Docker Engine 20.10 发行说明

本文档介绍了最新的更改、新增内容、已知问题和修复适用于 Docker Engine 版本 20.10。

20.10.24

2023-04-04

更新

将 Go 运行时更新到 1.19.7。
将 Docker Buildx 更新到 v0.10.4。
将 containerd 更新到 v1.6.20。
更新 runc 至 v1.1.5。

错误修复和增强功能

修复了可能导致 Swarm 加密覆盖网络的许多问题未能履行其保证，解决 CVE-2023-28841、CVE-2023-28840 和 CVE-2023-28842。
- 现在报告缺乏对加密覆盖网络的内核支持作为错误。
- 加密的覆盖网络是热切建立的，而不是等待要附加的多个节点。
- 加密的覆盖网络现在可以在 Red Hat Enterprise Linux 9 上使用通过使用xt_bpfkernel 模块。
- Swarm 叠加网络的用户应查看 GHSA-vwm3-crmr-xfxw，以确保没有发生意外暴露。
github.com/containerd/fifo 升级到 v1.1.0 以修复潜在的 panic moby/moby#45216。
修复已安装的 cli-plugins docker/cli 缺少 Bash 补全的问题 #4091。

20.10.23

2023-01-19

此版本的 Docker Engine 包含 Docker Compose 的更新版本， Docker Buildx、containerd 和一些小错误修复和增强功能。

更新

将 Docker Compose 更新到 v2.15.1。
将 Docker Buildx 更新到 v0.10.0。
更新 containerd （containerd.io包）升级到 v1.6.15。
更新docker-compose-cli允许分发版本更新 docker/docker-ce-packaging#822。
将 Go 运行时更新到 1.18.10，

错误修复和增强功能

修复docker build在使用--add-host=host.docker.internal:host-gateway启用 BuildKit moby/moby#44650。
将 seccomp： block 套接字调用还原为AF_VSOCK在默认配置文件 moby/moby#44712 中。
这一变化虽然从安全角度来看是有利的，但导致了变化在某些用例中。因此，我们将其还原以确保受影响用户的稳定性和兼容性。
但是，用户的AF_VSOCK中应识别出此（特殊）地址族当前未在任何版本的 Linux 内核，并可能导致意外行为，例如容器直接与主机 Hypervisor 通信。
未来版本，将过滤AF_VSOCK.需要允许容器的用户通过 unnamespacedAF_VSOCK将需要关闭 seccomp 限制或设置自定义 secComp 配置文件。

20.10.22

2022-12-16

此版本的 Docker Engine 包含 Docker Compose 的更新版本， Docker Scan、containerd 和一些小错误修复和增强功能。

更新

将 Docker Compose 更新到 v2.14.1。
将 Docker Scan 更新到 v0.23.0。
更新 containerd （containerd.iopackage）迁移到 v1.6.13 中，以包含 CVE-2022-23471 的修复程序。
将 Go 运行时更新到 1.18.9，包括 CVE-2022-41716、CVE-2022-41717 和 CVE-2022-41720 的修复程序。

错误修复和增强功能

改进了尝试提取不受支持的镜像格式或 OCI 对象 moby/moby#44413、moby/moby#44569 时的错误消息。
修复了在为容器 moby/moby 选择随机端口时忽略主机的临时端口范围的问题#44476。
修复ssh: parse error in message type 27错误docker build在使用 OpenSSH 8.9 或更高版本的主机上 moby/moby#3862。
seccomp：阻止套接字调用AF_VSOCK在默认配置文件 moby/moby#44564 中。

20.10.21

2022-10-25

此版本的 Docker Engine 包含 Docker Compose 的更新版本， Docker Scan、containerd、为 Ubuntu 22.10 添加的软件包和一些小错误修复和增强功能。

新增功能

提供适用于 Ubuntu 22.10 （Kinetic Kudu）的软件包。
添加对allow-nondistributable-artifacts朝向 Docker Hub moby/moby#44313。

更新

将 Docker Compose 更新到 v2.12.2。
将 Docker Scan 更新到 v0.21.0。
更新 containerd （containerd.io包）升级到 v1.6.9。
更新捆绑的 BuildKit 版本以修复output clipped, log limit 1MiB reached错误 moby/moby#44339。

错误修复和增强功能

移除的实验门--platform在 bash 补全中 docker/cli#3824。
修复Invalid standard handle identifier在 Windows moby/moby 上从旧版 CLI 将 Docker Engine 注册为服务时出现 panic#44326。
修复在 Windows moby/moby 上的 Cygwin 中运行 Git 命令的问题#44332。

20.10.20

2022-10-18

此版本的 Docker Engine 包含针对 Git 漏洞的部分缓解措施（CVE-2022-39253）、并更新了对image:tag@digest镜像引用。

Git 漏洞允许恶意构建的 Git 存储库在用作 build context，将任意文件系统路径复制到生成的容器/镜像中; 这可能发生在守护进程和 API 客户端中，具体取决于版本和使用中的工具。

此版本和守护程序 API 的其他使用者中提供的缓解措施是部分的，并且仅保护构建 Git URL 上下文的用户（例如git+protocol://). 由于该漏洞仍可能被手动运行交互的 Git 命令所利用 with 和 check out 子模块，用户应立即升级到 Git 来防范此漏洞。更多详细信息可从 GitHub 获取博客（“Git 安全漏洞已公布”）。

更新

将 Docker Compose 更新到 v2.12.0。
更新了image:tag@digest引用。使用这image:tag@digest（“Pull By Digest”），镜像分辨率通过 content-addressable 摘要和image和tag未使用。而这是意料之中的，这可能会导致混淆行为，并且可能会通过社会工程手段被利用以运行已经存在的镜像在本地镜像存储中。Docker 现在检查摘要是否与存储库匹配 name 用于拉取镜像，否则会产生错误。
更新了image:tag@digest引用。请参阅 “守护进程” 部分有关详细信息。

错误修复和增强功能

添加了针对 CVE-2022-39253 的缓解措施，当使用带有 Git URL 作为构建上下文的经典构建器时。
为经典 Builder 添加了缓解措施，并将 BuildKit 更新到 v0.8.3-31-gc0149372， CVE-2022-39253 中。

20.10.19

2022-10-14

此版本的 Docker Engine 附带了一些错误修复和更新版本 Docker Compose 的。

更新

将 Docker Compose 更新到 v2.11.2。
将 Go 运行时更新到 1.18.7，其中包含针对 CVE-2022-2879、CVE-2022-2880、和 CVE-2022-41715。

错误修复和增强功能

修复了一个可能导致 panic 期间出现 panic 的问题docker builder prune或docker system prune 白鲸/白鲸#44122。
修复了使用docker volume prune将删除如果守护程序正在使用 “Live Restore” 运行并重新启动 MOBY/MOBY#44238，则仍在使用中。

20.10.18

2022-09-09

此版本的 Docker Engine 修复了一个低严重性安全问题修复了一些小错误，并更新了 Docker Compose、Docker Buildx、containerd和runc.

更新

将 Docker Buildx 更新到 v0.9.1。
将 Docker Compose 更新到 v2.10.2。
更新 containerd （containerd.io包）升级到 v1.6.8。
更新 runc 版本至 v1.1.4。
将 Go 运行时更新到 1.18.6，其中包含针对 CVE-2022-27664 和 CVE-2022-32190 的修复程序。

错误修复和增强功能

为 Docker Compose 添加 Bash 补全 docker/cli#3752。
修复了在构建 moby/moby#43876 期间不保留 file-capabilities 的问题。
修复了一个可能导致并发映射读取和 map write moby/moby#44067 的 moby。
修复与补充组权限相关的安全漏洞，该漏洞可能允许容器进程绕过容器漏洞 CVE-2022-36109、GHSA-rc4r-wh2q-q6c4。
seccomp：在默认策略 moby/moby#43991 中添加对 Landlock 系统调用的支持。
seccomp：更新默认策略以支持内核 5.12 - 5.16 moby/moby#43991 中引入的新系统调用。
修复了以下问题：镜像清单的缓存查找失败，从而导致在到镜像注册表 moby/moby#44109 的冗余往返中。
修复exec进程和运行状况检查未终止当他们超时 Moby/Moby#44018 时。

20.10.17

2022-06-06

此版本的 Docker Engine 附带了 Docker Compose 的更新版本和containerd和runc组件，以及一些小错误修复。

更新

将 Docker Compose 更新到 v2.6.0。
更新 containerd （containerd.iopackage）迁移到 v1.6.6 中，其中包含 CVE-2022-31030 的修复程序
将 runc 版本更新到 v1.1.2，其中包含 CVE-2022-29162 的修复程序。
将 Go 运行时更新到 1.17.11，其中包含针对 CVE-2022-30634、CVE-2022-30629、CVE-2022-30580 和 CVE-2022-29804 的修复程序

错误修复和增强功能

从 zsh 完成脚本 docker/cli#3648 中的 docker 命令中删除星号。
修复 Windows 端口与主机模式下 overlay moby/moby 的已发布端口的冲突 #43644。
确保性能调整始终应用于 libnetwork 沙箱 moby/moby#43683。

20.10.16

2022-05-12

此版本的 Docker Engine 修复了 Docker CLI 版本中的回归 macOS 修复了docker stats使用 containerd 1.5 及更高版本时，并更新了 Go 运行时以包含 CVE-2022-29526 的修复程序。

更新

更新 golang.org/x/sys 依赖项，其中包含 CVE-2022-29526 的修复程序。
更新了golang.org/x/sysbuild-time 依赖项，其中包含 CVE-2022-29526 的修复程序。
将 Go 运行时更新到 1.17.10，其中包含 CVE-2022-29526 的修复程序。

错误修复和增强功能

修复了 20.10.15 中引入的 macOS Binaries中的回归，该回归导致 Docker/CLI 出现紧急情况 #43426。
修复了docker stats在运行时显示空统计信息 containerd 1.5.0 或更高版本 moby/moby#43567。
对docker scanCLI 插件，以防止当用户从执行离线安装时出现“Conflicting requests” 错误下载 RPM 包 docker/docker-ce-packaging#659。

20.10.15

2022-05-05

此版本的 Docker Engine 附带了compose,buildx,containerd和runc组件，以及一些小错误修复。

更新

将 Docker Compose 更新到 v2.5.0。
将 Docker Buildx 更新到 v0.8.2。
将 Go 运行时更新到 1.17.9。
更新 containerd （containerd.io包）升级到 v1.6.4。
更新 runc 版本至 v1.1.1。

错误修复和增强功能

对 stateCounter 使用 RWMutex 以防止潜在的锁定拥塞 moby/moby#43426。
防止守护程序无法在中找到可用 IP 范围的问题部分条件 MOBY/MOBY#43360
添加适用于 CentOS 9 stream 和 Fedora 36 的软件包。

已知问题

我们在 20.10.15 版本中发现了 macOS CLI Binaries的问题。此问题已在 20.10.16 版本中得到解决。

20.10.14

2022-03-23

此版本的 Docker Engine 更新了容器解决 CVE-2022-24769、新版本的containerd.io运行时也包括在内以解决相同的问题问题。

更新

更新默认的可继承能力。
更新构建期间使用的容器的默认可继承功能。
更新 containerd （containerd.io包）升级到 v1.5.11。
更新docker buildx升级到 v0.8.1。

20.10.13

2022-03-10

此版本的 Docker Engine 包含一些 bug 修复和打包更改，对docker scan和docker buildxcommands，则是 Go 运行时以及containerd.io运行。与此版本一起，我们现在还提供.deb和.rpm软件包 Docker Compose V2，可以使用（可选）docker-compose-plugin包。

新增功能

提供.deb和.rpmDocker Compose V2 的软件包。Docker Compose v2.3.3 现在可以在 Linux 上安装，使用docker-compose-plugin软件包，其中提供docker compose子命令。The Docker Compose 插件也可以独立安装和运行，以用作直接替代品为docker-compose（Docker Compose V1）docker/docker-ce-packaging#638 的这compose-cli-pluginpackage 也可以在旧版本的 Docker 上使用支持 CLI 插件的 CLI（Docker CLI 18.09 及更高版本）。
为即将推出的 Ubuntu 22.04 “Jammy Jellyfish” LTS 版本 docker/docker-ce-packaging#645、docker/containerd-packaging#271 提供软件包。

更新

将 buildx 的捆绑版本更新到 v0.8.0。
更新docker buildx升级到 v0.8.0。
更新docker scan (docker-scan-plugin）升级到 v0.17.0。
更新 containerd （containerd.io包）升级到 v1.5.10。
将捆绑的 runc 版本更新到 v1.0.3。
将 Golang 运行时更新到 Go 1.16.15。
更新 fluentd 日志驱动程序以防止潜在的守护程序崩溃，并防止容器在使用fluentd-async-connect=true和远程服务器无法访问 moby/moby#43147。

错误修复和增强功能

修复更新容器状态 moby/moby#43166 时的争用条件。
更新 etcd 依赖项以防止守护进程错误地持有文件锁 moby/moby#43259
修复在配置默认net.ipv4.ping_group_rangesysctl moby/moby#43084 的
如果在镜像期间发生连接失败，请重试下载镜像清单拉取 moby/moby#43333。
命令行参考和 API 文档中的各种修复。
在将 “local” 日志记录驱动程序与生成大量日志消息 moby/moby#43165。

20.10.12

2021-12-13

此版本的 Docker Engine 仅包含打包方面的更改，并提供对docker scan和docker buildx命令。的版本docker scanv0.11.0 之前无法检测到 Log4j 2 CVE-2021-44228。我们正在运送docker scan在此版本中为您提供帮助扫描您的镜像以查找此漏洞。

注意
这docker scan命令目前仅在 x86 平台上受支持。我们尚未为 Linux 上的其他硬件体系结构提供软件包。

这docker scan功能作为单独的包提供，并且根据您的升级或安装方法，“docker scan”可能不会自动更新为最新版本。使用以下说明进行更新docker scan查看最新信息版本。您还可以使用这些说明来安装或升级docker scan软件包中，而不升级 Docker Engine：

upper.deb基于发行版的发行版，例如 Ubuntu 和 Debian：

$ apt-get update && apt-get install docker-scan-plugin

在基于 rpm 的发行版（如 CentOS 或 Fedora）上：

$ yum install docker-scan-plugin

升级后，请确认您拥有最新版本的docker scan安装：

$ docker scan --accept-license --version
Version:    v0.12.0
Git commit: 1074dd0
Provider:   Snyk (1.790.0 (standalone))

阅读我们关于 CVE-2021-44228 的博客文章，了解如何使用docker scan命令检查镜像是否易受攻击。

包装

更新docker scan升级到 v0.12.0。
更新docker buildx到 v0.7.1。
将 Golang 运行时更新到 Go 1.16.12。

20.10.11

2021-11-17

重要
由于 Go 1.16 中的 net/http 更改，通过$HTTP_PROXY环境变量不再用于 TLS （https://）连接。确保你还设置了$HTTPS_PROXY环境变量，用于处理对https://URL 的 URL 中。请参阅配置守护程序以使用代理了解如何配置 Docker 守护程序以使用代理服务器。

分配

处理不明确的 OCI 清单解析以缓解 CVE-2021-41190 / GHSA-mc8v-mgrf-8f4m。有关详细信息，请参阅 GHSA-xmmx-7jpf-fx42。

窗户

修复panic.log文件设置了只读属性 moby/moby#42987。

包装

将 containerd 更新到 v1.4.12 以缓解 CVE-2021-41190。
将 Golang 运行时更新到 Go 1.16.10。

20.10.10

2021-10-25

重要
由于 Go 1.16 中的 net/http 更改，通过$HTTP_PROXY环境变量不再用于 TLS （https://）连接。确保你还设置了$HTTPS_PROXY环境变量，用于处理对https://URL 的 URL 中。请参阅 HTTP/HTTPS 代理部分，了解如何配置 Docker 守护程序以使用代理服务器。

建筑工人

修复平台匹配逻辑以修复docker build使用 Not find images in 使用 BuildKit moby/moby 时 Arm 机器上的本地镜像缓存 #42954

运行

添加对clone3sys调用以支持运行基于最新版本的 Fedora 和 Ubuntu 的容器。白鲸/白鲸/#42836。
Windows：更新 hcsshim 库以修复容器中稀疏文件处理的缺陷层，该图层由 Windows moby/moby#42944 中的最近更改公开。
修复docker stop可以永远挂着 Moby/Moby#42956。

群

修复了更新服务在失败时未回滚的问题 moby/moby#42875。

包装

添加适用于 Ubuntu 21.10 “Impish Indri” 和 Fedora 35 的软件包。
更新docker scan升级到 v0.9.0
将 Golang 运行时更新到 Go 1.16.9。

20.10.9

2021-10-04

此版本是一个安全版本，在 CLI 运行时中修复了安全问题，如以及 containerd.io 包的更新版本。

重要
由于 Go 1.16 中的 net/http 更改，通过$HTTP_PROXY环境变量不再用于 TLS （https://）连接。确保你还设置了$HTTPS_PROXY环境变量，用于处理对https://URL 的 URL 中。请参阅 HTTP/HTTPS 代理部分，了解如何配置 Docker 守护程序以使用代理服务器。

客户

CVE-2021-41092漏洞确保默认身份验证配置已设置地址字段，以防止凭据被发送到默认注册表。

运行

CVE-2021-41089漏洞在 chroot 中创建父目录docker cp为了防止一个特别的通过更改主机文件系统中现有文件的权限来构建的容器。
CVE-2021-41091漏洞锁定文件权限以防止非特权用户发现和执行程序/var/lib/docker.

包装

已知问题
这ctr此版本的静态软件包的二进制发布不是静态链接，并且不会在使用 alpine 作为基础的 Docker 镜像中运行镜像。用户可以安装libc6-compat包，或下载以前的版本的ctrbinary 作为解决方法。请参阅 containerd 票据有关此问题的更多详细信息，请访问：containerd/containerd#5824。

将 Golang 运行时更新到 Go 1.16.8，其中包含针对 CVE-2021-36221 和 CVE-2021-39293 的修复
将静态Binaries containerd.io rpm 和 deb 软件包更新到 containerd v1.4.11 和 runc v1.0.2 以解决 CVE-2021-41103。
将 rpm 和 deb 软件包的捆绑 buildx 版本更新到 v0.6.3。

20.10.8

2021-08-03

重要
由于 Go 1.16 中的 net/http 更改，通过$HTTP_PROXY环境变量不再用于 TLS （https://）连接。确保你还设置了$HTTPS_PROXY环境变量，用于处理对https://URL 的 URL 中。请参阅 HTTP/HTTPS 代理部分，了解如何配置 Docker 守护程序以使用代理服务器。

折旧

弃用对加密 TLS 私有密钥的支持。旧版 PEM 加密为 RFC 1423 中指定的 RFC 1423 在设计上是不安全的。因为它不进行身份验证密文，它容易受到 Padding Oracle 攻击，这些攻击可以让攻击者恢复了明文。现在支持加密的 TLS 私钥标记为已弃用，并将在即将发布的版本中删除。docker/cli 命令 #3219
弃用 Kubernetes 堆栈支持。在 Kubernetes 上弃用 Compose 后，在 Kubernetes 的stack和contextDocker CLI 中的命令现在标记为已弃用，并将在即将发布的版本 docker/cli#3174 中删除。

客户

修复Invalid standard handle identifierWindows docker/cli 上的错误 #3132。

无根

避免can't open lock file /run/xtables.lock: Permission denied错误 SELinux 托管 moby/moby#42462。
在使用 SELinux 运行时禁用 overlay2，以防止出现权限被拒绝错误 moby/moby#42462。
修复x509: certificate signed by unknown authorityopenSUSE Tumbleweed moby/moby 上的错误 #42462。

运行

在使用--platform提取单个 Arch 镜像的选项这与指定的架构 moby/moby#42633 不匹配。
修复不正确Your kernel does not support swap memory limitwarning 时使用 cgroups v2 moby/moby#42479 运行。
Windows：修复了在以下情况下容器未停止的情况HcsShutdownComputeSystem返回了一个ERROR_PROC_NOT_FOUND错误 moby/moby#42613

群

修复了由于节点无法清理其旧的负载均衡器 IP moby/moby#42538
修复日志代理中的死锁（“dispatcher 已停止”）moby/moby#42537

包装

已知问题
这ctr此版本的静态软件包的二进制发布不是静态链接，并且不会在使用 alpine 作为基础的 Docker 镜像中运行镜像。用户可以安装libc6-compat包，或下载以前的版本的ctrbinary 作为解决方法。请参阅 containerd 票据有关此问题的更多详细信息，请访问：containerd/containerd#5824。

删除 Ubuntu 16.04 “Xenial” 和 Fedora 32 的打包，因为它们已停产 docker/docker-ce-packaging#560
将 Golang 运行时更新到 Go 1.16.6
将 rpm 和 deb 包 docker/docker-ce-packaging#562 的捆绑 buildx 版本更新到 v0.6.1
将静态Binaries以及 containerd.io rpm 和 deb 包更新到 containerd v1.4.9 和 runc v1.0.1：docker/containerd-packaging#241、docker/containerd-packaging#245、docker/containerd-packaging#247。

20.10.7

2021-06-02

客户

禁止显示已弃用的 cgroups 的警告 docker/cli#3099。
阻止发送SIGURG向 Linux 和 macOS 上的容器发出信号。Go 运行时（从 Go 1.14 开始）使用SIGURG信号作为中断发送到支持抢占式 syscall。在附加了 Docker CLI 的情况下发送到容器时，这些中断被转发到容器。此修复将 Docker CLI 更改为忽略SIGURG信号 docker/cli#3107、moby/moby#42421。

建筑工人

将 BuildKit 更新到版本 v0.8.3-3-g244e8cde moby/moby#42448：
- 转换 executor 中 exec 挂载的相对挂载点以解决此问题 Runc v1.0.0-rc94 及更高版本中的重大更改。moby/buildkit#2137 的
- 添加对镜像推送 5xx 错误重试。moby/buildkit#2043 中。
- 修复了在重命名使用一个COPY命令。请注意，此更改会使使用通配符的 copy 命令的现有构建缓存。moby/buildkit#2018 中。
- 修复在使用 mounts moby/buildkit 时 build-cache 不失效的问题#2076。
修复 Build 失败FROM使用旧版 Schema 1 镜像 moby/moby#42382 时，不会缓存镜像。

伐木

更新 hcsshim SDK，使 Windows 上的守护程序日志不那么冗长 moby/moby#42292。

无根

修复了在具有 user-namespaces 启用了 moby/moby#42352。

联网

更新 libnetwork 以修复具有内核引导的环境上的发布端口参数ipv6.disable=1，并修复导致内部 DNS 查找的死锁使 moby/moby#42413 失败。

贡献

更新 rootlesskit 到 v0.14.2 以修复启动 userland 代理时超时的问题使用slirp4netns端口驱动程序 MOBY/MOBY#42294。
修复在无根 docker 上运行 docker-in-docker 时出现的 “Device or resource busy” 错误守护进程 Moby/Moby#42342。

包装

将 containerd 更新到 v1.4.6，runc v1.0.0-rc95 以解决 CVE-2021-30465 moby/moby#42398、moby/moby#42395、docker/containerd-packaging#234
将 containerd 更新到 v1.4.5、runc v1.0.0-rc94 moby/moby#42372、moby/moby#42388、docker/containerd-packaging#232。
更新 Docker Scan 插件包（docker-scan-plugin）添加到 v0.8 docker/docker-ce-packaging#545。

20.10.6

2021-04-12

客户

Apple Silicon （darwin/arm64）对 Docker CLI 的支持 docker/cli #3042
config：回退到 v1.7.0 之前的配置文件时打印弃用警告~/.dockercfg.在未来的版本中将删除对此文件的支持 docker/cli#3000

建筑工人

修复经典构建器静默忽略不支持的 Dockerfile 选项并提示启用 BuildKit 而不是 moby/moby 的问题#42197

伐木

json-file：修复偶发的意外 EOF 错误 moby/moby#42174

联网

修复 docker 20.10 中的回归问题，导致在映射端口 moby/moby 时默认不再绑定 IPv6 地址#42205
修复 API 响应中未包含的隐式 IPv6 端口映射。在 docker 20.10 之前，默认情况下可以通过 IPv4 和 IPv6 访问已发布的端口，但 API 仅包含有关 IPv4 （0.0.0.0）映射 moby/moby 的信息#42205
修复 docker 20.10 中的一个回归问题，导致 docker-proxy 在所有情况下都不会终止 moby/moby#42205
修复 iptables 转发规则在移除容器时没有被清理的问题 moby/moby#42205

包装

将静态Binaries的 containerd 更新到 v1.4.4。apt/yum 软件库上的 containerd.io 组件已经包含了这个带外更新。包括 CVE-2021-21334 的修复程序。白鲸/白鲸#42124
适用于 Debian/Raspbian 11 Bullseye、Ubuntu 21.04 Hirsute Hippo 和 Fedora 34 的软件包 docker/docker-ce-packaging#521 docker/docker-ce-packaging#522 docker/docker-ce-packaging#533
在 Linux amd64 上，通过docker-scan-pluginpackage 作为docker-ce-cli软件包 docker/docker-ce-packaging#537
包含 arm64 moby/moby 的 VPNKit Binaries#42141

插件

修复 docker plugin create 制作插件与旧版 Docker moby/moby 不兼容的问题#42256

无根

将 RootlessKit 更新到 v0.14.1（另见 v0.14.0 v0.13.2） moby/moby#42186 moby/moby#42232
dockerd-rootless-setuptool.sh：创建 CLI 上下文 “rootless” moby/moby#42109
dockerd-rootless.sh：禁止以 root moby/moby 身份运行 #42072
修复绑定挂载现有挂载 moby/moby 时出现“不允许作”的问题#42233
overlay2：修复“createDirWithOverlayOpaque（...）...输入/输出错误“MOBY/MOBY#42235
overlay2：支持 “userxattr” 选项（内核 5.11） moby/moby#42168
Btrfs：允许非特权用户删除子卷（内核 >= 4.18）moby/moby#42253
cgroup2：将 cgroup v2 移出实验性 moby/moby#42263

20.10.5

2021-03-02

客户

还原 docker/cli#2960 以修复挂起的问题docker start --attach并删除 spuriousUnsupported signal: <nil>. Discarding消息。docker/cli#2987 的

20.10.4

2021-02-26

建筑工人

修复使用空图层 moby/moby 内联导入缓存时缓存匹配不正确的问题#42061
更新 BuildKit 到 v0.8.2 moby/moby#42061
- 解析程序：避免在令牌获取时出现错误缓存
- fileop：修复校验和以包含输入索引，以防止某些缓存未命中
- 修复挂载引用类型错误上的引用计数问题（修复invalid mutable ref错误）
- Git：仅为主远程访问设置令牌，允许克隆具有不同凭据的子模块
确保在拉取后删除 /var/lib/docker/buildkit/content/blobs/sha256 中的 blob。要清理旧状态，请运行builder prune 白鲸/白鲸#42065
修复并行拉取同步回归 moby/moby#42049
确保 libnetwork state 文件不会泄漏 moby/moby#41972

客户

修复 panic ondocker login如果没有配置文件，docker/cli#2959
修复WARNING: Error loading config file: .dockercfg: $HOME is not defined docker/cli 的 #2958

运行

docker 信息：静默无法处理的警告 moby/moby#41958
避免为 XGlobalHeader moby/moby 创建父目录#42017
创建缺失目录时使用 0755 权限 moby/moby#42017
当镜像配置 moby/moby 中没有平台匹配时回退到清单列表#42045 moby/moby#41873
修复配置了自定义默认运行时的设置上的 daemon panic moby/moby#41974
修复守护进程配置为空时 panic moby/moby 的问题#41976
修复使用无效设备 cgroup 规则 moby/moby 启动容器时守护进程 panic 的问题#42001
修复用户名和UID匹配moby/moby时的userns-remap选项#42013
静态：更新 runc Binaries到 v1.0.0-rc93 moby/moby#42014

记录

荣誉labels-regexconfig 即使labels未设置 moby/moby#42046
正确处理长日志消息，防止非阻塞模式下的 awslogs 拆分大于 16kB 的事件 mobymoby#41975

无根

通过将 systemd KillMode 设置为 mixed moby/moby 来防止服务在停止时挂起#41956
dockerd-rootless.sh：添加拼写错误守卫 MOBY/MOBY#42070
将 rootlesskit 更新到 v0.13.1 以修复 IPv6 地址 moby/moby 的处理 #42025
允许在 userns moby/moby 内 mknodding FIFO#41957

安全

配置文件：seccomp：更新到 Linux 5.11 syscall list moby/moby#41971

群

修复重启 moby/moby 时 heartbeat 不持久的问题#42060
修复可能卡顿的任务 moby/moby#42060
修复--update-order和--rollback-order标志--update-order或--rollback-order提供 docker/cli#2963
修复docker service rollback在某些情况下返回非零退出代码 docker/cli#2964
修复上不一致的进度条方向docker service rollback docker/cli #2964 命令

20.10.3

2021-02-01

安全

CVE-2021-21285漏洞防止无效镜像使 docker 守护进程崩溃
CVE-2021-21284漏洞锁定文件权限以防止重新映射的 root 访问 docker 状态
确保在使用 BuildKit 构建时应用 AppArmor 和 SELinux 配置文件

客户

在导入上下文之前检查上下文，以降低提取的文件转义上下文存储的风险
Windows：阻止从当前目录 docker/cli 执行某些Binaries #2950

20.10.2

2021-01-04

运行

修复在使用 restart 策略恢复容器时守护进程启动挂起，但始终无法启动 moby/moby 的问题#41729
overlay2：修复了当 data-root 为 24 字节长时阻止构建或运行容器的 off-by-one 错误 moby/moby#41830
systemd：发送sd_notify STOPPING=1关闭 Moby/Moby 时#41832

联网

修复 IPv6 端口转发 moby/moby#41805 moby/libnetwork#2604

群

修复的过滤replicated-job和global-job服务模式 MOBY/MOBY#41806

包装

buildX 更新到 v0.5.1 docker/docker-ce-packaging#516

20.10.1

2020-12-14

建筑工人

buildkit：更新到 v0.8.1，修复了各种 bugs，MOBY/MOBY#41793

包装

恢复 systemd 单元中可能由于启动顺序冲突而阻止 docker 启动的更改 docker/docker-ce-packaging#514
buildX 更新到 v0.5.0 docker/docker-ce-packaging#515

20.10.0

2020-12-08

弃用 / 移除

有关所有已弃用功能的概述，请参阅已弃用的引擎功能页面。

警告和弃用通知docker pull-ing 来自不支持摘要式 docker/cli 的不合规注册表 #2872
针对未经身份验证的 tcp 访问 moby/moby 的更严厉警告和弃用通知 #41285
废弃 KernelMemory （docker run --kernel-memory) MOBY/MOBY#41254 docker/cli #2652
废弃aufs存储驱动程序 docker/cli#1484
弃用具有外部 k/v 存储的主机发现和覆盖网络 moby/moby#40614 moby/moby#40510
弃用 Dockerfile 旧版 'ENV name value' 语法，使用ENV name=value而是 docker/cli#2743
删除 API v1.41 及更高版本中已弃用的 “filter” 参数 moby/moby#40491
在推送 moby/moby 时禁用分发清单 v2 架构 1#41295
删除 hack MalformedHostHeaderOverride 破坏旧的 docker 客户端（<= 1.12），在这种情况下，将DOCKER_API_VERSION 白鲸/白鲸#39076
移除 docker engine 子命令 docker/cli#2207
从 “dab” 文件中删除实验性的 “deploy” docker/cli #2216
移除已弃用docker search --automated和--stars标记 docker/cli#2338
不再允许在引擎标签中使用保留命名空间 docker/cli#2326

应用程序接口

将 API 版本更新到 v1.41
不需要对指标进行“实验性”API moby/moby#40427
GET /events现在返回prune修剪资源完成后的事件 moby/moby#41259
- 为container,network,volume,image和builder，并具有reclaimed属性，指示回收的空间量（以字节为单位）
加one-shotstats 选项不启动 Stats moby/moby#40478
将作系统版本信息添加到系统信息的 API （/info) 白鲸/白鲸 #38349
将 DefaultAddressPools 添加到 docker info moby/moby #40714
在 moby/moby 服务上添加对 PidsLimit 的 API 支持#39882

建筑工人

buildkit，dockerfile：支持RUN --mount选项，而无需指定实验性 Dockerfile#syntax命令。moby/buildkit#1717
docker文件：ARG命令现在支持在同一行上定义多个构建参数，类似于ENV moby/buildkit#1692
docker文件：--chown标志输入ADD现在允许扩展参数 moby/buildkit#1473
buildkit：获取授权令牌已移至客户端（如果客户端支持）。密码不再泄漏到构建守护程序中，用户可以从构建输出中看到何时访问凭据或令牌。moby/buildkit#1660
buildkit：与注册表通信以进行推送和拉取时出现连接错误，现在会触发重试 moby/buildkit#1791
buildkit：Git 源现在支持通过构建密钥 moby/moby#41234 docker/cli#2656 moby/buildkit#1533 进行令牌认证
buildkit：从 git 源码构建现在支持转发 SSH 套接字进行身份验证 moby/buildkit#1782
buildkit：避免生成过多日志的构建，这会导致崩溃或减慢构建速度。如果需要，将执行剪辑。白鲸/buildkit#1754
buildkit：将默认的 Seccomp 配置文件改为 Docker moby/buildkit 提供的 #1807
buildkit：对在 Windows 上公开 SSH 代理套接字的支持已得到改进 moby/buildkit#1695
buildkit：使用 --progress=plain moby/buildkit 时默认关闭截断#1435
buildkit：允许更好地处理多个构建共享的客户端会话丢弃 moby/buildkit#1551
buildkit： secrets：允许使用 env moby/moby 提供 secret#41234 docker/cli#2656 moby/buildkit#1534
- 支持--secret id=foo,env=MY_ENV作为将密钥值存储到文件的替代方法。
- --secret id=GIT_AUTH_TOKEN如果 env 存在，则将加载 env 但该文件不存在。
buildkit：支持镜像回退、不安全的 TLS 和自定义 TLS 配置 moby/moby#40814
buildkit： remotecache：行走时只访问每个项目一次结果 moby/moby#41234 moby/buildkit#1577
- 提高较大图形的性能和 CPU 使用率
buildkit：本地镜像平台不匹配时检查 remote#40629
buildkit：镜像导出：创建新图层 blob 时使用正确的媒体类型 moby/moby#41234 moby/buildkit#1541
buildkit： progressui：修复日志时间格式化 moby/moby#41234 docker/cli#2656 moby/buildkit#1549
buildkit：缓解并行推送 moby/moby 上的 containerd 问题#41234 moby/buildkit#1548
buildkit：内联缓存：修复重复 blob moby/moby 的处理#41234 moby/buildkit#1568
- 修复 https://github.com/moby/buildkit/issues/1388 cache-from 工作不可靠
- 修复了从缓存层构建的镜像缺少数据 https://github.com/moby/moby/issues/41219
允许对远程上下文 URL 进行 ssh:// moby/moby#40179
构建器：删除旧版的会话处理（是实验性的）moby/moby#39983

客户

为 CLI docker/cli 添加 swarm 作业支持 #2262
加-a/--all-tags到 docker 推送 docker/cli#2220
新增对 Kubernetes 用户名/密码身份验证 docker/cli 的支持#2308
加--pull=missing|always|never自run和create命令 docker/cli#1498
加--env-fileflag 设置为docker exec用于解析文件中的环境变量 docker/cli#2602
添加速记-n为--tail选项 docker/cli#2646
为服务检查 “pretty” 格式 docker/cli 添加 log-driver 和选项 #1950
docker run：使用--cgroupns docker/cli #2024
docker manifest rm从本地存储中删除 manifest list draft 的命令 docker/cli#2449
将 “context” 添加到 “docker version” 和 “docker info” docker/cli #2500
将平台标志传播到容器创建 API docker/cli#2551
这docker ps --formatflag 现在具有.Stateplaceholder 打印容器的状态，而不打印有关正常运行时间和运行状况检查的其他详细信息 docker/cli#2000
新增对 docker-compose schema v3.9 docker/cli 的支持 #2073
添加对 docker push 的支持--quiet docker/cli #2197 命令
如果启用了 BuildKit，则隐藏 BuildKit 不支持的标志 docker/cli#2123
更新的标志描述docker rm -v澄清该选项仅删除匿名（未命名）卷 docker/cli#2289
改进 docker 服务 docker/cli 的任务打印 #2341
docker info：按字母顺序列出 CLI 插件 docker/cli#2236
固定的处理顺序--label-add/--label-rm,--container-label-add/--container-label-rm和--env-add/--env-rm标志开启docker service update允许替换现有值 docker/cli#2668
修复docker rm --force如果一个或多个容器不存在，则返回非零退出代码 docker/cli#2678
通过使用改进内存统计信息显示total_inactive_file而不是cache docker/cli 的 #2415
缓解别名过多的 YAML 文件 docker/cli#2117
允许在设置仅源字段 docker/cli 的 config 或 secret 时使用高级语法 #2243
修复读取包含username和passwordauth 即使auth为空 docker/cli#2122
docker cp：在统计目标 docker/cli 失败时阻止 NPE docker/cli#2221
config：保留对 configfile docker/cli 的所有权和权限#2228

伐木

支持读取docker logs使用所有日志记录驱动程序（尽力而为）MOBY/MOBY#40543
加splunk-index-acknowledgmentlog 选项，用于使用启用了索引确认的 Splunk HEC，moby/moby#39987
将部分元数据添加到 journald 日志 moby/moby#41407
减少日志文件读取器 moby/moby 的分配#40796
Fluentd：新增 fluentd-async、fluentd-request-ack，废弃 fluentd-async-connect moby/moby#39086

运行

支持 cgroup2 moby/moby#40174 moby/moby#40657 moby/moby#40662
cgroup2：当 moby/moby 可用时，默认使用 “systemd” cgroup 驱动程序#40846
新的存储驱动程序：fuse-overlayfs moby/moby#40483
将 containerd Binaries更新到 v1.4.3 moby/moby#41732
docker push现在默认为latest标签而不是所有标签 moby/moby#40302
添加了在拉取镜像时更改连接丢失期间重新连接尝试次数的功能，方法是将 max-download-attempts 添加到配置文件 moby/moby#39949
使用现在的默认值添加对 containerd v2 填充程序的支持io.containerd.runc.v2运行时 moby/moby#41182
cgroup v1：将默认运行时更改为 io.containerd.runc.v2。需要 containerd v1.3.0 或更高版本。建议使用 v1.3.5 或更高版本 moby/moby#41210
在容器自己的 cgroup 命名空间中启动容器 moby/moby#38377
为 CIFS 卷 moby/moby 启用 DNS 查找 #39250
使用 MemAvailable 而不是 MemFree 来估计实际可用内存 moby/moby#39481
这--device标志输入docker run现在，当容器以特权模式 moby/moby 启动时，将遵循 #40291
强制执行保留的内部标签 moby/moby#40394
将最小内存限制提高到 6M，以解决容器启动期间运行时使用更高的内存 moby/moby#41168
供应商 runc v1.0.0-rc92 moby/moby#41344 moby/moby#41317
信息：添加有关缺少 BLKIO cgroup 支持的警告 MOBY/MOBY#41083
接受容器上的 platform spec create moby/moby#40725
修复使用空格 moby/moby 查找用户名和组名的处理 #41377

联网

在 Linux 上的 dockerd 中支持 host.docker.internal，moby/moby#40007
在 /etc/hosts moby/moby 中包含链接容器的 IPv6 地址 #39837
--ip6tables启用 IPv6 iptables 规则（仅在实验性情况下） moby/moby#41622
如果 hostname ！= 容器名称为 moby/moby，则为 hostname 添加别名 #39204
更好的 DNS 服务器选择（带 systemd） moby/moby#41022
将 docker 接口添加到 firewalld docker 区域 moby/moby#41189 moby/libnetwork#2548
- 修复 CentOS8 docker/for-linux 的 DNS 问题 #957
- 修复 RHEL 8 上 Firewalld 运行时的端口转发问题，并使用 FirewallBackend=nftables moby/libnetwork #2496
修复了报告“在 CreateEndpoint 期间无法获取网络”moby/moby 的问题#41189 moby/libnetwork#2554
日志错误而不是禁用 IPv6 路由器通告失败 moby/moby#41189 moby/libnetwork#2563
不再忽略--default-address-pool某些情况下的选项 MOBY/MOBY#40711
产生无效地址池 moby/moby 的错误#40808 moby/libnetwork#2538
修复DOCKER-USER当 IPTableEnable=false moby/moby 时不创建链 #40808 moby/libnetwork#2471
修复在 systemd 环境中启动时出现 panic 的问题 moby/moby#40808 moby/libnetwork#2544
修复容器无法通过 macvlan 内部网络 moby/moby 通信的问题 #40596 moby/libnetwork#2407
修复 InhibitIPv4 nil panic moby/moby#40596
修复 Windows 叠加网络删除中的 VFP 泄漏 moby/moby#40596 moby/libnetwork#2524

包装

docker.service：在单元文件 moby/moby 的 After= 中添加 multi-user.target#41297
docker.service：允许套接字激活 moby/moby#37470
seccomp：移除 libseccomp moby/moby 上 dockerd 中的依赖性问题#41395

无根

无根：从实验性 MOBY/MOBY#40759 中毕业
添加 dockerd-rootless-setuptool.sh moby/moby#40950
支持--exec-opt native.cgroupdriver=systemd 白鲸/白鲸#40486

安全

修复 CVE-2019-14271 在 Glibc moby/moby 下的 chroot 中加载基于 nsswitch 的配置的问题 #39612
seccomp：白名单clock_adjtime.CAP_SYS_TIME仍然需要进行时间调整 moby/moby#40929
seccomp：将 openat2 和 faccessat2 添加到默认的 seccomp 配置文件 moby/moby#41353 中
seccomp：在默认 seccomp 配置文件 moby/moby 中允许 'rseq' syscall #41158
seccomp：允许 syscall membarrier moby/moby#40731
seccomp：将 IO-uring 相关系统调用 moby/moby 列入白名单 #39415
添加默认 sysctl 参数以允许 ping 套接字和没有功能的特权端口 moby/moby#41030
修复克隆 syscall moby/moby 的 seccomp 配置文件#39308

群

添加对 swarm 作业 moby/moby 的支持#40307
添加对 stack/service 命令的功能支持 docker/cli#2687 docker/cli#2709 moby/moby#39173 moby/moby#41249
新增支持发送 down 服务 Running 和 Desired task 计数 moby/moby#39231
服务：技术支持--mount type=bind,bind-nonrecursive 白鲸/白鲸#38788
支持 Swarm 服务的 ulimit。MOBY/MOBY#41284 docker/cli#2712
修复了服务日志可能泄漏 worker moby/moby 上的 goroutines 的问题#40426