熱門分類
載入中…
目錄0%

🖥️ Proxmox VE 9.2 完整更新解析:動態負載平衡、WireGuard SDN、Kernel 7.0 實戰重點整理

    🖥️ Proxmox VE 9.2 完整更新解析:動態負載平衡、WireGuard SDN、Kernel 7.0 實戰重點整理

    Proxmox VE 9.2 於 2026 年 5 月 21 日正式發布,是 PVE 9.x 系列迄今功能最完整的一次小版本更新。
    本版核心聚焦在三個方向:HA 智慧化(動態負載平衡)、SDN 路由協定擴充(WireGuard / BGP)、以及大量安全修補
    本文從系統管理工程師視角深度解析每項變動,並附升級注意事項與場景選擇建議。


    📋 目錄

    1. 📦 基礎元件版本一覽
    2. 🚀 四大核心功能亮點
    3. 🔒 安全性修補彙整
    4. 🐧 VM / QEMU 11.0 重點改動
    5. 📦 LXC 7.0 容器改動
    6. 💾 儲存 / Ceph / 存取控制
    7. ⚙️ 節點管理與安裝 ISO
    8. 🎯 升級場景決策指引
    9. ⚠️ 升級注意事項與已知問題

    📦 一、基礎元件版本一覽

    元件版本備註
    DebianTrixie 13.5基底 OS
    Linux Kernel7.0(新預設)取代 6.17
    QEMU11.0含多項 aarch64 改善
    LXC7.0新增 per-mountpoint idmap
    ZFS2.4arcstat 工具改名為 zarcstat
    Ceph Squid19.2.3既有叢集持續維護版
    Ceph Tentacle20.2.1全新安裝預設版本

    🚀 二、四大核心功能亮點

    1. CRS 動態負載平衡(Dynamic Load Balancing)

    這是本版最受矚目的功能。Cluster Resource Scheduler(CRS)新增 Dynamic Scheduling Mode,可依叢集內各節點與 Guest 的即時資源使用率自動進行重新平衡。

    • 監控所有 HA 管理 VM/CT 的 CPU、記憶體即時用量
    • 偵測到節點間負載不均衡時,自動觸發 Live Migration 到負載較低節點
    • 調整路徑:Datacenter → HA → Options(靈敏度門檻與行為參數)
    ⚠️ 動態平衡目前僅適用於 HA 管理的 Guest,非 HA Guest 的主動再平衡預計後續版本跟進(Roadmap 已列入)。

    2. HA Disarm / Arm 叢集維護機制

    修改 Corosync 網路設定時,HA 可能誤判節點失效並觸發 Fencing。9.2 引入全叢集 HA 暫停機制解決這個維護痛點。

    # 進入維護視窗前,先暫停 HA
    ha-manager crm-command disarm-ha
    
    # 維護完成後,恢復 HA
    ha-manager crm-command arm-ha

    暫停期間 HA 資源狀態完整保留,恢復後自動回到原始狀態,不觸發任何 Fencing 事件。

    3. SDN 重大擴充:WireGuard Fabric + BGP + Route Map

    新功能說明
    WireGuard Fabric節點間加密 Tunnel,可作為 VXLAN、Migration Network、跨叢集連線的安全底層。Crypto Key 由 PVE 自動管理,支援外部非 PVE 節點接入。
    BGP FabriceBGP Unnumbered Underlay,每個節點獨立 ASN,透過實體介面 Peer,Fabric Link 無需 IP 位址。
    Route Map / Prefix ListBGP 與 EVPN Controller 可設定自訂 Route Map,做細緻路由過濾與選擇性匯出。
    OSPF 路由重分配OSPF Fabric 可將 connected、local、kernel、BGP 路由重分配進 OSPF。
    EVPN IPv6 UnderlayEVPN Controller 現支援 IPv6 Peer Address,IPv4/IPv6 同時可用時優先選 IPv6。
    SDN Dry-run 模式套用 SDN 設定變更前可先預覽差異,降低誤操作風險。

    4. 自訂 CPU 型號 GUI 管理

    • 路徑:Datacenter → Guest Resources/Hardware → CPU Models
    • 可直接在 GUI 建立、編輯、刪除自訂 CPU 型號,不再需要手動編輯設定檔
    • VM CPU Flag 選擇器標示各節點支援狀況,提前發現叢集相容性問題

    🔒 三、安全性修補彙整

    本版安全修補數量為近幾個版本之最,建議所有環境優先升級
    漏洞名稱公告編號影響範圍風險等級
    copy.fail — AF_ALG 本地提權PSA-2026-00018-1LXC 容器
    DirtyFrag — 本地提權PSA-2026-00019-1/2Linux Kernel
    Fragnesia — 本地提權PSA-2026-00020-1Linux Kernel
    Crackarmor — AppArmor 繞過PSA-2026-00010-1AppArmor
    VNC Session HijackPSA-2026-00014-1vncshell / vncproxy API
    ssh-keysign-pwnPSA-2026-00021-1SSH
    pintheft — 本地提權PSA-2026-00022-1Linux Kernel
    ⚠️ VNC API 破壞性變更:若有外部客戶端直接連接 vncshellvncproxy API 端點,需依 PSA-2026-00014-1 公告內容進行調整,升級前務必確認。

    🐧 四、VM / QEMU 11.0 重點改動

    Windows 相關

    • Windows UEFI CA 2023:EFI 金鑰註冊流程改版,可透過 GUI/API 操作,自動包含 Microsoft KEK CA 2023 憑證;啟動 VM 時若缺少 Microsoft 憑證會主動警告
    • VBS(Virtualization-based Security):修正啟動問題,停用 cet-ibtcet-ss CPU Flag

    效能與功能

    • TPM + Volume Chain 快照:含 TPM 的 VM 可在支援 volume chain 的儲存上做即時快照(執行中不可刪除最頂層快照)
    • aarch64 強化:ARM CPU 型號、機器類型正確曝光;停用 S3/S4 ACPI 與 HyperV 等 x86 專屬功能
    • 大記憶體 VM 效能mem / memhost 狀態查詢不再計算 KSM,避免查詢超時
    • iSCSI TPM 支援:TPM state 現可存放在 iSCSI 及 ZFS over iSCSI 儲存上

    存取控制強化

    • dump cloud-init 密碼需要 VM.Config.Cloudinit 權限
    • 建立/還原/快照回復後啟動 VM 需要 VM.PowerMgmt 權限
    • VNC Session 安全性修正(PSA-2026-00014-1)

    📦 五、LXC 7.0 容器改動

    新功能

    • Per-Mountpoint idmap:新增 idmap mount point 選項,對個別掛載點設定獨立 UID/GID mapping,不影響全域容器設定(僅限 Unprivileged Container)
    • keepattrs 選項:控制掛載的 filesystem 是否繼承現有目錄的 Owner / Permission,適合特定 OCI 容器映像
    • OCI 容器 User 屬性:Honor OCI image 的 User property,可控制預設執行的使用者與群組

    安全性

    • AF_ALG seccomp 過濾:預設封鎖 AF_ALG socket,防止 copy.fail 提權漏洞;若特定容器需要可依公告說明手動允許
    • cgroup v1 raw 設定項目將顯示棄用警告,未來版本將移除

    系統相容性

    • OpenSUSE Leap 16.0:新增 systemd-networkd 設定支援
    • CentOS-based 容器:修正多個 nameserver 設定問題
    • 時區設定:從 /etc/timezone 改為 timedatectl(符合現代 Linux 標準)

    💾 六、儲存 / Ceph / 存取控制

    Ceph

    • Ceph Tentacle 20.2.1:全新安裝預設改為 Tentacle;現有叢集不受影響,升級請參考官方 Squid→Tentacle 升級指南
    • Ceph Pool 編輯 Bug 修正:修正編輯 Pool 時顯示錯誤 Replication Size 的問題(高風險 Bug,可能誤觸並造成資料遺失)
    • Ceph Pool 統計修正:修正 ceph df 回傳錯誤 Pool 統計資料的問題

    儲存改進

    • LVM qcow2 大小顯示:Shared LVM 上的 qcow2 Volume 不需 activate 即可顯示近似大小,減少跨節點 LVM activate 衝突
    • CIFS Kerberos 修正:相容 smbclient 4.22(Debian Trixie 版本),正確識別 Kerberos 驗證
    • PBS storage plugin:修正 API token 名稱以數字或底線開頭無法識別的問題

    存取控制

    • API Token 就地輪換:支援直接重新產生 API Token Secret,不需刪除重建,所有 ACL 設定保留不變
    • LDAP 同步非 ASCII 屬性雙重編碼問題修正
    • OpenID realm 新增可設定額外 accepted audiences(audiences 參數)

    ⚙️ 七、節點管理與安裝 ISO

    節點管理

    • 實體位置標籤:可為叢集或個別節點設定實體地理位置,附 OpenStreetMap 連結,適合多站點分散式部署
    • Corosync token_coefficient 調降:新叢集預設 125ms,縮短節點失效後重建 Cluster Membership 的時間
    • 憑證一致性驗證:設定新憑證時會先驗證憑證與私鑰是否匹配,避免 pveproxy 啟動但無法提供 HTTPS 的問題

    安裝 ISO 新功能

    • PXE / iPXE 自動安裝 ISOproxmox-auto-install-assistant prepare-iso --pxe,需至少 6 GB RAM
    • Answer File 授權 Token:可嵌入 HTTP Authorization Token,搭配 Proxmox Datacenter Manager 進行 ISO 驗證
    • IPv6-only 安裝支援:安裝程式自動依預設路由 IP family 選擇管理介面、位址、閘道
    • inspect-iso 子命令:用於驗證現有安裝 ISO 的內容
    • 訂閱金鑰可透過 Answer File 的 subscription-key 屬性在首次開機時自動啟用

    🎯 八、升級場景決策指引

    🔍 升級優先級判斷

    我的環境應該優先升級嗎?
    │
    ├─ 有使用 LXC 容器(特別是多租戶環境)
    │  └─ ✅ 立即升級 — AF_ALG 提權漏洞(PSA-2026-00018-1)影響容器安全
    │
    ├─ 有外部程式呼叫 VNC API(vncshell / vncproxy)
    │  └─ ⚠️ 升級前先讀 PSA-2026-00014-1,評估 Breaking Change 影響範圍
    │
    ├─ 使用 Ceph,且曾編輯過 Pool 設定
    │  └─ ✅ 優先升級 — Replication Size 顯示 Bug 有資料遺失風險
    │
    ├─ 使用 CIFS / Kerberos 儲存
    │  └─ ✅ 升級後 smbclient 4.22 相容性問題自動修正
    │
    ├─ 有跨節點 HA 叢集且需要計劃性維護視窗
    │  └─ ✅ 升級後可使用 Disarm/Arm 機制,維護更安全
    │
    └─ 純 VM 環境、無特殊安全需求
       └─ 建議升級(Kernel 7.0、QEMU 11.0 的長期維護性)
    

    📌 功能適用場景對照

    場景本版關鍵功能效益
    大型叢集(>5 節點)+ HACRS 動態負載平衡自動平衡節點壓力,減少人工干預
    計劃性叢集維護(網路調整)HA Disarm / Arm零 Fencing 事件完成維護
    跨站點多節點 SDN 網路WireGuard Fabric / BGP加密互聯 + 彈性路由,無需外部 VPN 設備
    Windows VM(含 Secure Boot)UEFI CA 2023 GUI 操作簡化憑證管理流程
    多租戶 LXC 環境Per-mountpoint idmap細粒度 UID/GID 隔離
    大量 API Token 管理Token 就地輪換洩漏處理快速、ACL 設定不中斷
    裸機自動部署(PXE)PXE 自動安裝 ISO免 USB 全自動裝機
    分散式多站點機房節點實體位置標籤快速識別實體位置,附地圖連結

    ⚠️ 九、升級注意事項與已知問題

    已知問題:HA Disarmed 狀態下升級可能卡住

    若升級前 HA 處於 Disarmed 狀態且仍有資源正在遷移,從 pve-ha-manager 5.2.4 以前的版本升級時,package trigger 可能卡住不動。

    解法:升級前保持 HA 為 Armed 狀態,或等待所有遷移完成後再執行升級。若升級已卡住,重新 arm HA 即可繼續。使用 Enterprise Repository 的用戶不受此問題影響。

    升級前確認清單

    1. 確認所有節點 pve-manager 版本一致後再滾動升級
    2. 執行 apt update && apt dist-upgrade 前先備份重要 VM
    3. 使用 NVIDIA vGPU 的環境:確認驅動版本 ≥ 19.4
    4. 有外部程式直接呼叫 vncshell/vncproxy API:升級前先閱讀 PSA-2026-00014-1
    5. LXC 容器有使用 AF_ALG socket:升級後需手動調整 seccomp 設定
    6. 有 cgroup v1 raw 設定:準備好遷移計畫(未來版本將移除)
    7. Ceph 環境:確認叢集狀態 HEALTH_OK 後再升級節點

    升級指令(標準流程)

    # 更新套件清單
    apt update
    
    # 確認待升級項目
    apt list --upgradable | grep pve
    
    # 執行升級
    apt dist-upgrade
    
    # 升級完成後重新啟動
    reboot

    📌 總結

    Proxmox VE 9.2 的整體方向清晰:把 HA 從「被動保護」升級為「主動平衡」,把 SDN 從靜態拓撲推進到動態路由協定,同時大規模修補近期積累的安全漏洞。
    對於已在生產環境運行 PVE 9.x 的工程師,本版的安全修補數量已構成立即升級的充分理由。

    功能一句話定位最適合的環境
    CRS 動態負載平衡「HA 叢集的自動駕駛」5+ 節點、負載不均的大型叢集
    HA Disarm / Arm「維護視窗的安全閥」需要計劃性叢集網路調整的環境
    WireGuard Fabric「SDN 的原生加密底層」跨站點、零信任網路架構
    BGP Fabric「企業路由協定進 PVE」複雜多站點、需路由策略的環境
    Ceph Tentacle「Ceph 新世代的起點」全新 PVE 節點部署
    API Token 就地輪換「洩漏處理不再中斷服務」多服務共用 API Token 的環境

    💬 你目前運行的是哪個版本的 Proxmox VE?
    有沒有在評估 WireGuard Fabric 取代現有 VPN 設備,或是 CRS 動態平衡實際帶來了多少效益?
    歡迎留言分享你的實際部署場景與升級心得。

    📚 延伸閱讀

    🔗 分享這篇 LINE Facebook X

    沒有留言:

    字級