使用代理服务器配合 Docker CLI

本页面描述了如何配置 Docker CLI 以在容器中通过环境变量使用代理。

本页面不介绍如何为 Docker Desktop 配置代理。如需相关说明，请参阅配置 Docker Desktop 使用 HTTP/HTTPS 代理。

如果您在没有 Docker Desktop 的情况下运行 Docker 引擎，请参阅配置 Docker 守护进程以使用代理以了解如何为 Docker 守护进程 (dockerd) 本身配置代理服务器。

如果您的容器需要使用 HTTP、HTTPS 或 FTP 代理服务器，您可以通过不同方式进行配置：

配置 Docker 客户端
使用CLI设置代理

注意
不幸的是，目前没有标准规定Web客户端应如何处理代理环境变量，或定义这些变量的格式。
如果您对这些变量的历史感兴趣，请查看 GitLab 团队关于此主题的博客文章：我们需要谈谈：我们可以标准化 NO_PROXY 吗？。

配置 Docker 客户端

您可以使用位于 ~/.docker/config.json 的 JSON 配置文件为 Docker 客户端添加代理配置。构建和容器使用此文件中指定的配置。

{
 "proxies": {
   "default": {
     "httpProxy": "http://proxy.example.com:3128",
     "httpsProxy": "https://proxy.example.com:3129",
     "noProxy": "*.test.example.com,.example.org,127.0.0.0/8"
   }
 }
}

警告
代理设置可能包含敏感信息。例如，某些代理服务器需要在 URL 中包含身份验证信息，或者其地址可能会泄露公司环境的 IP 地址或主机名。
环境变量以纯文本形式存储在容器的配置中，因此可以通过远程API进行检查，或者在使用 docker commit 时提交到镜像中。

保存文件后配置即生效，无需重启 Docker。不过，该配置仅适用于新容器和构建，不会影响现有容器。

下表描述了可用的配置参数。

属性	描述
`httpProxy`	设置 `HTTP_PROXY` 和 `http_proxy` 环境变量和构建参数。
`httpsProxy`	设置 `HTTPS_PROXY` 和 `https_proxy` 环境变量和构建参数。
`ftpProxy`	设置 `FTP_PROXY` 和 `ftp_proxy` 环境变量和构建参数。
`noProxy`	设置 `NO_PROXY` 和 `no_proxy` 环境变量和构建参数。
`allProxy`	设置 `ALL_PROXY` 和 `all_proxy` 环境变量和构建参数。

这些设置仅用于为容器配置代理环境变量，不用于 Docker CLI 或 Docker 引擎本身的代理设置。请参阅环境变量和配置 Docker 守护进程以使用代理服务器部分，以了解如何为 CLI 和守护进程配置代理设置。

使用代理配置运行容器

当您启动容器时，其与代理相关的环境变量将被设置为反映您在 ~/.docker/config.json 中的代理配置。

例如，假设代理配置如上一节中所示的示例，您运行的容器的环境变量设置如下：

$ docker run --rm alpine sh -c 'env | grep -i  _PROXY'
https_proxy=http://proxy.example.com:3129
HTTPS_PROXY=http://proxy.example.com:3129
http_proxy=http://proxy.example.com:3128
HTTP_PROXY=http://proxy.example.com:3128
no_proxy=*.test.example.com,.example.org,127.0.0.0/8
NO_PROXY=*.test.example.com,.example.org,127.0.0.0/8

使用代理配置构建

当您调用构建时，会根据您的 Docker 客户端配置文件中的代理设置，自动预填充与代理相关的构建参数。

假设代理配置如前文中所示的示例，构建期间环境设置如下：

$ docker build \
  --no-cache \
  --progress=plain \
  - <<EOF
FROM alpine
RUN env | grep -i _PROXY
EOF

#5 [2/2] RUN env | grep -i _PROXY
#5 0.100 HTTPS_PROXY=https://proxy.example.com:3129
#5 0.100 no_proxy=*.test.example.com,.example.org,127.0.0.0/8
#5 0.100 NO_PROXY=*.test.example.com,.example.org,127.0.0.0/8
#5 0.100 https_proxy=https://proxy.example.com:3129
#5 0.100 http_proxy=http://proxy.example.com:3128
#5 0.100 HTTP_PROXY=http://proxy.example.com:3128
#5 DONE 0.1s

配置每个守护进程的代理设置

~/.docker/config.json 中的 proxies 下的 default 键配置客户端连接的所有守护进程的代理设置。要为单个守护进程配置代理，请使用守护进程的地址而不是 default 键。

以下示例同时配置了默认代理配置，以及针对地址 tcp://docker-daemon1.example.com 上 Docker 守护进程的无代理覆盖：

{
 "proxies": {
   "default": {
     "httpProxy": "http://proxy.example.com:3128",
     "httpsProxy": "https://proxy.example.com:3129",
     "noProxy": "*.test.example.com,.example.org,127.0.0.0/8"
   },
   "tcp://docker-daemon1.example.com": {
     "noProxy": "*.internal.example.net"
   }
 }
}

使用CLI设置代理

除了配置 Docker 客户端，您还可以在调用 docker build 和 docker run 命令时在命令行上指定代理配置。

命令行上的代理配置在构建时使用 --build-arg 标志，而在您希望通过代理运行容器时使用 --env 标志。

$ docker build --build-arg HTTP_PROXY="http://proxy.example.com:3128" .
$ docker run --env HTTP_PROXY="http://proxy.example.com:3128" redis

有关可与 docker build 命令一起使用的所有代理相关构建参数的列表，请参阅预定义 ARGs。这些代理值仅在构建容器中可用。它们不包含在构建输出中。

作为构建的环境变量的代理

不要使用 ENV Dockerfile 指令来指定构建的代理设置。请改用构建参数。

使用环境变量配置代理会将配置嵌入到镜像中。如果代理是内部代理，那么从该镜像创建的容器可能无法访问该代理。

在镜像中嵌入代理设置也存在安全风险，因为这些值可能包含敏感信息。