with one click
docker-patterns
用于本地开发、容器安全、网络、卷策略和多服务编排的 Docker 与 Docker Compose 模式。
Install with Codex or Claude Copy this prompt, paste it into Codex, Claude, or another assistant, and let it review the skill page and install it for you.
Menu
用于本地开发、容器安全、网络、卷策略和多服务编排的 Docker 与 Docker Compose 模式。
Install with Codex or Claude Copy this prompt, paste it into Codex, Claude, or another assistant, and let it review the skill page and install it for you.
Based on SOC occupation classification
| name | docker-patterns |
| description | 用于本地开发、容器安全、网络、卷策略和多服务编排的 Docker 与 Docker Compose 模式。 |
| origin | ECC |
容器化开发的 Docker 和 Docker Compose 最佳实践。
# docker-compose.yml
services:
app:
build:
context: .
target: dev # 使用多阶段构建 Dockerfile 的 dev 阶段
ports:
- "3000:3000"
volumes:
- .:/app # 绑定挂载用于热重载
- /app/node_modules # 匿名卷 -- 保留容器内的依赖
environment:
- DATABASE_URL=postgres://postgres:postgres@db:5432/app_dev
- REDIS_URL=redis://redis:6379/0
- NODE_ENV=development
depends_on:
db:
condition: service_healthy
redis:
condition: service_started
command: npm run dev
db:
image: postgres:16-alpine
ports:
- "5432:5432"
environment:
POSTGRES_USER: postgres
POSTGRES_PASSWORD: postgres
POSTGRES_DB: app_dev
volumes:
- pgdata:/var/lib/postgresql/data
- ./scripts/init-db.sql:/docker-entrypoint-initdb.d/init.sql
healthcheck:
test: ["CMD-SHELL", "pg_isready -U postgres"]
interval: 5s
timeout: 3s
retries: 5
redis:
image: redis:7-alpine
ports:
- "6379:6379"
volumes:
- redisdata:/data
mailpit: # 本地邮件测试
image: axllent/mailpit
ports:
- "8025:8025" # Web UI 界面
- "1025:1025" # SMTP 端口
volumes:
pgdata:
redisdata:
# 阶段:依赖安装 (dependencies)
FROM node:22-alpine AS deps
WORKDIR /app
COPY package.json package-lock.json ./
RUN npm ci
# 阶段:开发环境 (dev - 支持热重载、调试工具)
FROM node:22-alpine AS dev
WORKDIR /app
COPY --from=deps /app/node_modules ./node_modules
COPY . .
EXPOSE 3000
CMD ["npm", "run", "dev"]
# 阶段:构建 (build)
FROM node:22-alpine AS build
WORKDIR /app
COPY --from=deps /app/node_modules ./node_modules
COPY . .
RUN npm run build && npm prune --production
# 阶段:生产环境 (production - 最小化镜像)
FROM node:22-alpine AS production
WORKDIR /app
RUN addgroup -g 1001 -S appgroup && adduser -S appuser -u 1001
USER appuser
COPY --from=build --chown=appuser:appgroup /app/dist ./dist
COPY --from=build --chown=appuser:appgroup /app/node_modules ./node_modules
COPY --from=build --chown=appuser:appgroup /app/package.json ./
ENV NODE_ENV=production
EXPOSE 3000
HEALTHCHECK --interval=30s --timeout=3s CMD wget -qO- http://localhost:3000/health || exit 1
CMD ["node", "dist/server.js"]
# docker-compose.override.yml (自动加载,仅限开发环境设置)
services:
app:
environment:
- DEBUG=app:*
- LOG_LEVEL=debug
ports:
- "9229:9229" # Node.js 调试器端口
# docker-compose.prod.yml (生产环境显式指定)
services:
app:
build:
target: production
restart: always
deploy:
resources:
limits:
cpus: "1.0"
memory: 512M
# 开发环境 (自动加载 override)
docker compose up
# 生产环境
docker compose -f docker-compose.yml -f docker-compose.prod.yml up -d
在同一个 Compose 网络中的服务可以通过服务名解析:
# 在 "app" 容器中:
postgres://postgres:postgres@db:5432/app_dev # "db" 解析为 db 容器
redis://redis:6379/0 # "redis" 解析为 redis 容器
services:
frontend:
networks:
- frontend-net
api:
networks:
- frontend-net
- backend-net
db:
networks:
- backend-net # 仅 api 可达,frontend 不可达
networks:
frontend-net:
backend-net:
services:
db:
ports:
- "127.0.0.1:5432:5432" # 仅宿主机可访问,外部网络不可见
# 在生产环境中完全省略 ports -- 仅在 Docker 网络内部可访问
volumes:
# 命名卷 (Named volume): 在容器重启间持久化,由 Docker 管理
pgdata:
# 绑定挂载 (Bind mount): 将宿主机目录映射到容器(用于开发)
# - ./src:/app/src
# 匿名卷 (Anonymous volume): 防止绑定挂载覆盖容器生成的特定内容
# - /app/node_modules
services:
app:
volumes:
- .:/app # 源代码 (绑定挂载用于热重载)
- /app/node_modules # 保护容器的 node_modules 不被宿主机覆盖
- /app/.next # 保护构建缓存
db:
volumes:
- pgdata:/var/lib/postgresql/data # 持久化数据
- ./scripts/init.sql:/docker-entrypoint-initdb.d/init.sql # 初始化脚本
# 1. 使用特定的标签 (绝不使用 :latest)
FROM node:22.12-alpine3.20
# 2. 以非 root 用户运行
RUN addgroup -g 1001 -S app && adduser -S app -u 1001
USER app
# 3. 移除能力 (Capabilites,在 compose 中配置)
# 4. 尽可能使用只读根文件系统
# 5. 不在镜像层中存储密钥
services:
app:
security_opt:
- no-new-privileges:true
read_only: true
tmpfs:
- /tmp
- /app/.cache
cap_drop:
- ALL
cap_add:
- NET_BIND_SERVICE # 仅当需要绑定 < 1024 端口时
# 推荐:使用环境变量(在运行时注入)
services:
app:
env_file:
- .env # 严禁将 .env 提交到 git
environment:
- API_KEY # 从宿主机环境继承
# 推荐:Docker Secrets (Swarm 模式)
secrets:
db_password:
file: ./secrets/db_password.txt
services:
db:
secrets:
- db_password
# 不良实践:硬编码在镜像中
# ENV API_KEY=sk-proj-xxxxx # 严禁这样做
node_modules
.git
.env
.env.*
dist
coverage
*.log
.next
.cache
docker-compose*.yml
Dockerfile*
README.md
tests/
# 查看日志
docker compose logs -f app # 持续追踪 app 日志
docker compose logs --tail=50 db # 查看 db 最后 50 行日志
# 在运行中的容器内执行命令
docker compose exec app sh # 进入 app 终端
docker compose exec db psql -U postgres # 连接到 postgres
# 查看状态
docker compose ps # 查看运行中的服务
docker compose top # 查看每个容器内的进程
docker stats # 查看资源使用情况
# 重新构建
docker compose up --build # 重新构建镜像并启动
docker compose build --no-cache app # 强制完整重新构建
# 清理
docker compose down # 停止并移除容器
docker compose down -v # 同时移除卷(破坏性操作)
docker system prune # 移除未使用的镜像/容器
# 在容器内检查 DNS 解析
docker compose exec app nslookup db
# 检查连通性
docker compose exec app wget -qO- http://api:3000/health
# 检查网络
docker network ls
docker network inspect <project>_default
# 不良实践:在没有编排工具的情况下在生产环境使用 docker compose
# 生产环境的多容器负载应使用 Kubernetes, ECS, 或 Docker Swarm
# 不良实践:在没有卷的情况下在容器中存储数据
# 容器是瞬态的 -- 重新启动且没有卷时所有数据都会丢失
# 不良实践:以 root 用户运行
# 务必创建并使用非 root 用户
# 不良实践:使用 :latest 标签
# 锁定到特定版本以确保构建可复现
# 不良实践:一个巨大的容器包含所有服务
# 关注点分离:每个容器一个进程
# 不良实践:将密钥放入 docker-compose.yml
# 使用 .env 文件(加入 gitignore)或 Docker secrets
生产级 API 的 REST API 设计模式,包括资源命名、状态码、分页、过滤、错误响应、版本控制和速率限制。
撰写文章、指南、博客、教程、时事通讯等长篇内容,并根据提供的示例或品牌指南呈现独特的语言风格。当用户需要篇幅超过一段的精炼文字,且重视风格一致性、结构和可信度时,请使用此技能。
后端架构模式、API 设计、数据库优化以及适用于 Node.js、Express 和 Next.js API 路由的服务端最佳实践。
适用于 TypeScript、JavaScript、React 和 Node.js 开发的通用编码标准、最佳实践与模式。
为 X、LinkedIn、TikTok、YouTube、时事通讯 (Newsletters) 以及多平台复用活动创建平台原生内容系统。当用户需要社交帖子、推文串 (Threads)、脚本、内容日历或将单一源素材清晰地适配到多个平台时使用。
Playwright E2E 测试模式、页面对象模型(POM)、配置、CI/CD 集成、产物管理以及不稳定测试(flaky test)策略。