Saltar al contenido
Emilio Castro
src / articulos / docker-2026.md

Docker en 2026: Menos tutoriales, más arquitectura

Emilio Castro //
// NARRACIÓN 0:00 / 0:00

Casi todos usamos Docker, pero la realidad es que la mayoría lo usa mal. Seguimos escribiendo Dockerfiles basándonos en tutoriales de hace diez años, y eso se traduce en pipelines lentos, costos innecesarios en la nube y agujeros de seguridad evitables.

Esta no la es una guía de comandos. Si buscas un tutorial de docker run, hay miles en internet. Aquí vamos a hablar de por qué tu configuración actual probablemente es un problema y cómo corregirlo desde una perspectiva arquitectónica.

1. Fundamentos: El valor real de Docker

Para entender la optimización, primero debemos recordar por qué Docker ganó la guerra de la virtualización.

La analogía es sencilla: una Máquina Virtual (VM) es como una casa independiente; tiene sus propios cimientos y plomería (un sistema operativo completo). Un contenedor es como un departamento en un edificio moderno; compartes los cimientos (el kernel del host) pero tienes tu propia puerta y llave. Es más ligero, arranca instantáneamente y consume menos recursos.

Si quieres profundizar en la mecánica de bajo nivel —cómo funcionan los Namespaces, los Cgroups y por qué el aislamiento de kernel es la diferencia entre un sistema seguro y uno vulnerable— te recomiendo leer mi análisis sobre Contenedores y Máquinas Virtuales. Entender esa base es lo que te permite dejar de seguir la moda y empezar a tomar decisiones técnicas reales.

La base sigue siendo la misma: la Imagen es el plano, el Contenedor es la ejecución y el Registro es el catálogo.

2. Anatomía de un Dockerfile: Del Desastre a la Eficiencia

En el contexto actual, donde desplegamos desde microservicios hasta servidores de herramientas para IA (como los servidores MCP), la diferencia entre un Dockerfile “que funciona” y uno “optimizado” es la diferencia entre un despliegue de 10 segundos o uno de 10 minutos.

Imagina que estamos empaquetando una aplicación de Node.js.

El enfoque “Tuto de Internet” (Malas Prácticas)

Este es el típico Dockerfile que ves en tutoriales rápidos. Funciona, pero es un problema en producción.

# MAL: Imagen pesada y sin versión pinneada
FROM node:latest

# MAL: Copia todo antes de instalar dependencias (rompe la caché)
COPY . .

# MAL: Instala dependencias de desarrollo en la imagen final
RUN npm install

# MAL: Corre como root por defecto
CMD ["npm", "start"]

¿Por qué esto es un desastre?

  1. Caché inexistente: Cualquier cambio en un comentario de tu código obliga a Docker a ejecutar npm install desde cero. Tu build tarda 10 minutos en lugar de 10 segundos.
  2. Imagen obesa: La imagen final incluye el compilador, herramientas de build y miles de archivos de node_modules que no se necesitan para correr la app. En un entorno de IA, donde las imágenes ya son pesadas por los modelos, añadir este “ruido” es inaceptable.
  3. Riesgo de seguridad: Si alguien compromete tu app, tiene acceso total al contenedor como root.

El enfoque Profesional (Buenas Prácticas)

Aquí es donde aplicamos arquitectura. Vamos a usar Multi-stage Builds y optimización de capas.

# --- Etapa 1: Build ---
FROM node:20-alpine AS build
WORKDIR /app

# Optimización de Capas: Copiamos solo archivos de dependencias primero
COPY package.json pnpm-lock.yaml ./
RUN npm install

# Ahora copiamos el resto del código
COPY . .
RUN npm run build

# --- Etapa 2: Runtime ---
FROM node:20-alpine
WORKDIR /app

# Seguridad: Creamos un usuario sin privilegios
RUN addgroup -S appgroup && adduser -S appuser -G appgroup

# Solo copiamos el artefacto compilado de la etapa anterior
# Esto reduce la imagen de GBs a MBs
COPY --from=build /app/dist ./dist
COPY --from=build /app/package.json ./

USER appuser
HEALTHCHECK --interval=30s --timeout=3s CMD curl -f http://localhost:3000/health || exit 1

CMD ["node", "dist/main.js"]

3. Conceptos Clave de Optimización

Para que este flujo funcione, hay que dominar tres conceptos:

Layer Caching (Caché de Capas)

Docker construye imágenes por capas. Cada instrucción (COPY, RUN, ADD) crea una nueva capa.

  • La Regla de Oro: Si una capa cambia, todas las capas siguientes se invalidan y deben reconstruirse.
  • La Estrategia: Pon lo que cambia menos (como la instalación de dependencias) al principio y lo que cambia más (como tu código fuente) al final.

Hoy en día, herramientas como Depot llevan esto al siguiente nivel usando caché SSD nativa compartida entre runners, eliminando el cuello de botella de la descarga de capas en pipelines de CI/CD.

Multi-stage Builds (Construcciones Multietapa)

Es la técnica de usar múltiples imágenes FROM en un solo Dockerfile. Puedes revisar la documentación oficial de Docker para profundizar en los detalles técnicos.

  • Cómo funciona: Usas una imagen pesada con todas las herramientas de compilación para generar tu binario o bundle. Luego, creas una segunda imagen mínima (runtime) y solo copias el resultado final.
  • Resultado: Eliminas el ruido. Tu imagen final no tiene el código fuente ni los compiladores. Esto es crítico cuando despliegas herramientas ligeras como servidores MCP (Model Context Protocol) para agentes de IA, donde la velocidad de arranque es la prioridad.

La mentira del estado “Up” (Health Checks)

Este es el punto donde la mayoría de los ingenieros fallan. Confían en que si el contenedor está Up, la aplicación está funcionando. Esto es una mentira.

Un proceso puede estar vivo (el proceso Node.js está corriendo) pero estar en un deadlock infinito, tener la base de datos caída o haber lanzado una excepción no capturada que dejó el servidor zombi. Para Docker, el proceso sigue ahí, así que el contenedor sigue Up, pero tu usuario está viendo un error 500.

El HEALTHCHECK es la forma de decirle a Docker: “No te fijes solo en si el proceso existe; ejecuta este comando y, si no responde con un 200 OK, marca el contenedor como unhealthy. Esto permite que el orquestador (como Kubernetes o Docker Swarm) reinicie automáticamente el contenedor o deje de enviarle tráfico. Sin un health check real, estás volando a ciegas.

Un último detalle: Olvida el tag latest. En producción, latest es una bomba de tiempo. El estándar profesional son los digests criptográficos (ej. node@sha256:...). Los tags pueden cambiar; los hashes matemáticos son la única garantía de que lo que desplegaste es exactamente lo que compilaste.

Conclusión

Docker pasó de ser una herramienta conveniente a ser el runtime unificado del stack moderno. Comprender estas bases no es un “extra” para el ingeniero de infraestructura; es el requisito mínimo para evitar pipelines ineficientes y riesgos de seguridad.

Tip Pro: Si quieres ver un ejemplo real de cómo optimizar una aplicación de React desde un Dockerfile básico hasta uno optimizado para producción, puedes revisar mi repositorio de la masterclass: masterclass-docker-ejemplo. Ahí dejé el camino completo: desde el error hasta la solución eficiente.