Docker

• Вы пишете или оптимизируете Dockerfile и хотите, чтобы по умолчанию применялись надёжное кэширование слоёв, многоэтапные сборки и паттерны запуска от непривилегированного пользователя.
• Вы оркестрируете сервисы с помощью Docker Compose и нуждаетесь в помощи с проверками работоспособности, порядком зависимостей, монтированием томов и обработкой файлов .env.
• Вы отлаживаете проблему контейнера — завершение работы из-за нехватки памяти (exit 137), конфликты портов, сбои сети или ограничения образов distroless.
• Вы укрепляете контейнер для production-среды: управление секретами, ограничения ресурсов, ротация логов и удаление опасных флагов, таких как --privileged.

• Ваша инфраструктура использует Kubernetes или другой оркестратор контейнеров исключительно — в этом случае лучше подойдёт специализированный навык Kubernetes.
• Задача вообще не связана с Docker (чистый код приложения, CI-пайплайны без контейнеров и т. д.).

Обеспечивает использование фиксированных версий образов, объединение слоёв RUN для предотвращения устаревших кэшей, оптимизацию порядка COPY и применение USER nonroot по умолчанию. Выявляет незаметные ошибки, такие как использование ADD вместо COPY или утечка секретов через аргументы сборки.

Охватывает полный рабочий процесс Compose, включая условия depends_on с учётом проверок работоспособности (health-check), многофайловую композицию, размещение файлов .env, а также подводные камни монтирования томов, которые незаметно перезаписывают данные контейнера.

Объясняет, почему DNS контейнеров требует пользовательских сетей, как ограничить опубликованные порты адресом 127.0.0.1 для доступа только с локальной машины, а также как избежать накопления анонимных томов и несоответствия прав доступа при монтировании каталогов.

Предоставляет практическую карту кодов завершения (137 = OOM, 139 = segfault), инспекцию логов упавших контейнеров, а также техники доступа к файловым системам в distroless-контейнерах или аварийно завершившихся контейнерах с использованием docker cp и отладочных sidecar-контейнеров.

Обнаруживает опасные паттерны, включая секреты, встроенные через ENV, использование флага --privileged, а также образы из непроверенных реестров. Рекомендует монтирование секретов и конкретные возможности Linux вместо широкой эскалации привилегий.

Отслеживает висячие образы, неограниченный рост кэша сборки, остановленные контейнеры, потребляющие дисковое пространство, и осиротевшие сети. Предоставляет точные команды prune, необходимые для поддержания хост-систем в чистоте.

Используйте этот навык при написании нового Dockerfile, чтобы автоматически применять зафиксированные базовые образы, оптимальный порядок слоёв, паттерны многоэтапной сборки, непривилегированных пользователей и ограничения ресурсов — избегая наиболее распространённых ошибок сборки и безопасности с самого начала.

Когда контейнер неожиданно завершает работу, навык помогает вам разобраться в кодах выхода, получить логи из упавших контейнеров, проверить состояние с помощью docker inspect и восстановить файлы из файловой системы остановленного контейнера.

Оркестрируйте базы данных, API и фронтенд-сервисы с правильными условиями проверки работоспособности (health-check), ограниченными привязками портов, именованными томами и размещением файла .env, чтобы сервисы запускались в нужном порядке и надёжно взаимодействовали друг с другом.

Поддерживайте Docker-хост в исправном состоянии: удаляйте «висячие» образы, освобождайте кэш сборки, удаляйте остановленные контейнеры и очищайте осиротевшие сети — используя правильные флаги, чтобы случайно не удалить именованные тома.