Docker Patterns

Оптимизируйте ваш контейнерный workflow с навыком Docker Patterns для Claude Code. Включает многопоточные сборки, оркестровку Compose и усиление безопасности.

Деплой и DevOps ★ 172,651 GitHub (172,651 ★)

Этот навык даёт Claude специализированные знания для проектирования, управления и устранения неполадок в средах на основе Docker. Он предоставляет шаблоны для эффективных многоэтапных сборок, безопасной оркестрации контейнеров и сложных сетевых конфигураций. Настраиваете ли вы локальный стек разработки с hot-reloading или укрепляете production-образы — этот навык гарантирует, что ваша контейнерная архитектура следует современным DevOps-практикам в области безопасности, производительности и поддерживаемости.

Ключевые возможности

01Стратегии постоянных томов и безопасное управление переменными окружения

02Шаблоны Docker Compose, готовые к production, для веба, базы данных и слоёв кэширования

03Укрепление безопасности контейнеров, включая настройку пользователя без root и управление возможностями

04Продвинутые сетевые шаблоны для обнаружения сервисов и изоляции внутреннего трафика

05Генерация многоэтапных Dockerfile для оптимизации скорости сборки и минимального размера образов

06172 651 звезда на GitHub

Сценарии использования

01Отладка сложных проблем связности или сохранения состояния между микросервисами в стеке Compose

02Рефакторинг существующих Dockerfile для внедрения лучших практик безопасности и уменьшения уязвимостей

03Настройка full-stack окружения локальной разработки с hot-reloading и проверками здоровья

name

docker-patterns

description

Docker and Docker Compose patterns for local development, container security, networking, volume strategies, and multi-service orchestration. Use when setting up containerized development environments or reviewing Docker configurations.

metadata

origin
ECC

Docker Patterns

Docker and Docker Compose best practices for containerized development.

When to Activate

Setting up Docker Compose for local development
Designing multi-container architectures
Troubleshooting container networking or volume issues
Reviewing Dockerfiles for security and size
Migrating from local dev to containerized workflow

Docker Compose for Local Development

Standard Web App Stack

# docker-compose.yml
services:
  app:
    build:
      context: .
      target: dev                     # Use dev stage of multi-stage Dockerfile
    ports:
      - "3000:3000"
    volumes:
      - .:/app                        # Bind mount for hot reload
      - /app/node_modules             # Anonymous volume -- preserves container deps
    environment:
      - DATABASE_URL=postgres://postgres:postgres@db:5432/app_dev
      - REDIS_URL=redis://redis:6379/0
      - NODE_ENV=development
    depends_on:
      db:
        condition: service_healthy
      redis:
        condition: service_started
    command: npm run dev

  db:
    image: postgres:16-alpine
    ports:
      - "5432:5432"
    environment:
      POSTGRES_USER: postgres
      POSTGRES_PASSWORD: postgres
      POSTGRES_DB: app_dev
    volumes:
      - pgdata:/var/lib/postgresql/data
      - ./scripts/init-db.sql:/docker-entrypoint-initdb.d/init.sql
    healthcheck:
      test: ["CMD-SHELL", "pg_isready -U postgres"]
      interval: 5s
      timeout: 3s
      retries: 5

  redis:
    image: redis:7-alpine
    ports:
      - "6379:6379"
    volumes:
      - redisdata:/data

  mailpit:                            # Local email testing
    image: axllent/mailpit
    ports:
      - "8025:8025"                   # Web UI
      - "1025:1025"                   # SMTP

volumes:
  pgdata:
  redisdata:

Development vs Production Dockerfile

# Stage: dependencies
FROM node:22-alpine AS deps
WORKDIR /app
COPY package.json package-lock.json ./
RUN npm ci

# Stage: dev (hot reload, debug tools)
FROM node:22-alpine AS dev
WORKDIR /app
COPY --from=deps /app/node_modules ./node_modules
COPY . .
EXPOSE 3000
CMD ["npm", "run", "dev"]

# Stage: build
FROM node:22-alpine AS build
WORKDIR /app
COPY --from=deps /app/node_modules ./node_modules
COPY . .
RUN npm run build && npm prune --production

# Stage: production (minimal image)
FROM node:22-alpine AS production
WORKDIR /app
RUN addgroup -g 1001 -S appgroup && adduser -S appuser -u 1001
USER appuser
COPY --from=build --chown=appuser:appgroup /app/dist ./dist
COPY --from=build --chown=appuser:appgroup /app/node_modules ./node_modules
COPY --from=build --chown=appuser:appgroup /app/package.json ./
ENV NODE_ENV=production
EXPOSE 3000
HEALTHCHECK --interval=30s --timeout=3s CMD wget -qO- http://localhost:3000/health || exit 1
CMD ["node", "dist/server.js"]

Override Files

# docker-compose.override.yml (auto-loaded, dev-only settings)
services:
  app:
    environment:
      - DEBUG=app:*
      - LOG_LEVEL=debug
    ports:
      - "9229:9229"                   # Node.js debugger

# docker-compose.prod.yml (explicit for production)
services:
  app:
    build:
      target: production
    restart: always
    deploy:
      resources:
        limits:
          cpus: "1.0"
          memory: 512M

# Development (auto-loads override)
docker compose up

# Production
docker compose -f docker-compose.yml -f docker-compose.prod.yml up -d

Networking

Service Discovery

Services in the same Compose network resolve by service name:

# From "app" container:
postgres://postgres:postgres@db:5432/app_dev    # "db" resolves to the db container
redis://redis:6379/0                             # "redis" resolves to the redis container

Custom Networks

services:
  frontend:
    networks:
      - frontend-net

  api:
    networks:
      - frontend-net
      - backend-net

  db:
    networks:
      - backend-net              # Only reachable from api, not frontend

networks:
  frontend-net:
  backend-net:

Exposing Only What's Needed

services:
  db:
    ports:
      - "127.0.0.1:5432:5432"   # Only accessible from host, not network
    # Omit ports entirely in production -- accessible only within Docker network

Volume Strategies

volumes:
  # Named volume: persists across container restarts, managed by Docker
  pgdata:

  # Bind mount: maps host directory into container (for development)
  # - ./src:/app/src

  # Anonymous volume: preserves container-generated content from bind mount override
  # - /app/node_modules

Common Patterns

services:
  app:
    volumes:
      - .:/app                   # Source code (bind mount for hot reload)
      - /app/node_modules        # Protect container's node_modules from host
      - /app/.next               # Protect build cache

  db:
    volumes:
      - pgdata:/var/lib/postgresql/data          # Persistent data
      - ./scripts/init.sql:/docker-entrypoint-initdb.d/init.sql  # Init scripts

Container Security

Dockerfile Hardening

# 1. Use specific tags (never :latest)
FROM node:22.12-alpine3.20

# 2. Run as non-root
RUN addgroup -g 1001 -S app && adduser -S app -u 1001
USER app

# 3. Drop capabilities (in compose)
# 4. Read-only root filesystem where possible
# 5. No secrets in image layers

Compose Security

services:
  app:
    security_opt:
      - no-new-privileges:true
    read_only: true
    tmpfs:
      - /tmp
      - /app/.cache
    cap_drop:
      - ALL
    cap_add:
      - NET_BIND_SERVICE          # Only if binding to ports < 1024

Secret Management

# GOOD: Use environment variables (injected at runtime)
services:
  app:
    env_file:
      - .env                     # Never commit .env to git
    environment:
      - API_KEY                  # Inherits from host environment

# GOOD: Docker secrets (Swarm mode)
secrets:
  db_password:
    file: ./secrets/db_password.txt

services:
  db:
    secrets:
      - db_password

# BAD: Hardcoded in image
# ENV API_KEY=sk-proj-xxxxx      # NEVER DO THIS

.dockerignore

node_modules
.git
.env
.env.*
dist
coverage
*.log
.next
.cache
docker-compose*.yml
Dockerfile*
README.md
tests/

Debugging

Common Commands

# View logs
docker compose logs -f app           # Follow app logs
docker compose logs --tail=50 db     # Last 50 lines from db

# Execute commands in running container
docker compose exec app sh           # Shell into app
docker compose exec db psql -U postgres  # Connect to postgres

# Inspect
docker compose ps                     # Running services
docker compose top                    # Processes in each container
docker stats                          # Resource usage

# Rebuild
docker compose up --build             # Rebuild images
docker compose build --no-cache app   # Force full rebuild

# Clean up
docker compose down                   # Stop and remove containers
docker compose down -v                # Also remove volumes (DESTRUCTIVE)
docker system prune                   # Remove unused images/containers

Debugging Network Issues

# Check DNS resolution inside container
docker compose exec app nslookup db

# Check connectivity
docker compose exec app wget -qO- http://api:3000/health

# Inspect network
docker network ls
docker network inspect <project>_default

Anti-Patterns

# BAD: Using docker compose in production without orchestration
# Use Kubernetes, ECS, or Docker Swarm for production multi-container workloads

# BAD: Storing data in containers without volumes
# Containers are ephemeral -- all data lost on restart without volumes

# BAD: Running as root
# Always create and use a non-root user

# BAD: Using :latest tag
# Pin to specific versions for reproducible builds

# BAD: One giant container with all services
# Separate concerns: one process per container

# BAD: Putting secrets in docker-compose.yml
# Use .env files (gitignored) or Docker secrets

When to Use This Skill

Setting up Docker Compose for local development
Designing multi-container architectures
Troubleshooting container issues
Reviewing Dockerfiles for security
Implementing container best practices

🐳 Что это

Docker Patterns — это сборник проверенных практик и шаблонов для работы с Docker и Docker Compose в повседневной разработке. Он охватывает ключевые аспекты: настройку окружения для локальной разработки, безопасность контейнеров, стратегии работы с томами (volumes), сетевые взаимодействия и оркестрацию нескольких сервисов. Skill пригодится, когда нужно быстро настроить или ревьювить Docker-конфигурацию, чтобы избежать типовых ошибок и сразу получить рабочий, безопасный и эффективный стек.

⚙️ Как работает

### Локальный стек с Docker Compose

Skill предлагает типовой docker-compose.yml для веб-приложения:

app — сервис приложения, собирается из Dockerfile (стадия dev), монтирует исходники через bind mount для hot-reload, использует анонимный том /app/node_modules, чтобы не перетирать зависимости с хост-машины.
db — PostgreSQL 16 Alpine с healthcheck (проверка pg_isready), именованным томом pgdata для данных и SQL-скриптом для инициализации.
redis — Redis 7 Alpine с томом для персистентности.
mailpit — локальный SMTP-сервер для тестирования email (веб-интерфейс на порту 8025, SMTP на 1025).

Ключевой приём — depends_on с условием service_healthy для БД: приложение запускается только после того, как PostgreSQL ответит на healthcheck.

### Multi-stage Dockerfile

Пример для Node.js приложения:

deps — установка зависимостей (npm ci).
dev — копирование node_modules из deps, исходников, запуск npm run dev.
build — сборка (npm run build) и удаление dev-зависимостей.
production — минимальный образ: только dist, node_modules (production), package.json, непривилегированный пользователь appuser, healthcheck.

Такой подход даёт маленький и безопасный production-образ, а стадия dev остаётся удобной для разработки.

### Override-файлы

docker-compose.override.yml — загружается автоматически (docker compose up) и содержит dev-специфичные настройки: debug-логи, порт для отладчика Node.js (9229).
docker-compose.prod.yml — явно подключается через -f для продакшена: стадия production, restart: always, лимиты ресурсов.

docker compose -f docker-compose.yml -f docker-compose.prod.yml up -d

### Сеть и безопасность

Сервисы общаются по именам (service discovery): db:5432, redis:6379. Skill рекомендует custom networks для изоляции: фронтенд видит только API, API видит БД и Redis, но фронтенд не имеет прямого доступа к БД.

networks:
  frontend-net:
  backend-net:

Для production — порты БД и других внутренних сервисов не публикуются наружу вовсе. Для локальной разработки порт БД можно привязать к 127.0.0.1:5432:5432, чтобы он был доступен только с хост-машины.

Безопасность контейнера:

Запрет новых привилегий (no-new-privileges:true).
Read-only корневая файловая система + tmpfs для /tmp и кэша.
Drop всех capabilities, кроме минимально необходимых (NET_BIND_SERVICE для портов <1024).
Never :latest — всегда фиксированная версия образа.
Секреты — через .env (не в git!) или Docker Secrets (Swarm), никогда не hardcode.

### Volume-стратегии

Именованные тома (pgdata) — для данных, которые должны пережить перезапуск контейнера.
Bind mount (.:/app) — для кода, hot-reload.
Анонимные тома (/app/node_modules, /app/.next) — чтобы перезаписать директории, которые создаются внутри контейнера (например, при bind mount пустая папка с хоста не стирает node_modules).

### Полезные команды и отладка

# Логи сервиса
docker compose logs -f app

# Зайти в контейнер
docker compose exec app sh

# Проверить DNS внутри контейнера
docker compose exec app nslookup db

# Инспектировать сеть
docker network ls
docker network inspect project_default

# Полная пересборка без кэша
docker compose build --no-cache app

# Осторожно: down -v удалит все тома
docker compose down -v

✅ Когда использовать

Skill незаменим в типовых сценариях:

Настройка локального окружения — быстро поднять стек с БД, Redis, Mailpit и горячей перезагрузкой.
Проектирование multi-container архитектур — правильное разделение сетей, healthcheck-и, зависимости.
Code review Dockerfile и Compose-файлов — проверка на security-уязвимости (root, лишние capabilities, secrets в слоях).
Переход с локальной разработки на контейнеризацию — готовые паттерны для миграции.
Оптимизация размера и безопасности образов — multi-stage сборка, .dockerignore, read-only fs.

💡 Важно знать

Не используй docker compose в продакшене без оркестратора — для production multi-container нужны Kubernetes, ECS или Docker Swarm.
Контейнер эфемерен — все данные, не сохранённые в volume, пропадут после docker compose down.
Не запускай контейнеры от root — всегда создавай непривилегированного пользователя.
Не делай один контейнер со всеми сервисами — каждый процесс в отдельном контейнере.
Не указывай секреты в docker-compose.yml — используй .env (добавлен в .gitignore) или Docker Secrets.
Всегда указывай фиксированную версию образа (node:22.12-alpine3.20 вместо node:latest).

Установка одной командой.

npx skillfish add affaan-m/everything-claude-code docker-patterns

Источник: https://mcpmarket.com/tools/skills/docker-patterns-6

Docker Patterns

Ключевые возможности

Сценарии использования

Docker Patterns

When to Activate

Docker Compose for Local Development

Standard Web App Stack

Development vs Production Dockerfile

Override Files

Networking

Service Discovery

Custom Networks

Exposing Only What's Needed

Volume Strategies

Common Patterns

Container Security

Dockerfile Hardening

Compose Security

Secret Management

.dockerignore

Debugging

Common Commands

Debugging Network Issues

Anti-Patterns

When to Use This Skill

🐳 Что это

⚙️ Как работает

### Локальный стек с Docker Compose

### Multi-stage Dockerfile

### Override-файлы

### Сеть и безопасность

### Volume-стратегии

### Полезные команды и отладка

✅ Когда использовать

💡 Важно знать

Поддерживает ли сложные многоконтейнерные среды?

Как улучшить производительность Docker-образов?

Как этот навык помогает с безопасностью контейнеров?

Могу ли я использовать это для локальной разработки с горячей перезагрузкой?

Комментарии