如题,更细内容:
Proxmox VE 9.0
- 基于 Debian Trixie (13)
- 最新的 6.14.8-2 内核作为新的稳定默认内核
- QEMU 10.0.2
- LXC 6.0.4
- ZFS 2.3.3
- Ceph Squid 19.2.3
亮点
- 基于伟大的 Debian Trixie 的新主要版本。
- 从 Proxmox VE 8.4 无缝升级,请参阅从 8 升级到 9。
- 厚配置 LVM 存储上的 VM 快照,以快照作为卷链(技术预览)。厚配置 LVM 存储的新属性支持将快照作为卷链。通过此设置,拍摄 VM 快照会将当前虚拟磁盘状态保留在快照名称下,并根据快照启动新卷。这使得 VM 快照可以在共享厚配置 LVM 存储上启用,因为它们通常在存储箱通过 iSCSI/光纤通道提供的 LUN 上使用。
- 节点和资源亲和性的高可用性 (HA) 规则。HA 亲和性规则是一种新机制,用于控制 HA 资源(例如支持 HA 的虚拟机和容器)在节点上的放置。节点亲和性规则要求 HA 资源只能放置在特定节点上。资源亲和性规则要求特定的一组 HA 资源应始终停留在同一个节点上或分散到不同的节点。
- 软件定义网络 (SDN) 堆栈的结构。结构是互连对等体的路由网络。SDN 堆栈现在支持创建 Proxmox VE 节点的 OpenFabric 和 OSPF 结构。Fabric 可用于全网状 Ceph 集群或充当虚拟专用网络 (VPN) 的底层网络。
- 现代化的移动网络界面。移动界面可以快速概览客人、任务、存储和其他资源。它还允许基本的维护任务,例如启动和停止虚拟客户端。经过彻底改进的移动界面是用 Rust 编写的,基于 Yew 框架和 Proxmox Yew 小部件工具包。
- ZFS 现在支持将新设备添加到现有 RAIDZ 池中,同时最大程度减少停机时间。
变更日志概述
升级之前,请考虑已知问题和重大变化。
网页界面 (GUI) 的增强
- 现代化的移动网络界面。移动界面可以快速概览客人、任务、存储和其他资源。它还允许基本的维护任务,例如启动和停止虚拟客户端。经过彻底改进的移动界面是用 Rust 编写的,基于 Yew 框架和 Proxmox Yew 小部件工具包。从移动设备访问时,Proxmox VE GUI 会自动切换到移动界面。
- 通知改进:
- 确保翻译的更新立即反映在 GUI 中。
- 修复导致文件恢复对话框无法打开的短暂回归问题。
- 改进登录失败时的错误报告以改进故障排除。
- 自定义同意窗口的改进:
- 在渲染之前对 API 结果进行 HTML 编码,以进一步强化对 XSS 的防御 ( PSA-2025-00008-1 )。
- 对节点系统面板中的服务视图进行了小幅改进。
- 修复节点服务视图错误地显示 postfix 为禁用的问题(问题 6537)。
- 修复编辑备份作业时不显示“帮助”按钮的问题(问题 6534)。
- 改进翻译处理:
- 添加对复数形式和 ngettext 使用的支持。
- 翻译现在可以包含从源代码中提取的注释,并为翻译人员提供有用的上下文。
- 更新了翻译,其中包括:
- 捷克语(新!)
- 阿拉伯
- 保加利亚语
- 法语
- 德语
- 意大利语
- 日本人
- 韩国人
- 抛光
- 俄语
- 简体中文
- 西班牙语
- 瑞典
- 繁体中文
- 乌克兰
虚拟机(KVM/QEMU)
- 新的 QEMU 版本 10.0.2:有关详细信息,请参阅上游变更日志。
- 实时迁移现在可以选择将 conntrack 状态迁移到目标节点(问题 5180)。当主机防火墙启用时,主机上的连接跟踪(conntrack)会跟踪活动的网络连接,包括与来宾的连接。以前,将正在运行的虚拟机迁移到不同的节点并不会迁移 conntrack 状态,这在某些情况下可能会干扰与虚拟机的活动网络连接。现在可以在迁移正在运行的虚拟机时选择性地迁移 conntrack 状态,这有助于防止此类问题。
- 允许从内容类型为“导入”的存储导入虚拟机磁盘(问题 2424)。可以从硬件视图、VM 创建向导和存储内容视图导入 VM 磁盘。
blockdev
对于机器版本为 10.0 或更高版本的虚拟机, 请使用现代QEMU 命令行界面。除此之外,这允许在存储迁移期间更改异步 IO 设置。- virtiofs:修复 virtiofsd 会遇到读取大量文件的 Windows 客户机的打开文件数限制的问题。
- OVMF:反向移植上游补丁,以避免在支持分割锁检测的平台上 VM 启动时日志中出现“分割锁检测”警告(问题 6430)。
- 修复在某些配置下 ISO 文件可被访客修改的问题 ( PSA-2025-00007-1 )。
- 反向移植针对 libtpms 中的越界读取漏洞的修复程序,libtpms 是一个用于将 TPM 功能集成到 QEMU 的库 ( PSA-2025-00010-1 )。
aarch64
修复如果存在 PXE 启动所需的 VirtIO RNG 设备则无法启动虚拟机的问题(问题 6466)。- 增加热插拔或移除某些设备的超时时间(问题 5985)。
- 修复 NVIDIA vGPU 仅当其 PCI 前缀以 开头时才能使用的问题
0000:
(问题 6400)。 - 修复迁移期间会记录“使用初始化值”警告的问题。
qm showcmd
修复使用 PCI 直通时会保留 PCI 设备的问题。
容器(LXC)
- 新的 LXC 版本 6.0.4:有关详细信息,请参阅上游变更日志。
- 允许将设备热插拔到正在运行的容器中。目前尚未实现删除或编辑正在运行的容器的现有设备。
- 现在,容器默认创建为非特权容器。这已经是通过 GUI 创建容器时的默认设置,现在也是通过 API 和 CLI 创建容器时的默认设置。特权容器缺乏安全功能,只能在受信任的环境中使用。
Sys.Modify
现在,大多数情况下创建特权容器都需要特权。Sys.Modify
如果当前容器具有特权,则无需就地恢复特权容器。 - 容器备份对话框现在仅显示用于备份到 Proxmox 备份服务器的变更检测模式选择器。更改检测模式仅支持备份到 Proxmox 备份服务器。
- 由于 OpenSSH 不再支持 DSA,因此容器设置不再生成 DSA SSH 主机密钥。
link_down
修复设置为 0 时不被尊重的问题。
虚拟访客的一般改进
- 增强虚拟访客指标,以便更详细地了解资源使用情况。VM/CT 摘要面板中的内存使用情况图表现在还报告来宾 cgroup 的主机内存使用情况(问题 6068)。这很有用,因为虚拟机在主机上消耗的内存量通常比客户机内部报告的内存量要多。新的图表显示了来宾 cgroup 的 CPU、IO 和内存压力失速信息,以方便进行故障排除。
- 增加 RRD 客户指标聚合窗口以提供更大的时间粒度。现在可用的分辨率如下:每天每分钟一点,每月每 30 分钟一点,每年每六小时一点,十年每周一点。这些选项现在与 Proxmox Backup Server 指标聚合相匹配。
- 现在,如果未设置 VirtIO vNIC 的 MTU 字段,则默认为桥接 MTU,而不是 MTU 1500。
- 如果由于迁移隧道关闭而导致客户迁移失败,则改进错误报告。
HA 经理
- 节点和资源亲和性的高可用性 (HA) 规则。HA 亲和性规则是一种新机制,用于控制 HA 资源(例如支持 HA 的虚拟机和容器)在节点上的放置。节点亲和性规则要求 HA 资源只能放置在特定节点上。资源亲和性规则要求特定的一组 HA 资源应始终停留在同一个节点上或分散到不同的节点。HA 组已被弃用,取而代之的是节点亲和性规则。HA 组的选项已被新的HA 资源选项
nofailback
取代。failback
一旦集群中的所有节点都运行 Proxmox VE 9,现有的 HA 组将自动迁移到节点亲和性规则。 - 改进隔离事件的日志记录,以方便故障排除。
watchdog-mux
如果客户端看门狗即将过期,现在会记录警告。在更多情况下,它还会将日志同步到磁盘,以增加隔离后获得诊断信息的机会。 - 确保空闲的本地资源管理器在传入迁移时尽快启动。
改进了 Proxmox VE 集群的管理
pveproxy
允许配置和工人的数量pvedaemon
(问题 5392)。默认情况下,pveproxy
每个pvedaemon
进程都会产生三个工作进程,这对于大多数工作负载来说已经足够了。增加工人数量可能有助于缓解触发大量 API 请求的自动化繁重工作负载的长响应时间或超时。- 增加 TLS 证书生成超时时间,以避免在缓慢的设置中出现失败(问题 5510)。
- 改进
pmxcfs
: - 修复在某些情况下已安装软件包版本的信息不会广播到集群的问题(问题 5894)。
备份/恢复
- 从 Proxmox 备份服务器恢复 VM 磁盘时增加并发性。现在,从 Proxmox 备份服务器恢复会在每个工作线程中同时获取多个块。这可以提高具有快速网络连接和磁盘的设置中的恢复性能。可以使用环境变量自定义同时获取的块和工作线程的数量。
- 增加分配给虚拟机以进行单文件还原的内存。
- 修复如果备份包含硬链接,则从 Proxmox 备份服务器恢复容器备份会失败的问题。
- 改进备份:
- 修复已停止的虚拟机备份后无法删除窃取图像的问题(问题 6317)。
- 避免将窃取的图像列为未使用的磁盘。
贮存
- 厚配置 LVM 存储上的快照,以快照作为卷链(技术预览)。厚配置 LVM 存储的新属性支持将快照作为卷链。通过此设置,拍摄 VM 快照会将当前虚拟磁盘状态保留在快照名称下,并根据快照启动新卷。这可以在共享厚配置 LVM 存储上启用快照,因为它们通常在存储箱通过 iSCSI/光纤通道提供的 LUN 上使用。快照的逻辑卷目前是厚配置的,但底层存储盒可以实现精简配置。该设置仅影响新创建的 VM 磁盘。如果虚拟机在允许快照作为卷链的本地存储上有磁盘快照,则当前无法迁移虚拟机。
- 支持目录/NFS/CIFS 存储上的卷链快照(技术预览)。创建新的目录/NFS/CIFS 存储时可以启用对快照作为卷链的支持。通过此设置,拍摄 VM 快照会将当前虚拟磁盘状态保留在快照名称下,并根据快照启动一个新的 qcow2 文件。与 qcow2 快照相比,作为卷链的快照可能会产生更好的性能并减少快照删除期间的 VM 停机时间。如果虚拟机在允许快照作为卷链的本地存储上有磁盘快照,则当前无法迁移虚拟机。
- 允许在数据中心配置中为存储复制流量设置专用网络。以前,迁移网络也用于复制流量。
- 禁用 LVM 和 LVM-thin 存储上新逻辑卷的 LVM 自动激活。这可以防止主机在逻辑卷变得可见时(例如在启动后)不必要地激活和映射逻辑卷。在具有共享 LVM 存储的集群中,这修复了 VM/磁盘创建和迁移的几个问题(问题 4997)。迁移脚本负责停用现有 LV 的自动激活功能。检查表脚本
pve8to9
建议在必要时运行迁移脚本。 - Proxmox Backup Server 插件现在存储和检索以 UTF-8 编码的密码,如 Proxmox Backup Server 所指定(问题 5181)。
- ESXi 导入的改进:
- 修复某些较旧的 ESXi 安装中列出虚拟机失败的问题。
- 从 PVE 9 开始放弃对 GlusterFS 的支持,因为它不再维护。
Ceph
- 向上游移植一个修复程序,以解决导致 Ceph Dashboard 无法在 Ceph Squid 上加载的错误。
- 为 MGR 模块的类似错误提供解决方法
restful
。 - 修复高权限用户可能触发在预定位置之外创建任务日志及其父目录的问题 ( PSA-2025-00009-1 )。
访问控制
- 为 QEMU 客户代理的 API 访问引入细粒度的权限。为只读信息 QEMU 客户代理命令、读/写文件的命令、文件系统操作(例如冻结/解冻/修剪)以及不受限制的访问引入单独的权限。
- 放弃该
VM.Monitor
权限,而是要求具有Sys.Audit
对 KVM 监视器的基本访问权限。除了基本信息命令之外的命令都需要Sys.Modify
权限,并且某些命令仅限于 root 用户执行。 - 引入
VM.Replicate
管理和调度存储复制作业的特权(问题 2809)。以前,管理和安排存储复制作业需要 的Datastore.Allocate
权限/storage
。 - 双因素身份验证 (TFA):修复通过命令行从用户中删除所有第二因素不会更新用户配置的问题(问题 6528)。
- 为 下的 SDN 结构添加 ACL 路径
/sdn/fabrics/{fabric_id}
。 - 要求新池的名称以字母开头。
防火墙和软件定义网络
- 软件定义网络 (SDN) 堆栈的结构。结构是互连对等体的路由网络。SDN 堆栈现在支持创建 Proxmox VE 节点的 OpenFabric 和 OSPF 结构。这两种路由协议都允许结构自动适应网络拓扑的变化。Fabric 可用于全网状 Ceph 集群或充当虚拟专用网络 (VPN) 的底层网络。
- Proxmox VE IPAM:允许在 GUI 中按 VMID 对访客进行排序。
- 支持防火墙规则中网络接口的备用名称。
- 添加 API 端点以将待处理的 SDN 配置恢复为当前正在运行的配置。目前,此功能仅可通过 API 和 CLI 获得。
- 修复使用 Open vSwitch 网桥时 nftables 防火墙(选择加入技术预览版)不会对来宾流量生效的问题 ( PSA-2025-00011-1 )。
- nftables 防火墙的改进(可选技术预览):
- 引入
proxmox-firewall
子命令在前台运行防火墙并检查生成的规则。 - 实现
proxmox-firewall localnet
子命令来打印有关管理网络的信息,类似于pve-firewall localnet
命令。 - 如果应用规则失败,则显示完整错误。
- 引入
改进了 Proxmox VE 节点的管理
- 提供固定网络接口名称的工具。网络接口名称可能会由于多种因素而发生变化,包括硬件设置的变化、软件更新和固件更新。例如,主要或次要版本更新期间的 systemd、内核和驱动程序更新以及 BIOS 更新。网络接口名称的更改可能需要手动调整网络和防火墙配置。
pve-network-interface-pinning
是一种为网络接口分配永久“固定”名称的工具。这些固定名称与接口的 MAC 地址绑定。 - 支持网络接口的替代名称。可以使用备用名称为网络接口提供多个附加名称。虽然网络接口名称限制为 15 个用户可见字节,但备用名称最长可达 128 个字节。现在可以使用替代名称
/etc/network/interfaces
代替(主)网络接口名称。如果主网络接口名称由于更新而发生变化,对备用名称的透明支持可以减少维护开销。网络配置 GUI 还显示网络接口的替代名称。 - 增强节点指标,以便更详细地概述资源使用情况。内存使用情况图表现在还显示 ZFS ARC 消耗的内存量。新的图表显示 CPU、IO 和内存压力失速信息,以方便故障排除。
- 增加 RRD 节点指标聚合窗口以提供更大的时间粒度。现在可用的分辨率如下:每天每分钟一点,每月每 30 分钟一点,每年每六小时一点,十年每周一点。这些选项现在与 Proxmox Backup Server 指标聚合相匹配。
- 新的 OpenTelemetry 插件通过 OTLP/HTTP 协议将指标推送到外部 OpenTelemetry 收集器。
- 允许物理网络接口的任意名称。以前,网络堆栈仅将名称以某些前缀开头的接口检测为物理接口。相反,网络堆栈现在查询接口类型来查找物理接口。
- 新的 ZFS 版本 2.3.3:
- 支持无需停机即可将新设备添加到现有 RAIDZ 池。
- 有关详细信息,请参阅上游变更日志。
- 添加一次性服务
pve-sdn-commit
和pve-firewall-commit
分别应用待处理的 SDN 和防火墙配置。 - 确保对节点和 QEMU 功能端点的 API 请求被代理到正确的节点。
- 安全启动:从单片 Grub EFI 二进制文件中排除 NTFS 模块 ( PSA-2025-00012-1 )。
- 系统报告的改进:
proxmox-backup-restore-image
跟踪软件包的版本- 修复系统报告不包含 SDN 配置的问题。
安装 ISO
- 安装与当前平台匹配的微码包。这可确保新的 Proxmox VE 安装能够获得针对 CPU 安全问题和其他 CPU 错误的修复。这也意味着安装现在已
non-free-firmware
启用存储库。要获取 ISO 构建后发布的微码更新,必须定期更新主机。微码更新需要重启才能生效。 - 忽略没有有效 MAC 地址的网络接口,而不是中止安装。
- 检查配置的 LVM 交换大小是否不大于磁盘大小的一半(问题 5887)。
- 处理 DHCP 租约在主机名选项中包含搜索域的情况。
- 改进磁盘和 RAID 检查的错误报告。
- 对基于文本的安装程序的改进
proxmox-auto-install-assistant
:- 遇到无效 CIDR 时改进错误报告。
- 添加子网掩码和 IPv4 地址的合理性检查
- 自动安装的改进:
- 处理应答文件提供空搜索域的情况。
- 在解析应答文件时检查 RAID 配置的磁盘数量,以便尽早捕获无效配置。
- 如果应答文件包含已弃用的
snake_case
密钥,则发出警告。 - 检查应答文件中是否存在重复的磁盘。
- 提高在 Btrfs 上安装的稳健性。
- 如果在 Btrfs 和单个磁盘上安装,请调整 GUI 和 TUI 安装程序执行的合理性检查。
- 通过打印额外的换行符来提高 CLI 错误的可见性。
显著的变化
- 此版本包含 Proxmox 社区在公开测试版期间报告的各种问题的修复,请参阅Bugzilla。
- 从 PVE 9 开始,
pvetest
存储库将重命名为pve-test
。
已知问题和重大变更
测试存储库现名为 pve-test
为了与现有存储库保持一致,pvetest
存储库现在拼写为pve-test
。
网络接口名称的潜在变化
Proxmox VE 9 现在可以透明地处理许多网络接口名称更改。
由于新的命名方案策略或新增了对新网卡功能的支持,从 Proxmox VE 8.x 升级到 Proxmox VE 9.0 时可能会发生这些更改。例如,从内核 6.8 升级到内核 6.14 时可能会发生这种情况。如果先前的主名称仍然可用作备用名称,则可能无需手动干预,因为 Proxmox VE 9.0 允许在网络配置和防火墙规则中使用备用名称。
但是,在某些情况下,升级后先前的主名称可能无法用作备用名称。在这种情况下,目前仍然需要在升级后进行手动重新配置。
VirtIO vNIC:更改了 MTU 字段的默认值
现在,如果未设置 VirtIO vNIC 的 MTU 字段,则该 vNIC 将继承网桥 MTU。之前,MTU 默认为 1500。pve8to9
检查表脚本将检测升级后 MTU 会发生变化的 vNIC。如果您希望受影响的 vNIC 继续使用 1500 MTU,则需要在升级前手动配置 1500 MTU。
AppArmor 4
Proxmox VE 9 附带 AppArmor 4.1 版本。由于此版本相对较新,您可能会发现一些不属于核心 Proxmox VE 发行版的软件包存在性能回归问题,例如 CUPS 打印守护程序。
abi <abi/3.0>,
通过将规则添加到相关配置文件,将 AppArmor 配置为使用 3.0 ABI,可以解决旧配置文件的大多数问题。更多详情,请参阅AppArmor Wiki。
嵌套容器化(例如,LXC 容器内的 Docker)也存在一个已知问题。该问题被追踪为 bug #6538。
取消VM.Monitor
特权
该VM.Monitor
权限已被放弃,以支持Sys.Audit
QEMU HMP 监视器访问,并针对 QEMU 来宾代理命令提供更细粒度的权限。VM.Monitor
升级后,引用该权限的自定义角色需要进行调整。pve8to9
检查表脚本会检测受影响的角色。
VM.Replicate
存储复制的新权限
创建、编辑、删除和安排复制作业现在需要VM.Replicate
权限/vms/<vmid>
。升级后,可能需要调整用于允许存储复制的自定义角色。
创建特权容器现在需要Sys.Modify
特权
特权容器缺乏安全特性,只能在受信任的环境中运行。因此,现在创建特权容器在大多数情况下都需要特权。如果当前容器已经拥有特权, Sys.Modify
则无需执行恢复特权容器的操作。Sys.Modify
不再支持maxfiles
备份设置
自 Proxmox VE 7.0 起,备份设置maxfiles
已弃用,现已移除。备份作业、存储配置或/etc/vzdump.conf
仍需参考的文件maxfiles
可能需要进行调整。
不再支持 GlusterFS
由于上游不再维护 GlusterFS,Proxmox VE 9 不再支持 GlusterFS 存储。使用 GlusterFS 存储的设置要么需要将所有 GlusterFS 迁移到其他存储,要么手动挂载 GlusterFS 实例并将其用作目录存储。
systemd 在启动后记录“系统被污染:unmerged-bin”
建议忽略此消息。更多详情, 请参阅Debian Trixie 发行说明。
9.0历练igpu直通视频输出是不是废了
@Curio 刚才试了下Debian(fnos)下直通核显还正常。估计虚拟Win得用Q35。后面qemu-kvm不支持i440直通了。