Docker Desktop 4.29 带来增强的容器隔离性、改进的错误管理界面以及与 Moby 26 的集成

最新版本的 Docker Desktop 实现了套接字挂载权限以增强容器隔离性，更新了错误管理以提升效率和可靠性，集成了 Moby 26，并通过同步文件共享加快了文件操作速度。

增强容器隔离（ECI）模式仅对商业订阅者可用，它使用多种技术来加强容器隔离性，包括以非特权方式运行所有容器、确保 Docker VM 不可变、审查某些系统调用并在容器内虚拟化 /proc 和 /sys，以及阻止用户控制台访问虚拟机。Docker 表示，这一安全层有助于防止运行在容器中的恶意工作负载危害 Docker Desktop 或宿主。

在最新的 4.29 版本中，ECI 通过阻止未经批准的尝试将其绑定到容器中来加固 Docker 引擎套接字。为了避免影响效率，开发人员可以调整 admin-settings.json 配置，使指定的镜像绑定挂载 Docker 套接字。

Docker 引擎套接字是容器管理的一个关键组件，历来是潜在安全风险的载体。未经授权的访问可能会导致恶意活动，例如供应链攻击。然而，一些合法的场景，比如 Testcontainers 框架，需要通过套接字访问来执行一些操作任务。

Docker 表示，得益于新的错误管理系统，Docker Desktop 现在可以提供及时且可操作的见解，告诉用户是什么导致了错误，显着提升了开发者体验。它提供了一个增强的错误界面，提供原始错误代码和有用的解释文本，用户可用直接在错误界面上传诊断信息，并能够将应用程序重置为出厂设置，以便处理更复杂的场景。

如前所述，Docker Desktop 4.29 还集成了 Moby 26，带来了几个新特性，包括将子目录挂载为命名卷，改进了网络子系统的稳定性，集成了 BuildKit 0.13 对 Windows 容器的实验性支持，以及改进的 docker images 用户体验。

Moby 是最初为 Docker 项目创建的一组工具和组件，现在也可用于其他项目，包括容器构建工具、容器注册表、编排工具、运行时等。

最后提一下，新版 Docker Desktop 还通过同步文件共享将文件操作速度提升了 2 至 10 倍。同步文件共享只是保持与主机文件系统同步的文件缓存，使用 Mutagen 文件同步引擎实现双向传播，延迟极低。这种提高性能的代价是主机和虚拟机缓存都需要付出存储成本。

还有更多关于 Docker Desktop 4.29 的内容无法在此介绍，所以不要错过官方发布说明提供的完整信息。

查看英文原文：

https://www.infoq.com/news/2024/05/docker-desktop-4-29-released/

声明：本文由 InfoQ 翻译，未经许可禁止转载。