Docker

• 您正在编写或优化 Dockerfile，并希望默认应用可靠的层缓存、多阶段构建和非 root 用户模式。
• 您正在使用 Docker Compose 编排服务，需要有关健康检查、依赖排序、卷挂载和 .env 文件处理的帮助。
• 您正在调试容器问题——OOM 终止（退出码 137）、端口冲突、网络故障或 distroless 镜像的限制。
• 您正在为生产环境加固容器：密钥管理、资源限制、日志轮转，以及移除 --privileged 等危险标志。

• 您的基础设施专门使用 Kubernetes 或其他容器编排工具——此时更适合使用专门的 Kubernetes 技能。
• 该任务完全不涉及 Docker（纯应用代码、不含容器的 CI 流水线等）。

强制执行固定镜像版本、合并 RUN 层以避免过期缓存、COPY 顺序优化，以及默认使用 USER nonroot。标记常见的隐性错误，例如使用 ADD 代替 COPY，或通过构建参数泄露敏感信息。

涵盖完整的 Compose 工作流，包括支持健康检查的 depends_on 条件、多文件组合、.env 文件的放置位置，以及会静默覆盖容器数据的卷挂载陷阱。

本文说明了以下几个方面：为何容器 DNS 需要使用自定义网络；如何将发布端口的范围限定为 127.0.0.1 以实现仅本地访问；以及如何避免匿名卷的累积和绑定挂载的权限不匹配问题。

提供退出代码的实用参考（137 = 内存溢出，139 = 段错误）、失败容器的日志检查方法，以及使用 docker cp 和调试边车容器访问无发行版（distroless）或崩溃容器文件系统的技术。

标记高风险模式，包括通过 ENV 指令内嵌的密钥、--privileged 标志的使用，以及来自未经验证的镜像仓库的镜像。建议使用 secrets 挂载和特定 Linux 能力（capabilities），而非授予宽泛的权限提升。

跟踪悬空镜像、无限制增长的构建缓存、占用磁盘空间的已停止容器以及孤立网络。提供所需的精确清理命令，以保持宿主系统整洁。

在编写新的 Dockerfile 时使用此技能，可自动应用固定版本的基础镜像、最优的层级排序、多阶段构建模式、非 root 用户以及资源限制——从源头规避最常见的构建错误和安全隐患。

当容器意外退出时，该技能将引导你完成以下操作：读取退出代码、从失败的容器中提取日志、使用 docker inspect 检查容器状态，以及从已停止容器的文件系统中恢复文件。

通过正确的健康检查条件、作用域端口绑定、命名卷以及 .env 文件的放置位置，编排数据库、API 和前端服务，从而确保服务按正确顺序启动并可靠地相互通信。

通过清理悬空镜像、回收构建缓存、删除已停止的容器以及清除孤立网络，保持 Docker 主机的健康状态——同时使用正确的参数标志，避免意外删除具名卷。