Wzorce Docker i kontenerów

Twój obraz waży 1,2 GB, build trwa osiem minut przy każdym przebiegu CI, a skan docker scout właśnie zgłosił 40 podatności CVE w warstwie bazowej. Tymczasem kontener nie wyłącza się czysto, bo PID 1 połyka sygnał SIGTERM, a twój „produkcyjny” plik Compose to ten sam, którego używasz do lokalnego hot-reloadu. Nic z tego nie jest egzotyczne — to domyślny stan Dockerfile’a, który rozrósł się organicznie. Ten przepis prowadzi AI przez naprawę każdego z tych problemów, z promptami, które możesz wkleić bezpośrednio.

Co z tego wyniesiesz

• Wzorzec wieloetapowego Dockerfile’a, który oddziela zależności buildowe od runtime i wypuszcza obraz non-root poniżej 150 MB.
• Prompty do skopiowania i wklejenia, które zmniejszają obraz, utwardzają go przeciw CVE oraz dodają poprawne healthchecki i obsługę sygnałów.
• Wzorzec orkiestracji Compose z warunkami zdrowotnymi depends_on zamiast hacków z sleep.
• Pipeline GitHub Actions, który buduje wieloarchitekturowo, skanuje za pomocą Trivy i wdraża — z każdym krokiem faktycznie nadającym się do sparsowania.
• Tryby awarii (unieważnianie cache, debugowanie distroless, fałszywie negatywne healthchecki, zepsute buildy wieloarchitekturowe) i jak się z nich wycofać.

Szybka konfiguracja

Skieruj swoje narzędzie na repozytorium i pozwól mu przeczytać istniejący Dockerfile, package.json/pyproject.toml oraz dowolny docker-compose.yml, zanim zaproponuje zmiany. Konfiguracja jest identyczna we wszystkich trzech narzędziach; różni się tylko sposób wywołania.

Cursor

Otwórz repozytorium, włącz tryb Agent i odwołaj się do plików jawnie, aby zakotwiczyć go na twoim realnym buildzie:

@Dockerfile @package.json — audit this image and tell me the three biggest
wins for size and security before changing anything.

Claude Code

Uruchom z katalogu głównego projektu, aby miał kontekst systemu plików:

claude "Audit @Dockerfile and @package.json. List the three biggest wins for
image size and security, with the line numbers, before you change anything."

Codex

Codex domyślnie działa na GPT-5.5 w App, CLI, IDE i Cloud. Rozpocznij sesję z katalogu głównego repozytorium, używając pozycyjnego promptu:

codex "Audit the Dockerfile and package.json in this repo. List the three
biggest wins for image size and security with line numbers, then wait."

Do bezobsługowego, skryptowanego audytu (CI lub worktree) użyj codex exec z presetem o niskim tarciu:

codex exec --full-auto "Audit the Dockerfile, report size and CVE wins as a checklist"

Notatka

MCP i skille dla Dockera. Oficjalną integracją Dockera jest Docker MCP Catalog & Toolkit, włączany wewnątrz Docker Desktop (4.59+) i udostępniany agentom przez MCP Gateway (docker mcp gateway run); katalog znajdziesz pod adresem hub.docker.com/mcp. To ścieżka, którą warto preferować, bo jest utrzymywana przez Dockera i piaskownicuje wywołania narzędzi. Jeśli potrzebujesz tylko lekkiego serwera stdio do zarządzania kontenerami, społecznościowy pakiet docker-mcp (sondt2709/docker-mcp) działa we wszystkich trzech narzędziach — ale jest nieoficjalny, więc nazywaj go odpowiednio:

# Community stdio server (unofficial) — Claude Code
claude mcp add docker-community -- npx -y docker-mcp

Cursor i Codex konsumują ten sam serwer przez własną konfigurację mcp; pakiet i transport są identyczne.

Zanim pozwolisz agentowi dotknąć twojego Dockerfile’a, daj mu zasady gry. Umieść je w .cursor/rules/docker.mdc (aktualny format reguł projektowych Cursora; stary jednoplikowy .cursorrules jest już przestarzały) albo w CLAUDE.md:

• Przypinaj obrazy bazowe do digestu lub jawnej wersji — nigdy :latest.
• Buildy wieloetapowe: zależności buildowe nigdy nie trafiają do etapu runtime.
• Uruchamiaj jako użytkownik non-root; usuwaj domyślne capabilities.
• Zawsze dostarczaj .dockerignore oraz HEALTHCHECK.
• Łącz warstwy RUN i czyść cache menedżera pakietów w tej samej warstwie.

Buildy wieloetapowe

Wzorzec o najwyższej dźwigni: kompiluj lub instaluj w grubym etapie buildera, a następnie kopiuj do szczupłego etapu runtime tylko artefakty. Błąd, który widzimy najczęściej, to przeinstalowywanie zależności w finalnym etapie (albo taniec cp -R node_modules && npm ci), co zarówno rozdyma obraz, jak i walczy z nawykiem npm ci do wycierania node_modules przy każdym przebiegu. Czysty podział to: pełna instalacja do buildu, instalacja --omit=dev do runtime.

Wskazówka

Prompt do skopiowania — produkcyjny wieloetapowy Dockerfile:

Generate a multi-stage Dockerfile for this Node.js 20 app. Build stage: npm ci (full deps), then npm run build. Production stage on node:20-alpine: install prod deps with npm ci --omit=dev, copy only dist/ and node_modules, create and switch to a non-root user, add dumb-init as PID 1 for signal handling, and a HEALTHCHECK hitting /health. No build toolchain in the final image. Explain each layer choice in a comment.

Cursor

Wklej powyższy prompt do trybu Agent z dołączonymi @Dockerfile i @package.json. Przejrzyj wygenerowane etapy w widoku diffa, a potem poproś o uzasadnienie każdej warstwy, której nie rozpoznajesz.

# Build stage
FROM node:20-alpine AS builder
RUN apk add --no-cache python3 make g++
WORKDIR /app
COPY package*.json ./
RUN npm ci
COPY . .
RUN npm run build

# Production stage
FROM node:20-alpine AS production
RUN apk add --no-cache dumb-init
RUN addgroup -g 1001 -S nodejs && adduser -S nodejs -u 1001
WORKDIR /app
COPY package*.json ./
RUN npm ci --omit=dev && npm cache clean --force
COPY --from=builder --chown=nodejs:nodejs /app/dist ./dist
USER nodejs
EXPOSE 3000
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
  CMD node healthcheck.js
ENTRYPOINT ["dumb-init", "--"]
CMD ["node", "dist/index.js"]

Claude Code

Claude Code edytuje plik w miejscu i pokazuje ci diff. Przydatne, gdy chcesz, żeby przepisał istniejący Dockerfile, zamiast generować nowy od zera:

claude "Rewrite @Dockerfile as a multi-stage build: full npm ci in the builder,
npm ci --omit=dev in the runtime stage, non-root user, dumb-init as PID 1,
HEALTHCHECK on /health. Show me the diff and the expected final image size."

Codex

Dla Pythona obowiązuje ten sam podział — pełna instalacja w builderze, kopiowanie site-packages do szczupłego runtime. Codex dobrze radzi sobie z repozytoriami poliglotycznymi na wszystkich swoich powierzchniach; w IDE lub App skieruj go na katalog serwisu:

codex "Generate a multi-stage Dockerfile for this Python 3.12 app using Poetry.
Builder installs deps with 'poetry install --no-interaction --only main' into a
venv; runtime stage is python:3.12-slim, copies the venv, runs as a non-root
user, adds a HEALTHCHECK, and starts gunicorn with 4 workers."

Wsparcie Codeksa dla worktree przydaje się tutaj: postaw worktree na każdy serwis, aby mógł generować Dockerfile’e dla kilku serwisów równolegle, bez kolizji.

Optymalizacja kontenerów

Gdy już się buduje, zmniejsz go. Obrazy distroless i scratch całkowicie usuwają powłokę i menedżer pakietów; binarki Go z CGO_ENABLED=0 i -ldflags="-w -s" mogą zmieścić się w pojedynczych cyfrach megabajtów. Sztuczka polega na poproszeniu AI, by wyjaśniło każde cięcie, żebyś nie wypuścił „mniejszego” obrazu, w którym brakuje certyfikatów CA albo bazy stref czasowych.

Wskazówka

Prompt do skopiowania — zmniejsz obraz i wyjaśnij każde cięcie:

This image is 1.2 GB. Rewrite the Dockerfile to get it under 150 MB and walk me through each reduction in order of impact. Consider: a distroless or alpine runtime stage, removing the build toolchain, collapsing RUN layers, --no-install-recommends, and clearing apt/apk caches in the same layer. For each cut, tell me what it removes and any runtime risk (missing shell, missing CA certs, missing libc). Output the diff and the before/after size estimate.

Cursor

Najpierw uruchom docker history --human image:tag, wklej wynik do czatu i pozwól Cursorowi celować konkretnie w najgrubsze warstwy, zamiast zgadywać.

# Go service, distroless final stage
FROM golang:1.24-alpine AS builder
RUN apk add --no-cache git ca-certificates
WORKDIR /app
COPY go.mod go.sum ./
RUN go mod download
COPY . .
RUN CGO_ENABLED=0 GOOS=linux go build -ldflags="-w -s" -o server ./cmd/server

FROM gcr.io/distroless/static:nonroot
COPY --from=builder /app/server /server
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/
USER nonroot:nonroot
EXPOSE 8080
ENTRYPOINT ["/server"]

Claude Code

Niech Claude Code doda montowania cache BuildKit, dzięki czemu powtarzane buildy pomijają pobieranie zależności — to pojedyncza największa wygrana w czasie buildu CI:

claude "Add BuildKit cache mounts to @Dockerfile so npm/go dependency downloads
are cached across builds. Use 'RUN --mount=type=cache' and add the
'# syntax=docker/dockerfile:1' directive at the top. Explain the cache key."

Codex

Codex potrafi uruchomić build i odczytać faktyczne rozmiary warstw, a potem iterować — poproś go, by mierzył, a nie szacował:

codex "Build this image, run 'docker history' to find the three largest layers,
then rewrite the Dockerfile to shrink them. Re-build and confirm the new size."

Orkiestracja Docker Compose

Compose to miejsce, gdzie zderzają się wygoda lokalnego developmentu i produkcyjna poprawność. Dwie reguły, które AI zwykle myli, dopóki nie naciśniesz: używaj depends_on z condition: service_healthy (nie samego depends_on, które czeka tylko, aż kontener wystartuje, a nie aż będzie gotowy) oraz usuń pole version: na najwyższym poziomie — jest przestarzałe w Compose V2 i jedynie generuje ostrzeżenie.

Wskazówka

Prompt do skopiowania — Compose z prawdziwym bramkowaniem zdrowotnym:

Write a docker-compose.yml for an API service plus Postgres 16 and Redis 7. Do NOT include a top-level version: field (it’s obsolete in Compose V2). The api must wait for both dependencies using depends_on with condition: service_healthy. Give Postgres a pg_isready healthcheck and Redis a redis-cli ping healthcheck, each with interval/timeout/retries. Use named volumes for data, a single bridge network, and read ${DB_PASSWORD} from the environment — no hardcoded secrets.

Cursor

services:
  api:
    build: ./api
    ports:
      - "8080:8080"
    environment:
      - DATABASE_URL=postgresql://postgres:${DB_PASSWORD}@postgres:5432/app
      - REDIS_URL=redis://redis:6379
    depends_on:
      postgres:
        condition: service_healthy
      redis:
        condition: service_healthy
    networks: [app-network]

  postgres:
    image: postgres:16-alpine
    environment:
      - POSTGRES_PASSWORD=${DB_PASSWORD:?set DB_PASSWORD}
    volumes:
      - postgres-data:/var/lib/postgresql/data
    networks: [app-network]
    healthcheck:
      test: ["CMD-SHELL", "pg_isready -U postgres"]
      interval: 10s
      timeout: 5s
      retries: 5

  redis:
    image: redis:7-alpine
    networks: [app-network]
    healthcheck:
      test: ["CMD", "redis-cli", "ping"]
      interval: 10s
      timeout: 5s
      retries: 5

networks:
  app-network:
    driver: bridge

volumes:
  postgres-data:

Claude Code

Do lokalnego developmentu trzymaj osobny docker-compose.override.yml, który dodaje montowania hot-reload i porty debugowania — Compose scala go automatycznie. Poproś Claude Code o wygenerowanie nadpisania, a nie o zmutowanie twojego pliku produkcyjnego:

claude "Create a docker-compose.override.yml that adds to my existing services:
bind mounts for hot reload, NODE_ENV=development, the 9229 debugger port, and a
mailhog container for email testing. Don't touch the base compose file."

Codex

Codex potrafi zwalidować plik, zanim go zacommitujesz — docker compose config rozwiązuje zmienne i wykrywa błędy schematu:

codex "Generate the compose file per my spec, then run 'docker compose config'
to validate it parses with no warnings, and fix anything it flags."

Hardening bezpieczeństwa

Użytkownik non-root to absolutne minimum. Kolejna warstwa to system plików root tylko do odczytu, usunięte capabilities Linuksa oraz skan w pętli. Niech AI naprawi zarówno Dockerfile, jak i ograniczenia runtime, bo część z nich (FS tylko do odczytu, usunięte capabilities) żyje w komendzie uruchomieniowej albo w security_opt Compose’a, a nie w obrazie.

Wskazówka

Prompt do skopiowania — przebieg hardeningu pod kątem CVE:

Harden this container against CVEs and privilege escalation. In the Dockerfile: pin the base image to a digest, run apk upgrade (or apt-get upgrade) in the build, install prod deps with npm ci --omit=dev, run as a non-root UID, and set a HEALTHCHECK. Then give me the docker run flags and the Compose equivalent for a read-only root filesystem (--read-only plus a tmpfs for /tmp), dropped capabilities (--cap-drop=ALL), and --security-opt=no-new-privileges. List which CVE classes each mitigation closes.

Cursor

Agent Cursora potrafi uruchomić docker scout cves image:tag w trybie inline, a następnie załatać konkretne znalezione advisories — wklej wynik skanu, żeby celował w realne podatności, a nie hipotetyczne.

FROM node:20-alpine AS production
RUN apk update && apk upgrade && rm -rf /var/cache/apk/*
RUN addgroup -g 1001 -S nodejs && adduser -S nodejs -u 1001
WORKDIR /app
COPY --chown=nodejs:nodejs package*.json ./
RUN npm ci --omit=dev && npm cache clean --force
COPY --chown=nodejs:nodejs . .
USER nodejs
HEALTHCHECK --interval=30s --timeout=3s --retries=3 CMD node healthcheck.js || exit 1
CMD ["node", "--max-old-space-size=512", "index.js"]

Ograniczenia runtime (Compose):

services:
  app:
    read_only: true
    tmpfs:
      - /tmp
    cap_drop:
      - ALL
    security_opt:
      - no-new-privileges:true

Claude Code

Wepnij skanowanie w hook pre-push, aby podatny obraz nigdy nie dotarł do rejestru. Claude Code jest tu naturalnym wyborem, bo hooki to jego specjalność:

claude "Write a git pre-push hook that runs 'docker scout cves --exit-code
--only-severity critical,high' against the image we build, and blocks the push
if any critical or high CVE is found. Put it in .git/hooks/pre-push."

Codex

W przypadku sekretów Dockera nigdy nie wpiekaj ich w warstwy. Niech Codex podepnie sekrety oparte na plikach oraz entrypoint, który je ładuje:

codex "Set up Docker Compose secrets for db_password and jwt_secret sourced from
files, expose them as *_FILE env vars, and write a POSIX docker-entrypoint.sh
that reads each file into an env var then execs the main command. No secrets in
the image or in 'docker history'."

Integracja CI/CD

Nagrodą jest pipeline, który buduje wieloarchitekturowo, skanuje i wdraża bez udziału człowieka. Najczęstszy błąd kopiuj-wklej to tutaj krok GitHub Actions, który definiuje jednocześnie uses: i run: — Actions odrzuca to komunikatem „a step cannot have both the uses and run keys”. Narzędzia do buildu/uwierzytelniania trafiają do jednego kroku (uses:), a komendy, które je konsumują, do następnego (run:).

Wskazówka

Prompt do skopiowania — Docker CI/CD ze skanowaniem:

Generate a GitHub Actions workflow for this repo that, on push to main: sets up Buildx, logs into GHCR, builds and pushes a linux/amd64,linux/arm64 image with cache-from/cache-to: type=gha, scans the pushed image with the Trivy action (SARIF output uploaded to code scanning), and deploys to a k8s staging cluster. Put the deploy in its own job with two separate steps — one uses: digitalocean/action-doctl@v2 to authenticate, a second run: step that calls doctl kubernetes cluster kubeconfig save then kubectl set image and kubectl rollout status. Never put uses and run on the same step.

Cursor

name: Docker CI/CD
on:
  push:
    branches: [main]
env:
  REGISTRY: ghcr.io
  IMAGE_NAME: ${{ github.repository }}
jobs:
  build-and-test:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      packages: write
      security-events: write
    steps:
      - uses: actions/checkout@v4
      - uses: docker/setup-buildx-action@v3
      - uses: docker/login-action@v3
        with:
          registry: ${{ env.REGISTRY }}
          username: ${{ github.actor }}
          password: ${{ secrets.GITHUB_TOKEN }}
      - id: meta
        uses: docker/metadata-action@v5
        with:
          images: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
          tags: |
            type=sha
            type=ref,event=branch
      - uses: docker/build-push-action@v5
        with:
          context: .
          platforms: linux/amd64,linux/arm64
          push: true
          tags: ${{ steps.meta.outputs.tags }}
          cache-from: type=gha
          cache-to: type=gha,mode=max
      - name: Trivy scan
        uses: aquasecurity/trivy-action@master
        with:
          image-ref: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:sha-${{ github.sha }}
          format: sarif
          output: trivy-results.sarif
      - uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: trivy-results.sarif

  deploy-staging:
    needs: build-and-test
    runs-on: ubuntu-latest
    steps:
      - name: Install doctl
        uses: digitalocean/action-doctl@v2
        with:
          token: ${{ secrets.DIGITALOCEAN_ACCESS_TOKEN }}
      - name: Deploy
        run: |
          doctl kubernetes cluster kubeconfig save staging-cluster
          kubectl set image deployment/app app=${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:sha-${{ github.sha }}
          kubectl rollout status deployment/app

Claude Code

Claude Code błyszczy w bezgłowym CI — możesz uruchomić go wewnątrz pipeline’u, aby przeprowadzić triage nieudanego skanu:

claude -p "Read trivy-results.sarif. Summarize the critical and high findings,
map each to the Dockerfile line that introduced it, and propose the minimal
base-image bump or package pin to clear them." --output-format json

Codex

Integracja Codeksa z GitHubem potrafi otworzyć poprawkę jako PR bezpośrednio z zadania Cloud, albo możesz sterować nim z CLI. Dla skryptowanej bramki SBOM-i-skan:

codex exec --full-auto "Add an SBOM generation step (docker buildx with
--sbom=true) and a build provenance attestation to .github/workflows/docker-ci.yml,
keeping the existing scan job intact."

Kiedy to się psuje

Kontenery psują się w sposób, który wygląda jak bugi aplikacji. Oto cztery przypadki, które pochłaniają najwięcej czasu, oraz ruch wybawiający z każdego z nich.

Uwaga

Unieważnianie cache przez kolejność COPY. Jeśli zrobisz COPY . . przed instalacją zależności, każda zmiana w kodzie unieważnia warstwę zależności i przeinstalowujesz wszystko przy każdym buildzie. Wybawienie: skopiuj najpierw package*.json / go.mod / pyproject.toml, zainstaluj, a potem COPY . .. Poproś AI: „Reorder my Dockerfile so a source-only change doesn’t bust the dependency cache layer.” Potwierdź, uruchamiając docker build dwukrotnie — drugi przebieg powinien trafić w cache na warstwie instalacji.

Uwaga

Distroless nie ma powłoki, więc docker exec ... sh zawodzi. Świetny do produkcji, bolesny w debugowaniu — nie ma tam /bin/sh, curl ani ps. Wybawienie: zbuduj osobny target debug FROM swojego obrazu distroless, który dodaje busybox, albo użyj docker debug (Docker Desktop), który podłącza efemeryczny zestaw narzędzi bez modyfikowania obrazu. Nie dodawaj powłoki z powrotem do swojego etapu produkcyjnego.

Uwaga

Fałszywie negatywne healthchecki oznaczają zdrowy kontener jako niezdrowy. Typowe przyczyny: zbyt krótki start_period (aplikacja wciąż się uruchamia), check trafiający w niewłaściwy port wewnątrz przestrzeni nazw sieci kontenera albo brak curl/wget w szczupłym obrazie. Wybawienie: zwiększ --start-period, użyj do checku wbudowanego runtime języka (np. node healthcheck.js) zamiast zewnętrznej binarki i testuj za pomocą docker inspect --format '{{json .State.Health}}' <container>.

Uwaga

Buildy wieloarchitekturowe zawodzą na natywnych instrukcjach lub przy braku QEMU. Buildy linux/arm64 na runnerze amd64 wymagają docker/setup-qemu-action, a każda zależność kompilowana ze źródeł przez RUN ... make może pociągnąć binarki specyficzne dla architektury. Wybawienie: dodaj krok konfiguracji QEMU przed Buildx, preferuj prebudowane obrazy bazowe wieloarchitekturowe, a jeśli zawodzi pojedyncza architektura, odtwórz to lokalnie za pomocą docker buildx build --platform linux/arm64 --load.

Co dalej

Wzorce Kubernetes Wdrażaj te utwardzone kontenery na dużą skalę dzięki orkiestracji Kubernetes.

Pipeline'y CI/CD Zgłęb zautomatyzowane przepływy buildu, testów i progresywnego wdrażania.