运行容器

Docker 在隔离的容器中运行进程。容器是在主机上运行的进程。主机可以是本地的或远程的。当你执行 docker run 时，运行的容器进程是隔离的，因为它有自己的文件系统、自己的网络和与主机分离的独立进程树。

本页面详细介绍了如何使用docker run命令来运行容器。

通用形式

一个 docker run 命令采用以下形式：

$ docker run [OPTIONS] IMAGE[:TAG|@DIGEST] [COMMAND] [ARG...]

docker run 命令必须指定一个 image reference 来创建容器。

图片引用

图像引用是图像的名称和版本。您可以使用图像引用来创建或运行基于图像的容器。

docker run IMAGE[:TAG][@DIGEST]
docker create IMAGE[:TAG][@DIGEST]

图像标签是图像的版本，当省略时默认为latest。使用标签从特定版本的图像运行容器。例如，要运行ubuntu图像的24.04版本：docker run ubuntu:24.04。

图像摘要

使用v2或更高版本图像格式的图像具有一个称为摘要的内容可寻址标识符。只要用于生成图像的输入保持不变，摘要值是可预测的。

以下示例从alpine镜像运行一个容器，使用sha256:9cacb71397b640eca97488cf08582ae4e4068513101088e9f96c9814bfda95e0摘要：

$ docker run alpine@sha256:9cacb71397b640eca97488cf08582ae4e4068513101088e9f96c9814bfda95e0 date

选项

[OPTIONS] 允许你配置容器的选项。例如，你可以为容器指定一个名称（--name），或者以后台进程运行它（-d）。你还可以设置选项来控制资源限制和网络等。

命令和参数

你可以使用[COMMAND]和[ARG...]位置参数来指定容器启动时运行的命令和参数。例如，你可以指定sh作为[COMMAND]，结合-i和-t标志，在容器中启动一个交互式shell（如果你选择的镜像在PATH上有sh可执行文件）。

$ docker run -it IMAGE sh

注意
根据您的Docker系统配置，您可能需要在docker run命令前加上sudo。为了避免在使用docker命令时需要使用sudo，您的系统管理员可以创建一个名为docker的Unix组并将用户添加到其中。有关此配置的更多信息，请参阅适用于您操作系统的Docker安装文档。

前景和背景

当你启动一个容器时，容器默认在前台运行。如果你想在后台运行容器，你可以使用 --detach（或-d）标志。这样启动容器不会占用你的终端窗口。

$ docker run -d <IMAGE>

当容器在后台运行时，您可以使用其他CLI命令与容器进行交互。例如，docker logs 允许您查看容器的日志，而 docker attach 将其带到前台。

$ docker run -d nginx
0246aa4d1448a401cabd2ce8f242192b6e7af721527e48a810463366c7ff54f1
$ docker ps
CONTAINER ID   IMAGE     COMMAND                  CREATED         STATUS        PORTS     NAMES
0246aa4d1448   nginx     "/docker-entrypoint.…"   2 seconds ago   Up 1 second   80/tcp    pedantic_liskov
$ docker logs -n 5 0246aa4d1448
2023/11/06 15:58:23 [notice] 1#1: start worker process 33
2023/11/06 15:58:23 [notice] 1#1: start worker process 34
2023/11/06 15:58:23 [notice] 1#1: start worker process 35
2023/11/06 15:58:23 [notice] 1#1: start worker process 36
2023/11/06 15:58:23 [notice] 1#1: start worker process 37
$ docker attach 0246aa4d1448
^C
2023/11/06 15:58:40 [notice] 1#1: signal 2 (SIGINT) received, exiting
...

有关与前台和后台模式相关的docker run标志的更多信息，请参阅：

docker run --detach: 在后台运行容器
docker run --attach: 附加到 stdin, stdout, 和 stderr
docker run --tty: 分配一个伪终端
docker run --interactive: 即使未连接也保持 stdin 打开

有关重新附加到后台容器的更多信息，请参阅 docker attach.

Identifier type	Example value
UUID long identifier	`f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778`
UUID short identifier	`f78375b1c487`
Name	`evil_ptolemy`

文件系统挂载

默认情况下，容器中的数据存储在临时的、可写的容器层中。删除容器也会删除其数据。如果您希望与容器一起使用持久数据，可以使用文件系统挂载将数据持久存储在主机系统上。文件系统挂载还可以让您在容器和主机之间共享数据。

Docker 支持两种主要的挂载类型：

卷挂载
绑定挂载

卷挂载非常适合持久存储容器的数据，以及在容器之间共享数据。另一方面，绑定挂载用于在容器和主机之间共享数据。

你可以使用docker run命令的--mount标志向容器添加文件系统挂载。

以下部分展示了如何创建卷和绑定挂载的基本示例。有关更深入的示例和描述，请参阅文档中的存储部分。

卷挂载

要创建卷挂载：

$ docker run --mount source=<VOLUME_NAME>,target=[PATH] [IMAGE] [COMMAND...]

在这种情况下，--mount 标志接受两个参数：source 和 target。 source 参数的值是卷的名称。target 的值是卷在容器内的挂载位置。一旦你创建了卷，你写入卷的任何数据都会被持久化，即使你停止或删除容器：

$ docker run --rm --mount source=my_volume,target=/foo busybox \
  echo "hello, volume!" > /foo/hello.txt
$ docker run --mount source=my_volume,target=/bar busybox
  cat /bar/hello.txt
hello, volume!

target 必须始终是一个绝对路径，例如 /src/docs。绝对路径以 /（正斜杠）开头。卷名必须以字母数字字符开头，后跟 a-z0-9、_（下划线）、.（句点）或 -（连字符）。

绑定挂载

要创建绑定挂载：

$ docker run -it --mount type=bind,source=[PATH],target=[PATH] busybox

在这种情况下，--mount 标志接受三个参数。一个类型（bind），以及两个路径。source 路径是主机上你想要绑定挂载到容器中的位置。target 路径是容器内的挂载目标。

绑定挂载默认是可读写的，这意味着您可以从容器中读取和写入文件到挂载的位置。您所做的更改，例如添加或编辑文件，会反映在主机文件系统上：

$ docker run -it --mount type=bind,source=.,target=/foo busybox
/ # echo "hello from container" > /foo/hello.txt
/ # exit
$ cat hello.txt
hello from container

退出状态

docker run 的退出代码提供了有关容器未能运行或退出的原因的信息。以下部分描述了不同容器退出代码值的含义。

125

退出代码 125 表示错误与 Docker 守护进程本身有关。

$ docker run --foo busybox; echo $?

flag provided but not defined: --foo
See 'docker run --help'.
125

126

退出代码 126 表示无法调用指定的容器命令。以下示例中的容器命令是：/etc。

$ docker run busybox /etc; echo $?

docker: Error response from daemon: Container command '/etc' could not be invoked.
126

127

退出代码 127 表示找不到包含的命令。

$ docker run busybox foo; echo $?

docker: Error response from daemon: Container command 'foo' not found or does not exist.
127

其他退出代码

除了125、126和127之外的任何退出代码都代表提供的容器命令的退出代码。

$ docker run busybox /bin/sh -c 'exit 3'
$ echo $?
3

Option	Description
`-m`, `--memory=""`	Memory limit (format: `<number>[<unit>]`). Number is a positive integer. Unit can be one of `b`, `k`, `m`, or `g`. Minimum is 6M.
`--memory-swap=""`	Total memory limit (memory + swap, format: `<number>[<unit>]`). Number is a positive integer. Unit can be one of `b`, `k`, `m`, or `g`.
`--memory-reservation=""`	Memory soft limit (format: `<number>[<unit>]`). Number is a positive integer. Unit can be one of `b`, `k`, `m`, or `g`.
`--kernel-memory=""`	Kernel memory limit (format: `<number>[<unit>]`). Number is a positive integer. Unit can be one of `b`, `k`, `m`, or `g`. Minimum is 4M.
`-c`, `--cpu-shares=0`	CPU shares (relative weight)
`--cpus=0.000`	Number of CPUs. Number is a fractional number. 0.000 means no limit.
`--cpu-period=0`	Limit the CPU CFS (Completely Fair Scheduler) period
`--cpuset-cpus=""`	CPUs in which to allow execution (0-3, 0,1)
`--cpuset-mems=""`	Memory nodes (MEMs) in which to allow execution (0-3, 0,1). Only effective on NUMA systems.
`--cpu-quota=0`	Limit the CPU CFS (Completely Fair Scheduler) quota
`--cpu-rt-period=0`	Limit the CPU real-time period. In microseconds. Requires parent cgroups be set and cannot be higher than parent. Also check rtprio ulimits.
`--cpu-rt-runtime=0`	Limit the CPU real-time runtime. In microseconds. Requires parent cgroups be set and cannot be higher than parent. Also check rtprio ulimits.
`--blkio-weight=0`	Block IO weight (relative weight) accepts a weight value between 10 and 1000.
`--blkio-weight-device=""`	Block IO weight (relative device weight, format: `DEVICE_NAME:WEIGHT`)
`--device-read-bps=""`	Limit read rate from a device (format: `<device-path>:<number>[<unit>]`). Number is a positive integer. Unit can be one of `kb`, `mb`, or `gb`.
`--device-write-bps=""`	Limit write rate to a device (format: `<device-path>:<number>[<unit>]`). Number is a positive integer. Unit can be one of `kb`, `mb`, or `gb`.
`--device-read-iops=""`	Limit read rate (IO per second) from a device (format: `<device-path>:<number>`). Number is a positive integer.
`--device-write-iops=""`	Limit write rate (IO per second) to a device (format: `<device-path>:<number>`). Number is a positive integer.
`--oom-kill-disable=false`	Whether to disable OOM Killer for the container or not.
`--oom-score-adj=0`	Tune container's OOM preferences (-1000 to 1000)
`--memory-swappiness=""`	Tune a container's memory swappiness behavior. Accepts an integer between 0 and 100.
`--shm-size=""`	Size of `/dev/shm`. The format is `<number><unit>`. `number` must be greater than `0`. Unit is optional and can be `b` (bytes), `k` (kilobytes), `m` (megabytes), or `g` (gigabytes). If you omit the unit, the system uses bytes. If you omit the size entirely, the system uses `64m`.

Option	Result
memory=inf, memory-swap=inf (default)	There is no memory limit for the container. The container can use as much memory as needed.
memory=L<inf, memory-swap=inf	(specify memory and set memory-swap as `-1`) The container is not allowed to use more than L bytes of memory, but can use as much swap as is needed (if the host supports swap memory).
*memory=L<inf, memory-swap=2L**	(specify memory without memory-swap) The container is not allowed to use more than L bytes of memory, swap plus memory usage is double of that.
memory=L<inf, memory-swap=S<inf, L<=S	(specify both memory and memory-swap) The container is not allowed to use more than L bytes of memory, swap plus memory usage is limited by S.

Option	Result
U != 0, K = inf (default)	This is the standard memory limitation mechanism already present before using kernel memory. Kernel memory is completely ignored.
U != 0, K < U	Kernel memory is a subset of the user memory. This setup is useful in deployments where the total amount of memory per-cgroup is overcommitted. Overcommitting kernel memory limits is definitely not recommended, since the box can still run out of non-reclaimable memory. In this case, you can configure K so that the sum of all groups is never greater than the total memory. Then, freely set U at the expense of the system's service quality.
U != 0, K > U	Since kernel memory charges are also fed to the user counter and reclamation is triggered for the container for both kinds of memory. This configuration gives the admin a unified view of memory. It is also useful for people who just want to track kernel memory usage.

附加组

--group-add: Add additional groups to run as

默认情况下，docker 容器进程会使用为指定用户查找的附加组运行。如果想要向该组列表中添加更多组，可以使用以下标志：

$ docker run --rm --group-add audio --group-add nogroup --group-add 777 busybox id

uid=0(root) gid=0(root) groups=10(wheel),29(audio),99(nogroup),777

运行时权限和Linux能力

Option	Description
`--cap-add`	Add Linux capabilities
`--cap-drop`	Drop Linux capabilities
`--privileged`	Give extended privileges to this container
`--device=[]`	Allows you to run devices inside the container without the `--privileged` flag.

默认情况下，Docker容器是“非特权”的，因此无法在Docker容器内运行Docker守护进程。这是因为默认情况下，容器不允许访问任何设备，但“特权”容器被授予访问所有设备的权限（请参阅cgroups设备的文档）。

--privileged 标志赋予容器所有能力。当操作员执行 docker run --privileged 时，Docker 允许访问主机上的所有设备，并重新配置 AppArmor 或 SELinux，以使容器几乎拥有与主机上容器外运行的进程相同的访问权限。请谨慎使用此标志。有关 --privileged 标志的更多信息，请参阅 docker run 参考。

如果你想限制对特定设备的访问，你可以使用--device标志。它允许你指定一个或多个设备，这些设备将在容器内可访问。

$ docker run --device=/dev/snd:/dev/snd ...

默认情况下，容器将能够read、write和mknod这些设备。可以通过为每个--device标志使用第三个:rwm选项集来覆盖此行为：

$ docker run --device=/dev/sda:/dev/xvdc --rm -it ubuntu fdisk  /dev/xvdc

Command (m for help): q
$ docker run --device=/dev/sda:/dev/xvdc:r --rm -it ubuntu fdisk  /dev/xvdc
You will not be able to write the partition table.

Command (m for help): q

$ docker run --device=/dev/sda:/dev/xvdc:w --rm -it ubuntu fdisk  /dev/xvdc
    crash....

$ docker run --device=/dev/sda:/dev/xvdc:m --rm -it ubuntu fdisk  /dev/xvdc
fdisk: unable to open /dev/xvdc: Operation not permitted

除了--privileged，操作员可以使用--cap-add和--cap-drop对能力进行细粒度控制。默认情况下，Docker有一个默认保留的能力列表。下表列出了默认允许并且可以删除的Linux能力选项。

Capability Key	Capability Description
AUDIT_WRITE	Write records to kernel auditing log.
CHOWN	Make arbitrary changes to file UIDs and GIDs (see chown(2)).
DAC_OVERRIDE	Bypass file read, write, and execute permission checks.
FOWNER	Bypass permission checks on operations that normally require the file system UID of the process to match the UID of the file.
FSETID	Don't clear set-user-ID and set-group-ID permission bits when a file is modified.
KILL	Bypass permission checks for sending signals.
MKNOD	Create special files using mknod(2).
NET_BIND_SERVICE	Bind a socket to internet domain privileged ports (port numbers less than 1024).
NET_RAW	Use RAW and PACKET sockets.
SETFCAP	Set file capabilities.
SETGID	Make arbitrary manipulations of process GIDs and supplementary GID list.
SETPCAP	Modify process capabilities.
SETUID	Make arbitrary manipulations of process UIDs.
SYS_CHROOT	Use chroot(2), change root directory.

下表显示了默认未授予且可能添加的功能。

Capability Key	Capability Description
AUDIT_CONTROL	Enable and disable kernel auditing; change auditing filter rules; retrieve auditing status and filtering rules.
AUDIT_READ	Allow reading the audit log via multicast netlink socket.
BLOCK_SUSPEND	Allow preventing system suspends.
BPF	Allow creating BPF maps, loading BPF Type Format (BTF) data, retrieve JITed code of BPF programs, and more.
CHECKPOINT_RESTORE	Allow checkpoint/restore related operations. Introduced in kernel 5.9.
DAC_READ_SEARCH	Bypass file read permission checks and directory read and execute permission checks.
IPC_LOCK	Lock memory (mlock(2), mlockall(2), mmap(2), shmctl(2)).
IPC_OWNER	Bypass permission checks for operations on System V IPC objects.
LEASE	Establish leases on arbitrary files (see fcntl(2)).
LINUX_IMMUTABLE	Set the FS_APPEND_FL and FS_IMMUTABLE_FL i-node flags.
MAC_ADMIN	Allow MAC configuration or state changes. Implemented for the Smack LSM.
MAC_OVERRIDE	Override Mandatory Access Control (MAC). Implemented for the Smack Linux Security Module (LSM).
NET_ADMIN	Perform various network-related operations.
NET_BROADCAST	Make socket broadcasts, and listen to multicasts.
PERFMON	Allow system performance and observability privileged operations using perf_events, i915_perf and other kernel subsystems
SYS_ADMIN	Perform a range of system administration operations.
SYS_BOOT	Use reboot(2) and kexec_load(2), reboot and load a new kernel for later execution.
SYS_MODULE	Load and unload kernel modules.
SYS_NICE	Raise process nice value (nice(2), setpriority(2)) and change the nice value for arbitrary processes.
SYS_PACCT	Use acct(2), switch process accounting on or off.
SYS_PTRACE	Trace arbitrary processes using ptrace(2).
SYS_RAWIO	Perform I/O port operations (iopl(2) and ioperm(2)).
SYS_RESOURCE	Override resource Limits.
SYS_TIME	Set system clock (settimeofday(2), stime(2), adjtimex(2)); set real-time (hardware) clock.
SYS_TTY_CONFIG	Use vhangup(2); employ various privileged ioctl(2) operations on virtual terminals.
SYSLOG	Perform privileged syslog(2) operations.
WAKE_ALARM	Trigger something that will wake up the system.

进一步的参考信息可以在 capabilities(7) - Linux 手册页, 以及 Linux 内核源代码中找到。

两个标志都支持值ALL，因此允许容器使用除MKNOD之外的所有功能：

$ docker run --cap-add=ALL --cap-drop=MKNOD ...

--cap-add 和 --cap-drop 标志接受以 CAP_ 前缀指定的功能。因此，以下示例是等价的：

$ docker run --cap-add=SYS_ADMIN ...
$ docker run --cap-add=CAP_SYS_ADMIN ...

为了与网络栈进行交互，应该使用--cap-add=NET_ADMIN来修改网络接口，而不是使用--privileged。

$ docker run -it --rm  ubuntu:24.04 ip link add dummy0 type dummy

RTNETLINK answers: Operation not permitted

$ docker run -it --rm --cap-add=NET_ADMIN ubuntu:24.04 ip link add dummy0 type dummy

要挂载基于FUSE的文件系统，你需要结合使用--cap-add和--device：

$ docker run --rm -it --cap-add SYS_ADMIN sshfs sshfs sven@10.10.10.20:/home/sven /mnt

fuse: failed to open /dev/fuse: Operation not permitted

$ docker run --rm -it --device /dev/fuse sshfs sshfs sven@10.10.10.20:/home/sven /mnt

fusermount: mount failed: Operation not permitted

$ docker run --rm -it --cap-add SYS_ADMIN --device /dev/fuse sshfs

# sshfs sven@10.10.10.20:/home/sven /mnt
The authenticity of host '10.10.10.20 (10.10.10.20)' can't be established.
ECDSA key fingerprint is 25:34:85:75:25:b0:17:46:05:19:04:93:b5:dd:5f:c6.
Are you sure you want to continue connecting (yes/no)? yes
sven@10.10.10.20's password:

root@30aa0cfaf1b5:/# ls -la /mnt/src/docker

total 1516
drwxrwxr-x 1 1000 1000   4096 Dec  4 06:08 .
drwxrwxr-x 1 1000 1000   4096 Dec  4 11:46 ..
-rw-rw-r-- 1 1000 1000     16 Oct  8 00:09 .dockerignore
-rwxrwxr-x 1 1000 1000    464 Oct  8 00:09 .drone.yml
drwxrwxr-x 1 1000 1000   4096 Dec  4 06:11 .git
-rw-rw-r-- 1 1000 1000    461 Dec  4 06:08 .gitignore
....

默认的seccomp配置文件将根据所选的能力进行调整，以便允许使用这些能力所允许的功能，因此您无需调整此设置。

覆盖图像默认设置

当你从Dockerfile构建镜像时，或者在提交镜像时，你可以设置一些默认参数，这些参数在镜像作为容器启动时生效。当你运行镜像时，你可以使用docker run命令的标志来覆盖这些默认值。

默认入口点
默认命令和选项
暴露端口
环境变量
健康检查
用户
工作目录

默认命令和选项

docker run 命令的语法支持可选地指定容器的入口点的命令和参数，在以下概要示例中表示为 [COMMAND] 和 [ARG...]：

$ docker run [OPTIONS] IMAGE[:TAG|@DIGEST] [COMMAND] [ARG...]

此命令是可选的，因为创建IMAGE的人可能已经使用Dockerfile的CMD指令提供了默认的COMMAND。当你运行一个容器时，你可以通过指定一个新的COMMAND来覆盖那个CMD指令。

如果镜像还指定了一个ENTRYPOINT，那么CMD或COMMAND将作为参数附加到ENTRYPOINT上。

默认入口点

--entrypoint="": Overwrite the default entrypoint set by the image

入口点指的是当你运行一个容器时默认调用的可执行文件。容器的入口点是使用Dockerfile中的ENTRYPOINT指令定义的。它类似于指定一个默认命令，因为它指定了，但区别在于你需要传递一个显式标志来覆盖入口点，而你可以用位置参数覆盖默认命令。入口点定义了容器的默认行为，其理念是当你设置一个入口点时，你可以运行容器就像它是那个二进制文件一样，带有默认选项，并且你可以传递更多选项作为命令。但有些情况下，你可能想在容器内运行其他东西。这时，在运行时使用docker run命令的--entrypoint标志来覆盖默认入口点就非常有用。

--entrypoint 标志需要一个字符串值，表示容器启动时要调用的二进制文件的名称或路径。以下示例展示了如何在已设置为自动运行其他二进制文件（如 /usr/bin/redis-server）的容器中运行 Bash shell：

$ docker run -it --entrypoint /bin/bash example/redis

以下示例展示了如何使用位置命令参数将额外参数传递给自定义入口点：

$ docker run -it --entrypoint /bin/bash example/redis -c ls -l
$ docker run -it --entrypoint /usr/bin/redis-cli example/redis --help

您可以通过传递一个空字符串来重置容器的入口点，例如：

$ docker run -it --entrypoint="" mysql bash

注意
传递 --entrypoint 会清除镜像上设置的任何默认命令。也就是说，用于构建它的 Dockerfile 中的任何 CMD 指令都会被清除。

暴露的端口

默认情况下，当你运行一个容器时，容器的任何端口都不会暴露给主机。这意味着你将无法访问容器可能正在监听的任何端口。要使容器的端口可以从主机访问，你需要发布这些端口。

您可以使用-P或-p标志启动容器以暴露其端口：

-P（或--publish-all）标志将所有暴露的端口发布到主机。Docker将每个暴露的端口绑定到主机上的一个随机端口。
-P 标志仅发布明确标记为暴露的端口号，无论是使用 Dockerfile 的 EXPOSE 指令还是 docker run 命令的 --expose 标志。
-p（或--publish）标志允许你将容器中的单个端口或端口范围显式映射到主机。

容器内部的端口号（服务监听的端口）不需要与容器外部发布的端口号（客户端连接的端口）匹配。例如，在容器内部，HTTP服务可能正在监听端口80。在运行时，该端口可能绑定到主机的42800端口。要查找主机端口和暴露端口之间的映射，请使用docker port命令。

环境变量

Docker在创建Linux容器时自动设置一些环境变量。Docker在创建Windows容器时不会设置任何环境变量。

以下环境变量是为Linux容器设置的：

Variable	Value
`HOME`	Set based on the value of `USER`
`HOSTNAME`	The hostname associated with the container
`PATH`	Includes popular directories, such as `/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin`
`TERM`	`xterm` if the container is allocated a pseudo-TTY

此外，您可以通过使用一个或多个-e标志来设置容器中的任何环境变量。您甚至可以覆盖上述提到的变量，或者在构建镜像时使用Dockerfile ENV指令定义的变量。

如果你命名了一个环境变量但没有指定值，主机上该命名变量的当前值将被传播到容器的环境中：

$ export today=Wednesday
$ docker run -e "deep=purple" -e today --rm alpine env

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOSTNAME=d2219b854598
deep=purple
today=Wednesday
HOME=/root

PS C:\> docker run --rm -e "foo=bar" microsoft/nanoserver cmd /s /c set
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\ContainerAdministrator\AppData\Roaming
CommonProgramFiles=C:\Program Files\Common Files
CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
CommonProgramW6432=C:\Program Files\Common Files
COMPUTERNAME=C2FAEFCC8253
ComSpec=C:\Windows\system32\cmd.exe
foo=bar
LOCALAPPDATA=C:\Users\ContainerAdministrator\AppData\Local
NUMBER_OF_PROCESSORS=8
OS=Windows_NT
Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Users\ContainerAdministrator\AppData\Local\Microsoft\WindowsApps
PATHEXT=.COM;.EXE;.BAT;.CMD
PROCESSOR_ARCHITECTURE=AMD64
PROCESSOR_IDENTIFIER=Intel64 Family 6 Model 62 Stepping 4, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=3e04
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
ProgramFiles(x86)=C:\Program Files (x86)
ProgramW6432=C:\Program Files
PROMPT=$P$G
PUBLIC=C:\Users\Public
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\ContainerAdministrator\AppData\Local\Temp
TMP=C:\Users\ContainerAdministrator\AppData\Local\Temp
USERDOMAIN=User Manager
USERNAME=ContainerAdministrator
USERPROFILE=C:\Users\ContainerAdministrator
windir=C:\Windows

健康检查

以下标志用于 docker run 命令，允许您控制容器健康检查的参数：

Option	Description
`--health-cmd`	Command to run to check health
`--health-interval`	Time between running the check
`--health-retries`	Consecutive failures needed to report unhealthy
`--health-timeout`	Maximum time to allow one check to run
`--health-start-period`	Start period for the container to initialize before starting health-retries countdown
`--health-start-interval`	Time between running the check during the start period
`--no-healthcheck`	Disable any container-specified `HEALTHCHECK`

示例：

$ docker run --name=test -d \
    --health-cmd='stat /etc/passwd || exit 1' \
    --health-interval=2s \
    busybox sleep 1d
$ sleep 2; docker inspect --format='{{.State.Health.Status}}' test
healthy
$ docker exec test rm /etc/passwd
$ sleep 2; docker inspect --format='{{json .State.Health}}' test
{
  "Status": "unhealthy",
  "FailingStreak": 3,
  "Log": [
    {
      "Start": "2016-05-25T17:22:04.635478668Z",
      "End": "2016-05-25T17:22:04.7272552Z",
      "ExitCode": 0,
      "Output": "  File: /etc/passwd\n  Size: 334       \tBlocks: 8          IO Block: 4096   regular file\nDevice: 32h/50d\tInode: 12          Links: 1\nAccess: (0664/-rw-rw-r--)  Uid: (    0/    root)   Gid: (    0/    root)\nAccess: 2015-12-05 22:05:32.000000000\nModify: 2015..."
    },
    {
      "Start": "2016-05-25T17:22:06.732900633Z",
      "End": "2016-05-25T17:22:06.822168935Z",
      "ExitCode": 0,
      "Output": "  File: /etc/passwd\n  Size: 334       \tBlocks: 8          IO Block: 4096   regular file\nDevice: 32h/50d\tInode: 12          Links: 1\nAccess: (0664/-rw-rw-r--)  Uid: (    0/    root)   Gid: (    0/    root)\nAccess: 2015-12-05 22:05:32.000000000\nModify: 2015..."
    },
    {
      "Start": "2016-05-25T17:22:08.823956535Z",
      "End": "2016-05-25T17:22:08.897359124Z",
      "ExitCode": 1,
      "Output": "stat: can't stat '/etc/passwd': No such file or directory\n"
    },
    {
      "Start": "2016-05-25T17:22:10.898802931Z",
      "End": "2016-05-25T17:22:10.969631866Z",
      "ExitCode": 1,
      "Output": "stat: can't stat '/etc/passwd': No such file or directory\n"
    },
    {
      "Start": "2016-05-25T17:22:12.971033523Z",
      "End": "2016-05-25T17:22:13.082015516Z",
      "ExitCode": 1,
      "Output": "stat: can't stat '/etc/passwd': No such file or directory\n"
    }
  ]
}

健康状态也会显示在 docker ps 输出中。

用户

容器内的默认用户是root（uid = 0）。你可以使用Dockerfile中的USER指令设置一个默认用户来运行第一个进程。在启动容器时，你可以通过传递-u选项来覆盖USER指令。

-u="", --user="": Sets the username or UID used and optionally the groupname or GID for the specified command.

以下示例都是有效的：

--user=[ user | user:group | uid | uid:gid | user:gid | uid:group ]

注意
如果您传递一个数字用户ID，它必须在0-2147483647的范围内。如果您传递一个用户名，该用户必须存在于容器中。

工作目录

容器内运行二进制文件的默认工作目录是根目录（/）。镜像的默认工作目录是通过Dockerfile中的WORKDIR命令设置的。你可以使用docker run命令的-w（或--workdir）标志来覆盖镜像的默认工作目录：

$ docker run --rm -w /my/workdir alpine pwd
/my/workdir

如果容器中尚不存在该目录，则会创建它。

运行容器

通用形式

图片引用

图像摘要

选项

命令和参数

前景和背景

容器识别

容器网络

文件系统挂载

卷挂载

绑定挂载

退出状态

125

126

127

其他退出代码

运行时资源限制

用户内存限制

内核内存限制

Swappiness 约束

CPU 周期约束

Cpuset 约束

CPU配额限制

块IO带宽（Blkio）限制

附加组