Docker Engine 28 重磅更新！Linux 依赖调整 + 5 大新功能

默认阻止未公开端口，提升容器安全性

谁会受到影响？

• 大多数单机 Docker 用户：升级后，安全性将自动提升，无需额外配置。
• Docker Desktop 用户：不受影响，因为其内部网络机制本就包含了未公开端口的保护措施。

除了安全性，Docker 28 还有哪些新功能？

1. 强制要求 Linux 内核支持 ipset

• Docker 现在 明确要求 Linux 内核支持 ipset，以便更好地管理新的网络过滤规则。

2. 新增 --mount 支持直接挂载镜像子路径

• 开发者现在可以使用：docker run --mount type=image,image-subpath=[subpath] ...
• 这样可以 直接从镜像挂载整个路径到容器内，简化文件访问和管理。

3. docker images --tree 增强显示本地镜像关系

• docker images --tree 命令新增 树状结构的详细元数据，方便可视化本地镜像的层级关系。

4. docker load / save / history 支持 --platform 参数

• 现在可以在 多架构镜像（multi-arch images）上 指定单一平台 进行操作，例如：docker save --platform linux/amd64 -o myimage.tar myimage
  这样可以更高效地管理跨架构的 Docker 镜像。

5. 容器启动时广播 ARP 或邻居通告

• 现在，当 容器启动 时，会自动 广播 ARP 或邻居通告（neighbor advertisements），确保 IP 地址正确关联到新 MAC 地址，提升网络通信的稳定性。

更多优化与修复

• 桥接网络连接速度更快，提高容器间的网络性能。
• docker export 等命令行为更一致，减少不同环境下的不稳定情况。
• Windows 用户 现在可以选择 让 Docker 以子进程（child process）方式管理容器，提高容器的运行稳定性。

如何获取更新？