docker-expert
Оптимизация Docker-контейнеров
Docker-контейнеры часто страдают от больших размеров образов, уязвимостей безопасности и низкой производительности сборки. Этот навык предоставляет экспертные рекомендации по многоэтапным сборкам, усилению безопасности и готовству паттернамым к производ оркестрации для создания эффективных и безопасных развёртываний контейнеров.
Скачать ZIP навыка
Загрузить в Claude
Перейдите в Settings → Capabilities → Skills → Upload skill
Включите и начните использовать
Протестировать
Использование «docker-expert». Optimize this Dockerfile: FROM node:18 WORKDIR /app COPY package*.json . RUN npm install COPY . . RUN npm run build CMD ["node", "dist/index.js"]
Ожидаемый результат:
Here's an optimized multi-stage Dockerfile:
**Key improvements:**
1. Separate dependency installation from source code to maximize layer caching
2. Add non-root user for security
3. Use npm ci for deterministic installs
4. Prune production dependencies
```dockerfile
FROM node:18-alpine AS deps
WORKDIR /app
COPY package*.json .
RUN npm ci --only=production && npm cache clean --force
FROM node:18-alpine AS build
WORKDIR /app
COPY package*.json .
RUN npm ci
COPY . .
RUN npm run build && npm prune --production
FROM node:18-alpine
RUN addgroup -g 1001 -S appgroup && adduser -S appuser -u 1001 -G appgroup
WORKDIR /app
COPY --from=deps --chown=appuser:appgroup /app/node_modules ./node_modules
COPY --from=build --chown=appuser:appgroup /app/dist ./dist
USER 1001
EXPOSE 3000
CMD ["node", "dist/index.js"]
```
Использование «docker-expert». Create a Docker Compose setup for a Node.js API with PostgreSQL that includes health checks and resource limits.
Ожидаемый результат:
Here's a production-ready Docker Compose configuration:
**Features included:**
- Service health checks with dependencies
- Separate networks for frontend and backend
- Resource limits to prevent resource exhaustion
- External secrets for credentials
- Named volume for data persistence
```yaml
version: '3.8'
services:
api:
build: .
depends_on:
db:
condition: service_healthy
networks:
- backend
healthcheck:
test: ["CMD", "curl", "-f", "http://localhost:3000/health"]
interval: 30s
timeout: 10s
retries: 3
deploy:
resources:
limits:
cpus: '0.5'
memory: 512M
db:
image: postgres:15-alpine
environment:
POSTGRES_DB_FILE: /run/secrets/db_name
POSTGRES_USER_FILE: /run/secrets/db_user
POSTGRES_PASSWORD_FILE: /run/secrets/db_password
secrets:
- db_name
- db_user
- db_password
volumes:
- postgres_data:/var/lib/postgresql/data
networks:
- backend
healthcheck:
test: ["CMD-SHELL", "pg_isready -U postgres"]
interval: 10s
timeout: 5s
retries: 5
networks:
backend:
driver: bridge
internal: true
volumes:
postgres_data:
secrets:
db_name:
external: true
# ... additional secrets
```
Аудит безопасности
БезопасноStatic analysis detected 53 patterns (external_commands, network, filesystem, env_access) but all are false positives. The flagged bash code blocks are documentation examples, not execution; health check URLs target localhost; Docker commands read standard container state; and secrets patterns demonstrate security best practices. No malicious patterns confirmed.
Оценка качества
Что вы можете построить
Уменьшение размера образа контейнера
Команда разработки борется с Docker-образами размером в несколько гигабайт, вызывающими медленное развёртывание. Навык анализирует их Dockerfile и реализует многоэтапные сборки, оптимизируя кэширование слоёв и выбирая подходящие базовые образы для уменьшения размера образа до 80%.
Усиление безопасности для production-среды
Команде безопасности необходимо обеспечить работу контейнеров с минимальными привилегиями. Навык проверяет конфигурации контейнеров и реализует непривилегированных пользователей, файловые системы только для чтения, правильное управление секретами и ограничения возможностей в соответствии с принципами эшелонированной защиты.
Настройка оркестрации Docker Compose
Стартапу необходимо настроить среду разработки с несколькими сервисами с правильными зависимостями, проверками работоспособности и сетевой изоляцией. Навык создаёт готовые к производству конфигурации Docker Compose с обнаружением сервисов, ограничениями ресурсов и переопределениями для конкретных сред.
Попробуйте эти промпты
Review my Dockerfile and suggest optimizations for better layer caching and faster builds. Current file:
```dockerfile
${dockerfile_content}
```Analyze this Dockerfile for security issues and recommend hardening measures:
```dockerfile
${dockerfile_content}
```
Focus on: user permissions, secrets exposure, base image selection, and runtime security.Create a Docker Compose configuration for a ${application_type} application with:
- ${service_count} services: ${service_names}
- Database: ${database_type}
- Health checks required
- Resource limits for production
- Environment: ${environment_type}Help me create a complete containerization strategy for my ${application_name} application:
1. Current project structure:
${file_structure}
2. Requirements:
- Framework: ${framework}
- Production deployment: ${deployment_target}
- Security compliance: ${compliance_requirements}
Provide:
- Optimized multi-stage Dockerfile
- Docker Compose for dev/staging/prod
- Security hardening checklist
- Resource allocation recommendationsЛучшие практики
- Используйте многоэтапные сборки для разделения зависимостей сборки от среды выполнения, сохраняя production-образы минимальными и безопасными
- Всегда запускайте контейнеры от имени непривилегированных пользователей с конкретным UID/GID для ограничения рисков повышения привилегий
- Реализуйте проверки работоспособности для всех сервисов для обеспечения правильного порядка запуска и обнаружения сбоев
Избегать
- Установка инструментов сборки (gcc, make) в production-образах увеличивает поверхность атаки без необходимости
- Жёсткое кодирование секретов в переменных окружения или слоях Dockerfile раскрывает учётные данные в истории образа
- Запуск контейнеров с привилегиями по умолчанию без ограничений возможностей или ограничений ресурсов