虛擬化技術大廠 Proxmox 於 2026 年 5 月 21 日正式釋出最新版本 Proxmox VE 9.2 (PVE 9.2),這次的更新不僅在架構組件全面升級,更在叢集動態負載平衡、軟體定義網路(SDN)以及關鍵的資安防護上,帶來了多項新功能,網路堆疊也大突破,原生支援 WireGuard 與 BGP 協定。
CyberQ 已經實際正式升級到 PVE 9.2 後,系統使用的 Linux 核心版本目前是 proxmox-kernel-7.0.2-6-pve-signed,PVE 環境版本為 9.2.2,檔案系統則是 ZFS 2.4 。在 Proxmox VE (PVE) 上,已經可以將 ZFS 2.4 (OpenZFS) 用於生產環境。ZFS 2.4 帶來了強大的新功能(如 zvols 支援 special vdevs、zfs rewrite 指令等),但由於版本較新,請務必先確認的硬體支援度與備份機制後,才進行重新安裝或新部署。以下是我們部署與彙整本次 PVE 9.2 的核心更新重點與解析:
核心組件全面進化:步入 Linux Kernel 7.0 時代
PVE 9.2 的底層架構基於最新穩定的 Debian Trixie (13.5),並正式將 Linux Kernel 7.0 列為全新穩定版的預設核心。CyberQ 觀察,這次更新核心與諸多套件,對新世代的硬體支援度、排程器效率與虛擬化效能都將獲得顯著提升。
核心軟體版本一覽
| 組件名稱 | PVE 9.2 搭載版本 | 備註 |
| 底層系統 | Debian Trixie (13.5) | 提供更現代化的套件庫基礎 |
| Linux 核心 | Kernel 7.0 | 全新穩定版預設核心,整合 MBEC 與 GMET 修正修補程式 |
| 虛擬化引擎 | QEMU 11.0 / LXC 7.0 | 提升客體作業系統的執行效率 |
| 儲存架構 | ZFS 2.4 / Ceph Squid 19.2.3 | 同步支援最新穩定的 Ceph Tentacle 20.2.1 |
四大重點更新解析
叢集資源排程器(CRS)支援動態負載平衡
對於維運分散式叢集的架構師而言,這是本次最關鍵的升級。新版 CRS 導入了動態排程模式,能夠搜集節點與客體虛擬機(Guest)的即時資源使用率指標。這樣一來,用官方版的動態負載平衡就很可以了,CyberQ 很推薦逐步來實作並使用。
- 自動遷移機制: 當叢集內節點負載不均時,系統會自動遷移受高可用性(HA)管理的虛擬機,以降低整體的節點失衡率。
- 彈性自訂: 管理員可在 HA 面板或資料中心選項中,調整負載平衡器的執行行為與敏感度參數。
軟體定義網路(SDN)功能大躍進
軟體定義網路(SDN)堆疊在 9.2 中獲得了大量擴充,使其更具備與頂級企業級網路設備抗衡的實力:
- 全新網底(Fabric)協定: 原生加入 WireGuard(自動產生與管理節點金鑰,便於跨叢集或安全通道架設)與 BGP(支援 eBGP Unnumbered 架構,節點間可透過實體介面直接建立鄰居關係,無需設定 Fabric IP)。
- 精細路由過濾: 支援針對 BGP/EVPN 控制器設定自訂的路由對映表(Route Maps)與前綴列表(Prefix Lists)。
- 架構擴充: 支援 OSPF 的路由再分配(Route Redistribution),並為 EVPN 控制器導入 IPv6 網底(Underlay)支援。
網頁 GUI 直援自訂 CPU 模型管理
過去若要針對特定虛擬機客製化 CPU Flags,通常需要透過命令列(CLI)調整。現在 PVE 9.2 在 資料中心 → 客體資源/硬體 中新增了圖形化管理介面。
- 管理員可以直接建立、編輯或刪除自訂的 CPU 模型。
- 虛擬機的 CPU 旗標選擇器現在會直接顯示該旗標在各個叢集節點上的支援狀況,讓管理員在調整前就能一眼看清叢集間的相容性問題。
HA 叢集維護專用的解除 HA 和回復 HA 維護功能
過去進行叢集網路或硬體變更時,最怕觸發 HA 的節點隔離(Node Fencing)導致虛擬機無預警重啟。
- 新版引入了 disarm-ha 與 arm-ha 命令,允許管理員臨時解除整個叢集的 HA 機制。
- 在這段期間,系統會完整保留 HA 的資源狀態,待維護完成並重新恢復後,資源便會自動回復到原本的執行狀態,大幅降低維護風險。
資安與合規視野:防範權限提升與會話劫持
CyberQ 實測並關注本次釋出的多項資安漏洞修補(PSA 系列)。PVE 9.2 在內部安全防禦與權限控管上做了非常紮實的強化:
關鍵資安更新
- 防止容器本地權限提升 (PSA-2026-00018-1): 透過 seccomp 過濾器限制 LXC 容器內透過 AF_ALG 通訊端(Sockets)執行的 copy.fail 漏洞,全面杜絕惡意租戶突破容器限制。
- VNC 階段劫持漏洞修復 (PSA-2026-00014-1): 修正了 VNC 相關 API 端點的安全漏洞,防範具備特定權限的攻擊者劫持 VNC 連線或猜測 VNC 密碼。
- 更嚴格的特權控管: 現在讀取 Cloud-init 密碼必須具備 VM.Config.Cloudinit 權限 (PSA-2026-00017-1);而在虛擬機建立、還原或快照回滾後將其啟動,則必須明確擁有 VM.PowerMgmt 權限 (PSA-2026-00015-1)。
- 漏洞修補整合: 預設核心同步修復了 Crackarmor (AppArmor)、DirtyFrag、Fragnesia、ssh-keysign-pwn 以及 pintheft 等多項 Linux 核心層級的本地權限提升漏洞。
實用的小型改進與貼心功能(QoL)
除了解決上述架構層面的大問題,網頁介面與儲存端也有許多提升維護體驗的更新:
- 快照與備份捷徑: 現在可以直接在左側資源樹的右鍵選單中,直接對虛擬機執行快照或備份(Issue 6209)。
- 共用 LVM 儲存顯示最佳化: 針對共用 LVM 上的 qcow2 磁碟,系統改以回報近似容量的方式處理,不再需要強行啟用(Activate)每個邏輯磁卷,大幅提升大型環境下的 API 回應速度(Issue 6819)。
- Windows 2023 憑證註冊簡化: 針對 Windows 虛擬機的 UEFI 安全開機憑證註冊(qm enroll-efi-keys),現在全面支援透過網頁介面與 API 執行,並內建 Windows UEFI CA 2023 憑證。
升級前必看的已知問題與注意事項
若計畫將現有的叢集升級至 PVE 9.2,CyberQ 建議,請務必注意以下關於 HA 解除狀態下的升級問題:
若在叢集維護時使用了新版 disarm 功能將 HA 解除武裝,且此時仍有 HA 資源正在節點間進行遷移,此時若從舊版本升級,可能會導致 pve-ha-manager 套件的觸發程序(Triggers)發生停頓(Stall)。
請確保在升級過程中保持 HA 堆疊處於 Armed 狀態,或者務必等待所有虛擬機遷移作業完成後再執行升級。若不幸卡住,手動將 HA 堆疊重新 re-arm 即可恢復正常。
CyberQ 觀點
Proxmox VE 9.2 的推出,再度證明了開源虛擬化平台在企業級市場的強大競爭力。動態負載平衡 CRS 解決了多節點叢集的資源分配難題,而 WireGuard/BGP 的加入則讓 SDN 架構更具彈性。再加上多項針對核心漏洞與權限控管的資安強化,CyberQ 非常推薦各家的維運團隊在經過完整測試後,安排時程進行升級。
若想了解更詳細的異動日誌,可參閱官方的 Proxmox VE Wiki Roadmap。
想知道自己家和公司適合怎樣的虛擬化平台架構,以及建置成本的試算,請參考使用我們 CyberQ 推出的虛擬化平台架構與建置成本模擬器 :
