Docker · prod · безопасность
Типовые ошибки Docker в продакшене
Docker упрощает деплой, но в проде частые ошибки одинаковы: контейнеры с правами root, секреты в git, отсутствие лимитов памяти и «работает на моей машине» без healthcheck.
Смотрите настройка серверов и DevOps-аутсорс.
Безопасность и секреты
Запуск от root внутри контейнера без необходимости — риск при escape.
Пароли и API-ключи в Dockerfile или в репозитории — только env/secret store.
Публикация лишних портов на 0.0.0.0 вместо внутренней сети compose.
Стабильность
Нет лимитов memory/CPU — один контейнер может положить весь хост.
Отсутствие restart policy и healthcheck — оркестратор не знает, что сервис мёртв.
Логи только внутри контейнера без драйвера/ротации — диск забивается.
Образ `:latest` в проде — непредсказуемые обновления; фиксируйте теги.
Данные и обновления
Stateful-данные в слое образа — volumes обязательны для БД и uploads.
Деплой без бэкапа перед миграцией schema.
Нет отдельных окружений dev/stage/prod — ошибки уезжают сразу в бой.
Сервис
Когда звонить мастеру
В Энгельсе и Саратове выезжаем с инструментом и диагностикой — согласуем смету до работ.
- Контейнеры падают по OOM или диск заполняется логами.
- Нужна настройка compose под прод — см. Docker Compose для старта.
- Требуется сопровождение релизов — DevOps-аутсорсинг.
Нужна помощь сегодня?
Позвоните — подскажем, что не делать до приезда, и назовём ориентир по срокам.
ПозвонитьВопросы
Частые вопросы
Нужен ли Kubernetes для малого проекта?
Часто достаточно Docker Compose на одном VPS до роста нагрузки.
Как хранить секреты?
Файлы env вне git, Docker secrets, vault или переменные хостинга.
Помогаете мигрировать с bare metal на Docker?
Да, по этапам с тестовым окном.