.NET Conf

Oficjalne obrazy Docker dla .NET, takie jak mcr.microsoft.com/dotnet/sdk oraz mcr.microsoft.com/dotnet/aspnet, to wyraz zaangażowania Microsoftu w dostarczanie bezpiecznych, niezawodnych i zoptymalizowanych rozwiązań do konteneryzacji nowoczesnych aplikacji .NET. Stanowią podstawę milionów wdrożeń na całym świecie, regularnie aktualizowanych i rozwijanych przez zespoły inżynierskie. Obrazy SDK zawierają kompleksowe narzędzia deweloperskie do budowy aplikacji, natomiast obrazy ASP.NET oferują lekkie i wydajne środowisko do wdrożeń produkcyjnych. Dzięki temu możliwe są zaawansowane, wydajne multi-stage buildy, które rozdzielają potrzeby środowiska deweloperskiego i produkcyjnego, prowadząc do mniejszych, szybszych i bezpieczniejszych wdrożeń.

Spis treści [odkryj]

Ostatnie innowacje obejmują:

  • rozbudowane funkcje ochrony,
  • natywne wsparcie dla użytkownika nieuprzywilejowanego w domyślnej konfiguracji,
  • wyspecjalizowane warianty obrazów (Alpine, Ubuntu Chiseled, composite, Native AOT),
  • zaawansowane optymalizacje wydajności,
  • rozszerzoną integrację z mechanizmami bezpieczeństwa Microsoftu.

Wprowadzenie do oficjalnych obrazów .NET Docker

Obrazy od Microsoftu tworzą kompleksowy ekosystem środowisk rozwojowych i uruchomieniowych, dostępnych przez Microsoft Container Registry (MCR) oraz Docker Hub. Zapewniają programistom zaufane, regularnie poprawiane i zoptymalizowane fundamenty, stanowiąc podstawę nowoczesnych wdrożeń chmurowych oraz tradycyjnych.

Przegląd głównych wariantów obrazów

Dla różnych etapów rozwoju oraz wdrożenia dostępne są wyspecjalizowane obrazy:

  • Obrazy SDK – pełen zestaw narzędzi do kompilacji, testowania i pakowania aplikacji;
  • Obrazy uruchomieniowe – lekkie, zoptymalizowane środowiska gotowe pod produkcyjne wdrażanie aplikacji .NET;
  • Warianty specjalne – Alpine, Ubuntu Chiseled, composite, Native AOT, dedykowane pod specyficzne potrzeby;
  • Inne obrazy – np. runtime, monitor, aspire-dashboard.

Obrazy zostały zaprojektowane do współpracy w wieloetapowych buildach, pozwalając na rozdzielenie procesu budowania i produkcji, co poprawia bezpieczeństwo i wydajność finalnych kontenerów.

Obrazy .NET są regularnie aktualizowane z nowymi poprawkami, patchami bezpieczeństwa i wspierają różne architektury oraz środowiska OS (dystrybucje Linuksa, wersje Windows Server/Nano).

Dzięki optymalizacji cache’owania warstw, multiarchitekturze i skupieniu na wydajności, obrazy te są doskonałe zarówno dla środowisk developerskich, jak i dla wdrożeń produkcyjnych na dużą skalę (np. Kubernetes).

Microsoft Container Registry – autorytatywne źródło obrazów

Microsoft Container Registry (MCR) to główne, oficjalne źródło obrazów kontenerowych Microsoftu – w tym również tych dla .NET. Zapewnia wyższy poziom bezpieczeństwa, dostępności i wydajności niż wcześniejsze modele (np. same mirrorowanie w Docker Hub).

  • pełna kontrola nad dystrybucją i aktualizacjami,
  • zaawansowane skanowanie bezpieczeństwa i szybkie reagowanie,
  • zoptymalizowana infrastruktura CDN,
  • podpisywanie zawartości, śledzenie pochodzenia oraz dostarczenie informacji SBOM (Software Bill of Materials).

Obrazy .NET znajdują się pod przestrzenią nazw /dotnet/ z klarownym nazewnictwem – łatwym do wyszukania oraz automatyzacji:

  • mcr.microsoft.com/dotnet/sdk – środowisko deweloperskie,
  • mcr.microsoft.com/dotnet/aspnet – środowisko uruchomieniowe dla ASP.NET Core,
  • mcr.microsoft.com/dotnet/runtime, runtime-deps, monitor, aspire-dashboard – dedykowane role uzupełniające ekosystem.

Wszystkie obrazy są gruntownie skanowane i szybko aktualizowane po wykryciu podatności, dostarczając przy tym szczegółowe metadane istotne dla organizacji dbających o compliance i transparentność łańcucha dostaw.

Obrazy SDK – środowisko rozwoju

Obrazy mcr.microsoft.com/dotnet/sdk to kompletne środowiska deweloperskie, zawierające:

  • pełne SDK .NET i narzędzia CLI,
  • komponenty uruchomieniowe,
  • wszystko, co niezbędne do tworzenia, testowania i pakowania aplikacji .NET

Obrazy SDK wspierają:

  • kompilację na wiele platform,
  • pełne zarządzanie NuGet,
  • debugowanie i narzędzia diagnostyczne,
  • wariacje na różnych bazach OS (Alpine, Ubuntu, Windows).

Największymi korzyściami są gwarancja spójności środowiska buildów, eliminacja błędów „u mnie działa”, usprawniona praca w zespołach rozproszonych oraz automatyzacja pipeline’ów CI/CD.

W praktyce obrazy SDK umożliwiają:

  • wielocelowość kompilacji,
  • szybsze i powtarzalne buildy dzięki wydajnemu cache warstw,
  • obsługę dev-containery do pracy zespołowej w identycznym środowisku.

Obrazy uruchomieniowe ASP.NET Core – wydajne wdrożenia

Obrazy mcr.microsoft.com/dotnet/aspnet zostały stworzone do produkcyjnego hostingu aplikacji ASP.NET Core – bez niepotrzebnych narzędzi deweloperskich.

  • minimalizacja rozmiaru obrazu przez usunięcie narzędzi build/debug,
  • wysoka wydajność startu aplikacji i przetwarzania typowych obciążeń webowych,
  • domyślna obsługa uruchamiania aplikacji jako nieuprzywilejowany użytkownik (UID 1654),
  • przygotowane do różnych modeli wdrożeniowych (framework-dependent, self-contained, single-file, native AOT),
  • produktowe ustawienia runtime zoptymalizowane dla bezpieczeństwa i wydajności.

Obrazy uruchomieniowe spełniają wymogi compliance i umożliwiają łatwą integrację ze współczesnymi orchestratorami i narzędziami monitoringu.

Warianty obrazów i wyspecjalizowane wersje

Do wyboru są różne warianty, aby jak najlepiej dopasować obraz do wymagań technologicznych i biznesowych:

  • Alpine Linux – minimalny rozmiar, szybkie pobieranie i deployment, mniejsza kompatybilność dla wybranych bibliotek;
  • Ubuntu Chiseled – wariant „distroless”, ekstremalnie zminimalizowany, bez powłoki i menedżerów pakietów;
  • Obrazy Windows – obsługa aplikacji wymagających środowiska Windows, migracja legacy do .NET;
  • Composite – prekompilowane fragmenty frameworka dla skrócenia czasu startu;
  • Native AOT – obsługa aplikacji skompilowanych do kodu maszynowego, idealne dla serverless i mikroserwisów;
  • Extra – rozszerzone wsparcie dla globalizacji lub zależności systemowych.

Dobór wariantu powinien wynikać z wymagań wdrożeniowych oraz testów aplikacji w różnych środowiskach bazowych.

Wzorce multi-stage build i strategie optymalizacji

Najbardziej efektywną strategią jest wieloetapowe budowanie obrazów Docker:

  • etap kompilacji (na SDK) – kompilacja, testy i pakowanie artefaktów,
  • etapy pośrednie: testowanie, skanowanie bezpieczeństwa, zbieranie artefaktów,
  • etap produkcyjny (na obrazie uruchomieniowym) – kopiowanie wyłącznie artefaktów runtime, brak kodu źródłowego czy narzędzi build, minimalizacja rozmiaru i powierzchni ataku.

Kluczowe strategie:

  • umieszczanie stabilnych operacji na wczesnych etapach Dockerfile (lepsze wykorzystanie cache),
  • włączenie automatycznych testów i skanowania bezpieczeństwa do pipeline,
  • konfigurowanie warstw zgodnie z potrzebami CI/CD i współdzieleniem buildów.

Optymalizacje przekładają się na szybsze buildy, mniejsze obrazy, bezpieczeństwo i efektywność kosztową chmury.

Bezpieczeństwo i zarządzanie podatnościami

Microsoft przykłada ogromną wagę do bezpieczeństwa i:

  • wszystkie obrazy są skanowane pod kątem podatności zarówno w systemie bazowym, jak i w runtime .NET,
  • reakcja na nowe luki jest szybka – krytyczne podatności łatane są nawet w ciągu kilku dni,
  • domyślne uruchamianie aplikacji jako nie-root (UID 1654 w obrazach ASP.NET),
  • specjalne warianty (np. Chiseled) eliminują dodatkowe punkty wejścia,
  • dostarczane są podpisy i narzędzia do weryfikacji integralności obrazu.

Skanowanie łańcucha zależności powinno być zintegrowane z pipeline CI/CD – bazowe bezpieczeństwo obrazu to jedno, ale istotne są także podatności w bibliotekach aplikacyjnych (NuGet).

Najlepsze praktyki wdrożeń produkcyjnych

Skuteczne wdrażanie obrazów Docker .NET wymaga zachowania dobrych nawyków:

  • zawsze wskazuj wersję obrazu (unikać :latest w produkcji),
  • wieloetapowe buildy dla minimalizacji artefaktów końcowych i powierzchni ataku,
  • włączaj w pipeline automatyczne testy i skanowanie bezpieczeństwa,
  • konfiguruj poprawne limity zasobów kontenera i health checki,
  • uruchamiaj aplikacje jako nie-root oraz możliwie na plikach tylko do odczytu,
  • integruj logowanie z systemami zbierania logów i metryk,
  • regularnie aktualizuj obrazy produkcyjne, testując proces rollback,
  • optymalizuj zużycie zasobów pod kątem kosztów i niezawodności infrastruktury.

Najlepsze praktyki produkcyjne obejmują zarówno konfigurację, architekturę, jak i dyscyplinę operacyjną organizacji.

Nowości i kierunki rozwoju

Microsoft stale inwestuje w rozwój ekosystemu .NET Docker, koncentrując się na:

  • optymalizacji wydajności (czas startu, footprint),
  • wzmocnieniu bezpieczeństwa i automatyzacji skanowania podatności,
  • nowych innowacjach, takich jak obrazy Chiseled, composite czy natywne wsparcie Native AOT,
  • obsłudze nowych modeli wdrożeniowych (serverless, edge, chmury hybrydowe),
  • rozwoju narzędzi do budowy i debugowania kontenerów .NET.

Kluczowe nowości to wsparcie Native AOT, automatyzacja bezpieczeństwa oraz coraz lepsza integracja z usługami chmurowymi i najnowszymi orchestratorami.