Docker

• Stai scrivendo o ottimizzando Dockerfile e vuoi che la cache dei layer affidabile, le build multi-stage e i pattern per utenti non-root vengano applicati per impostazione predefinita.
• Stai orchestrando servizi con Docker Compose e hai bisogno di aiuto con i health check, l'ordine delle dipendenze, i montaggi dei volumi e la gestione dei file .env.
• Stai eseguendo il debug di un problema con un container — OOM kill (exit 137), conflitti di porte, errori di rete o limitazioni delle immagini distroless.
• Stai rendendo un container più sicuro per la produzione: gestione dei secret, limiti delle risorse, rotazione dei log e rimozione di flag pericolosi come --privileged.

• La tua infrastruttura utilizza Kubernetes o un altro orchestratore di container esclusivamente — una skill dedicata a Kubernetes sarebbe più adatta.
• Il task non riguarda Docker in alcun modo (codice applicativo puro, pipeline CI senza container, ecc.).

Applica versioni delle immagini bloccate, layer RUN combinati per evitare cache obsolete, ottimizzazione dell'ordine dei COPY e USER nonroot come impostazione predefinita. Segnala errori silenziosi come l'uso di ADD al posto di COPY o la perdita di segreti tramite argomenti di build.

Copre l'intero flusso di lavoro di Compose, incluse le condizioni depends_on con controllo dello stato di salute, la composizione con più file, il posizionamento del file .env e le insidie dei mount dei volumi che sovrascrivono silenziosamente i dati del container.

Spiega perché il DNS dei container richiede reti personalizzate, come limitare le porte pubblicate a 127.0.0.1 per un'esposizione solo locale, e come evitare l'accumulo di volumi anonimi e le incompatibilità di permessi nei bind mount.

Fornisce una mappa pratica dei codici di uscita (137 = OOM, 139 = segfault), l'ispezione dei log per i container in errore e le tecniche per accedere ai filesystem in container distroless o crashati utilizzando docker cp e debug sidecar.

Segnala pattern ad alto rischio, tra cui segreti incorporati tramite ENV, l'utilizzo del flag --privileged e immagini provenienti da registry non verificati. Raccomanda l'uso di mount per i segreti e di specifiche capability Linux al posto di un'ampia escalation dei privilegi.

Monitora le immagini dangling, la crescita illimitata della cache di build, i container arrestati che consumano spazio su disco e le reti orfane. Fornisce i comandi prune esatti necessari per mantenere puliti i sistemi host.

Usa questa competenza quando scrivi un nuovo Dockerfile per applicare automaticamente immagini base con versione fissata, ordinamento ottimale dei layer, pattern di build multi-stage, utenti non-root e limiti alle risorse — evitando fin da subito gli errori più comuni di build e sicurezza.

Quando un container si chiude in modo inaspettato, la skill ti guida nella lettura dei codici di uscita, nel recupero dei log dai container in errore, nell'ispezione dello stato con docker inspect e nel recupero dei file dal filesystem di un container non più attivo.

Orchestrare database, API e servizi front-end con condizioni di health-check corrette, binding delle porte con scope definito, volumi nominati e posizionamento del file .env, in modo che i servizi si avviino nell'ordine corretto e comunichino in modo affidabile.

Mantieni in salute un host Docker eliminando le immagini dangling, recuperando la cache di build, rimuovendo i container fermi e ripulendo le reti orfane — con i flag giusti per evitare di cancellare accidentalmente i volumi con nome.