A Docker, a plataforma líder em desenvolvimento e execução de aplicações em contêineres, acaba de lançar a versão 28 do Docker Engine. Desta vez, o foco principal está na segurança da rede de contêineres. Vamos explorar o que há de novo e por que isso é importante.
De portas fechadas
Uma das grandes novidades do Docker Engine 28 é o bloqueio automático de portas não publicadas em redes locais. Antes, se o firewall do host fosse permissivo, contêineres na rede padrão “bridge” poderiam ser acessados mesmo sem as portas estarem explicitamente publicadas. Isso abria uma brecha para possíveis explorações em redes locais.
Agora, com a versão 28, portas não publicadas são bloqueadas por padrão. Isso significa que, a menos que você especifique uma porta para ser exposta (usando o comando -p ou –publish), ninguém conseguirá acessar o contêiner diretamente pela rede local. Essa mudança é especialmente importante em ambientes compartilhados, como redes corporativas ou multi-inquilinos, onde a segurança é crítica.
E para quem usa o Docker Desktop? Bom, esses usuários já estavam protegidos, pois o Docker Desktop já tinha mecanismos para bloquear portas não publicadas. Então, para eles, a vida segue igual.
Claro, nem todo mundo quer seguir as regras à risca. Se você depende de acessar contêineres diretamente pela rede local sem publicar portas, ainda há opções. Você pode optar por desativar o bloqueio padrão adicionando a configuração “ip-forward-no-drop”: true no arquivo /etc/docker/daemon.json. Ou, se preferir, pode criar uma rede personalizada com a opção nat-unprotected, que permite acesso direto a todas as portas do contêiner.
Mas, atenção: essas opções devem ser usadas com cuidado, pois podem expor seus contêineres a riscos desnecessários.
Além das mudanças de segurança, o Docker Engine 28 traz uma série de novidades que prometem facilitar a vida dos desenvolvedores. Por exemplo, agora é possível montar uma imagem ou um caminho específico de uma imagem diretamente em um contêiner usando o comando docker run –mount type=image,image-subpath=[subpath]
Outra adição interessante é o suporte ao comando docker images –tree, que agora exibe metadados adicionais em um formato de árvore. Isso facilita a visualização das relações entre as imagens locais, especialmente em projetos complexos com várias camadas de dependências.
E para aqueles que trabalham com imagens multi-plataforma, o Docker Engine 28 introduz a opção –platform nos comandos docker load, docker save e docker history. Isso permite operações específicas para uma única plataforma, podendo otimizar o espaço em disco e o tempo de execução.
Para os entusiastas do IPv6, agora, com o Docker Engine 28, endereços em redes bridge são atribuídos pelo IPAM (Internet Protocol Address Management), em vez de serem derivados do endereço MAC. Além disso, o Docker agora envia Neighbor Advertisements ao iniciar contêineres, garantindo que os endereços IP sejam associados corretamente aos novos endereços MAC.
Se você precisa desativar o IPv4 em redes personalizadas, o Docker Engine 28 permite criar redes apenas com IPv6, algo que antes não era possível.
Chegou até aqui e não entendeu nada? Então tá na hora de saber pelo menos o mínimo necessário sobre docker, e, quem sabe, experimentar com seu primeiro home lab!
