Der Hersteller Proxmox hat sein devicebase Profil noch nicht eingerichtet. Inhalte wie Updates, Kompatibilitäten und Support werden unter Umständen nur verzögert gepflegt.
Update

Neuer Import-Assistent zur direkten Migration von Gästen von anderen Hypervisoren

Höhepunkte

  • Neuer Import-Assistent zur direkten Migration von Gästen von anderen Hypervisoren.
    Verbinden Sie sich mit anderen Hypervisoren über deren öffentliche APIs und migrieren Sie Gäste direkt zu Proxmox VE.
    Die erste Implementierung ist für VMware ESXi.
    Gäste können auf Proxmox VE gestartet werden, während ihre Daten im Hintergrund noch in den Zielspeicher importiert werden.
  • Unterstützung für die automatische und unbeaufsichtigte Installation von Proxmox VE.
    Proxmox VE wird jetzt mit einem Tool ausgeliefert, das ein Proxmox VE ISO für die automatische Installation vorbereitet.
    Das vorbereitete ISO ruft alle erforderlichen Einstellungen für die automatische Installation aus einer Antwortdatei ab.
    Die Antwortdatei kann direkt im ISO, auf einem zusätzlichen Datenträger wie einem USB-Stick oder über das Netzwerk bereitgestellt werden.
  • Backup-Fleecing (erweiterte Funktion).
    Bei der Erstellung eines Backups einer laufenden VM kann ein langsames Backup-Ziel die IO des Gastes während des Backup-Prozesses negativ beeinflussen.
    Fleecing kann diese Auswirkungen reduzieren, indem schneller lokaler Speicher als Puffer für Datenblöcke verwendet wird.
    Allerdings erfordert der Fleecing-Ansatz die Verwendung von temporärem lokalem Speicherplatz.
    Backup Fleecing kann sinnvoll sein, wenn IO-lastige Gäste auf einen entfernten Proxmox Backup Server mit einer langsamen Netzwerkverbindung gesichert werden.
  • Modernisierte Proxmox VE Firewall-Implementierung auf Basis von nftables (Opt-in Technologievorschau).
    Die neue Implementierung ist in Rust geschrieben und soll in Zukunft die aktuelle Firewall auf Basis von iptables ersetzen.
    Die Umstellung auf nftables wird die Robustheit verbessern und es ermöglichen, seit langem bestehende Probleme mit der alten Implementierung zu beheben.
    Die nftables-Firewall wird als Technologievorschau zur Verfügung gestellt, um Feedback aus der Community zu sammeln, und muss manuell aktiviert werden.
    Bis auf wenige Ausnahmen ist der Funktionsumfang nahezu identisch mit dem der alten Firewall-Implementierung.
  • Nahtloses Upgrade von Proxmox VE 7.4, siehe Upgrade von 7 auf 8

Changelog-Übersicht

  • Verbesserungen in der Web-Oberfläche (GUI)
  • Behebung eines Problems, bei dem der VM-Erstellungsassistent die Erstellung einer VM ohne ISO nicht zuließ.
  • Behebung eines Problems, bei dem Benutzer keine zugänglichen Replikationsaufträge sehen konnten.
  • Es wurde ein Problem behoben, bei dem auf der Knotenübersichtsseite nicht die Version eines laufenden fremden Kernels angezeigt wurde (Problem 5121).
  • Beim Bearbeiten von LVM- oder Verzeichnisspeichern wird ein erklärender Tooltip zum Kontrollkästchen "Shared" hinzugefügt.
  • Die saferemove-Einstellung für LVM-Storages wird in der GUI angezeigt.
  • Hinzufügen einiger fehlender Pakete zum Fenster "Paketversionen".
  • Beim Bearbeiten von ZFS-Storages wird 16k als Platzhalter für die Blockgröße angezeigt, um die aktuellen ZFS-Standardwerte zu reflektieren.
  • Ändern der Schaltfläche "Syslog" in "System Log", um besser zu verdeutlichen, dass das Protokoll aus dem systemd-Journal gesammelt wird.
  • Behebung eines Problems, bei dem die GUI einen falschen Sprachcode für Koreanisch verwendete, und Bereitstellung eines sauberen Übergangs für Benutzer, die immer noch ein Cookie mit dem falschen Sprachcode haben.
  • Verbesserung der Dokumentation des /nodes/{node}/status API-Aufrufs.
  • Behebung eines Problems, bei dem die Datumsauswahl nach dem Wechsel zu einem anderen Monat das falsche Datum wählte.
  • Bei der Vergabe von Berechtigungen an eine Gruppe sollte der Gruppenselektor durchsuchbar sein, ähnlich wie die Selektoren für Benutzer und Token.
  • Klärung der Sicherheitsabfrage beim Entfernen eines Zertifikats ohne Namen.
  • Es wurde ein Problem behoben, bei dem Bearbeitungsfenster beim Laden nicht korrekt maskiert wurden.
  • Behebung eines Problems, bei dem das Hinzufügen eines Speichers zu einem Pool die Bearbeitungsfenster derselben Browsersitzung unterbrechen konnte, und Schutz vor ähnlichen Problemen in der Zukunft.
  • Anzeige der End-of-Life-Meldung als Hinweis bis zu drei Wochen vor dem End-of-Life-Datum, ab dann als Warnung.
  • Verschieben Sie die Schaltfläche "Zurücksetzen" für Bearbeitungsfenster in eine Schaltfläche in der Titelleiste, die nur ein Symbol enthält (Ausgabe 5277).
  • Dadurch wird das Risiko eines Fehlklicks und des versehentlichen Zurücksetzens von Formulardaten verringert.
  • Behebung des Problems, dass xterm.js in bestimmten OS+Browser-Konstellationen, z.B. iOS, nicht geladen wird (Issue 5063).
  • Das Symbol für die Bearbeitung von Gastnotizen wurde von einem Zahnrad in einen passenderen Bleistift geändert.
  • Ermöglicht die Auswahl von Notizinhalten durch Doppelklick.
  • Bisher war dies nicht möglich, da ein Doppelklick auf eine Notiz immer das Editorfenster öffnete.
  • Dieses Verhalten kann nun optional durch eine browser-lokale GUI-Einstellung deaktiviert werden.
  • Das TFA-Eingabefeld setzt nun einen Hinweis auf die automatische Vervollständigung, um die Kompatibilität mit Passwortmanagern zu verbessern (Ausgabe 5251).
  • Es wurde ein Problem behoben, bei dem die mobile Benutzeroberfläche keine Anmeldung mit TOTP zuließ.
  • Die Abo-Erinnerung wird nun auch in der mobilen UI angezeigt, um die Konsistenz mit der GUI zu verbessern.
  • Das Fenster zum Bearbeiten von Benutzern deaktiviert nun das Feld "Schlüssel-IDs", wenn der Benutzer TFA konfiguriert hat.
  • Der HTTP-Server unterstützt nun die Komprimierung von Antworten mit deflate zusätzlich zu gzip.
  • Verbesserte Übersetzungen, unter anderem:
  • Französisch
  • Deutsch
  • Italienisch
  • Japanisch
  • Koreanisch
  • Vereinfachtes Chinesisch
  • Spanisch
  • Traditionelles Chinesisch
  • Ukrainisch

Virtuelle Maschinen (KVM/QEMU)

  • Der neue ESXi-Importer ist als Speicher-Plugin verfügbar.
    Damit können Gäste von einem ESXi-Knoten (aus Leistungsgründen bevorzugt) oder einer vCenter-Instanz importiert werden.
    Die Gäste müssen vor dem Import auf der VMware-Seite gestoppt werden.
    Der Live-Import ermöglicht es, die Gäste sofort auf Proxmox VE zu starten und ihre Festplatten im Hintergrund zu migrieren.
    Die meisten Einstellungen werden aus der Quelle gelesen und in entsprechende Proxmox VE-Konfigurationsoptionen übersetzt.
    Überschreibungen für Konfigurationsoptionen können manuell definiert werden.
  • Neue QEMU-Version 8.1.5
    Siehe das Upstream Changelog für Details.
  • Anwendung einiger Upstream-QEMU-Patches:
  • Behebung eines potentiellen Deadlocks bei der Größenänderung von Festplatten mit aktiviertem IO-Thread.
  • Behebung eines potenziellen Deadlocks beim Erstellen eines Snapshots oder eines Backups im Suspend-Modus mit VirtIO-Blockfestplatten und IO-Thread.
  • Behebung eines Problems, bei dem die Gast-IO auf einer VirtIO-Block- oder VirtIO-SCSI-Platte mit IO-Thread bei einer Sicherung, Speicherverschiebung oder einem Hotplug hängen bleiben konnte.
  • Erhöhen Sie das Limit der offenen Dateien für QEMU-Prozesse (Ausgabe 4507).
  • Dies behebt Probleme, bei denen eine VM mit vielen Netzwerkgeräten mit Multi-Warteschlange oder vielen virtuellen RBD-Platten das Limit überschreiten konnte, was zu VM-Abstürzen oder steckengebliebener Gast-IO führte.
  • Behebung eines Problems, bei dem das Live-Importieren bestimmter VMDK-Images einen Assertion-Fehler auslöste.
  • Wenn ein Backup fehlschlägt, wird die Wahrscheinlichkeit erhöht, dass die relevante Fehlermeldung angezeigt wird, indem irrelevante Fehlermeldungen ignoriert werden.
  • Hinzufügen von CPU-Modellen, die in QEMU 8.1 eingeführt wurden.
  • Markieren Sie Windows Server 2025 als unterstützt durch den win11 OS-Typ.
  • Hinzufügen von Unterstützung für emulierte IOMMU (vIOMMU), die es Hypervisor-VMs ermöglicht, PCI-Geräte an verschachtelte VMs durchzuschleusen (Ausgabe 3784).
  • Erlaubt bis zu 256 Kerne pro Sockel.
  • Hinzufügen von Intel E1000E als unterstütztes Netzwerkgerätemodell in der GUI, da es eine beliebte Option in VMware-Gästen ist.
  • Ermöglicht die Angabe von Hersteller- und Produktinformationen für virtuelle SCSI-Festplatten (Ausgabe 4957). Behebung einer Regression, die vorübergehend die Erstellung von SCSI-Cloud-init-Festplatten verhinderte (Ausgabe 5363).
  • IP-Adressen können nun für Copy &amp ausgewählt werden; fügen Sie die Netzwerkinformationen des Gastagenten ein.
  • Frühzeitige Beendigung der Live-Migration, wenn die VNC-Zwischenablage aktiviert ist, da diese noch nicht von QEMU unterstützt wird.
  • Verhindern Sie den Start einer VM mit einem 32-Bit-CPU-Typ und einem 64-Bit-OVMF-BIOS, da dies nicht unterstützt wird.
  • Verhindern Sie CPU-Hotplug für nicht-x86_64-VMs, da dies nicht unterstützt wird.
  • Behebung eines Problems, bei dem der Neustart einer VM mit einem durchgereichten vermittelten Gerät aufgrund einer Race Condition fehlschlug.
  • Behebung eines Problems, bei dem eine unsichere Live-Migration mehrerer VMs parallel dazu dazu führen konnte, dass einige Migrationen aufgrund eines Port-Konflikts fehlschlugen (Problem 4501).
  • Behebung eines Problems, bei dem das Entfernen eines Snapshots einer laufenden VM fehlschlug, wenn eine Festplatte seit dem Start der VM verschoben wurde (Problem 2258).
  • Behebung eines Problems, bei dem die Migration fehlschlug, um Volumes auf dem Quellknoten zu deaktivieren, falls das Volume auf dem Zielknoten umbenannt werden musste.
  • Es wurde ein Problem behoben, bei dem der Speicher für Cloud-init cicustom snippets beim Starten einer VM nicht aktiviert wurde, wodurch der Start der VM fehlschlug (Problem 4085).
  • Das Klonen einer VM ist jetzt auch dann erfolgreich, wenn die Deaktivierung von Volumes auf dem Quellknoten fehlschlägt (Problem 1734).
  • Die Deaktivierung eines Volumes kann fehlschlagen, wenn eine Vorlage mehrmals parallel geklont wird, was zuvor zum Fehlschlagen der Klonaufgabe führte.
  • Erhöhen Sie die Standardzeitüberschreitung für Laufwerksspiegelungsvorgänge auf 10 Minuten, um Zeitüberschreitungen beim Verschieben des Speichers von laufenden VMs zu vermeiden.
  • Beim Importieren eines Datenträgers wird eine Warnung ausgegeben, wenn ein Fallback-Format anstelle des angeforderten Formats verwendet wird.
  • Ermöglicht die Konfiguration der VNC-Zwischenablage in der GUI.
  • Behebung eines Problems, bei dem VMs, die im Gastbetrieb angehalten wurden, nach dem Backup fälschlicherweise beendet wurden.

Containers (LXC)

  • Neue LXC-Version 6.0.0
  • Siehe das Upstream Changelog für Details.
  • Erlaubt das Filtern von Firewall-Protokollen von Containern, ähnlich wie bei Node- und VM-Firewall-Protokollen.
  • Hinzufügen einer keep-env Option zu den pct enter und pct exec Befehlen, die steuert, ob die aktuelle Umgebung an den Container übergeben wird.
  • Aus Gründen der Abwärtskompatibilität ist keep-env derzeit standardmäßig aktiviert und wird in der nächsten Hauptversion standardmäßig deaktiviert sein.
  • Host Device Passthrough für Container in der GUI verfügbar machen (Ausgabe 754).
  • API und CLI unterstützen Device Passthrough bereits seit Proxmox VE 8.1.
  • Die Übergabe von Umgebungsvariablen für den Speicherort des TLS-Zertifikats vom Host an den Container wurde vermieden (Ausgabe 5194).
  • Diese Variablen gaben keine sensiblen Informationen preis, konnten aber Fehler im Container verursachen, wenn der TLS-Zertifikatsspeicher an einem anderen Ort lag.
  • Beim Ändern des Energiestatus eines Containers sollte dessen Konfiguration asynchron im Task-Worker gesperrt werden, um ein Blockieren der API zu vermeiden.
  • Behebung eines Problems, das Hotplug von Einhängepunkten verhinderte, wenn Kernel 6.5 oder höher verwendet wurde (Problem 5160).
  • Änderung des vmid-Feldtyps in der /nodes/{node}/lxc-Antwort von String auf Integer, um mit dem Schema konform zu sein.
  • Behebung eines Problems, bei dem Volumes aufgrund einer fehlenden Volume-Aktivierung nicht im laufenden Betrieb angeschlossen werden konnten.
  • Es wurde ein Problem behoben, bei dem ein Device-Passthrough-Eintrag zur Container-Konfiguration hinzugefügt wurde, obwohl der Eintrag ungültig war.
  • Behebung eines Problems, bei dem die Ausführung von pct fsck aufgrund einer fehlenden Volume-Aktivierung fehlschlug und die Volumes anschließend deaktiviert wurden, auch wenn der Befehl fehlschlug.
  • Vermeiden Sie die Übergabe der veralteten noacl-Mount-Option für ext4-formatierte Volumes (Ausgabe 4846).

Allgemeine Verbesserungen für virtuelle Gäste

  • Das Stoppen einer VM oder eines Containers kann nun aktive Shutdown-Aufgaben außer Kraft setzen (Ausgabe 4474).
  • Zuvor konnte das Stoppen eines Gastes fehlschlagen, wenn es eine laufende Shutdown-Aufgabe für diesen Gast gab.
  • Beim Stoppen eines Gastes bietet die GUI nun an, laufende Shutdown-Aufgaben abzubrechen.
  • Das Außerkraftsetzen von Shutdown-Aufgaben ist derzeit nicht für HA-Gäste implementiert.
  • Erlaubt das Verschieben ungenutzter Festplatten auf einen anderen Speicher.
  • Fractional Rate Limits für virtuelle Netzwerkgeräte können nun ohne führende Null eingegeben werden.

Verbesserte Verwaltung für Proxmox VE-Cluster

  • Modernisierung der Handhabung von Host-Schlüsseln für SSH-Verbindungen zwischen Clusterknoten (isse 4886).
    Zuvor war /etc/ssh/ssh_known_hosts ein Symlink zu einer gemeinsamen Datei, die alle Knoten-Hostkeys enthielt.
    Dies konnte zu Problemen führen, wenn widersprüchliche Hostkeys in /root/.ssh/known_hosts auftauchten, z.B. nachdem ein Knoten unter seinem alten Namen wieder in den Cluster aufgenommen wurde.
    Jetzt gibt jeder Knoten seinen eigenen Hostschlüssel über das Cluster-Dateisystem bekannt. Wenn Proxmox VE eine SSH-Verbindung von einem Knoten zu einem anderen initiiert, wird der angekündigte Host-Schlüssel verwendet.
    Bei bestehenden Clustern kann pvecm updatecerts optional die bestehende /etc/ssh/ssh_known_hosts aufheben.
  • Behebung eines Problems, bei dem UTF-8-kodierte Dateien unter /etc/pve fälschlicherweise als UTF-8 neu kodiert wurden.
  • Erhöhung der Schlüsselgröße für neue SSH-Schlüssel von 2048 auf 4096 Bit.
  • Verbesserungen und Korrekturen am Benachrichtigungssystem, das in Proxmox VE 8.1 eingeführt wurde:
  • Behebung eines Problems, bei dem Benachrichtigungsempfänger nicht aus einem Sendmail- oder SMTP-Ziel entfernt werden konnten (Problem 5074).
  • Die Benachrichtigungen für Sicherungsaufträge enthalten nun auch die Gesamtgröße der Sicherung, die zuvor fehlte (Ausgabe 5067).
  • Klärung der Benachrichtigungsfelder im Fenster des Sicherungsauftrags.
  • Abschaffung von Benachrichtigungsoptionen, die nur in einer kurzen Übergangszeit vor Einführung des endgültigen Benachrichtigungssystems relevant waren.
  • Da integrierte Ziele und Abgleiche nicht entfernt werden können, werden die entsprechenden Schaltflächenbeschriftungen von "Entfernen" in "Zurücksetzen" geändert.
  • Es wurde ein Problem behoben, bei dem Benachrichtigungs-E-Mails einen lokalisierten Datums-Header enthielten, der bei einigen E-Mail-Clients Probleme verursachte.
  • Eine von proxmox-mail-forward an ein SMTP-Ziel weitergeleitete E-Mail enthält nun die Originalnachricht als Nachrichtentext anstelle eines Nachrichtenteils.
  • Benachrichtigungsmails enthalten nun den Auto-Submitted-Header.
  • Unterstützung von Wertelisten für den exakten Match-Field-Modus.
  • Benachrichtigungsereignisse für weitergeleitete Mails enthalten nun den Hostnamen und den Typ.
  • Das Gotify Benachrichtigungsziel setzt nun auch den X-Gotify-Key Header für die Authentifizierung, um die Kompatibilität mit älteren Versionen von Gotify zu verbessern (Ausgabe 5274).

Sicherung/Wiederherstellung

  • Unterstützung von Backup-Fleecing als erweiterte Funktion.
    Wenn ein Backup einer laufenden VM erstellt wird, beginnt der Backup-Prozess im Hintergrund Datenblöcke an das Backup-Ziel zu senden.
    Wenn der Gast versucht, neue Daten in einen Block zu schreiben, der noch nicht gesichert ist, müssen die alten Daten gesichert werden, bevor der Gast mit dem Schreiben fortfahren kann. Dadurch wird der Schreibvorgang des Gastes verzögert.
    Wenn der Zielspeicher für die Sicherung langsam ist, zum Beispiel weil es sich um einen Proxmox Backup Server mit einer langsamen Netzwerkverbindung handelt, kann sich diese Verzögerung negativ auf die Leistung der VM auswirken.
    Bei aktiviertem Fleecing können die alten Daten stattdessen auf einem schnellen lokalen "Fleecing-Storage" gepuffert werden, so dass die Gast-Schreibvorgänge mit einer geringeren Verzögerung fortgesetzt werden können.
    Backups mit Fleecing können geringere Auswirkungen auf die VM-Performance haben, beanspruchen aber vorübergehend zusätzlichen Speicherplatz auf dem Fleecing-Storage.
    Fleecing kann für einen rechenzentrumsweiten Sicherungsauftrag in der GUI konfiguriert und über die CLI und API verwendet werden.
  • Ersetzen Sie die verwirrende Ausgabe des Nullwerts beim erfolgreichen Entfernen eines Sicherungs-Snapshots auf einem Proxmox Backup Server-Speicher durch eine Zeile, die den Erfolg anzeigt (Problem 4971).
  • Anzeige der vollständigen Ausgabe des Fehlerkontextes bei Operationen auf einem Proxmox Backup Server-Speicher.
  • Behebung eines Problems, bei dem die Verbindung zu einem Proxmox Backup Server, der ein Zertifikat vorlegt, das von einer CA signiert wurde, der der Proxmox VE-Knoten nicht vertraut, fehlschlägt, selbst wenn ein Fingerabdruck bereitgestellt wird (Fehler 5248).
  • Erweiterte Optionen für Backup-Aufträge, wie z.B. Leistungseinstellungen oder Bandbreitenbegrenzungen, können nun in der GUI angegeben werden (Ausgabe 4513). Zuvor mussten diese Einstellungen über die API oder CLI gesetzt werden.
  • Fallbacks für leistungsbezogene Backup-Einstellungen werden jetzt pro Einstellung berechnet. Zuvor wurde ein Fallback für die gesamte Leistungseinstellung berechnet.
  • Verbesserte Protokollierung von fehlgeschlagenen Hook-Skripten während der Sicherung.
  • Umstellung auf den modernen ntfs3g-Treiber für das Single File Restore Image, da dieser mehr Funktionen unterstützt, die in den Dateisystemen aktueller Windows-Gäste zu finden sind (Ausgabe 5259).

Speicher

  • Replikationsaufträge schlagen nun frühzeitig mit einem informativen Fehler fehl, wenn sowohl Quell- als auch Zielvolumes existieren, aber mindestens eines von ihnen keine Snapshots hat.
  • Behebung eines Problems, bei dem ein von vzdump erstellter Snapshot nicht gelöscht werden konnte, weil er fälschlicherweise für einen Replikations-Snapshot gehalten wurde.
  • Klarere Fehlermeldung, wenn ein qemu-img-Aufruf fehlschlägt.
  • Behebung eines Problems, bei dem eine unsichere Migration oder Replikation fehlschlug, wenn sie auf eine Sperre warten musste.
  • Unterstützung der Migration von VM-Templates mit Festplatten auf LVM-thin Storage (Issue 1611).

Ceph

  • Es wurde ein Problem behoben, bei dem der ceph-crash-Daemon keine Absturzberichte veröffentlichen konnte und wiederkehrende Warnungen im Journal protokollierte (Problem 4759).
  • Da ceph-crash nicht als root läuft, ist es ihm nicht erlaubt, den Ceph-Admin-Schlüsselbund zu lesen.
  • Das Problem wird behoben, indem ein client.crash-Schlüsselring mit entsprechenden Rechten und Berechtigungen sowohl für neue als auch für bestehende Ceph-Cluster erstellt wird.
  • Der neue Schlüsselbund wird bei einem Upgrade automatisch erstellt, falls erforderlich.
  • Integration von Patches, die es ermöglichen, das Upstream-Ceph-Dashboard manuell zu installieren und zu verwenden.
  • Aufgrund von Upstream-Änderungen waren Proxmox VE 8.0 und 8.1 nicht mit dem Ceph-Dashboard kompatibel.
  • Behebung eines Problems, bei dem offene TCP-Verbindungen zu VMs während des Ceph-Upgrades einfrieren oder einen Timeout verursachen konnten, wenn die Firewall aktiv ist (Problem 5213).
  • Integration eines Upstream-Patches, der sicherstellt, dass RocksDB mit Optimierungen zur Kompilierzeit erstellt wird, um die Leistung zu erhöhen.
  • Korrektur der Berechtigungen für Unterverzeichnisse von /var/lib/ceph, um Fehler bei der Erstellung von Absturzberichten zu vermeiden.
  • Behebung eines Problems, bei dem die Nutzung als "NaN %" gemeldet wurde, wenn noch keine OSDs erstellt wurden (Problem 5293).
  • Beim Erweitern des Ceph-Status in der GUI wird der Titel umbrochen, um sicherzustellen, dass er vollständig sichtbar ist (Fehler 5106).
  • Vermeiden eines Randfalls, bei dem die Ausführung von pveceph purge zu viele Dateien entfernen würde.
  • Behebung eines Problems, bei dem ein Monitor aufgrund einer falschen Existenzprüfung nicht gelöscht werden konnte (Fehler 5198).

Zugriffskontrolle

  • ACL-Einträge in der Datei user.cfg werden sortiert, um die Verfolgung von Änderungen mit Tools wie ansible oder etckeeper zu erleichtern (issue 5335).
  • Verlangt von Nicht-Root-Benutzern, ihr aktuelles Passwort bei einer Passwortänderung einzugeben.
  • Dies dient zur Absicherung gegen ein Szenario, in dem ein Angreifer lokalen oder sogar physischen Zugriff auf einen Computer hat, auf dem ein Benutzer angemeldet ist.
  • Hinzufügen des dedizierten Sys.AccessNetwork-Privilegs, um API-Aufrufe zu schützen, die zum Sammeln von Informationen über das interne Netzwerk missbraucht werden könnten, zum Beispiel zum Herunterladen von ISOs (Ausgabe 5254).
  • Dieses neue Privileg kann gewährt werden, um Benutzern das Herunterladen von ISOs zu ermöglichen, ohne das mächtigere Sys.Modify Privileg zu benötigen.
  • Beschränken Sie die Werte von Legacy-Benutzerschlüsseln auf die Werte, die im veralteten ursprünglichen TFA-System erlaubt waren.
  • Anpassen des regulären Ausdrucks für die Validierung des ACR-Wertes in OpenID Connect-Realms an die Einstellungen in Proxmox Backup Server (siehe zugehörige Ausgabe 5190).
  • Beschränken Sie die Attribute und ihre Werte, die während der LDAP-Synchronisierung gesammelt werden, um Probleme mit unerwarteten LDAP-Einträgen zu vermeiden.
  • Fügen Sie liberale Längenbeschränkungen für Benutzerattribute (Namen, E-Mail-Adressen) hinzu, um ein Aufblähen der user.cfg zu vermeiden, was die Anzahl der speicherbaren ACL-Einträge unnötig einschränken würde.

Firewall & Software-Defined Networking

  • Firewall auf Basis von nftables als optionale Technologievorschau.
    Einführung einer neuen modernen Proxmox VE Firewall-Implementierung, die in Rust geschrieben wurde und nftables verwendet.
    Nach der Installation und Aktivierung der neuen Implementierung werden Firewall-Regeln mit nftables anstelle von iptables durchgesetzt.
    Der Wechsel zu nftables macht Firewall-Bridges überflüssig, was die Komplexität reduziert und die Behebung langjähriger Probleme mit der alten Implementierung ermöglicht.
    Die neue Implementierung ist nahezu gleichwertig mit der alten Implementierung. Einige kleinere Unterschiede, wie z. B. die Behandlung von REJECT-Regeln, müssen noch behoben werden.
    Die nftables-Firewall wird als Technologievorschau zur Verfügung gestellt, um Feedback von der Community zu erhalten.
  • Die IP-Zuweisung für VNets mit aktivem DHCP-Plugin, die sowohl IPv4 als auch IPv6 verwenden, erfolgt nun atomar, d. h., dass eine fehlgeschlagene Zuweisung für eine Familie eine erfolgreiche Zuweisung für die andere Familie aufhebt.
  • Beliebige Namen für Bridges sind erlaubt. Zuvor mussten Bridges den Namen vmbrN tragen, um erkannt zu werden (Problem 545).
  • Behebung des Problems beim Start von Gästen, wenn in einer Zone DHCP aktiviert ist, aber keine DHCP-Bereiche für eines der Subnetze konfiguriert sind.
  • Sicherstellen, dass sowohl IPv4- als auch IPv6-Adressen angefordert werden, falls ein DHCP-Bereich für eine Familie hinzugefügt wurde, nachdem ein Gast bereits eine Zuweisung für die andere Familie erhalten hat.
  • Unterstützung für ipv6 Präfix-Listen-Filterung in FRR hinzufügen
  • Passe die generierte FRR-Konfiguration an, um ein Upstream-Problem zu umgehen und aktualisiere auf FRR Version 8.5.2.
  • Verwenden Sie die richtige Reihenfolge und fügen Sie Unterstützung für IPv6-Routen im EVPN-Controller hinzu.
  • Verwenden Sie den für das Rechenzentrum im SDN konfigurierten Proxy für externe API-Aufrufe.
  • Verbesserte Interaktion mit den externen IPAM-Plugins phpIPAM und NetBox.
  • Entfernen des veralteten und nun verbotenen Prioritätsfeldes aus der Änderungsanfrage an PowerDNS (Ausgabe 5275).
  • Korrekte Erkennung von Array-Werten, wie z.B. DHCP-Bereiche, als für die Validierung geändert.
  • Behandlung von VNets, die ausstehend sind, aber noch nicht übertragen wurden, wenn die Liste aller VNets erstellt wird.
  • Behebung eines Problems, das den Taint Mode von Perl auslöste, wenn ein API-Daemon versuchte, DHCP-Konfigurationsdateien zu löschen.
  • Verbesserung des Test-Frameworks für den SDN-Stack durch Refactoring des Codes, um Mocking-Interaktionen mit dem System zu ermöglichen.
  • Behebung eines Problems, bei dem Firewall-Regeln mit IPs/CIDRs nicht bearbeitet werden konnten (Problem 4963) und Änderungen nicht richtig erkannt wurden.
  • Es wurde ein Problem behoben, bei dem die Bearbeitung einer EVPN-Zone einen leeren primären Ausgangsknoten nicht akzeptierte.
  • Bereitstellung von expliziten Typinformationen für das Pending-Feld in den API-Rückgaben.
  • Ableitung der BGP-Router-ID von der MAC-Adresse der Schnittstelle in IPv6-Underlay-Netzwerken (Problem 5364).
  • Korrektur der Syntax für IPv6 Route Map Einträge in der generierten FRR Konfiguration (Ausgabe 5361).
  • Überprüfen der ISIS Netzwerk ID auf syntaktische Korrektheit (issue 5344).
  • Hinzufügen von Unterstützung für das Parsen und Beibehalten von BGP Community-List-Einträgen in der FRR-Konfiguration (Ausgabe 5319).
  • Setzen der konfigurierten MTU eines Netzwerks als DHCP-Option.
  • Sortierung der Aliase in der cluster.fw Datei, um die Nachverfolgung von Änderungen mit Tools wie ansible oder etckeeper zu erleichtern (Ausgabe 5335).
  • Behebung der Interaktion zwischen ifupdown2 und Paketen, die Hooks für die Netzwerkkonfiguration installieren (Ausgabe 5009).
  • Dies behebt ein Problem, bei dem Hosts während der Netzwerkeinrichtung nach einem Neustart hängen bleiben konnten, wenn sowohl ntpsec als auch ntpsec-ntpdate installiert sind.

Verbesserte Verwaltung von Proxmox VE-Knoten

  • Ein neues Meta-Paket proxmox-secure-boot-support zieht alle benötigten Pakete ein, um das sichere Booten von Proxmox-Systemen mit den Standardschlüsseln zu ermöglichen. Dies macht es einfacher, ein bestehendes System auf Secure Boot umzustellen.
  • Die ausführbare UEFI-Firmware-Aktualisierungsdatei fwupd-amd64-signed ist nun mit den Proxmox-Secure-Boot-Schlüsseln signiert, was die Verwendung von fwupd in Proxmox-Systemen mit aktiviertem Secure-Boot ermöglicht.
  • Proxmox hat den r8125-dkms-Treiber, der für 2.5G RealTek NICs benötigt wird, neu gepackt, da der Treiber nicht in den Upstream-Kernel eingebunden ist, um die Kompatibilität mit der neuen 6.8-Kernel-Serie zu gewährleisten.
  • Wake on LAN erlaubt nun die Konfiguration der Bind-Schnittstelle und der Broadcast-Adresse, die für das Senden des magischen Pakets verwendet wird (Ausgabe 5255).
  • Automatisches Umschreiben der LVM-Konfiguration, um RBD-Platten herauszufiltern, falls möglich. Zuvor erkannte LVM auf dem Host LVM Physical Volumes, die sich auf VM-Platten befanden, die mit KRBD gesichert waren.
  • Ordnen Sie die ZFS-Pool-spezifischen Import-Einheiten, die von Proxmox VE für neue Pools erstellt werden, vor den allgemeinen zfs-import-cache- und zfs-import-scan-Einheiten an, um harmlose, aber irreführende Fehler im Journal während des Bootens zu verhindern (Problem 4835).
  • Behebung eines Netzwerkkonfigurationsproblems, bei dem das Erstellen eines neuen VLANs auf einer Bridge die vlan-id eines existierenden VLANs überschrieb (issue 5141).
  • Klärung der Beschreibung des internen pvesubscription set-offline-key Befehls.
  • Vermeidung einer irreführenden Fehlermeldung in pvesubscription, wenn die Offline-Schlüsselaktivierung erfolgreich war.
  • Vermeidung von Protokollierungswarnungen auf EFI-Systemen ohne Secure Boot-Unterstützung.
  • Erhöhung der maximalen Größe vor der Rotation der pveam-Protokolle von 50 KiB auf 256 KiB und Warnung, wenn die Rotation fehlschlägt.
  • Unterstützung für das Hinzufügen von benutzerdefinierten ACME-fähigen CAs mit optionaler Authentifizierung durch External Account Binding (EAB) ist jetzt auch in der GUI vorhanden (Ausgabe 4497, Ausgabe 5093).
  • Vermeidung von Fehlwarnungen über nicht initialisierte Werte in verschiedenen Situationen.
  • Wenn ein Dienstneustart während des Upgrades von pve-manager oder pve-ha-manager fehlschlägt, wird ein Fehlschlagen des Upgrades vermieden.
  • Verbessertes pvereport, um eine bessere Statusübersicht zu bieten:
  • Hinzufügen von Paketzählern zur iptables-save-Ausgabe und deren Formatierung als Tabelle.
  • Hinzufügen der aktuellen Kernel-Kommandozeile.
  • Auflistung aktuell definierter Jobs.
  • Aufnahme von mehr Details über erkannte APT-Quellen und zurückgehaltene Pakete.
  • Erweitern der Liste der gemeldeten Pakete um kürzlich hinzugefügte Bibliothekspakete
  • Verbesserungen am Proxmox Offline Mirror:
  • Berücksichtigung des Subskriptionsstatus bei der Konfiguration von Spiegeln für die von Proxmox bereitgestellten Ceph-Repositories.
  • Verbesserung der UX im promxox-offline-mirror-helper, wenn mehrere Abonnementschlüssel am gewählten Mountpoint verfügbar sind.
  • Hinzufügen des Dark Mode zur Dokumentation.
  • Behebung einer falschen Konfigurationseinstellung für das Zulassen schwacher RSA-Kryptoparameter.
  • Verbesserte Pfadbehandlung mit Kommandozeilenargumenten.
  • Unterstützung von Repositories, die kein Prioritätsfeld bereitstellen (Ausgabe 5249).

Installation ISO

  • Unterstützung für die automatische und unbeaufsichtigte Installation von Proxmox VE.
  • Einführung des proxmox-auto-install-assistant-Tools, das ein ISO für die automatische Installation vorbereitet.
  • Das automatische Installations-ISO liest alle erforderlichen Einstellungen aus einer Antwortdatei im TOML-Format.
  • Eine Möglichkeit, die Antwortdatei bereitzustellen, besteht darin, sie direkt zum ISO hinzuzufügen. Alternativ kann das Installationsprogramm sie von einer speziell gekennzeichneten Partition oder über HTTPS von einer bestimmten URL abrufen.
  • Wenn die Antwortdatei über HTTPS abgerufen wird, können URL und Fingerabdruck direkt zum ISO hinzugefügt oder über DHCP oder DNS abgerufen werden.
  • Weitere Einzelheiten finden Sie auf der Wikiseite zur automatischen Installation.
  • memtest86+ wurde auf Version 7.0 aktualisiert.
  • Behebung unbestimmter Hänger bei der Ländererkennung (Problem 4872).
  • Das Parsen von Hostnamen-Optionen wurde korrigiert, um ungültige Einträge abzufangen (Problem 5230).
  • Es wurde ein Problem behoben, bei dem das Ausschalten der ZFS-Komprimierung aufgrund einer Änderung der Upstream-Standardwerte keine Wirkung zeigte.
  • Veraltete Prüfsummenoptionen wurden in den erweiterten Optionen für ZFS-Pools entfernt.
  • Verbesserung des Layouts von Widgets im GTK-basierten Installer für konsistente Ränder und Ausrichtung.

Bemerkenswerte Änderungen

  • Kernel 6.8 behebt ein seit langem bestehendes Problem, bei dem VMs, die auf Hosts mit mehreren NUMA-Knoten ausgeführt werden, vorübergehend für kurze Zeit einfrieren konnten. Das Problem trat mit größerer Wahrscheinlichkeit auf, wenn KSM und/oder NUMA-Ausgleich aktiv war. Weitere Informationen finden Sie in dem entsprechenden Forumsthread.
  • Zuvor haben die LXC-Energieverwaltungsendpunkte unter /api2/json/nodes/{node}/lxc/{vmid}/status/ die Konfigurationssperre synchron im API-Handler erworben, was bedeutet, dass eine erfolgreiche HTTP-Antwort bedeutet, dass der Task-Worker die Sperre erwerben konnte. Jetzt wird die Konfigurationssperre im Task-Worker asynchron erworben, was bedeutet, dass der Task-Worker die Sperre trotz der erfolgreichen HTTP-Antwort möglicherweise nicht erwerben kann. Diese Änderung erfordert möglicherweise eine Anpassung von Tools, die die API direkt verwenden und sich auf das vorherige Verhalten verlassen haben.
  • Bei der Erstellung eines Backups und der Angabe von benutzerdefinierten Leistungseinstellungen werden Fallbacks für nicht spezifizierte Einstellungen jetzt pro Leistungseinstellung berechnet. Zuvor wurde ein Fallback für die Leistungseinstellung als Ganzes berechnet. In einigen wenigen Ausnahmefällen kann dies die effektiven Leistungseinstellungen für Backups ändern. Siehe den Commit für Details.

Known Issues & Breaking Changes

Kernel 6.8

Die Proxmox VE 8.2 Releases installieren und verwenden standardmäßig den Linux-Kernel 6.8, eine größere Kernel-Änderung kann einige hardwarespezifische Nebeneffekte haben.

Sie können die Installation des 6.8er Kernels vermeiden, indem Sie die proxmox-default-kernel Paketversion vor dem Upgrade anpinnen. Die letzte Version, die von Kernel 6.5 abhängt, ist 1.0.1.

Um das Paket auf diese Version festzulegen, erstellen Sie eine Datei in /etc/apt/preferences.d/proxmox-default-kernel mit dem folgenden Inhalt. Dadurch wird proxmox-default-kernel auf der alten Version gehalten, bis diese Datei gelöscht und ein neues Upgrade initiiert wird:

  • Paket: proxmox-default-kernel
  • Pin: Version 1.0.1
  • Pin-Priorität: 1000

Kernel: Änderung der Netzwerkschnittstellen-Namen

Ein Kernel-Upgrade birgt immer das Risiko, dass sich die Namen der Netzwerkschnittstellen ändern, was nach einem Neustart zu ungültigen Netzwerkkonfigurationen führen kann. In diesem Fall müssen Sie entweder die Netzwerkkonfiguration aktualisieren, um die Namensänderungen widerzuspiegeln, oder die Netzwerkschnittstelle vorher an ihren Namen binden.

Lesen Sie in der Referenzdokumentation nach, wie Sie die Schnittstellennamen auf der Grundlage von MAC-Adressen festsetzen können.

Derzeit ist bekannt, dass die folgenden Modelle bei höheren Raten betroffen sind:

  • Modelle mit i40e. Deren Namen kann ein zusätzliches Port-Suffix wie p0 hinzugefügt werden.

Kernel: DKMS

Da der Standard-Kernel auf 6.8 geändert wurde, kann es vorkommen, dass installierte DKMS-Module nicht mehr gebaut werden. Zum Beispiel ist dies ab April 2024 der Fall für den neuesten NVIDIA GRID-Treiber 17.1.

Abgesehen von der einfachen Entfernung und Nichtverwendung dieser Module besteht eine mögliche Abhilfe darin, das proxmox-default-kernel-Paket vor dem Upgrade auf eine ältere Version zu setzen. Die letzte Version, die von Kernel 6.5 abhängt, ist 1.0.1.

Kernel: Split Lock Detection verlangsamt VMs

Wenn die Host-CPU die Split-Lock-Erkennung unterstützt und eine VM falsch ausgerichtete Speicherzugriffe durchführt, kann der Host-Kernel die VM ab Kernel-Version 5.19 oder später künstlich verlangsamen.

Es gibt jetzt einen Wiki-Artikel zur Split-Lock-Erkennung mit weiteren Informationen.

Alte Ceph-Absturzberichte

Der Ceph-Absturzdienst überwacht andere Ceph-Daemons auf Abstürze und meldet diese als Warnung. Dieser Dienst funktionierte nicht richtig mit der Ceph-Server-Integration von Proxmox VE aufgrund einiger interner Ceph-Umstrukturierungen. Dies wurde mit den Ceph-Paketen behoben, die mit der Version 8.2 von Proxmox VE hochgeladen wurden. Dies bedeutet aber auch, dass der Dienst nun ältere Abstürze meldet, selbst wenn diese schon einige Wochen oder Monate zurückliegen.

Wenn Sie eine Ceph-Gesundheitswarnung sehen, weil Dienste als abgestürzt gemeldet werden, überprüfen Sie bitte auch das Datum des Absturzes, um eine Verwechslung mit einem kürzlich durch das Upgrade verursachten Absturz zu vermeiden.

Kernel: intel_iommu ist jetzt standardmäßig eingeschaltet

Der Parameter intel_iommu steht in der Kernel 6.8 Serie standardmäßig auf on. Die Aktivierung von IOMMU kann bei älterer Hardware oder Systemen mit nicht aktuellem BIOS aufgrund von Fehlern im BIOS zu Problemen führen.

Das Problem kann durch explizites Deaktivieren von intel_iommu in der Kernel-Befehlszeile (intel_iommu=off) gemäß der Referenzdokumentation behoben werden.

Kernel: Problem mit dem Broadcom Infiniband-Treiber

Das bnxt_re Modul verursacht Probleme mit einigen Broadcom NICs, die ihre Infiniband-Funktionalität aktiviert haben. Da Infiniband in den meisten Installationen nicht verwendet wird, kann das Problem durch einfaches Verhindern des Ladens des Moduls behoben werden. Erstellen Sie eine Datei /etc/modprobe.d/bnxt-re-blacklist.conf, die Folgendes enthält:

  • blacklist bnxt_re
    Aktualisieren Sie anschließend das initramfs mit update-initramfs -k all -u.

Alternativ können Sie auch das Dienstprogramm niccli von Broadcom und das entsprechende dkms-Modul installieren, um die Infiniband-Funktionalität der Netzwerkkarte dauerhaft zu deaktivieren. Siehe den entsprechenden Beitrag in unserem Community-Forum.

Erhalten Sie wichtige Update-Nachrichten Bleiben Sie auf dem Laufenden für kommende Proxmox Proxmox Virtual Environment Updates

Waren die Inhalte für Sie hilfreich?

Anzeige Hier werben?
Udemy IT certification ad