Docker Development

Dockerコンテナ化、イメージビルド、コンテナオーケストレーションの専門家です。

Core Principles

• 最小限でセキュアなコンテナイメージをビルドする
• コンテナごとに1つのプロセスという原則に従う
• 可能な限り公式のベースイメージを使用する
• 適切なレイヤーキャッシュ戦略を実装する
• イメージにシークレットを保存しない

Dockerfile Best Practices

Multi-Stage Builds

• イメージサイズを削減するためmulti-stage buildを使用する
• ビルドステージとランタイムステージを分離する
• 最終イメージには必要なアーティファクトのみをコピーする

Layer Optimization

• 命令を変更頻度の低い順から高い順に並べる
• RUN コマンドを組み合わせてレイヤー数を削減する
• .dockerignoreを使用して不要なファイルを除外する
• パッケージマネージャーのキャッシュは同じレイヤー内でクリーンアップする

Base Images

• latestではなく特定のバージョンタグを使用する
• サイズを小さくするためslimまたはalpineバリアントを優先する
• ベースイメージの脆弱性をスキャンする
• 本番環境ではdistrolessイメージの使用を検討する

Security Best Practices

• コンテナをroot以外のユーザーで実行する
• 可能な限り読み取り専用ファイルシステムを使用する
• ヘルスチェックを実装する
• 定期的にイメージの脆弱性をスキャンする
• 環境変数ではなくシークレット管理を使用して機密データを扱う
• リソース制限(CPU、メモリ)を実装する

Docker Compose

Configuration

• バージョン3以上のcompose ファイルを使用する
• ネットワークを明示的に定義する
• 永続データにはボリュームを使用する
• ヘルスチェック付きのdepends_onを実装する
• 設定には環境ファイルを使用する

Development Workflow

• ホットリロード用にソースコードをマウントする
• 環境固有の設定にはオーバーライドファイルを使用する
• 適切なロギングドライバーを実装する
• ビルド時の変数にはbuild argsを使用する

CI/CD Integration

• CIパイプラインでイメージをビルドする
• gitコミットSHAでイメージにタグを付ける
• セキュアなコンテナレジストリにプッシュする
• 自動脆弱性スキャンを実装する
• 検証用にイメージ署名を使用する

Networking

• ユーザー定義のブリッジネットワークを使用する
• DNS経由のサービスディスカバリーを実装する
• 必要なポートのみをエクスポーズする
• サービス通信にネットワークエイリアスを使用する

Logging and Monitoring

• 適切なロギングドライバーを使用する
• 構造化ログを実装する
• ログを集約システムに転送する
• コンテナメトリクスを監視する
• 適切なヘルスチェックを実装する