TL;DR — was 29.5.2 bringt
- containerd ist Default-Image-Store bei frischen Installationen — Schluss mit dem alten Docker-Storage-Driver-Stack.
- nftables-Backend als experimentelles Firewall-Modell — iptables darf auf den Rentnerplatz.
- Mehrere Security-Fixes in BuildKit (Authorization-Bypass).
- Neue bind-create-src-Option für flexible Bind-Mounts.
- Erschien am 20. Mai 2026, nach 29.4.2 vom 1. Mai.
Du fährst Docker-Stacks und installierst gerade frisch auf einer neuen Box? Achtung — der Untergrund hat sich gedreht. Mit Docker Engine 29 zieht containerd als Default-Image-Store ein. Heißt: Frische Installationen nutzen einen anderen Layer-Manager als bisher.
Was containerd-Default für dich bedeutet
Wer schon länger Docker-Box-Updates gefahren hat, kennt das alte graphdriver-System (overlay2 & Co.). Mit Engine 29 wechselt Docker bei Neuinstallationen auf den containerd snapshotter. Vorteile:
- Multi-Platform-Images sauber unterstützt — ARM- und AMD64-Layer kommen ohne Tricks rein.
- Image-Mount direkt im Build-Context (siehe BuildKit-Updates).
- Lazy Pulls via Stargz/eStargz — Container starten, bevor das Image komplett da ist.
Wichtig: Bestehende Installationen werden NICHT automatisch migriert. Wer von 28.x oder älter aktualisiert, behält den alten Storage-Driver. Wer wechseln will, muss die Daemon-Konfiguration aktiv umstellen — und die alten Images neu pullen.
nftables als Firewall — experimentell
Das zweite große Feature: Docker testet ein nftables-Backend für seine Firewall-Regeln. Bisher knüpft Docker die Netzwerk-Routing-Sachen via iptables an den Kernel. Auf modernen Distros ist iptables aber nur noch ein Wrapper um nftables — Docker nativ auf nftables zu bringen, spart einen Übersetzungsschritt und macht die Regeln lesbarer.
Achtung: Das Backend ist experimentell. Wer kritische Container-Stacks fährt, sollte nicht einfach umschalten, sondern erst in Test-Setups prüfen, ob alle Bridge- und Overlay-Netze sauber durchgehen.
Security-Fixes im Gepäck
29.5.2 packt mehrere BuildKit-Authz-Lücken zu — Details liegen im Changelog. Wer Docker hinter einem Reverse-Proxy mit Authz-Plugin fährt, sollte auf jeden Fall aktualisieren. Ältere Versionen können in bestimmten Konstellationen Authorization-Checks umgehen.
Neue Bind-Mount-Option
bind-create-src erlaubt dir, beim Container-Start fehlende Quellverzeichnisse automatisch anlegen zu lassen. Vorher musste das Verzeichnis existieren oder Docker meckerte. Klein, aber im Compose-Setup wertvoll.
Wie du UPDATEST
# Debian/Ubuntu
sudo apt update
sudo apt install docker-ce docker-ce-cli containerd.io
# Fedora/RHEL
sudo dnf upgrade docker-ce
# Version checken
docker version
docker info | grep "Storage Driver"
Den containerd-Storage-Driver siehst du in docker info nur, wenn du auf einer Neuinstallation bist oder explizit migriert hast.
Häufige Fragen
Muss ich containerd-Snapshotter aktivieren?
Bei Updates: Nein. Bestehende Setups laufen weiter mit overlay2. Bei Neuinstallationen wird der Snapshotter automatisch genommen.
Was ist mit Docker Desktop?
Docker Desktop 4.74 und neuer enthält Engine 29.x. Die Mac/Windows-Variante zieht containerd ebenfalls als Default ein.
Bricht das Compose-Files?
Nein. Docker-Compose-Files bleiben kompatibel — die Engine-Änderung wirkt unter der Haube.
Wie kann ich auf containerd migrieren?
In /etc/docker/daemon.json die Zeile "features": { "containerd-snapshotter": true } setzen und Daemon neu starten. ACHTUNG: Lokale Images musst du neu pullen.
Ist nftables-Backend produktiv reif?
Nein. Aktuell experimental. Wer es testen will, setzt --ip-tables=false + --nftables=true als Daemon-Flag.
Quellen
- docker.com/blog/docker-engine-version-29/
- releasebot.io/updates/docker
- endoflife.date/docker-engine