Docker,作为领先的开源容器化平台,正式发布了 Docker Engine 28版本。这次更新带来了 默认加强的容器网络安全以及多个实用新功能。
默认阻止未公开端口,提升容器安全性
以往,在 Docker 的默认 bridge(桥接)网络上运行的容器,如果宿主机的防火墙设置较为宽松,未公开的端口仍可能被访问。这意味着潜在的本地网络漏洞可能被利用。
从 Docker 28 开始,所有未公开的端口默认被阻止,有效防止此类安全风险。
谁会受到影响?
大多数单机 Docker 用户:升级后,安全性将自动提升,无需额外配置。
Docker Desktop 用户:不受影响,因为其内部网络机制本就包含了未公开端口的保护措施。
Docker 现在 明确要求 Linux 内核支持 ipset,以便更好地管理新的网络过滤规则。
开发者现在可以使用:docker run --mount type=image,image-subpath=[subpath] ...
这样可以 直接从镜像挂载整个路径到容器内,简化文件访问和管理。
docker images --tree 命令新增 树状结构的详细元数据,方便可视化本地镜像的层级关系。
现在可以在 多架构镜像(multi-arch images)上 指定单一平台进行操作,例如:docker save --platform linux/amd64 -o myimage.tar myimage
这样可以更高效地管理跨架构的 Docker 镜像。
现在,当 容器启动时,会自动 广播 ARP 或邻居通告(neighbor advertisements),确保 IP 地址正确关联到新 MAC 地址,提升网络通信的稳定性。
每次 Docker 版本更新都会修复大量小问题,这次也不例外,包括:
桥接网络连接速度更快,提高容器间的网络性能。
docker export 等命令行为更一致,减少不同环境下的不稳定情况。
Windows 用户现在可以选择 让 Docker 以子进程(child process)方式管理容器,提高容器的运行稳定性。
想了解完整的更新详情,可以查看 Docker Engine 28 发布说明,或者访问 Docker 官方博客文章。
Linux迷
感谢 Linux迷 www.linuxmi.com 的精彩分享 。返回搜狐,查看更多
