docker - 如何在 dockerfile 中取消设置“ENV”？

这取决于您要达到的效果。

请注意，作为语用问题（即开发人员实际说话的方式），“取消设置变量”可能意味着两件事：将其从环境中删除，或将变量设置为空值。从技术上讲，这是两种不同的操作。在实践中，虽然我没有遇到我试图控制的软件区分环境中不存在的变量和环境中存在但设置为空值的变量的情况。我通常可以使用任何一种方法来获得相同的结果。

如果您不关心变量是否在 Docker 生成的层中，但将其保留为非空值会导致后续构建步骤出现问题。

对于这种情况，您可以ENV VAR_NAME=在 Dockerfile 中要取消设置变量的位置使用。语法说明：Docker 允许两种语法ENV：这ENV VAR=1与ENV VAR 1. 您可以使用空格或等号将变量名称与值分开。当您想通过将变量设置为空值来“取消设置”变量时，您必须使用等号语法，否则在构建时会出现错误。

例如，您可以这样做：

ENV NOT_SENSITIVE some_value
RUN something

ENV NOT_SENSITIVE=
RUN something_else

something运行时，NOT_SENSITIVE设置为some_value。something_else运行时，NOT_SENSITIVE设置为空字符串。

重要的是要注意，unset NOT_SENSITIVE作为 shell 命令执行不会影响除此 shell 中执行的内容之外的任何其他内容。这是一个例子：

ENV NOT_SENSITIVE some_value
RUN unset NOT_SENSITIVE && printenv NOT_SENSITIVE || echo "does not exist"

RUN printenv NOT_SENSITIVE

第一个RUN将打印does not exist，因为NOT_SENSITIVE在printenv执行时未设置，并且因为未设置printenv返回导致执行的非零退出代码echo。第二个RUN不受unset第一个影响RUN。它将打印some_value到屏幕上。

但是，如果我需要从环境中删除变量，而不仅仅是将其设置为空值怎么办？

在这种情况下，使用ENV VAR_NAME=将不起作用。我不知道有什么方法可以告诉 Docker “从现在开始，您必须从环境中删除这个变量，而不仅仅是将其设置为空值”。

如果您仍想使用ENV来设置您的变量，那么您必须在每个RUN要取消设置变量的地方开始使用unset VAR_NAME，这将只针对特定的情况取消设置RUN。

如果要防止变量出现在 Docker 生成的层中。

假设该变量包含一个秘密，并且该层可能落入不应拥有该秘密的人手中。在这种情况下，您不能使用ENV来设置变量。一个变量集ENV被烘焙到它所应用的层中，并且不能从这些层中删除。特别是（假设变量名为SENSITIVE）运行

RUN unset SENSITIVE

不做任何事情来将其从图层中删除。上面的命令仅从启动的 shell 进程中unset删除。它只影响那个外壳。它不会影响由,或通过在命令行运行提供的任何命令生成的 shell。SENSITIVERUNCMDENTRYPOINTdocker run

为了防止层包含秘密，我会使用docker build --secret=and RUN --mount=type=secret...。例如，假设我已经将我的秘密存储在一个名为 的文件中sensitive，我可以有RUN这样的：

RUN --mount=type=secret,id=sensitive,target=/root/sensitive \
 export SENSITIVE=$(cat /root/sensitive) \
 && [[... do stuff that requires SENSITIVE ]] \

请注意，给定的命令RUN不需要以unset SENSITIVE. 由于进程及其环境的管理方式，SENSITIVE在生成的 shell 中进行设置RUN不会产生超出 shell 本身生成的任何影响。此 shell 中的环境更改不会影响未来的 shell，也不会影响 Docker 烘焙到它创建的层中的内容。

然后构建可以运行：

$ DOCKER_BUILDKIT=1 docker build --secret id=secret,src=path/to/sensitive [...]

该docker build命令的环境需要DOCKER_BUILDKIT=1使用 BuildKit，因为这种传递秘密的方法只有在 Docker 使用 BuildKit 构建镜像时才可用。