temporarily unavailable”错误。这会失败，因为调用者设置了 nproc=3，导致前三个容器用完了为 daemon 用户设置的三个进程配额。

使用信号停止容器 (--stop-signal)

--stop-signal 标志向容器发送系统调用信号以退出。此信号可以是 SIG<NAME> 格式的信号名称，例如 SIGKILL，也可以是与内核系统调用表中的位置匹配的无符号数，例如 9。

默认值由镜像中的 STOPSIGNAL 定义，如果镜像未定义 STOPSIGNAL，则为 SIGTERM。

可选安全选项 (--security-opt)

--security-opt 标志允许您覆盖容器的默认标签方案。在以下命令中指定级别允许您在容器之间共享相同的内容。

$ docker run --security-opt label=level:s0:c100,c200 -it fedora bash

注意

不支持 MLS 标签的自动翻译。

要完全禁用容器的安全标签，您可以使用 label=disable

$ docker run --security-opt label=disable -it ubuntu bash

如果您希望对容器中的进程采用更严格的安全策略，您可以指定自定义 type 标签。以下示例运行一个仅允许侦听 Apache 端口的容器

$ docker run --security-opt label=type:svirt_apache_t -it ubuntu bash

注意

您必须编写定义 svirt_apache_t 类型的策略。

为了防止您的容器进程获得额外权限，您可以使用以下命令

$ docker run --security-opt no-new-privileges -it ubuntu bash

这意味着提升权限的命令（例如 su 或 sudo）不再起作用。它还会导致任何 Seccomp 过滤器在权限被删除后应用，这可能意味着您可以拥有更严格的过滤器集。有关更多详细信息，请参阅内核文档。

在 Windows 上，您可以使用 --security-opt 标志指定 credentialspec 选项。credentialspec 必须采用 file://spec.txt 或 registry://keyname 格式。

带超时停止容器 (--stop-timeout)

--stop-timeout 标志设置发送预定义（参见 --stop-signal）系统调用信号后等待容器停止的秒数。如果容器在超时后未退出，则会使用 SIGKILL 信号强制终止它。

如果您将 --stop-timeout 设置为 -1，则不应用超时，守护程序将无限期等待容器退出。

守护程序决定默认值，Linux 容器为 10 秒，Windows 容器为 30 秒。

为容器指定隔离技术 (--isolation)

此选项在您在 Windows 上运行 Docker 容器时很有用。--isolation=<value> 选项设置容器的隔离技术。在 Linux 上，唯一支持的是使用 Linux 命名空间的 default 选项。这两个命令在 Linux 上是等效的

$ docker run -d busybox top
$ docker run -d --isolation default busybox top

在 Windows 上，--isolation 可以采用以下值之一

Windows 服务器操作系统的默认隔离是 process，Windows 客户端操作系统（例如 Windows 10）是 hyperv。进程隔离具有更好的性能，但要求镜像和主机使用相同的内核版本。

在 Windows 服务器上，假设默认配置，这些命令是等效的，并导致 process 隔离

PS C:\> docker run -d microsoft/nanoserver powershell echo process
PS C:\> docker run -d --isolation default microsoft/nanoserver powershell echo process
PS C:\> docker run -d --isolation process microsoft/nanoserver powershell echo process

如果您在 Docker daemon 上设置了 --exec-opt isolation=hyperv 选项，或者正在针对基于 Windows 客户端的守护程序运行，这些命令是等效的，并导致 hyperv 隔离

PS C:\> docker run -d microsoft/nanoserver powershell echo hyperv
PS C:\> docker run -d --isolation default microsoft/nanoserver powershell echo hyperv
PS C:\> docker run -d --isolation hyperv microsoft/nanoserver powershell echo hyperv

指定容器可用内存的硬限制 (-m, --memory)

这些参数始终设置容器可用内存的上限。Linux 在 cgroup 上设置此限制，容器中的应用程序可以在 /sys/fs/cgroup/memory/memory.limit_in_bytes 处查询它。

在 Windows 上，这会根据您使用的隔离类型以不同方式影响容器。

• 使用 process 隔离时，Windows 报告主机的全部内存，而不是容器内运行的应用程序的限制

  PS C:\> docker run -it -m 2GB --isolation=process microsoft/nanoserver powershell Get-ComputerInfo *memory*
  
  CsTotalPhysicalMemory      : 17064509440
  CsPhyicallyInstalledMemory : 16777216
  OsTotalVisibleMemorySize   : 16664560
  OsFreePhysicalMemory       : 14646720
  OsTotalVirtualMemorySize   : 19154928
  OsFreeVirtualMemory        : 17197440
  OsInUseVirtualMemory       : 1957488
  OsMaxProcessMemorySize     : 137438953344

• 使用 hyperv 隔离时，Windows 会创建一个足够大的实用程序 VM，以容纳内存限制，以及托管容器所需的最小操作系统。该大小报告为“总物理内存”。

  PS C:\> docker run -it -m 2GB --isolation=hyperv microsoft/nanoserver powershell Get-ComputerInfo *memory*
  
  CsTotalPhysicalMemory      : 2683355136
  CsPhyicallyInstalledMemory :
  OsTotalVisibleMemorySize   : 2620464
  OsFreePhysicalMemory       : 2306552
  OsTotalVirtualMemorySize   : 2620464
  OsFreeVirtualMemory        : 2356692
  OsInUseVirtualMemory       : 263772
  OsMaxProcessMemorySize     : 137438953344

在运行时配置命名空间内核参数 (sysctls) (--sysctl)

--sysctl 在容器中设置命名空间内核参数 (sysctls)。例如，要在容器网络命名空间中启用 IP 转发，请运行此命令

$ docker run --sysctl net.ipv4.ip_forward=1 someimage

注意

并非所有 sysctls 都具有命名空间。Docker 不支持更改容器内同时修改主机系统的 sysctls。随着内核的发展，我们期望看到更多的 sysctls 变为命名空间。

当前支持的 sysctls

IPC 命名空间

• kernel.msgmax、kernel.msgmnb、kernel.msgmni、kernel.sem、kernel.shmall、kernel.shmmax、kernel.shmmni、kernel.shm_rmid_forced。
• 以 fs.mqueue.* 开头的 Sysctls
• 如果您使用 --ipc=host 选项，则不允许使用这些 sysctls。

网络命名空间

• 以 net.* 开头的 Sysctls
• 如果您使用 --network=host 选项，则不允许使用这些 sysctls。