![\"\"](\"https:\/\/robonet.me\/pictures\/distroless-docker.png\")
\n<\/a>Так что единственным вариантом для решения этой проблемы раз и на всегда была сборка собственного базового docker образа из «scratch».<\/p>\n
Пример такого образа вы можете посмотреть тут https:\/\/github.com\/RoboNET\/dotnet-scratch\/blob\/main\/Dockerfile<\/a><\/p>\n Прокомментирую только некоторые моменты<\/p>\n Раз уж мы делаем базовый образ в целях безопасности, то надо постараться закрыть как можно большее число векторов атаки. По умолчанию, все команды и ENTRYPOINT в докер образе будет запускаться от root пользователя, так что нам необходимо создать и затем указать, что надо использовать другого пользователя.<\/p>\n По умолчанию alpine не содержит в себе информации о локализации и таймзонах, так что если в вашем приложении необходимо с ними работать, то придется вручную поставить нужные пакеты и потом не забыть скопировать их в свой образ.<\/p>\n Чтобы дотнет понимал, что работает в контейнере, и знал нужные ему пути, необходимо указать ряд важных переменных окружения.<\/p>\n Поскольку мы не включаем весь рантайм в приложение, а только необходимые зависимости, нам необходимо собирать наше приложение с включением всего рантайма в билд.<\/p>\n На самом деле этот подход имеет как и плюсы, так и минусы. Из минусов, с которыми приходилось сталкиваться:<\/p>\n Если хотите начать использовать distroless и rootless образы, то с 8 версии дотнета microsoft собирать рантайм и зависимости в том числе и в distroless образах, например cbl-mariner https:\/\/github.com\/dotnet\/dotnet-docker\/blob\/main\/src\/aspnet\/8.0\/cbl-mariner2.0-distroless\/amd64\/Dockerfile<\/a><\/p>\n И так-же он внес некоторые изменения в поведении по умолчанию, чтобы повысить безопасности приложений, например использование rootless подхода https:\/\/devblogs.microsoft.com\/dotnet\/securing-containers-with-rootless\/<\/a><\/p>\n А если вам надо собрать такие образы под более старые версии, то можете посмотреть примеры использования моих образов<\/a>, или собрать свои на их основе.<\/p>\n",
"date_published": "2024-01-13T18:54:26+03:00",
"date_modified": "2024-01-13T19:21:15+03:00",
"tags": [
"Docker",
"DotNet"
],
"image": "https:\/\/robonet.me\/pictures\/distroless-docker.png",
"_date_published_rfc2822": "Sat, 13 Jan 2024 18:54:26 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "1",
"_rss_enclosures": [],
"_e2_data": {
"is_favourite": false,
"links_required": [],
"og_images": [
"https:\/\/robonet.me\/pictures\/distroless-docker.png"
]
}
}
],
"_e2_version": 4171,
"_e2_ua_string": "Aegea 11.4 (v4171e)"
}\nRUN adduser \\ \n --disabled-password \\ \n --gecos \"\" \\ \n --home \"\/nonexistent\" \\ \n --shell \"\/sbin\/nologin\" \\ \n --no-create-home \\ \n --uid \"${UID}\" \\ \n \"${USER}\"\n<\/code>\n<\/pre>\n\nUSER $UID:$UID\n<\/code>\n<\/pre>\n\nRUN apk add --no-cache \\\n icu-libs \\\n icu-data-full \\\n tzdata\n<\/code>\n<\/pre>\n\nCOPY --from=globalization-builder \/usr\/share\/icu \/usr\/share\/icu\nCOPY --from=globalization-builder \/usr\/share\/zoneinfo \/usr\/share\/zoneinfo\n<\/code>\n<\/pre>\n\nENV ASPNETCORE_URLS=http:\/\/+:8080 \\\n DOTNET_RUNNING_IN_CONTAINER=true \\\n DOTNET_SYSTEM_GLOBALIZATION_INVARIANT=true \\\n TMPDIR=\/tmp \\\n PATH=$PATH:$DOTNET_ROOT:$DOTNET_ROOT\/tools\n<\/code>\n<\/pre>\n\nRUN dotnet publish -c Release \\\n -r linux-musl-arm64 -p:PublishReadyToRun=true \\\n -p:PublishTrimmed=true -p:PublishSingleFile=true \\\n -o out\n<\/code>\n<\/pre>\nА может ли это пригодиться и для других проектов?<\/h2>\n
\nИз основных плюсов можно выделить:<\/p>\n\n
\n
И как это использовать?<\/h2>\n