DevToolBox免费
博客

Docker Compose 密钥和环境变量:正确的做法

10 分钟阅读作者 DevToolBox

环境变量是 Docker Compose 中配置容器的主要机制。但有4种不同的传递方式,每种都有不同的行为、安全影响和注意事项。本指南涵盖所有方法,从简单的 .env 文件到生产级 Docker secrets,以及多环境设置的实际模式。

Docker Compose 中传递环境变量的4种方式

Docker Compose 支持四种不同的方法将环境变量注入容器。了解何时使用每种方法对于可维护、安全的配置至关重要。

1. 使用 environment 指令内联定义

直接在 docker-compose.yml 中定义键值对。最适合不敏感的、特定于服务的、很少变化的配置。

services:
  api:
    image: node:20-alpine
    environment:
      NODE_ENV: production
      DB_HOST: postgres
      DB_PORT: "5432"
      LOG_LEVEL: info

  # List syntax (also valid)
  worker:
    image: node:20-alpine
    environment:
      - NODE_ENV=production
      - QUEUE_NAME=tasks
      - CONCURRENCY=4

2. 使用 env_file 加载外部文件

从一个或多个外部文件加载变量。最适合管理相关变量组并将密钥排除在版本控制之外。

services:
  api:
    image: node:20-alpine
    env_file:
      - .env              # Shared variables
      - .env.api          # Service-specific variables
      - .env.local        # Local overrides (gitignored)

  db:
    image: postgres:16
    env_file:
      - .env
      - .env.db

3. Shell 环境变量透传

将主机 shell 中的变量传递到容器中。最适合 CI/CD 管道和动态值。

# In your shell:
export API_KEY=sk-abc123
export DEBUG=true

# docker-compose.yml
services:
  api:
    image: node:20-alpine
    environment:
      - API_KEY          # Passes host $API_KEY into container
      - DEBUG            # Passes host $DEBUG into container
      - CI               # Passes host $CI (empty string if unset)

4. docker-compose.yml 中的变量替换

直接在 Compose 文件值中插值主机环境变量。最适合使 Compose 文件在不同环境间可配置。

# .env file
POSTGRES_VERSION=16
APP_PORT=3000
REPLICAS=3

# docker-compose.yml
services:
  db:
    image: postgres:${POSTGRES_VERSION}    # Resolved from .env or shell
  app:
    ports:
      - "${APP_PORT}:3000"                 # Resolved from .env or shell
    deploy:
      replicas: ${REPLICAS}               # Resolved from .env or shell

对比表

方法最适合纳入版本控制?密钥安全?
environmentNon-sensitive defaultsYesNo
env_fileGrouped config, secretsNo (.gitignore)Partial
Shell passthroughCI/CD, dynamic valuesN/APartial
${} substitutionCompose file templatingYes (file), No (.env)No

.env 文件:语法、位置和插值

Docker Compose 会自动读取与 docker-compose.yml 同目录下名为 .env 的文件。这是外部化配置最常见的方式。

语法规则

# Comments start with #
# Blank lines are ignored

# Simple key=value (no spaces around =)
DB_HOST=localhost
DB_PORT=5432

# Values with spaces need quotes
APP_NAME="My Docker App"
GREETING='Hello World'

# Multi-line values (double quotes only)
PRIVATE_KEY="-----BEGIN RSA PRIVATE KEY-----
MIIEpAIBAAKCAQEA...
-----END RSA PRIVATE KEY-----"

# Variable expansion (Compose v2.20+)
BASE_URL=https://api.example.com
HEALTH_URL=${BASE_URL}/health

# Export prefix is ignored (compatible with shell source)
export SECRET_KEY=mysecretkey

# Empty values
EMPTY_VAR=
ALSO_EMPTY=''

文件位置和优先级

Compose 在项目目录(docker-compose.yml 所在位置)中查找 .env。可以使用 --env-file 标志覆盖:

# Default: reads .env from project directory
docker compose up

# Override with --env-file
docker compose --env-file .env.staging up

# Multiple --env-file flags (Compose v2.24+)
docker compose --env-file .env --env-file .env.local up

# Project directory structure:
my-project/
  docker-compose.yml    # Compose file
  .env                  # Auto-loaded by Compose
  .env.staging          # Loaded with --env-file
  .env.production       # Loaded with --env-file

在 docker-compose.yml 中插值

.env 中的变量可用于 docker-compose.yml 中的替换,但它们不会自动注入到容器中:

# .env
TAG=3.2.1
EXTERNAL_PORT=8080

# docker-compose.yml
services:
  web:
    image: myapp:${TAG}              # Uses TAG from .env -> myapp:3.2.1
    ports:
      - "${EXTERNAL_PORT}:80"        # Uses EXTERNAL_PORT from .env -> 8080:80
    environment:
      - TAG                           # WRONG! This passes host $TAG, not .env TAG
      - TAG=${TAG}                   # RIGHT! Explicitly interpolate .env value

# Key insight:
# .env -> docker-compose.yml interpolation   (automatic)
# .env -> container environment              (NOT automatic, use env_file)

env_file 与 environment:区别和注意事项

这两个指令看起来相似但行为不同。了解区别可以防止微妙的错误。

指令行为
environment:Inlined in docker-compose.yml. Visible in version control. Supports variable substitution. Overrides env_file.
env_file:Loaded from external file(s). Can be gitignored. No variable substitution inside the file. Lower priority than environment.
.env (auto)Only for Compose file interpolation (${} syntax). NOT injected into containers. Lowest priority.

关键注意事项

  • 1. 优先级:environment 的值会覆盖 env_file 中相同键的值。这是有意设计的,用于覆盖。
  • 2. .env 文件(自动加载)仅用于 Compose 文件插值。除非显式使用 env_file 或 environment,否则不会注入到容器中。
  • 3. env_file 路径相对于 docker-compose.yml 文件,而非当前工作目录。
  • 4. 如果 env_file 缺失,Compose 会报错。使用 required: false(Compose v2.24+)使其可选。
# Precedence demonstration:

# .env.shared
DB_HOST=shared-db
DB_PORT=5432

# docker-compose.yml
services:
  api:
    env_file:
      - .env.shared              # DB_HOST=shared-db, DB_PORT=5432
    environment:
      DB_HOST: override-db       # Overrides env_file! DB_HOST=override-db
      # DB_PORT not listed here  # Keeps env_file value: DB_PORT=5432

# Result inside container:
# DB_HOST=override-db    (from environment, overrides env_file)
# DB_PORT=5432           (from env_file)

# Optional env_file (Compose v2.24+):
services:
  api:
    env_file:
      - path: .env.local
        required: false          # Won't fail if file doesn't exist

Docker Secrets:生产环境的基于文件的密钥

Docker secrets 为敏感数据提供了比环境变量更安全的替代方案。密钥以文件形式挂载在容器内,不会暴露为环境变量。

步骤1:创建密钥文件

# Create secret files (don't commit these!)
echo "SuperSecretPassword123" > db_password.txt
echo "sk-prod-abc123xyz789" > api_key.txt

# Add to .gitignore
echo "*.txt" >> .gitignore
echo "secrets/" >> .gitignore

# Alternative: use a secrets directory
mkdir secrets
echo "SuperSecretPassword123" > secrets/db_password
echo "sk-prod-abc123xyz789" > secrets/api_key

步骤2:在 docker-compose.yml 中定义密钥

# docker-compose.yml
services:
  db:
    image: postgres:16
    environment:
      POSTGRES_PASSWORD_FILE: /run/secrets/db_password  # Note: _FILE suffix
    secrets:
      - db_password                    # Grant access to this secret

  api:
    image: myapp:latest
    secrets:
      - db_password
      - api_key
    # Secrets available at:
    # /run/secrets/db_password
    # /run/secrets/api_key

# Top-level secrets definition
secrets:
  db_password:
    file: ./secrets/db_password        # From local file
  api_key:
    file: ./secrets/api_key            # From local file

  # Alternative: use environment variable as source
  # jwt_secret:
  #   environment: JWT_SECRET_VALUE    # From host env var (Compose v2.23+)

步骤3:在应用中读取密钥

# Inside the container, secrets are plain text files:
$ docker compose exec api cat /run/secrets/db_password
SuperSecretPassword123

$ docker compose exec api cat /run/secrets/api_key
sk-prod-abc123xyz789

$ docker compose exec api ls -la /run/secrets/
total 8
-r--r--r-- 1 root root 24 Jan  1 00:00 db_password
-r--r--r-- 1 root root 22 Jan  1 00:00 api_key

步骤4:在代码中处理密钥

// Node.js - Read secret from file
const fs = require('fs');

function getSecret(name) {
  const secretPath = `/run/secrets/${name}`;
  try {
    return fs.readFileSync(secretPath, 'utf8').trim();
  } catch (err) {
    // Fallback to environment variable (for development)
    return process.env[name.toUpperCase()];
  }
}

const dbPassword = getSecret('db_password');
const apiKey = getSecret('api_key');
# Python - Read secret from file
import os

def get_secret(name: str) -> str:
    secret_path = f"/run/secrets/{name}"
    try:
        with open(secret_path) as f:
            return f.read().strip()
    except FileNotFoundError:
        # Fallback to environment variable
        return os.environ.get(name.upper(), "")

db_password = get_secret("db_password")
api_key = get_secret("api_key")

为什么选择 Secrets 而非环境变量?

  • 环境变量可通过 docker inspect、/proc/environ、错误日志和崩溃转储泄露
  • 密钥基于文件,仅在容器内的 /run/secrets/ 可访问
  • 密钥支持按服务的细粒度访问控制
  • 许多数据库和服务原生支持 _FILE 后缀的密钥文件(如 POSTGRES_PASSWORD_FILE)

变量替换:${VAR:-default} 语法

Docker Compose 支持 shell 风格的变量替换,包含默认值和错误处理。

语法结果
${VAR}Value of VAR. Error if unset.
${VAR:-default}Value of VAR if set, otherwise "default".
${VAR-default}Value of VAR if set (even if empty), otherwise "default".
${VAR:?error msg}Value of VAR if set, otherwise exit with "error msg".
${VAR?error msg}Value of VAR if set (even if empty), otherwise exit with "error msg".
${VAR:+replacement}"replacement" if VAR is set and non-empty, otherwise empty.
${VAR+replacement}"replacement" if VAR is set (even if empty), otherwise empty.

实际示例

# docker-compose.yml with variable substitution
services:
  web:
    image: nginx:${NGINX_VERSION:-1.25-alpine}     # Default: 1.25-alpine
    ports:
      - "${WEB_PORT:-80}:80"                        # Default: 80
      - "${SSL_PORT:-443}:443"                      # Default: 443
    volumes:
      - ${CONFIG_PATH:-./nginx.conf}:/etc/nginx/nginx.conf:ro

  api:
    image: ${REGISTRY:-docker.io}/myapp:${TAG:?TAG is required}
    #                                     ^ Fails if TAG is not set
    environment:
      NODE_ENV: ${NODE_ENV:-development}
      LOG_LEVEL: ${LOG_LEVEL:-info}
      DATABASE_URL: postgres://${DB_USER:-postgres}:${DB_PASS:?DB_PASS required}@db:5432/${DB_NAME:-myapp}

  db:
    image: postgres:${PG_VERSION:-16}
    volumes:
      - ${DATA_DIR:-./data}/postgres:/var/lib/postgresql/data

多环境设置:开发/预发布/生产模式

实际项目需要不同的开发、预发布和生产配置。以下是经过验证的模式。

模式1:覆盖文件(推荐)

使用基础 docker-compose.yml 配合环境特定的覆盖文件。Compose 会自动合并它们。

# File structure:
project/
  docker-compose.yml              # Base configuration
  docker-compose.override.yml     # Dev overrides (auto-loaded!)
  docker-compose.staging.yml      # Staging overrides
  docker-compose.prod.yml         # Production overrides
# docker-compose.yml (base)
services:
  api:
    image: myapp:${TAG:-latest}
    restart: unless-stopped
    depends_on:
      - db
      - redis

  db:
    image: postgres:16
    volumes:
      - pg-data:/var/lib/postgresql/data

  redis:
    image: redis:7-alpine

volumes:
  pg-data:
# docker-compose.override.yml (development - auto-loaded)
services:
  api:
    build: .
    volumes:
      - .:/app                          # Hot reload
      - /app/node_modules
    ports:
      - "3000:3000"
      - "9229:9229"                     # Debugger
    environment:
      NODE_ENV: development
      LOG_LEVEL: debug
      DB_HOST: db

  db:
    ports:
      - "5432:5432"                     # Expose DB for local tools
    environment:
      POSTGRES_PASSWORD: devpassword    # OK for dev only
# docker-compose.prod.yml (production)
services:
  api:
    # No build, no volumes, no debug port
    ports:
      - "3000:3000"
    environment:
      NODE_ENV: production
      LOG_LEVEL: warn
    env_file:
      - .env.production
    secrets:
      - db_password
      - api_key
    deploy:
      replicas: 3
      resources:
        limits:
          cpus: '1.0'
          memory: 512M

  db:
    # No exposed ports
    environment:
      POSTGRES_PASSWORD_FILE: /run/secrets/db_password
    secrets:
      - db_password
    deploy:
      resources:
        limits:
          cpus: '2.0'
          memory: 1G

secrets:
  db_password:
    file: ./secrets/db_password
  api_key:
    file: ./secrets/api_key
# Usage:

# Development (auto-loads docker-compose.override.yml)
docker compose up

# Staging
docker compose -f docker-compose.yml -f docker-compose.staging.yml up -d

# Production
docker compose -f docker-compose.yml -f docker-compose.prod.yml up -d

# Validate merged config before deploying
docker compose -f docker-compose.yml -f docker-compose.prod.yml config

模式2:环境特定的 .env 文件

使用 --env-file 标志为每个环境加载不同的变量集。

# .env.development
TAG=latest
APP_PORT=3000
DB_PASSWORD=devpassword
LOG_LEVEL=debug
REPLICAS=1

# .env.staging
TAG=rc-1.2.3
APP_PORT=3000
DB_PASSWORD=staging-secret-pw
LOG_LEVEL=info
REPLICAS=2

# .env.production
TAG=1.2.3
APP_PORT=3000
DB_PASSWORD=prod-ultra-secret-pw
LOG_LEVEL=warn
REPLICAS=3

# Usage:
docker compose --env-file .env.development up       # Dev
docker compose --env-file .env.staging up -d         # Staging
docker compose --env-file .env.production up -d      # Production

模式3:使用 Profiles 控制可选服务

使用 Compose profiles 按环境包含或排除服务。

# docker-compose.yml
services:
  api:
    image: myapp:${TAG:-latest}
    ports:
      - "3000:3000"

  db:
    image: postgres:16
    volumes:
      - pg-data:/var/lib/postgresql/data

  # Dev-only services
  adminer:
    image: adminer
    ports:
      - "8080:8080"
    profiles:
      - dev                           # Only starts with --profile dev

  mailhog:
    image: mailhog/mailhog
    ports:
      - "1025:1025"
      - "8025:8025"
    profiles:
      - dev                           # Only starts with --profile dev

  # Monitoring (staging + production)
  prometheus:
    image: prom/prometheus
    profiles:
      - monitoring                    # Only starts with --profile monitoring

volumes:
  pg-data:

# Usage:
docker compose --profile dev up                     # Includes adminer + mailhog
docker compose --profile monitoring up -d           # Includes prometheus
docker compose --profile dev --profile monitoring up  # Both profiles

安全检查清单:绝不能放入环境变量的内容

环境变量方便但对敏感数据本质上不安全。遵循以下规则:

绝不要这样做应该这样做
在 docker-compose.yml 中硬编码密码使用 .env 文件(已 gitignore)或 Docker secrets
将 .env 文件提交到版本控制将 .env 添加到 .gitignore,提交 .env.example 代替
用环境变量传递私钥或证书通过卷或 Docker secrets 以文件形式挂载
在应用代码中记录环境变量在日志中脱敏敏感值
通过 Slack、邮件或聊天分享 .env 文件使用密钥管理器(Vault、AWS Secrets Manager、1Password)
在开发/预发布/生产环境使用相同的密钥为每个环境生成唯一密钥
# .gitignore — essential entries for Docker projects
.env
.env.*
!.env.example
secrets/
*.pem
*.key
*.crt
# .env.example — commit this as a template
# Database
DB_HOST=localhost
DB_PORT=5432
DB_USER=myapp
DB_PASSWORD=CHANGE_ME

# API Keys
API_KEY=CHANGE_ME
JWT_SECRET=CHANGE_ME

# Application
NODE_ENV=development
LOG_LEVEL=debug
APP_PORT=3000

调试:为什么我的环境变量没有加载?

当环境变量没有到达容器时,按此系统流程排查。

步骤1:变量是否已定义?

检查变量是否存在于 .env 文件、env_file 或 environment 指令中。

步骤2:变量是否到达了容器?

运行 docker compose exec <service> env 查看容器内的所有环境变量。

步骤3:.env 文件是否在正确位置?

.env 文件必须与 docker-compose.yml 在同一目录,或用 --env-file 指定。

步骤4:是否存在命名冲突?

检查拼写错误、大小写敏感和优先级(environment > env_file > .env)。

步骤5:Compose 文件是否有效?

运行 docker compose config 查看所有变量替换后的完整解析配置。

步骤6:变量是否被覆盖?

Shell 环境变量会覆盖 .env 文件的值。在主机上用 echo $VAR_NAME 检查。

有用的调试命令

# 1. See the fully resolved Compose config (all variables substituted)
docker compose config

# 2. Check environment variables inside a running container
docker compose exec api env

# 3. Check a specific variable
docker compose exec api sh -c 'echo $DATABASE_URL'

# 4. Inspect container config (shows env vars, mounts, etc.)
docker inspect <container_id> --format '{{json .Config.Env}}' | jq .

# 5. Check if .env file is being read
docker compose config --format json | jq '.services.api.environment'

# 6. Verify env_file exists and is readable
docker compose config 2>&1 | grep -i "env_file"

# 7. Run a one-off container to test environment
docker compose run --rm api env | sort

# 8. Check for shell variable conflicts
env | grep -i "DB_"

# 9. Validate Compose file syntax
docker compose config --quiet && echo "Valid" || echo "Invalid"

# 10. Show variable substitution warnings
docker compose --verbose up 2>&1 | grep -i "variable"

常见问题

Docker Compose 中 .env 和 env_file 有什么区别?

.env 文件由 Docker Compose 自动读取,用于 docker-compose.yml 本身的变量替换。env_file 指令将变量直接加载到容器环境中。它们用途不同:.env 用于 Compose 文件插值,env_file 用于容器环境注入。

如何将主机的环境变量传递到 Docker 容器?

可以通过在 environment 指令中列出不带值的变量名(如 "- MY_VAR"),或在 docker-compose.yml 中使用 ${MY_VAR} 变量替换语法。主机 shell 必须在运行 docker compose up 之前设置好该变量。

Docker 环境变量安全吗?

不安全。环境变量可通过 docker inspect 查看,出现在容器内的 /proc/environ 中,并可能被应用记录。对于密码和 API 密钥等敏感数据,使用 Docker secrets(基于文件)或专用密钥管理器。

Docker Compose 中环境变量的优先级顺序是什么?

从高到低的优先级为:1) docker compose run -e 设置的值,2) 主机 shell 环境变量,3) docker-compose.yml 中的 environment 指令,4) env_file 指令,5) Dockerfile ENV 指令的值。高优先级覆盖低优先级。

如何为开发和生产使用不同的环境变量?

使用覆盖文件:创建共享配置的基础 docker-compose.yml,然后用 docker-compose.override.yml 用于开发,docker-compose.prod.yml 用于生产。生产环境运行 docker compose -f docker-compose.yml -f docker-compose.prod.yml up。也可以使用 --env-file 加载环境特定的 .env 文件。

Docker secrets 与环境变量有何不同?

Docker secrets 以文件形式挂载(在 /run/secrets/<secret_name>)而非设置为环境变量。它们更安全,因为不会出现在 docker inspect、进程列表或崩溃转储中。许多官方 Docker 镜像支持使用 _FILE 后缀约定从密钥文件读取配置(如 POSTGRES_PASSWORD_FILE)。

𝕏 Twitterin LinkedIn
这篇文章有帮助吗?

保持更新

获取每周开发技巧和新工具通知。

无垃圾邮件,随时退订。

试试这些相关工具

🐳Docker Compose GeneratorYMLYAML Validator & Formatter.gi.gitignore Generator

相关文章

Docker Compose 速查表:服务、卷和网络

Docker Compose 核心参考:服务定义、卷挂载、网络配置、环境变量和常见栈示例。

.env 文件指南:环境变量最佳实践

掌握 .env 文件和环境变量。语法、安全规则、框架配置、Docker 集成和 10 个常见错误修复。