RUN mkdir создает папку внутри docker-image.
Поэтому ее не видно невооруженным глазом.
Тоесть это подготовка артифакта дистрибутива а
не манипуляции с твоими каталогами.
При разработке docker не ставились задачи - догнать bare-metal. Главная задача - виртуализация и оркестрация.
Если у вас нет таких задач то возможно и docker вам просто не нужен. Ставьте софт на железо и
не будет таких вопросов.
Если докер является частью вашего облака AWS/Azure - то надо читать их документацию. Обычно постащик облака всегда продает какой-то сейф (vault) для хранения секретов. И есть API через который можно читать содержимое этого сейфа.