Add security note

2026-03-14 05:41:11 +00:00 · 2026-02-28 14:28:38 -08:00
parent 70cab9e92d
commit 0ff67cc893
16 changed files with 115 additions and 23 deletions
--- a/08_data/8.1_volume.md
+++ b/08_data/8.1_volume.md
@@ -138,9 +138,11 @@ $ docker run -d \
 | 特性 | --mount | -v |
 |------|---------|-----|
 | 语法 | 键值对，更清晰 | 冒号分隔，更简洁 |
-| 自动创建卷 | source 不存在会报错 | 自动创建 |
+| 自动创建卷 | source 不存在会自动创建 | 自动创建 |
 | 推荐程度 | ✅ 推荐 (更明确)| 常用 (更简洁)|

+> **提示**：很多人误以为 `--mount` 遇到目标不存在时总是报错。实际上，那仅适用于**绑定挂载 (Bind Mount)**。对于**数据卷 (Volume)**，只要 `source` 指定的卷名称不存在，Docker 都会默默将其创建出来。
+
 #### 只读挂载

 ```bash
--- a/08_data/8.2_bind-mounts.md
+++ b/08_data/8.2_bind-mounts.md
@@ -74,9 +74,11 @@ $ docker run -d \
 | 特性 | --mount | -v |
 |------|---------|-----|
 | 语法 | 键值对，更清晰 | 冒号分隔，更简洁 |
-| 路径不存在时 | 报错 | 自动创建目录 |
+| 路径不存在时 | 直接报错 (Fail Fast) | 静默自动创建**目录** |
 | 推荐程度 | ✅ 推荐 | 常用 |

+> **⚠️ 陷阱**：如果不小心挂载了一个不存在的宿主机路径，使用 `-v` 会在宿主机上静默创建一个**空目录**（即使你本来想挂载的是一个文件），这常常会导致权限错误或应用无法正常读取。这也正是为什么 Docker 官方更推荐使用 `--mount` 的原因：它会遵循“Fail Fast”原则直接报错，避免弄巧成拙。
+
 ---

 ### 8.2.4 使用场景