深入解析 Dockerfile 中的 ARG 和 ENV：构建时与运行时的核心差异

在使用 Docker 构建和部署应用程序时，我们经常会遇到需要在配置过程中传递变量或设置环境的情况。Docker 为我们提供了两个非常强大但容易混淆的指令：INLINECODEa42bbb6f 和 INLINECODE864b58e9。很多初学者甚至是有经验的开发者，在编写 Dockerfile 时，往往难以决定何时使用哪一个，甚至试图混用它们。如果你曾经因为环境变量在容器启动后丢失而感到困惑，或者疑惑为什么有些变量在镜像构建结束后就消失了，那么这篇文章正是为你准备的。

在这篇文章中，我们将深入探讨 Docker 中 ARG 和 ENV 的区别。我们将通过实战代码示例，详细讲解它们的生命周期、作用域以及最佳实践。无论你是正在优化 CI/CD 流程，还是试图打通开发与生产环境的配置壁垒，理解这两者的差异都将是你迈向 Docker 高阶用户的必经之路。

1. 核心概念：构建时 vs 运行时

在深入代码之前，我们需要先厘清一个最根本的概念，这是理解 ARG 和 ENV 差异的基石：构建时和运行时。

构建时是指当你执行 docker build 命令，Docker Daemon 读取 Dockerfile 并逐层生成镜像快照的过程。在这个过程中，我们需要的是诸如“下载哪个版本的依赖”、“使用哪个编译器”之类的临时指令。
运行时则是指当你执行 docker run 命令，基于镜像启动一个容器实例的过程。此时，容器内的应用程序需要的是“数据库的连接地址”、“API 密钥”或“调试模式开关”等具体的服务配置。

简单来说：

• ARG (Argument)：仅用于构建时。它就像建筑工地上的一张施工图纸，图纸画完后（镜像构建完），具体的标注（变量）通常不会留在建筑物（容器）里。
• ENV (Environment Variable)：用于运行时，但也部分影响构建时。它就像是房子里的智能家居系统，一旦安装，你在入住后（容器运行时）随时可以调节和使用它。

2. 什么是 ARG？

ARG 指令定义了一个用户变量，该变量将在构建镜像时由 Docker 传给构建器。必须强调的是，ARG 的值只存在于镜像构建过程中。一旦构建完成，生成的镜像中不会保留这些变量（除非通过某种手段显式地将其固化）。

ARG 的生命周期与作用域

让我们看看 ARG 的一些关键特性：

• 作用域限制：ARG 定义在 Dockerfile 中，其作用域从定义行开始，到该行所在的阶段结束。如果在 INLINECODE582fe40c 指令之前定义，它只能用于 INLINECODEfdac4323 指令中（用于指定基础镜像的标签）。
• 持久性：由于 ARG 仅用于构建，你在运行容器后，执行 INLINECODE58c49721 或 INLINECODE7f8b032a 是看不到构建时的 ARG 变量的。
• 覆盖能力：ARG 的强大之处在于它允许你在不修改 Dockerfile 的情况下，通过 --build-arg 参数动态改变构建过程。

实战示例 1：使用 ARG 管理版本

想象一下，我们正在构建一个 Python 应用，我们希望能够在构建镜像时指定版本号，并将其打印在构建日志中。

# 语法注解：
# 指定基础镜像
FROM python:3.9-slim

# 定义构建参数 ARG，并设置默认值为 1.0
ARG APP_VERSION=1.0

# 设置工作目录
WORKDIR /app

# 将当前目录内容复制到容器中的 /app
COPY . /app

# 关键点：构建时变量 $APP_VERSION 只在 RUN 指令中有效
# 我们在构建阶段通过 RUN 指令访问它，将版本信息写入文件或打印日志
RUN echo "正在构建应用程序版本: $APP_VERSION" && \
    echo "Version Info: $APP_VERSION" > /app/version.txt

# 容器启动时运行的命令
CMD ["python", "main.py"]

现在，让我们构建这个镜像。注意我们如何通过命令行覆盖 ARG 的值：

docker build --build-arg APP_VERSION=2.0 -t myapp:2.0 .

在构建日志中，你会清晰地看到“正在构建应用程序版本: 2.0”。但是，这实际上发生了什么？

深入原理解析：

当 Docker 执行 INLINECODE2bfc6cda 时，Shell 会替换 INLINECODEb840fbb4 为 INLINECODEea8b92c5。这个动作发生在构建过程中。结果被写入了 INLINECODE240c10e0 文件。这个文件是镜像层的一部分，会保留下来。但是，变量 APP_VERSION 本身并没有作为环境变量保存在容器的环境配置中。

如果此时我们运行容器并尝试打印变量：

docker run --rm myapp:2.0 printenv | grep APP_VERSION

你会发现输出为空。这就是 ARG 的核心——用完即走，不留痕迹。

ARG 的典型应用场景

在实际开发中，我们通常在以下场景使用 ARG：

• 动态选择包版本：在安装依赖时，我们可能想根据构建参数决定安装哪个版本的库。例如，通过 ARG 传递 NODE_VERSION 来决定安装 Node.js 14 还是 16。
• 代理设置：在企业内网构建镜像时，我们需要 HTTP_PROXY 配合下载依赖。ARG 非常适合传递这些临时的网络配置。

    ARG HTTP_PROXY=http://proxy.example.com:8080
    RUN apt-get update && \
        apt-get install -y curl && \
        curl --proxy $HTTP_PROXY https://google.com
    

• 元数据存储：如前面示例所示，构建时间戳、构建人、Git Commit Hash 等信息，最适合通过 ARG 传入并固化为镜像元数据，而不是作为运行时环境变量。

3. 什么是 ENV？

与 ARG 不同，ENV 指令用于设置环境变量。这些变量不仅在构建过程中有效（可以被后续的指令引用），更重要的是，它们会被持久化保存在镜像的配置中。当容器从该镜像启动时，这些变量会被注入到容器的运行时环境中。

ENV 的生命周期

ENV 的生命周期非常长：

• 构建阶段：ENV 在定义后的任何 RUN、CMD、ENTRYPOINT 指令中都可用。
• 运行阶段：容器启动后，ENV 定义的变量会直接成为容器进程的环境变量，应用程序可以通过标准库（如 Python 的 INLINECODE025fe433 或 Node.js 的 INLINECODEa99c39cb）读取。

实战示例 2：配置应用的运行参数

让我们来看一个更实际的例子——一个 Python BMI 计算器。我们希望在运行容器时能够通过环境变量改变体重和身高的默认值，而无需重新构建镜像。

# bmi_calculator.py
import os

def calculate_bmi(weight, height):
    return weight / (height ** 2)

if __name__ == "__main__":
    # 逻辑说明：
    # os.getenv 尝试读取名为 ‘WEIGHT‘ 的环境变量。
    # 如果变量不存在，则使用默认值 ‘70‘。
    # 这些变量正是由 Dockerfile 中的 ENV 提供的。
    weight = float(os.getenv(‘WEIGHT‘, ‘70‘))  
    height = float(os.getenv(‘HEIGHT‘, ‘1.75‘)) 

    bmi = calculate_bmi(weight, height)
    print(f"体重: {weight} kg")
    print(f"身高: {height} m")
    print(f"BMI 指数: {bmi:.2f}")

现在，让我们编写对应的 Dockerfile：

# 基础镜像
FROM python:3.9-slim

# 这里我们混用了 ARG 和 ENV 来演示它们的区别
# 定义一个构建时的参数，用于记录版本
ARG APP_VERSION=1.0

# 定义运行时的环境变量，设置默认值
ENV WEIGHT=80
ENV HEIGHT=1.80

WORKDIR /app
COPY . /app

# 实用见解：
# 虽然我们可以直接用 RUN 修改 ENV 设置，但最好通过 ENV 指令显式声明
RUN echo "应用版本 $APP_VERSION 已构建完成"

CMD ["python", "bmi_calculator.py"]

构建镜像：

docker build -t bmi-app:v1 .

现在运行容器，观察 ENV 的效果。我们可以直接运行，也可以覆盖这些 ENV 变量：

# 方式 1：使用 Dockerfile 中的默认值 (WEIGHT=80, HEIGHT=1.80)
docker run --rm bmi-app:v1
# 预期输出会显示 BMI 约为 24.69

# 方式 2：在运行时覆盖 ENV 变量 (-e 标志)
docker run --rm -e WEIGHT=65 -e HEIGHT=1.75 bmi-app:v1
# 预期输出会显示 BMI 约为 21.22

关键区别注意：对于 ENV，你不需要重新构建镜像就能改变应用的行为。这正是我们将数据库连接字符串、API 密钥等配置信息放在 ENV 中的原因。

4. ARG 与 ENV 的深层交互

这是最容易让人晕头转向的地方：ARG 和 ENV 可以一起使用，而且它们的交互方式非常微妙。特别是当你试图把构建时的参数传递给运行时的环境时。

模式 1：ARG 映射到 ENV

如果我们想通过 --build-arg 传入一个值，并让它最终成为容器内的环境变量，我们需要将 ARG 赋值给 ENV。

FROM python:3.9-slim

# 定义构建参数
ARG APP_PORT=8080

# 将构建参数的值赋给环境变量
# 这一步非常关键，它将临时的 ARG "固化"为了持久的 ENV
ENV APP_PORT=${APP_PORT}

CMD sh -c ‘echo "Listening on port $APP_PORT" && sleep 3600‘

构建命令：

docker build --build-arg APP_PORT=3000 -t port-demo .

运行并检查：

docker run port-demo printenv | grep APP_PORT

输出将是 INLINECODE56e73584。如果不做这个 INLINECODEb9cabe85 映射，你将在运行环境中查不到此变量。

模式 2：预定义的 ARG 变量

Docker 有一套特殊的 ARG 变量，你无需在 Dockerfile 中显式声明即可使用，例如 INLINECODE841e5d26，以及非常强大的 INLINECODE949d33e0 或 BUILDPLATFORM。这在跨平台构建（例如在 Mac M1 上构建 Linux AMD64 镜像）时非常有用。

FROM alpine

# Docker 自动注入的 ARG
ARG TARGETPLATFORM

RUN echo "构建目标是: $TARGETPLATFORM"

5. 常见错误与性能优化建议

在长期的实战经验中，我们总结了一些开发者容易踩的坑，以及如何避免它们。

错误 1：试图使用 ARG 传递敏感信息

错误场景：你试图在 INLINECODE488d86c8 时通过 INLINECODE722eb12d 传入密钥，并期望它在容器运行时可用，或者认为这样更安全。
问题所在：

• 如果不通过 ENV 映射，容器运行时根本拿不到这个值。
• 即使映射了，Docker 镜像的历史记录和每一层文件系统都是可见的。任何拥有镜像访问权限的人都可以通过 INLINECODE09859f04 或 INLINECODE40d3711a 查看到构建时的参数值。

最佳实践：对于敏感信息，永远不要使用 ARG 或 ENV 写在 Dockerfile 里。应该使用 Docker Secrets（在 Swarm/Kubernetes 中）或者在运行时通过 docker run -e 注入。

错误 2：滥用 ENV 导致镜像体积增大

现象：有些人习惯在 Dockerfile 中写 ENV PATH=$PATH:/very/long/path/to/tools。
隐患：ENV 指令会向镜像的配置中添加元数据。虽然这不会显著增加文件系统大小，但频繁修改 ENV 会导致 Docker 镜像的配置层变大。更重要的是，如果在 INLINECODE96dfc7fa 指令中执行 INLINECODE266a1131 来试图删除环境变量，你会发现无效，因为 ENV 指令已经将其写入镜像元数据。

优化建议：利用构建缓存

利用 ARG 可以有效地控制构建缓存。例如，我们可以将经常变化的版本号作为 ARG 放在 Dockerfile 前部，而将不经常变化的依赖安装放在后面。但如果在 RUN apt-get update 之后使用了 ARG，每次 ARG 变化都会导致该层缓存失效。因此，建议将 ARG 定义在需要使用的指令之前，尽量避免让高频变化的 ARG 破坏了底层缓存的复用。

6. 实战演示：结合 ARG 和 ENV 的最佳实践

让我们看一个综合案例，模拟一个真实的 Node.js 应用构建流程。我们需要处理依赖安装、版本控制和运行配置。

# 阶段 1: 构建阶段
FROM node:18-alpine AS builder

# 1. 定义构建参数：用于控制是否安装开发依赖
ARG NODE_ENV=production

# 2. 最佳实践：将 ARG 映射为 ENV，以便 npm 命令能感知环境
# npm 会根据 NODE_ENV 决定是否安装 devDependencies
ENV NODE_ENV=${NODE_ENV}

WORKDIR /app

# 先只复制 package 文件，利用 Docker 缓存层
COPY package*.json ./

# 利用 ENV 变量进行条件构建
RUN if [ "$NODE_ENV" = "production" ]; then \
      npm ci --only=production; \
    else \
      npm ci; \
    fi

# 复制源代码
COPY . .

# 构建应用
RUN npm run build

# 阶段 2: 运行阶段 (最终镜像)
FROM node:18-alpine

# 定义运行时的环境变量，提供默认值
# 注意：这里我们不再需要 NODE_ENV，因为生产环境通常固定为 production
ENV PORT=3000

# 这里的 ARG 作用域仅限于 FROM 之后，不会继承 builder 阶段的 ARG
ARG BUILD_DATE

# 将构建时的元数据写入标签，而不是环境变量（安全且整洁）
LABEL org.opencontainers.image.created=$BUILD_DATE

WORKDIR /app

# 从构建阶段复制产物
COPY --from=builder /app/dist ./dist
COPY --from=builder /app/node_modules ./node_modules

EXPOSE $PORT

CMD ["node", "dist/main.js"]

构建命令示例：

docker build --build-arg NODE_ENV=development --build-arg BUILD_DATE="$(date -Iseconds)" -t my-node-app .

在这个例子中，我们清晰地划分了职责：

• INLINECODE4fa725af 在构建阶段决定了 INLINECODEbd4dcb91 的行为。
• ENV PORT 在运行阶段决定了应用监听的端口。
• ARG BUILD_DATE 仅作为元数据通过 LABEL 记录，不污染运行环境。

总结

通过这篇文章，我们深入探讨了 Docker 中 ARG 和 ENV 的区别。让我们回顾一下核心要点：

• ARG 用于构建时：它是临时的、仅存在于构建过程中的变量。它的主要作用是让你能够从外部动态控制 Dockerfile 的行为，比如版本选择、依赖下载等。容器启动后，ARG 默认是不存在的。
• ENV 用于运行时：它是持久的、会被写入镜像配置的变量。它的主要作用是为运行在容器内的应用程序提供配置信息，如端口、数据库连接字符串等。容器启动后，ENV 是可见的。
• 交互规则：如果你需要将构建时的参数传递给运行时的应用，必须通过 ENV 指令进行一次“接力”传递。

作为开发者，当你下次编写 Dockerfile 时，不妨问自己一个问题：“这个变量是决定‘如何构建’的，还是决定‘如何运行’的？” 如果是前者，请使用 INLINECODE9af1e3a6；如果是后者，请使用 INLINECODE11f2240f。掌握这两个指令的使用，将帮助你构建出更加灵活、安全且标准化的 Docker 镜像。

希望这篇深入的技术解析能让你在日常的开发工作中更加得心应手。如果你在实践中有任何疑问，欢迎继续探索 Docker 的官方文档，或者在社区中与其他开发者交流经验。