Proxmox VE ９へのアップグレード(2) ようやく更新

Previously Exiv Networks. 前回までの戦いの記録はこちら。
（記事が長くなったので分割しました。後編です）

(1) Proxmox VE 9への更新

フルアップグレードを実行します。

root@pve:~# apt full-upgrade
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
The following package was automatically installed and is no longer required:
  proxmox-kernel-6.8.12-8-pve-signed
Use 'apt autoremove' to remove it.
The following packages will be REMOVED:
  ...（旧ライブラリ・互換層・不要依存関係など 約60件）...
The following NEW packages will be installed:
  ...（Trixie 対応 t64 ライブラリ、Proxmox 9 系カーネル、Python3.13、GUI 関連など 約150件）...
The following packages will be upgraded:
  ...（Proxmox VE コア、Ceph、LXC、QEMU、Systemd、OpenSSL、Perl、Python など 約600件）...
597 upgraded, 157 newly installed, 60 to remove and 0 not upgraded.
Need to get 519 MB/791 MB of archives.
After this operation, 1,286 MB of additional disk space will be used.
root@pve:~#

Do you want to continue? [Y/n] y

[y] で進めます。

Get:1-23  http://ftp.jp.debian.org/debian trixie/main ...（t64対応基本ライブラリ・Qt5・FUSE・音声関連など 約20件）
Get:24-43 http://download.proxmox.com/debian/pve ...（ZFS関連・grub・dmsetup など Proxmox共通基盤パッケージ）
Get:44-56 http://download.proxmox.com/debian/ceph-squid ...（Ceph 19.2.3-pve2 系主要モジュール一式）
Get:57-63 http://download.proxmox.com/debian/pve ...（RRD/Perl関連・vncterm・pve-qemu-kvm）
Get:64-80 http://download.proxmox.com/debian/pve ...（PVE Cluster, Firewall, HA, QEMU, swtpm, ESXi Import Tools 等）
Get:81-100 http://download.proxmox.com/debian/pve ...（Backup/Restore クライアント、Smartmontools、Network API 他）
Get:101-120 http://download.proxmox.com/debian/pve ...（Widget Toolkit, Docs, Firmware, Container, LXC, GUI 関連など）
Get:121-125 http://download.proxmox.com/debian/pve ...（Corosync関連ライブラリ）
Get:126-129 http://download.proxmox.com/debian/pve ...（Archive Keyring, Mirror Docs, FRR, Python Tools）
Get:130-133 http://download.proxmox.com/debian/pve ...（PVE Firmware, Kernel 6.14.11-4, Default Kernel 関連）
Get:134-140 http://download.proxmox.com/debian/pve ...（Firewall, Termproxy, VE メタパッケージ, Shim-signed など）

Fetched 519 MB in 3min 19s (2,611 kB/s)
Reading changelogs... Done
Reading changelogs... Done

apt-listchanges: News
---------------------
openssh (1:10.0p1-1) unstable; urgency=medium

OpenSSH 10.0p1 includes a number of changes that may affect existing configurations:

* This release removes support for the weak DSA signature algorithm,
  completing the deprecation process that began in 2015 (when DSA was
  disabled by default) and repeatedly warned over the last 12 months.

* scp(1), sftp(1): pass "ControlMaster no" to ssh when invoked by scp & sftp.
  This disables implicit session creation by these tools when ControlMaster
  was set to yes/auto by configuration, which some users found surprising.
  This change will not prevent scp/sftp from using an existing multiplexing
  session if one had already been created.

* sshd(8): this release disables finite field (a.k.a modp) Diffie-Hellman
  key exchange in sshd by default. Specifically, this removes the
  "diffie-hellman-group*" and "diffie-hellman-group-exchange-*"
  methods from the default KEXAlgorithms list.
  The client is unchanged and continues to support these methods by default.

「重要な変更点」を知らせる apt-listchanges（ニュース通知）です。
「OpenSSH 10.0p1 で仕様が変わったよ」という公式リリースノート。「内容を確認して Enter（または q）」で続行します。基本的には、設定ファイル更新確認が出たら「現在のバージョンを保持（N）」を選ぶのが安全です。

続けて「キーボード設定のダイアログ」。英語キーボードを利用していますので、そのまま進めました。

続けて確認メッセージが表示されました。
「/etc/issue の内容が変更されています。新しい Debian 版に差し替えますか？」という内容。

Installing new version of config file /etc/debian_version ...

Configuration file '/etc/issue'
 ==> Modified (by you or by a script) since installation.
 ==> Package distributor has shipped an updated version.

What would you like to do about it ?
Your options are:
  Y or I : install the package maintainer's version
  N or O : keep your currently-installed version
  D      : show the differences between the versions
  Z      : start a shell to examine the situation

The default action is to keep your current version.
*** issue (Y/I/N/O/D/Z) [default=N] ?

Progress: [ 0%] [.....................................]

「現在のバージョンを保持（N）」で進めます。

続けて libc6（glibc）更新時の再起動ポリシー設定です。
「ライブラリ（libc、libpam、libsslなど）を更新する際、それを使っているサービス（sshd、cron、systemdなど）を自動的に再起動してよいですか？」

[No]で進めます。
続けてglibc（libc6）更新後に再起動が必要なサービスの確認。これもそのままOKで構いません。

LVM のメイン設定ファイル /etc/lvm/lvm.conf を上書きするかどうかです。「現在のバージョンを保持（N）」で進めます。

Configuration file '/etc/lvm/lvm.conf'
 ==> Modified (by you or by a script) since installation.
 ==> Package distributor has shipped an updated version.

What would you like to do about it ?
Your options are:
  Y or I : install the package maintainer's version
  N or O : keep your currently-installed version
  D      : show the differences between the versions
  Z      : start a shell to examine the situation

The default action is to keep your current version.
*** lvm.conf (Y/I/N/O/D/Z) [default=N] ?

Progress: [ 98%] [########################################################..]

続けて、GRUB（EFIブートローダ）の設定ファイル /etc/default/grub についての確認です。

[keep the local version currently installed] （現在の設定を保持）を選択したまま OKで進めます。

Running hooks in /etc/ca-certificates/update.d... done.

Processing triggers for initramfs-tools (0.148.3) ...
update-initramfs: Generating /boot/initrd.img-6.14.11-4-pve
Running hook script 'zz-proxmox-boot'..
Re-executing '/etc/kernel/postinst.d/zz-proxmox-boot' in new private mount namespace..
No /etc/kernel/proxmox-boot-uuids found, skipping ESP sync.
masking the systemd-gpt-auto-generator systemd generator unit
to avoid problems with the ESP and updates in certain setups.

Processing triggers for postfix (3.10.4-1~deb13u1) ...
Restarting postfix

Processing triggers for pve-ha-manager (5.0.5) ...
Processing triggers for shim-signed:amd64 (1.47+pmx1+15.8-1+pmx1) ...

アップグレード処理がすべて正常に完了しました。再起動します。

root@pve:~# reboot

なんとかアップグレードできました。

(2) アップグレード後の証明書関連のトラブル

　アップグレード自体は完了したものの、再起動後に管理Webインターフェースに設定していたSSL証明書が既存のプライベートCA署名証明書ではなく、Proxmox標準の自己署名証明書に差し替わっていました。
管理WebインターフェースからプライベートCA署名証明書への切り替え操作も効かず、ログイン時に「不正な証明書」警告が表示される状態です。

削除、再アップロードで解決できそうでしたが、今回は下記の操作を行い、既存のプライベートCA証明書を利用するように設定しました。

修復操作

まず、元の証明書ファイル(pve-ssl.pem/pve-ssl.key)が残っていることを確認。

root@pve:~# ls -l /etc/pve/local/
total 2
drwxr-xr-x 2 root www-data    0 Mar 19  2025 backup
-rw-r----- 1 root www-data   83 Nov  9 20:49 lrm_status
drwxr-xr-x 2 root www-data    0 Mar 12  2025 lxc
drwxr-xr-x 2 root www-data    0 Mar 12  2025 openvz
drwx------ 2 root www-data    0 Mar 12  2025 priv
-rw-r----- 1 root www-data 1705 Mar 19  2025 pve-ssl.key
-rw-r----- 1 root www-data 2478 Mar 19  2025 pve-ssl.pem
drwxr-xr-x 2 root www-data    0 Mar 12  2025 qemu-server
-rw-r----- 1 root www-data  556 Nov  6 02:52 ssh_known_hosts

自動再生成を抑制する設定を追記

echo "REGENERATE_CERTS=0" >> /etc/default/pveproxy
echo "REGENERATE_CERTS=0" >> /etc/default/pvedaemon

サービス再起動。設定を反映

systemctl restart pveproxy
systemctl restart pvedaemon

既存のプライベートCA署名証明書ですが、GUI では安全のため削除操作が無効化されているようです。
/etc/pve/local/ の証明書を CUI から直接削除し、手動でバックアップしていた証明書ファイルを再配置、サービス再起動で復旧させたほうが安全だったかもしれません。

(3) エンタープライズリポジトリの警告メッセージ

削除していた pve-enterprise.list が再生成されたようです。
エンタープライズリポジトリについての警告は、サブスク契約がない場合は「無効化」がよいと思います。

GUI からもトグル操作で無効化が可能です。

最後に

今回の PVE 9 へのアップグレードは、準備段階がとにかく大変でした。
リポジトリの書き換えをしても「Debian は上がったのに Ceph が 404」といった混乱が多く、アップグレードチェックに何度も引っ掛かるモグラ叩き状態。amd64-microcode の警告に対処、sources.list を整えて apt が通るようになったあたりで、ようやく先が見えた感じです。

でも、フルアップグレードが始まってからは拍子抜けするほどスムーズ。
新しいパッケージの確認で “default=N” が並び「あとはリターンだけ」となった際には、ちょっとした達成感がありました。今回のProxmox のアップグレードは「準備が9割、実行は1割」といった感じでした。

おしまい。