claude/lib/project-archetypes/docker-compose-infra.md

---

name: docker-compose-infra category: meta public: false database: optional hosting_hints:

• vps
• bare-metal
• homelab audit_stack:
• analyze
• code-clean
• cso
• doc plugins: context7: no ui-ux-pro-max: no gstack: no ---

Docker Compose Infrastructure

Stack docker-compose orchestrant services externes (DB, cache, reverse proxy, monitoring, apps déployables) — pas de code applicatif au root. Exemple : stack homelab / VPS / environnement local partagé.

Detection signals

Strong signals (×3)

• FILE: docker-compose.yml OR docker-compose.yaml
• FILE: compose.yml OR compose.yaml (syntaxe moderne)
• FILE: plusieurs docker-compose.*.yml (override, prod, dev)

Medium signals (×2)

• FILE: .env.example avec vars de services (POSTGRES_PASSWORD, REDIS_PASSWORD, etc.)
• DIR: configs/ OR conf/ OR volumes/ avec configs de services (nginx.conf, redis.conf, postgresql.conf)
• FILE: Makefile avec cibles docker (up:, down:, restart:, logs:)
• DIR: traefik/ OR nginx/ OR caddy/ (reverse proxy configs)
• FILE: .dockerignore

Weak signals (×1)

• DIR: scripts/ avec scripts d'init DB / backup
• FILE: backup.sh OR restore.sh
• DIR: data/ (gitignored, volumes montés)

Counter-signals (exclusion)

• FILE: package.json AVEC deps applicatives (react/next/express/...) → c'est une app, pas de l'infra-only
• FILE: pyproject.toml AVEC [project.scripts] → app Python
• FILE: Cargo.toml → app Rust
• DIR: src/ significatif avec code métier → c'est une app, pas du pur infra

Implications

• Hébergement : VPS / bare-metal / homelab (Raspberry Pi, NAS)
• Base de données : souvent incluse dans la stack (Postgres/MySQL/Redis/Mongo)
• SEO/GEO : N/A
• Surface sécurité : GRANDE — secrets, ports exposés, privilèges containers
• UI/UX : N/A

Typical pain points

• .env committé avec credentials
• Images :latest (pas de versions pinnées) → upgrades casse-stack
• privileged: true abusif
• Ports exposés sur 0.0.0.0 sans firewall (DB accessible Internet !)
• Pas de healthchecks
• Pas de restart policy
• Volumes non nommés (data perdue à la recréation)
• Pas de backup automatique (cron, restic, borg)
• Logs non centralisés ni rotés
• Reverse proxy sans TLS (Let's Encrypt absent)
• Network default bridge avec tous services (pas d'isolation)
• User root dans containers (privilege escalation)
• Resources limits absents (un service OOM-kill les autres)
• Secrets en environment (visibles docker inspect)
• Images Dockerfile non custom : postgres:15 nu sans hardening

Interview questions (adaptive)

En plus du set minimum business :

• OS host : Ubuntu / Debian / CoreOS / autre ?
• Services principaux dans la stack (DB / cache / reverse proxy / monitoring / apps) ?
• Reverse proxy : Traefik / Caddy / nginx / aucun ?
• TLS : Let's Encrypt / certs custom / aucun ?
• Secrets management : .env / Docker secrets / Vault / autre ?
• Backup strategy : aucun / manuel / automatisé (quoi ?) ?
• Monitoring / logs : Portainer / Grafana / Loki / ELK / aucun ?
• Uptime monitoring externe : UptimeRobot / BetterStack / aucun ?
• Mise à jour des images : manuelle / Watchtower / Renovate / aucune ?
• Restrictions réseau (firewall, fail2ban) ?
• Multi-env : dev + prod séparés ?

Plugin recommendations

• context7 : OFF (Docker/Compose stable)
• ui-ux-pro-max : OFF
• gstack : OFF

Example project layout

docker-compose.yml
docker-compose.prod.yml    (override prod)
.env.example
.dockerignore
Makefile                    (up:/down:/logs:/backup:)
configs/
  nginx/
    default.conf
  traefik/
    traefik.yml
    dynamic.yml
  postgres/
    init.sql
scripts/
  backup.sh
  restore.sh
volumes/                    (gitignored data)
README.md