摘要：2025年，容器技术持续高速发展，作为Kubernetes、Docker等生态不可或缺的核心组件，containerd的稳定性与安全性越来越受到开发者和运维人员的关注。近日，containerd官方发布了v2.1.1版本，这次更新不仅重要地修复了一个关键安全漏

2025年，容器技术持续高速发展，作为Kubernetes、Docker等生态不可或缺的核心组件，containerd的稳定性与安全性越来越受到开发者和运维人员的关注。近日，containerd官方发布了v2.1.1版本，这次更新不仅重要地修复了一个关键安全漏洞(CVE-2025-47290)，还带来若干性能优化和功能完善，是一次不容错过的升级。

本文将深度解读containerd v2.1.1的核心改进，解析安全漏洞的影响与修复方案，分享升级建议及未来展望，助力您打造更加安全高效的容器运行环境。

containerd是一个高效、轻量的容器运行时(runtime)，最初由Docker公司提炼并开源，现在由云原生计算基金会（CNCF）维护。它负责管理容器镜像、容器生命周期、存储和网络等核心功能，是现代云原生应用不可或缺的基石。

在Kubernetes默认容器运行时CRI（Container Runtime Interface）中，containerd凭借简洁的设计和强大的性能表现，得到普遍采用。

v2.1.1为containerd 2.1系列的首个补丁版本，以安全为核心，修复了进入2.1.0版后新引入的关键漏洞，同时包含多处小范围的性能优化及bug修正。

在containerd v2.1.0版本中引入的CVE-2025-47290是一个关键安全漏洞，影响容器的安全隔离边界，攻击者可能借此提升权限或绕过容器安全限制，对运行中容器及宿主机造成威胁。

containerd官方在v2.1.1中通过代码审计和补丁，彻底堵塞了该漏洞。同时，建议所有用户：

erofs（Enhanced Read-Only File System）是一种高效的只读文件系统，containerd引擎必须正确处理其镜像媒体类型。

v2.1.1通过PR #11855修复了erofs媒体类型识别及处理不当的问题，保证镜像正确加载和运行。这对于使用erofs作为镜像存储基础的用户有显著意义，提升系统稳定性和兼容性。

在containerd中，shim负责容器和宿主机器交互，管理运行状态和事件。

v2.1.1版本降低了shim的清理日志级别，避免日志过于冗长。同时增加了上下文信息，让日志更易读、方便快速定位问题。如PR #11831所示，这些改进帮助运维人员更有效地监控和排障。

部分registry配置项在containerd先前版本中计划废弃，v2.1.1更新了移除版本计划，给予用户更充裕的时间进行迁移，减少升级阻力。

containerd官方发布了两种主要二进制包：

建议根据自身操作系统环境和依赖库情况选择合适版本。

从官方网站分别下载并安装最新版本。

此次2.1.1版本修复离不开社区贡献者的努力，感谢Akihiro Suda、Samuel Karp、Derek McGowan、Gao Xiang、Akhil Mohan、Chris Henzie、Phil Estes、Sebastiaan van Stijn及ningmingxiao等热心开发者。

社区开放协作机制保证containerd持续进步，欢迎更多开发者参与项目贡献。

containerd 2.x系列的持续打磨和安全加固强化了其作为基础容器运行时的地位。未来期待：

containerd v2.1.1版本是一场必不可少的安全升级，不仅快速修复了关键漏洞，还带来了性能日志优化和配置兼容调整，显著提升了容器运行时的稳定性与安全性。

·

我们相信人工智能为普通人提供了一种“增强工具”，并致力于分享全方位的AI知识。在这里，您可以找到最新的AI科普文章、工具评测、提升效率的秘籍以及行业洞察。

·

来源：爱就旅行