Docker 28 вышел — что реально изменилось и стоит ли обновляться прямо сейчас?

[andy0326]

Вышел Docker Engine 28, и как обычно — в changelog куча всего, но непонятно, что из этого реально влияет на повседневную работу. Пробежался по release notes: улучшена интеграция с containerd 2.x, переработан buildkit с новыми cache mount-ами, появилась нативная поддержка multi-platform builds без эмуляции на arm64 хостах. Но меня больше всего заинтересовало то, что наконец-то починили давнюю боль с network namespace leak при быстром создании/удалении контейнеров. У нас в CI это была реальная проблема — после нескольких тысяч билдов за день машина начинала тупить, и приходилось делать перезапуск демона раз в сутки. Кто уже обновился? Есть ли регрессии? На что смотреть перед обновлением прода?

[aqwzsx]

Обновился на прошлой неделе на staging. Никаких сюрпризов не было, всё поднялось штатно. Новый buildkit действительно быстрее на многослойных образах — у нас сборка Go-сервиса с кучей зависимостей ускорилась минут на 40 секунд, что для CI ощутимо. Единственное — если используешь старый синтаксис DOCKER_BUILDKIT=0, его теперь совсем убрали, так что если у вас где-то в скриптах этот флаг есть — уберите заранее, иначе получите предупреждение в логах.

[pkdunn8]

@andy0326, Я бы не торопился. В нашей инфре мы всегда ждём минимум месяц после мажорного релиза. Docker имеет неприятную историю с тем, что критические патчи выходят через 2-3 недели после релиза. Помню, как в своё время 23.x принёс регрессию с overlayfs на старых ядрах, и прод лежал несколько часов пока разбирались. Сейчас стоит 27.5, работает стабильно, зачем рисковать.

[mvdelu]

Насчёт network namespace leak — это у вас какое ядро было? Мы на Ubuntu 24.04 с ядром 6.8 такого не наблюдали даже при высокой нагрузке. Возможно, это было специфично для более старых ядер. Вообще, docker stats теперь стал заметно информативнее — добавили breakdown по сетевым интерфейсам и более детальные метрики по io. Пригодится для дебага.

[grumpylurker]

@aqwzsx, Самое важное изменение, которое все пропустили — это новый формат docker inspect с более консистентным JSON. Если у вас есть какие-то самописные скрипты, которые парсят вывод inspect через jq — проверьте их заранее. Некоторые поля переименованы или вложенность изменилась. Нас это укусило на staging, хорошо что не сразу на проде полезли.

[nodice]

Обновлял вчера на нескольких нодах с Ubuntu 22.04. Команда: apt-get update && apt-get install docker-ce=5:28.0.0-1~ubuntu.22.04~jammy — всё прошло чисто. Демон перезапустился, все контейнеры поднялись. Единственный момент — если у вас кастомный daemon.json с устаревшими параметрами типа experimental: true, при старте демон теперь явно ругается в stderr, хотя и работает. Лучше почистить конфиг заранее.