Docker Engine 28 发布：默认强化容器网络安全，新增多项改进

Docker，作为领先的开源容器化平台，正式发布了 Docker Engine 28 版本。这次更新带来了 默认加强的容器网络安全 以及多个实用新功能。

默认阻止未公开端口，提升容器安全性

以往，在 Docker 的默认 bridge（桥接）网络 上运行的容器，如果宿主机的防火墙设置较为宽松，未公开的端口仍可能被访问。这意味着潜在的本地网络漏洞可能被利用。

从 Docker 28 开始，所有未公开的端口默认被阻止，有效防止此类安全风险。

谁会受到影响？

• 大多数单机 Docker 用户：升级后，安全性将自动提升，无需额外配置。
• Docker Desktop 用户：不受影响，因为其内部网络机制本就包含了未公开端口的保护措施。

除了安全性，Docker 28 还有哪些新功能？

1. 强制要求 Linux 内核支持 ipset

• Docker 现在 明确要求 Linux 内核支持 ipset，以便更好地管理新的网络过滤规则。

2. 新增 --mount 支持直接挂载镜像子路径

• 开发者现在可以使用：docker run –mount type=image,image-subpath=[subpath] …
• 这样可以 直接从镜像挂载整个路径到容器内，简化文件访问和管理。

3. docker images --tree 增强显示本地镜像关系

• docker images --tree 命令新增 树状结构的详细元数据，方便可视化本地镜像的层级关系。

4. docker load / save / history 支持 --platform 参数

• 现在可以在 多架构镜像（multi-arch images）上 指定单一平台 进行操作，例如：docker save –platform linux/amd64 -o myimage.tar myimage这样可以更高效地管理跨架构的 Docker 镜像。

5. 容器启动时广播 ARP 或邻居通告

• 现在，当 容器启动 时，会自动 广播 ARP 或邻居通告（neighbor advertisements），确保 IP 地址正确关联到新 MAC 地址，提升网络通信的稳定性。

更多优化与修复

每次 Docker 版本更新都会修复大量小问题，这次也不例外，包括：

• 桥接网络连接速度更快，提高容器间的网络性能。
• docker export 等命令行为更一致，减少不同环境下的不稳定情况。
• Windows 用户 现在可以选择 让 Docker 以子进程（child process）方式管理容器，提高容器的运行稳定性。

如何获取更新？

想了解完整的更新详情，可以查看 Docker Engine 28 发布说明，或者访问 Docker 官方博客文章。

The post Docker Engine 28 发布：默认强化容器网络安全，新增多项改进 first appeared on Linux迷.