🖥️ Proxmox VE 9.2 完整更新解析:動態負載平衡、WireGuard SDN、Kernel 7.0 實戰重點整理
Proxmox VE 9.2 於 2026 年 5 月 21 日正式發布,是 PVE 9.x 系列迄今功能最完整的一次小版本更新。
本版核心聚焦在三個方向:HA 智慧化(動態負載平衡)、SDN 路由協定擴充(WireGuard / BGP)、以及大量安全修補。
本文從系統管理工程師視角深度解析每項變動,並附升級注意事項與場景選擇建議。
📋 目錄
- 📦 基礎元件版本一覽
- 🚀 四大核心功能亮點
- 🔒 安全性修補彙整
- 🐧 VM / QEMU 11.0 重點改動
- 📦 LXC 7.0 容器改動
- 💾 儲存 / Ceph / 存取控制
- ⚙️ 節點管理與安裝 ISO
- 🎯 升級場景決策指引
- ⚠️ 升級注意事項與已知問題
📦 一、基礎元件版本一覽
| 元件 | 版本 | 備註 |
|---|---|---|
| Debian | Trixie 13.5 | 基底 OS |
| Linux Kernel | 7.0(新預設) | 取代 6.17 |
| QEMU | 11.0 | 含多項 aarch64 改善 |
| LXC | 7.0 | 新增 per-mountpoint idmap |
| ZFS | 2.4 | arcstat 工具改名為 zarcstat |
| Ceph Squid | 19.2.3 | 既有叢集持續維護版 |
| Ceph Tentacle | 20.2.1 | 全新安裝預設版本 |
🚀 二、四大核心功能亮點
1. CRS 動態負載平衡(Dynamic Load Balancing)
這是本版最受矚目的功能。Cluster Resource Scheduler(CRS)新增 Dynamic Scheduling Mode,可依叢集內各節點與 Guest 的即時資源使用率自動進行重新平衡。
- 監控所有 HA 管理 VM/CT 的 CPU、記憶體即時用量
- 偵測到節點間負載不均衡時,自動觸發 Live Migration 到負載較低節點
- 調整路徑:
Datacenter → HA → Options(靈敏度門檻與行為參數)
⚠️ 動態平衡目前僅適用於 HA 管理的 Guest,非 HA Guest 的主動再平衡預計後續版本跟進(Roadmap 已列入)。
2. HA Disarm / Arm 叢集維護機制
修改 Corosync 網路設定時,HA 可能誤判節點失效並觸發 Fencing。9.2 引入全叢集 HA 暫停機制解決這個維護痛點。
# 進入維護視窗前,先暫停 HA
ha-manager crm-command disarm-ha
# 維護完成後,恢復 HA
ha-manager crm-command arm-ha
暫停期間 HA 資源狀態完整保留,恢復後自動回到原始狀態,不觸發任何 Fencing 事件。
3. SDN 重大擴充:WireGuard Fabric + BGP + Route Map
| 新功能 | 說明 |
|---|---|
| WireGuard Fabric | 節點間加密 Tunnel,可作為 VXLAN、Migration Network、跨叢集連線的安全底層。Crypto Key 由 PVE 自動管理,支援外部非 PVE 節點接入。 |
| BGP Fabric | eBGP Unnumbered Underlay,每個節點獨立 ASN,透過實體介面 Peer,Fabric Link 無需 IP 位址。 |
| Route Map / Prefix List | BGP 與 EVPN Controller 可設定自訂 Route Map,做細緻路由過濾與選擇性匯出。 |
| OSPF 路由重分配 | OSPF Fabric 可將 connected、local、kernel、BGP 路由重分配進 OSPF。 |
| EVPN IPv6 Underlay | EVPN Controller 現支援 IPv6 Peer Address,IPv4/IPv6 同時可用時優先選 IPv6。 |
| SDN Dry-run 模式 | 套用 SDN 設定變更前可先預覽差異,降低誤操作風險。 |
4. 自訂 CPU 型號 GUI 管理
- 路徑:
Datacenter → Guest Resources/Hardware → CPU Models - 可直接在 GUI 建立、編輯、刪除自訂 CPU 型號,不再需要手動編輯設定檔
- VM CPU Flag 選擇器標示各節點支援狀況,提前發現叢集相容性問題
🔒 三、安全性修補彙整
本版安全修補數量為近幾個版本之最,建議所有環境優先升級。
| 漏洞名稱 | 公告編號 | 影響範圍 | 風險等級 |
|---|---|---|---|
| copy.fail — AF_ALG 本地提權 | PSA-2026-00018-1 | LXC 容器 | 高 |
| DirtyFrag — 本地提權 | PSA-2026-00019-1/2 | Linux Kernel | 高 |
| Fragnesia — 本地提權 | PSA-2026-00020-1 | Linux Kernel | 高 |
| Crackarmor — AppArmor 繞過 | PSA-2026-00010-1 | AppArmor | 中 |
| VNC Session Hijack | PSA-2026-00014-1 | vncshell / vncproxy API | 高 |
| ssh-keysign-pwn | PSA-2026-00021-1 | SSH | 中 |
| pintheft — 本地提權 | PSA-2026-00022-1 | Linux Kernel | 高 |
⚠️ VNC API 破壞性變更:若有外部客戶端直接連接vncshell或vncproxyAPI 端點,需依 PSA-2026-00014-1 公告內容進行調整,升級前務必確認。
🐧 四、VM / QEMU 11.0 重點改動
Windows 相關
- Windows UEFI CA 2023:EFI 金鑰註冊流程改版,可透過 GUI/API 操作,自動包含 Microsoft KEK CA 2023 憑證;啟動 VM 時若缺少 Microsoft 憑證會主動警告
- VBS(Virtualization-based Security):修正啟動問題,停用
cet-ibt與cet-ssCPU Flag
效能與功能
- TPM + Volume Chain 快照:含 TPM 的 VM 可在支援 volume chain 的儲存上做即時快照(執行中不可刪除最頂層快照)
- aarch64 強化:ARM CPU 型號、機器類型正確曝光;停用 S3/S4 ACPI 與 HyperV 等 x86 專屬功能
- 大記憶體 VM 效能:
mem/memhost狀態查詢不再計算 KSM,避免查詢超時 - iSCSI TPM 支援:TPM state 現可存放在 iSCSI 及 ZFS over iSCSI 儲存上
存取控制強化
- dump cloud-init 密碼需要
VM.Config.Cloudinit權限 - 建立/還原/快照回復後啟動 VM 需要
VM.PowerMgmt權限 - VNC Session 安全性修正(PSA-2026-00014-1)
📦 五、LXC 7.0 容器改動
新功能
- Per-Mountpoint idmap:新增
idmapmount point 選項,對個別掛載點設定獨立 UID/GID mapping,不影響全域容器設定(僅限 Unprivileged Container) - keepattrs 選項:控制掛載的 filesystem 是否繼承現有目錄的 Owner / Permission,適合特定 OCI 容器映像
- OCI 容器 User 屬性:Honor OCI image 的
Userproperty,可控制預設執行的使用者與群組
安全性
- AF_ALG seccomp 過濾:預設封鎖 AF_ALG socket,防止 copy.fail 提權漏洞;若特定容器需要可依公告說明手動允許
- cgroup v1 raw 設定項目將顯示棄用警告,未來版本將移除
系統相容性
- OpenSUSE Leap 16.0:新增 systemd-networkd 設定支援
- CentOS-based 容器:修正多個 nameserver 設定問題
- 時區設定:從
/etc/timezone改為timedatectl(符合現代 Linux 標準)
💾 六、儲存 / Ceph / 存取控制
Ceph
- Ceph Tentacle 20.2.1:全新安裝預設改為 Tentacle;現有叢集不受影響,升級請參考官方 Squid→Tentacle 升級指南
- Ceph Pool 編輯 Bug 修正:修正編輯 Pool 時顯示錯誤 Replication Size 的問題(高風險 Bug,可能誤觸並造成資料遺失)
- Ceph Pool 統計修正:修正
ceph df回傳錯誤 Pool 統計資料的問題
儲存改進
- LVM qcow2 大小顯示:Shared LVM 上的 qcow2 Volume 不需 activate 即可顯示近似大小,減少跨節點 LVM activate 衝突
- CIFS Kerberos 修正:相容 smbclient 4.22(Debian Trixie 版本),正確識別 Kerberos 驗證
- PBS storage plugin:修正 API token 名稱以數字或底線開頭無法識別的問題
存取控制
- API Token 就地輪換:支援直接重新產生 API Token Secret,不需刪除重建,所有 ACL 設定保留不變
- LDAP 同步非 ASCII 屬性雙重編碼問題修正
- OpenID realm 新增可設定額外 accepted audiences(
audiences參數)
⚙️ 七、節點管理與安裝 ISO
節點管理
- 實體位置標籤:可為叢集或個別節點設定實體地理位置,附 OpenStreetMap 連結,適合多站點分散式部署
- Corosync token_coefficient 調降:新叢集預設 125ms,縮短節點失效後重建 Cluster Membership 的時間
- 憑證一致性驗證:設定新憑證時會先驗證憑證與私鑰是否匹配,避免 pveproxy 啟動但無法提供 HTTPS 的問題
安裝 ISO 新功能
- PXE / iPXE 自動安裝 ISO:
proxmox-auto-install-assistant prepare-iso --pxe,需至少 6 GB RAM - Answer File 授權 Token:可嵌入 HTTP Authorization Token,搭配 Proxmox Datacenter Manager 進行 ISO 驗證
- IPv6-only 安裝支援:安裝程式自動依預設路由 IP family 選擇管理介面、位址、閘道
inspect-iso子命令:用於驗證現有安裝 ISO 的內容- 訂閱金鑰可透過 Answer File 的
subscription-key屬性在首次開機時自動啟用
🎯 八、升級場景決策指引
🔍 升級優先級判斷
我的環境應該優先升級嗎?
│
├─ 有使用 LXC 容器(特別是多租戶環境)
│ └─ ✅ 立即升級 — AF_ALG 提權漏洞(PSA-2026-00018-1)影響容器安全
│
├─ 有外部程式呼叫 VNC API(vncshell / vncproxy)
│ └─ ⚠️ 升級前先讀 PSA-2026-00014-1,評估 Breaking Change 影響範圍
│
├─ 使用 Ceph,且曾編輯過 Pool 設定
│ └─ ✅ 優先升級 — Replication Size 顯示 Bug 有資料遺失風險
│
├─ 使用 CIFS / Kerberos 儲存
│ └─ ✅ 升級後 smbclient 4.22 相容性問題自動修正
│
├─ 有跨節點 HA 叢集且需要計劃性維護視窗
│ └─ ✅ 升級後可使用 Disarm/Arm 機制,維護更安全
│
└─ 純 VM 環境、無特殊安全需求
└─ 建議升級(Kernel 7.0、QEMU 11.0 的長期維護性)
📌 功能適用場景對照
| 場景 | 本版關鍵功能 | 效益 |
|---|---|---|
| 大型叢集(>5 節點)+ HA | CRS 動態負載平衡 | 自動平衡節點壓力,減少人工干預 |
| 計劃性叢集維護(網路調整) | HA Disarm / Arm | 零 Fencing 事件完成維護 |
| 跨站點多節點 SDN 網路 | WireGuard Fabric / BGP | 加密互聯 + 彈性路由,無需外部 VPN 設備 |
| Windows VM(含 Secure Boot) | UEFI CA 2023 GUI 操作 | 簡化憑證管理流程 |
| 多租戶 LXC 環境 | Per-mountpoint idmap | 細粒度 UID/GID 隔離 |
| 大量 API Token 管理 | Token 就地輪換 | 洩漏處理快速、ACL 設定不中斷 |
| 裸機自動部署(PXE) | PXE 自動安裝 ISO | 免 USB 全自動裝機 |
| 分散式多站點機房 | 節點實體位置標籤 | 快速識別實體位置,附地圖連結 |
⚠️ 九、升級注意事項與已知問題
已知問題:HA Disarmed 狀態下升級可能卡住
若升級前 HA 處於 Disarmed 狀態且仍有資源正在遷移,從 pve-ha-manager 5.2.4 以前的版本升級時,package trigger 可能卡住不動。
解法:升級前保持 HA 為 Armed 狀態,或等待所有遷移完成後再執行升級。若升級已卡住,重新 arm HA 即可繼續。使用 Enterprise Repository 的用戶不受此問題影響。
升級前確認清單
- 確認所有節點
pve-manager版本一致後再滾動升級 - 執行
apt update && apt dist-upgrade前先備份重要 VM - 使用 NVIDIA vGPU 的環境:確認驅動版本 ≥ 19.4
- 有外部程式直接呼叫 vncshell/vncproxy API:升級前先閱讀 PSA-2026-00014-1
- LXC 容器有使用 AF_ALG socket:升級後需手動調整 seccomp 設定
- 有 cgroup v1 raw 設定:準備好遷移計畫(未來版本將移除)
- Ceph 環境:確認叢集狀態 HEALTH_OK 後再升級節點
升級指令(標準流程)
# 更新套件清單
apt update
# 確認待升級項目
apt list --upgradable | grep pve
# 執行升級
apt dist-upgrade
# 升級完成後重新啟動
reboot
📌 總結
Proxmox VE 9.2 的整體方向清晰:把 HA 從「被動保護」升級為「主動平衡」,把 SDN 從靜態拓撲推進到動態路由協定,同時大規模修補近期積累的安全漏洞。
對於已在生產環境運行 PVE 9.x 的工程師,本版的安全修補數量已構成立即升級的充分理由。
| 功能 | 一句話定位 | 最適合的環境 |
|---|---|---|
| CRS 動態負載平衡 | 「HA 叢集的自動駕駛」 | 5+ 節點、負載不均的大型叢集 |
| HA Disarm / Arm | 「維護視窗的安全閥」 | 需要計劃性叢集網路調整的環境 |
| WireGuard Fabric | 「SDN 的原生加密底層」 | 跨站點、零信任網路架構 |
| BGP Fabric | 「企業路由協定進 PVE」 | 複雜多站點、需路由策略的環境 |
| Ceph Tentacle | 「Ceph 新世代的起點」 | 全新 PVE 節點部署 |
| API Token 就地輪換 | 「洩漏處理不再中斷服務」 | 多服務共用 API Token 的環境 |
💬 你目前運行的是哪個版本的 Proxmox VE?
有沒有在評估 WireGuard Fabric 取代現有 VPN 設備,或是 CRS 動態平衡實際帶來了多少效益?
歡迎留言分享你的實際部署場景與升級心得。
有沒有在評估 WireGuard Fabric 取代現有 VPN 設備,或是 CRS 動態平衡實際帶來了多少效益?
歡迎留言分享你的實際部署場景與升級心得。
沒有留言: