Docker 环境变量

简介

本全面教程将指导你完成在 Docker 容器中传递和管理环境变量的过程。你将学习如何利用环境变量来配置和运行容器化应用程序，确保它们具有灵活性、可扩展性且易于维护。无论你是初学者还是经验丰富的 Docker 用户，本指南都将为你提供在基于 Docker 的基础设施中有效使用环境变量的知识和最佳实践。

Docker 环境变量简介

Docker 是一个广受欢迎的容器化平台，它允许开发者以一致且可重复的方式打包和部署应用程序。Docker 的关键特性之一是能够管理环境变量，这对于在容器内配置和运行应用程序至关重要。

环境变量是软件开发中的一个基本概念，它提供了一种在应用程序代码之外存储和访问配置数据的方式。在 Docker 环境中，环境变量在定义容器化应用程序的运行时环境方面起着关键作用。

通过了解如何将环境变量传递给 Docker 容器，开发者可以确保他们的应用程序具有灵活性、可扩展性且易于配置。这通过将敏感信息与应用程序代码分离，实现了更好的可移植性、更轻松的部署以及更高的安全性。

在本教程中，我们将探讨在 Docker 中使用环境变量的各个方面，包括：

理解 Docker 容器中的环境变量

• 什么是环境变量以及它们在 Docker 中如何工作？
• 环境变量在 Docker 容器中是如何存储和访问的？
• 探索 Docker 容器中可用的默认环境变量。

将环境变量传递给 Docker 容器

• 将环境变量传递给 Docker 容器的不同方法。
• 在 docker run 命令中使用 --env 或 -e 标志。
• 使用 ENV 指令在 Dockerfile 中定义环境变量。
• 将环境变量从主机系统传递到容器。

在 Docker Compose 中使用环境变量

• 在 Docker Compose 配置中利用环境变量。
• 在 docker-compose.yml 文件中定义环境变量。
• 在 Compose 配置中引用环境变量。
• 在运行时覆盖环境变量。

保护 Docker 中的环境变量

• 保护敏感环境变量的重要性。
• 存储和管理敏感数据（如 API 密钥、密码和机密信息）的最佳实践。
• 利用环境变量加密、机密管理服务和环境变量替换等工具和技术。

在 Docker 中管理环境变量的最佳实践

• 为了便于维护和扩展而组织和构建环境变量。
• 实施环境变量命名规范和最佳实践。
• 在不同部署环境中管理环境变量的策略。
• 使用工具和脚本来自动化环境变量的管理。

在本教程结束时，你将全面了解如何在 Docker 环境中有效地使用环境变量，从而能够构建和部署更健壮、可配置的容器化应用程序。

理解 Docker 容器中的环境变量

环境变量是软件开发中的一个基本概念，它们在配置和运行 Docker 容器内的应用程序时起着至关重要的作用。在本节中，我们将探讨 Docker 环境下环境变量的本质，以及它们在容器环境中是如何存储和访问的。

什么是环境变量？

环境变量是一组键值对，用于存储配置数据、敏感信息和其他运行时参数。它们通常在操作系统级别定义，并且可以被系统上运行的应用程序访问。

在 Docker 环境中，环境变量起着类似的作用，使你能够为容器化应用程序配置运行时环境。这些变量可用于设置特定于应用程序的设置、指定数据库连接详细信息，或存储诸如 API 密钥或密码等敏感信息。

Docker 容器中的环境变量

当你运行一个 Docker 容器时，它默认会继承主机系统的环境变量。你也可以在 docker run 命令期间或在 Dockerfile 中显式定义并将环境变量传递给容器。

在容器内部，你可以使用与常规操作系统相同的机制来访问环境变量，例如 echo 命令或 $ 前缀：

## 在 Docker 容器中访问环境变量
echo $MY_VARIABLE

Docker 容器中的默认环境变量

Docker 提供了一组在每个容器中都可用的默认环境变量。这些变量包含有关容器、Docker 守护进程和主机系统的信息。一些常见的默认环境变量包括：

你可以通过在 Docker 容器内运行以下命令来查看默认环境变量的完整列表：

env

了解环境变量在 Docker 容器中的作用以及可用的默认变量对于有效配置和管理容器化应用程序至关重要。

将环境变量传递给 Docker 容器

有几种方法可以将环境变量传递给 Docker 容器，每种方法都有其特定的用例和优点。在本节中，我们将探讨不同的方法，并提供示例，以帮助你了解如何在基于 Docker 的应用程序中有效地管理环境变量。

使用 --env 或 -e 标志

将环境变量传递给 Docker 容器最直接的方法是在运行 docker run 命令时使用 --env 或 -e 标志。这使你能够指定一个或多个环境变量及其相应的值：

docker run -e MY_VARIABLE=my_value -e ANOTHER_VARIABLE=another_value my-image

在 Dockerfile 中定义环境变量

你还可以使用 ENV 指令在 Dockerfile 中直接定义环境变量。当你有容器化应用程序的所有实例都通用的环境变量时，这种方法很有用：

## Dockerfile
FROM ubuntu:latest
ENV MY_VARIABLE=my_value
ENV ANOTHER_VARIABLE=another_value
## Dockerfile 的其余指令

当你使用此 Dockerfile 构建镜像时，环境变量将在生成的容器中可用。

从主机系统传递环境变量

在某些情况下，你可能希望将环境变量从主机系统（运行 Docker 守护进程的机器）传递到容器。这可以通过使用相同的 --env 或 -e 标志来实现，但指定变量名而不指定显式值：

docker run -e MY_VARIABLE -e ANOTHER_VARIABLE my-image

这将把主机系统中 MY_VARIABLE 和 ANOTHER_VARIABLE 环境变量的值传递给容器。

覆盖环境变量

如果你在 Dockerfile 和 docker run 命令中都定义了环境变量，则 docker run 命令中的值将优先。这使你能够在运行时轻松覆盖环境变量，这对于管理不同的部署环境或测试场景很有用。

通过了解这些将环境变量传递给 Docker 容器的各种方法，你可以有效地配置和管理容器化应用程序的运行时环境，确保它们具有灵活性、可扩展性和安全性。

在 Docker Compose 中使用环境变量

Docker Compose 是一个允许你定义和管理多容器 Docker 应用程序的工具。在使用 Docker Compose 时，你可以利用环境变量来配置容器化服务的运行时环境。

在 docker-compose.yml 文件中定义环境变量

在 docker-compose.yml 文件中，你可以在每个服务的 environment 部分下定义环境变量。例如：

version: "3"
services:
  web:
    image: my-web-app
    environment:
      - DB_HOST=database
      - DB_PASSWORD=secret
  database:
    image: mysql:5.7
    environment:
      - MYSQL_ROOT_PASSWORD=secret

在这个例子中，web 服务可以访问 DB_HOST 和 DB_PASSWORD 环境变量，而 database 服务定义了 MYSQL_ROOT_PASSWORD 环境变量。

在 docker-compose.yml 文件中引用环境变量

你还可以在 docker-compose.yml 文件中使用 $ 前缀引用主机系统中的环境变量。当你想要将敏感或动态环境变量传递给容器化服务时，这很有用：

version: "3"
services:
  web:
    image: my-web-app
    environment:
      - DB_HOST=database
      - DB_PASSWORD=$DB_PASSWORD
  database:
    image: mysql:5.7
    environment:
      - MYSQL_ROOT_PASSWORD=$MYSQL_ROOT_PASSWORD

在这个例子中，DB_PASSWORD 和 MYSQL_ROOT_PASSWORD 环境变量正从主机系统传递到相应的服务。

在运行时覆盖环境变量

运行 Docker Compose 应用程序时，你可以通过在执行 docker-compose 命令的环境中设置环境变量来覆盖 docker-compose.yml 文件中定义的环境变量。例如：

DB_PASSWORD=new_secret MYSQL_ROOT_PASSWORD=new_secret docker-compose up -d

这将使用 DB_PASSWORD 和 MYSQL_ROOT_PASSWORD 环境变量的新值，覆盖 docker-compose.yml 文件中定义的值。

通过在 Docker Compose 配置中利用环境变量，你可以确保你的多容器应用程序具有灵活性、可扩展性且易于配置，从而更轻松地管理不同的部署环境并维护你的容器化基础设施。

保护 Docker 中的环境变量

在使用 Docker 时，确保诸如 API 密钥、密码和其他机密信息等敏感信息得到妥善保护至关重要。暴露这些敏感环境变量可能导致安全漏洞，并危及容器化应用程序的完整性。在本节中，我们将探讨保护 Docker 中环境变量的各种技术和最佳实践。

保护敏感环境变量的重要性

环境变量通常可能包含敏感信息，应防止未经授权的访问。这包括：

• API 密钥
• 数据库连接字符串
• 密码和其他凭证
• 加密密钥
• 私有配置设置

如果这些敏感环境变量没有得到妥善保护，它们可能会暴露给潜在的攻击者，从而导致数据泄露、未经授权的访问以及其他安全风险。

存储和管理敏感数据的最佳实践

为了在 Docker 中保护敏感环境变量，请考虑以下最佳实践：

1. 环境变量加密：使用 docker secret 等工具或第三方机密管理服务对敏感环境变量进行加密和存储，确保它们不会以明文形式存储。
2. 机密管理服务：将基于 Docker 的应用程序与专用的机密管理服务集成，如 AWS Secrets Manager、Azure Key Vault 或 HashiCorp Vault，以安全地存储和检索敏感环境变量。
3. 环境变量替换：利用环境变量替换技术，将敏感值替换为在运行时填充的占位符，而不是在环境变量中存储实际的敏感数据。
4. 最小权限访问：实施严格的访问控制和权限，以确保只有授权人员或进程才能访问和使用敏感环境变量。
5. 审计和监控：定期监控和审计敏感环境变量的使用情况，以检测任何可疑活动或未经授权的访问尝试。
6. 安全存储和传输：使用加密、安全协议和其他安全措施，确保敏感环境变量的存储和传输安全。

实施安全的环境变量管理

根据你的具体要求以及基础设施中可用的工具和服务，你可以使用各种方法来实施安全的环境变量管理。以下是一个如何使用 Docker 机密来保护敏感环境变量的示例：

## 创建一个机密
echo "my_secret_password" | docker secret create my-secret -

## 在 Docker Compose 服务中使用该机密
version: '3.8'
services:
web:
image: my-web-app
environment:
- DB_PASSWORD_FILE=/run/secrets/my-secret
secrets:
- my-secret
secrets:
my-secret:
external: true

在这个示例中，敏感的 DB_PASSWORD 环境变量作为 Docker 机密存储，web 服务在运行时可以安全地访问它。

通过在 Docker 中实施这些安全的环境变量管理实践，你可以有效地保护你的敏感信息，并确保容器化应用程序的整体安全性。

Docker 中管理环境变量的最佳实践

当你在 Docker 中使用环境变量时，遵循最佳实践以确保可维护性、可扩展性和安全性非常重要。在本节中，我们将探讨一些在基于 Docker 的应用程序中有效管理环境变量的关键建议。

组织和构建环境变量

• 命名规范：为你的环境变量建立清晰且一致的命名规范，例如使用前缀来分组相关变量（例如 APP_、DB_、API_）。
• 分组和分类：根据环境变量的用途或与之关联的组件对其进行组织，使其更易于管理和理解其用法。
• 关注点分离：根据环境变量的敏感性、部署环境或特定于应用程序的需求进行分离，确保关注点清晰分离。

实施环境变量最佳实践

• 避免硬编码：避免在应用程序代码中直接硬编码敏感或可配置的值。相反，使用环境变量使你的应用程序更灵活且易于维护。
• 提供合理的默认值：在你的 Dockerfile 或 Docker Compose 配置中为环境变量定义默认值，这样无需显式设置所有变量就能更轻松地运行应用程序。
• 记录和沟通：清晰记录环境变量的用途和预期值，使其他开发人员更容易理解和使用基于 Docker 的应用程序。
• 自动化管理：利用工具和脚本来自动化环境变量的管理，例如生成、更新并将它们注入到你的 Docker 构建和部署过程中。

在不同部署环境中管理环境变量

• 特定于环境的配置：为环境变量维护单独的特定于环境的配置，以便你能轻松在不同的部署环境（例如开发、预发布、生产）之间切换。
• 环境变量替换：使用环境变量替换技术，例如 ${VARIABLE} 语法，使你的 Docker 配置更具可移植性并能适应不同环境。
• 集中式配置管理：考虑使用集中式配置管理系统，如 Git 仓库或专用的配置管理工具，来跨多个环境存储和管理你的环境变量。

监控和审计环境变量

• 日志记录和监控：实施日志记录和监控机制来跟踪环境变量的使用情况，尤其是敏感变量，以检测任何异常或可疑活动。
• 审计和合规性：定期审计你的环境变量使用情况，以确保符合安全策略和法规，如数据保护法或特定行业标准。

通过遵循这些 Docker 中管理环境变量的最佳实践，你可以确保容器化应用程序更易于维护、可扩展且安全，最终提高基于 Docker 的基础设施的整体质量和可靠性。

总结

在本教程结束时，你将全面了解如何将环境变量传递给 Docker 容器，如何在 Docker Compose 配置中使用它们，以及如何实施管理敏感环境变量的安全实践。你将具备在基于 Docker 的应用程序中有效管理环境变量的必要技能，使这些应用程序更具可配置性、可移植性和安全性。