Docker

• Estás escribiendo u optimizando Dockerfiles y quieres que el almacenamiento en caché por capas, las compilaciones multietapa y los patrones de usuario no root se apliquen de forma predeterminada.
• Estás orquestando servicios con Docker Compose y necesitas ayuda con comprobaciones de estado, orden de dependencias, montajes de volúmenes y el manejo de archivos .env.
• Estás depurando un problema de contenedor: terminaciones por falta de memoria (exit 137), conflictos de puertos, fallos de red o limitaciones de imágenes distroless.
• Estás reforzando un contenedor para producción: gestión de secretos, límites de recursos, rotación de logs y eliminación de flags peligrosos como --privileged.

• Tu infraestructura utiliza Kubernetes u otro orquestador de contenedores de forma exclusiva — una skill dedicada a Kubernetes sería una mejor opción.
• La tarea no implica Docker en absoluto (código de aplicación puro, pipelines de CI sin contenedores, etc.).

Aplica versiones de imágenes fijadas, capas RUN combinadas para evitar cachés obsoletas, optimización del orden de COPY y USER nonroot de forma predeterminada. Señala errores silenciosos como el uso de ADD en lugar de COPY o la filtración de secretos a través de argumentos de compilación.

Cubre el flujo de trabajo completo de Compose, incluyendo condiciones depends_on con verificación de estado de salud, composición con múltiples archivos, ubicación del archivo .env y los errores con montajes de volúmenes que sobrescriben silenciosamente los datos del contenedor.

Explica por qué el DNS de contenedores requiere redes personalizadas, cómo limitar los puertos publicados a 127.0.0.1 para una exposición exclusivamente local, y cómo evitar la acumulación de volúmenes anónimos y los problemas de permisos en los montajes de enlace.

Proporciona un mapa práctico de códigos de salida (137 = OOM, 139 = segfault), inspección de registros para contenedores fallidos y técnicas para acceder a sistemas de archivos en contenedores distroless o bloqueados usando docker cp y contenedores sidecar de depuración.

Detecta patrones de alto riesgo, como secretos incorporados mediante ENV, el uso del flag --privileged e imágenes provenientes de registros no verificados. Recomienda el uso de montajes de secretos y capacidades específicas de Linux en lugar de una escalada de privilegios amplia.

Realiza un seguimiento de imágenes colgantes, crecimiento ilimitado de la caché de compilación, contenedores detenidos que consumen espacio en disco y redes huérfanas. Proporciona los comandos prune exactos necesarios para mantener los sistemas host limpios.

Usa esta habilidad al escribir un nuevo Dockerfile para aplicar automáticamente imágenes base fijadas a una versión específica, orden óptimo de capas, patrones de compilación multietapa, usuarios sin privilegios de root y límites de recursos — evitando desde el principio los errores más comunes de construcción y seguridad.

Cuando un contenedor termina de forma inesperada, la habilidad te guía a través de la lectura de códigos de salida, la obtención de registros de contenedores fallidos, la inspección del estado con docker inspect y la recuperación de archivos del sistema de archivos de un contenedor inactivo.

Orquesta bases de datos, APIs y servicios de front-end con condiciones de health-check correctas, enlaces de puertos con alcance definido, volúmenes con nombre y ubicación del archivo .env, de modo que los servicios arranquen en el orden adecuado y se comuniquen de forma fiable.

Mantén un host de Docker en buen estado eliminando imágenes colgantes, recuperando la caché de compilación, eliminando contenedores detenidos y limpiando redes huérfanas — con los indicadores adecuados para evitar borrar accidentalmente volúmenes con nombre.