解决dotnet-docker项目中.NET 8基础镜像连接MSSQL时的TLS问题

在dotnet-docker项目中使用.NET 8基础镜像时，开发者可能会遇到连接MSSQL数据库时的TLS/SSL握手失败问题。本文将深入分析该问题的原因并提供解决方案。

问题现象

当使用mcr.microsoft.com/dotnet/sdk:8.0基础镜像构建的容器尝试连接MSSQL数据库时，会出现以下错误：

A connection was successfully established with the server, but then an error occurred during the pre-login handshake. (provider: SSL Provider, error: 31 - Encryption(ssl/tls) handshake failed
Received an unexpected EOF or 0 bytes from the transport stream.

问题根源

这个问题通常与容器内的OpenSSL配置有关。.NET 8基础镜像默认使用了较高的安全级别(SECLEVEL=2)，这可能导致与某些MSSQL服务器的TLS协议版本不兼容。特别是当MSSQL服务器使用较旧版本的TLS协议时，这种安全配置会阻止连接建立。

解决方案探索

开发者最初尝试了多种方法修改OpenSSL配置：

1. 修改MinProtocol为TLSv1
2. 降低安全级别(SECLEVEL=0)
3. 安装libssl3和openssl包

但这些方法在最新版本的.NET 8基础镜像中可能不再有效，因为底层镜像的OpenSSL配置可能发生了变化。

最终解决方案

经过测试，改用mcr.microsoft.com/dotnet/aspnet:8.0.13-jammy-amd64作为基础镜像可以解决此问题。这个镜像基于Ubuntu Jammy，其OpenSSL配置可能与MSSQL服务器的TLS要求更兼容。

以下是修改后的Dockerfile关键部分：

FROM mcr.microsoft.com/dotnet/aspnet:8.0.13-jammy-amd64 AS base
WORKDIR /app
EXPOSE 8080
EXPOSE 8081
EXPOSE 80

技术建议

1. 当遇到TLS/SSL连接问题时，首先确认服务器和客户端支持的协议版本是否匹配
2. 考虑使用更稳定的LTS版本基础镜像，如带有具体版本号的镜像
3. 对于生产环境，建议明确指定基础镜像的完整版本号，而不是使用latest标签
4. 在Dockerfile中添加必要的OpenSSL相关包安装命令，确保TLS功能完整

总结

TLS/SSL连接问题在容器化环境中较为常见，特别是当基础镜像更新后安全配置发生变化时。通过选择合适的基础镜像版本，可以避免这类兼容性问题。对于.NET应用程序连接MSSQL的场景，使用基于Ubuntu Jammy的ASP.NET Core 8.0镜像是一个经过验证的可靠解决方案。