Docker

• 您正在編寫或優化 Dockerfile，並希望預設套用可靠的層快取、多階段建構與非 root 使用者模式。
• 您正在使用 Docker Compose 協調服務，需要協助處理健康檢查、依賴順序、磁碟區掛載與 .env 檔案處理。
• 您正在除錯容器問題——OOM 終止（exit 137）、連接埠衝突、網路故障或 distroless 映像檔的限制。
• 您正在強化容器以用於生產環境：密鑰管理、資源限制、日誌輪替，以及移除危險旗標（如 --privileged）。

• 您的基礎設施專門使用 Kubernetes 或其他容器編排工具——此時使用專屬的 Kubernetes 技能會更合適。
• 該任務完全不涉及 Docker（純應用程式碼、不含容器的 CI 流程等）。

強制執行固定的映像版本、合併 RUN 層以避免快取過期、COPY 順序最佳化，以及預設使用 USER nonroot。標記常見的隱性錯誤，例如使用 ADD 代替 COPY，或透過建置參數洩漏機密資訊。

涵蓋完整的 Compose 工作流程，包括具備健康檢查感知的 depends_on 條件、多檔案組合、.env 檔案的放置位置，以及會無聲覆蓋容器資料的磁碟區掛載陷阱。

說明為何容器 DNS 需要自訂網路、如何將發布的連接埠範圍限定至 127.0.0.1 以實現僅本機存取，以及如何避免匿名 volume 不斷累積與綁定掛載（bind-mount）的權限不符問題。

提供實用的退出碼對照表（137 = 記憶體不足、139 = 區段錯誤）、失敗容器的日誌檢查方式，以及使用 docker cp 和除錯側車容器存取 distroless 或已崩潰容器檔案系統的技術。

標記高風險模式，包括透過 ENV 嵌入的機密資訊、--privileged 旗標的使用，以及來自未經驗證的映像檔倉庫的映像檔。建議使用 secrets 掛載及指定特定的 Linux 功能，而非採用廣泛的權限提升方式。

追蹤懸空映像檔、無限制增長的建置快取、佔用磁碟空間的已停止容器，以及孤立網路。提供精確的清理指令（prune commands），協助保持主機系統整潔。

當需要撰寫新的 Dockerfile 時，使用此技能可自動套用以下最佳實踐：固定版本的基底映像、最佳化的層級排序、多階段建置模式、非 root 使用者設定，以及資源限制——從一開始就避免最常見的建置錯誤與資安漏洞。

當容器意外退出時，此技能將引導您完成以下操作：讀取退出代碼、從失敗的容器中提取日誌、使用 docker inspect 檢查狀態，以及從已停止容器的檔案系統中復原檔案。

透過正確的健康檢查條件、限定範圍的埠綁定、具名磁碟區以及 .env 檔案配置，協調資料庫、API 與前端服務，確保各服務以正確順序啟動並穩定地相互通訊。

透過清除懸空映像檔、回收建置快取、移除已停止的容器，以及清理孤立的網路，保持 Docker 主機的健康狀態——並搭配正確的旗標，避免意外刪除具名磁碟區。