在Docker中，可以使用Dockerfile来定义和构建容器镜像。Dockerfile是一个文本文件，包含了一系列的指令来告诉Docker如何构建镜像。其中之一是USER指令，用于指定在容器中运行的进程所使用的用户。

在容器中运行进程时，默认情况下会以root用户的身份运行。然而，以root用户的身份运行进程可能会带来安全风险。为了加强容器的安全性，可以使用USER指令来指定一个非特权用户来运行进程。

USER指令可以接受两种参数形式：用户名或者用户ID（UID）。下面是一个使用用户名的示例：

FROM ubuntu
RUN useradd -ms /bin/bash myuser
USER myuser

在这个示例中，首先使用FROM指令选择了一个基础镜像（这里选择了Ubuntu）。然后使用RUN指令创建了一个新的用户myuser。-m参数表示在用户的home目录下创建一个默认的shell。/bin/bash指定了这个shell的路径。接着，使用USER指令将容器中的进程切换为myuser用户。

此时，如果我们在容器中执行命令id，会看到输出的用户ID是1000，这是Docker在创建用户时自动分配的。

$ docker build -t myimage .
$ docker run -it myimage id
uid=1000(myuser) gid=1000(myuser) groups=1000(myuser)

通过将容器中的进程切换为非特权用户，可以减少潜在的安全风险。如果容器中的进程被攻击者利用，攻击者将无法以root权限操作容器。

除了使用用户名，USER指令还可以接受用户ID作为参数。例如：

FROM ubuntu
RUN useradd -u 1001 -ms /bin/bash myuser
USER 1001

在这个示例中，我们通过-u参数指定了用户ID为1001。使用用户ID的好处是，可以在不同的容器镜像之间共享相同的用户ID，方便用户权限管理。

需要注意的是，USER指令只影响镜像构建过程中的操作，对于容器中已有的进程并不会生效。因此，在构建镜像时应谨慎选择适当的用户。

总之，USER指令是Dockerfile中用于指定容器中运行进程的用户的一个重要指令。通过将进程切换为非特权用户，可以提高容器的安全性。在构建容器镜像时，我们可以选择使用用户名或者用户ID来指定用户。

journey
	title Dockerfile里的USER指令的使用

	section 用户切换
		构建基础镜像 -> 创建非特权用户 -> 使用USER指令切换进程

	section 示例
		构建基础镜像
		创建非特权用户
		使用USER指令切换进程

	section 安全性提升
		使用非特权用户运行进程 -> 减少安全风险

	section 注意事项
		USER指令只影响镜像构建过程 -> 容器中已有进程不受影响