这个问题的核心在于镜像构建阶段的COPY操作和容器启动阶段的卷挂载的执行顺序：COPY是在构建镜像时完成的，而卷挂载是在容器启动时才会将卷挂载到指定路径——如果挂载的卷是空的，Docker会把镜像中对应目录的内容复制到卷里（仅首次创建卷时）；但如果卷已经存在（比如之前启动过容器），卷里的内容会覆盖镜像中的目录，导致你COPY的证书丢失。

下面是几种可靠的解决方法：

方法1：使用启动初始化脚本（推荐） #

通过自定义entrypoint脚本，在GitLab Runner启动前检查卷中的证书是否存在，不存在则从镜像里的临时位置复制过去，这样无论卷是否存在，都能保证证书被正确放置。

修改Dockerfile #

FROM gitlab/gitlab-runner:latest
# 将证书先复制到镜像的临时目录，避免被卷覆盖
COPY files/ca.crt /tmp/ca.crt
# 复制自定义entrypoint脚本
COPY entrypoint.sh /entrypoint.sh
# 给脚本添加执行权限
RUN chmod +x /entrypoint.sh
# 设置自定义entrypoint
ENTRYPOINT ["/entrypoint.sh"]

编写entrypoint.sh脚本 #

#!/bin/bash
# 确保卷中的certs目录存在
mkdir -p /etc/gitlab-runner/certs

# 如果卷里没有ca.crt，就从临时目录复制过去
if [ ! -f /etc/gitlab-runner/certs/ca.crt ]; then
    cp /tmp/ca.crt /etc/gitlab-runner/certs/ca.crt
    echo "Copied CA certificate to volume"
fi

# 执行GitLab Runner原有的entrypoint命令，保证服务正常启动
exec /usr/bin/dumb-init -- /entrypoint "$@"

方法2：利用Docker命名卷的初始化特性（仅适用于全新部署） #

如果你的gitlab-config-volume是首次创建（之前没有用过这个卷），Docker会自动将镜像中/etc/gitlab-runner目录的所有内容（包括你COPY的证书）复制到卷里。这种情况下，你不需要修改任何代码，直接启动容器即可——首次启动后，卷里就会包含证书文件，后续启动容器时卷内容不会被覆盖。

但要注意：如果这个卷已经存在（比如之前启动过容器并生成了配置），Docker不会再从镜像复制内容到卷里，此时证书不会出现在卷中，这种情况还是需要用方法1来解决。

方法3：调整卷挂载路径（不推荐，仅作参考） #

如果你只需要保留GitLab Runner的配置文件（config.toml），可以只挂载单个文件而不是整个目录：

修改docker-compose.yml：

version: '3'
services:
  gitlab-runner:
    build: '.'
    volumes:
      - gitlab-config-volume:/etc/gitlab-runner/config.toml
volumes:
  gitlab-config-volume:
    external: false

不过这种方法有局限性：GitLab Runner可能会在/etc/gitlab-runner目录下生成其他文件，仅挂载单个配置文件可能导致其他依赖文件缺失，所以不推荐使用。

内容的提问来源于stack exchange，提问作者Jeanluca Scaljeri