嘿，这个问题我刚好清楚，咱们来拆解一下：

核心结论：没法在Dockerfile里直接完成docker.sock的挂载 #

Dockerfile负责的是镜像构建阶段的配置，而挂载主机的/var/run/docker.sock属于容器运行阶段的操作——构建镜像的时候，还没有运行中的容器，也没法直接关联到主机的文件系统路径。你之前用docker run -v /var/run/docker.sock:/var/run/docker.sock能成，是因为这是告诉Docker引擎在启动容器时完成主机与容器的路径映射，属于运行时参数，不是镜像的一部分。

满足需求的正确方案 #

你的目标是在容器内执行Docker命令（pull、tag、push），其实只需要两个步骤：在镜像里安装Docker客户端，然后运行容器时挂载docker.sock即可，具体操作如下：

1. 修改Dockerfile，安装Docker客户端 #

因为我们要复用主机的Docker引擎，所以只需要安装Docker命令行客户端（不需要完整的Docker引擎）。基于你的CentOS镜像，修改后的Dockerfile可以这样写：

FROM centos:latest
RUN yum update -y && yum install epel-release -y
# 添加Docker官方yum源，用于安装客户端
RUN yum install -y yum-utils && \
    yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
# 安装Docker命令行客户端
RUN yum install -y docker-ce-cli
# 保留你原本的Python相关配置
RUN yum install python-pip -y
RUN pip install requests
COPY docker_push.py /tmp
COPY config.ini /tmp

2. 运行容器时挂载docker.sock #

构建完镜像后，启动容器时依然需要加上挂载参数，同时可以根据需要调整权限（比如确保容器内用户能访问docker.sock）：

docker run -v /var/run/docker.sock:/var/run/docker.sock your-image-tag

这样容器内的docker命令就会通过挂载的sock文件连接到主机的Docker引擎，执行pull、tag、push等操作和在主机上执行效果一致。

额外提醒 #

• 权限问题：主机的/var/run/docker.sock通常属于docker组（GID一般是999），如果容器内的用户不是这个组，可能会出现权限不足的情况。你可以在Dockerfile里创建对应GID的组并添加用户，或者运行容器时加上--group-add 999参数。
• 安全性：挂载docker.sock相当于给容器几乎完全的主机Docker控制权，一定要确保容器的安全性，不要运行不可信的镜像或在容器内执行危险操作。
• 替代方案（DinD）：如果需要完全独立的Docker环境，可以使用Docker-in-Docker（DinD）镜像，但这种方式的镜像和主机Docker是隔离的，不符合你操作主机镜像的需求，所以挂载sock是更合适的选择。

内容的提问来源于stack exchange，提问作者Kalim