Proxmox 9.1.2 早期 OCI 容器支援實作與限制

Proxmox VE 9.1 以技術預覽形式加入了對 OCI（Open Container Initiative）映像的支援，允許使用者直接從標準 registry 拉取映像並轉化為 LXC 容器。這一功能在 9.1.2 的預覽版中已經可用，但仍處於早期階段，存在多項已知限制與使用陷阱。

OCI 支援的核心改動

允許 pveam 直接「pull」OCI 映像：pveam add lxc --from-oci docker.io/library/nginx:latest (Proxmox 官方說明)
OCI 映像被轉為 LXC 容器模板，保留根檔案系統與基本設定 (4sysops.com)
支援系統容器與應用容器兩種模式；系統容器包含完整 init 系統，應用容器則只執行單一服務 (4sysops.com)

實際操作流程：從 Registry 拉取 OCI 映像

📂 收合（點我收起）

# 下載並安裝最新 pveam
pveam update

# 直接拉取 OCI 映像
pveam add lxc --from-oci docker.io/library/redis:7.2

# 建立容器實例
pct create 100 /var/lib/vz/template/cache/lxc/redis-7.2.tar.gz --rootfs local-lvm:10 --net0 name=eth0,bridge=vmbr0,ip=dhcp

上述流程可快速產生一個基於官方 Redis 7.2 映像的 LXC 容器。整個流程不需要手動解壓或手動安裝 Docker，直接使用 Proxmox 的 LXC 框架即可。

系統容器 VS 應用容器

在 9.1 版本中，系統容器能夠提供完整的 init 以及多種系統工具，與傳統 Linux 系統相似；但並非所有 OCI 映像都能自動轉成系統容器，特別是基於 Alpine 或 BusyBox 的最小映像，缺少必要的 init 程式。相對地，應用容器專為單一服務設計，缺少完整的系統環境，適合微服務或輕量化部署 (4sysops.com)。

已知限制與陷阱

映像相容性：非完整 OS 映像無法產生系統容器，需自行包裝或選擇更完整的映像 (Proxmox 官方說明)。
init 系統缺失：應用容器無 init，若需使用 systemd 等服務管理，必須手動安裝或改用系統容器。
網路與存儲設定：OCI 映像不包含 Proxmox 的網路或存儲設定，必須在容器建立後手動調整。
安全設定：在 9.1 版本中，OCI 容器仍缺少完整的 AppArmor 或 SELinux 支援，容器內部的安全策略需自行配置。
性能差異：LXC 直接使用 OCI 映像時，若映像體積過大，容器啟動時間可能延長；此外，某些映像使用的壓縮格式不受 LXC 支援，導致解壓失敗。

建議與最佳實踐

選擇「完整 OS」映像作為系統容器，例如 Ubuntu、Debian 或 CentOS 官方映像。
對於單一服務，使用應用容器並在容器內自行配置必要的依賴。
使用 pct set 進行網路、存儲與 CPU 限制，確保容器不會佔用過多資源。
利用 Proxmox 的快照功能，定期備份容器，避免因映像問題造成的資料遺失。
在正式環境部署前，先於測試環境驗證映像的完整性與相容性；如遇到缺失，請考慮自行構建 OCI 映像或回退至傳統 LXC 模板。

未來展望與 Proxmox 9.1.2 可能改進

Proxmox 團隊已在 9.1.2 版本中修正多項映像相容性問題，並優化了 OCI 映像的下載與轉換流程。未來版本預計將提供更完整的 init 系統支援、映像自動診斷工具，以及更細緻的安全設定選項。使用者亦可透過 pveam list 查看已支援的 OCI Registry，並根據實際需求調整容器類型。

參考資料與原文來源

Proxmox 官方說明：Proxmox VE 9.1 – OCI image support (Proxmox Forum)
4sysops.com – Proxmox VE 9.1: Create LXC containers from OCI images (4sysops.com)
CyberQ – Proxmox VE 9.1 發布，容器化整合與資安功能的關鍵更新 (CyberQ.tw)
YouTube – Proxmox 9.1 Can Now Run Containers… But Should You? (YouTube)

本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。