Actualités¶

Incus 6.14 est maintenant disponible¶

28 juin 2025

Introduction¶

L’équipe d’Incus est heureuse d’annoncer la sortie d’Incus 6.14 !

C’est une version avec de plus modestes apports : quelques corrections de bugs et améliorations de performances, concluant une partie du travail mené avec les étudiants de l’Université du Texas, et quelques nouvelles fonctionnalités.

Elle corrige également quelques vulnérabilités affectant les personnes utilisant des ACL sur des réseaux bridge avec un pare-feu nftables.

Comme d’habitude, vous pouvez l’essayer vous-même en ligne : https://linuxcontainers.org/incus/try-it/

Correctifs de sécurité¶

Cette nouvelle version corrige deux vulnérabilités rapportées par Olivier BAL-PETRE, de l’ANSSI (agence française de sécurité des systèmes d'information).

Les deux vulnérabilités étaient liées à l’utilisation par Incus d’ACL réseau sur des bridges locaux utilisant un pare-feu nftables, en combinaison avec certaines de nos fonctionnalités d’isolation réseau.

Un changement récent dans la logique des ACL dans Incus 6.12 permettait d’outrepasser certains mécanismes d’isolation et d’autoriser l’utilisateur root sur une instance à causer une attaque par déni de service ou à se faire passer pour l’hôte et potentiellement intercepter du trafic d’instances du même réseau.

• CVE-2025-52890 (Incus creates nftables rules that partially bypass security options)
• CVE-2025-52889 (Incus Allocation of Resources Without Limits allows firewall rule bypass on managed bridge networks)

Comme mentionné, les versions concernées sont Incus 6.12 et Incus 6.13. Ces deux versions mensuelles d’Incus ne sont à présent plus supportées du fait de la sortie d’Incus 6.14.
La dernière version LTS n’est pas affectée par ces vulnérabilités.

Nouvelles fonctionnalités¶

Téléversement de sauvegardes d’instances et de volumes via S3¶

Les sauvegardes d’instances et de volumes peuvent désormais être automatiquement téléversées dans un bucket S3. Cette fonctionnalité est pour l’instant uniquement disponible au travers de l’API, pour une éventuelle utilisation par des systèmes de sauvegarde.

Incus générera comme d’habitude un fichier de sauvegarde, puis le téléversera vers le bucket cible avant de supprimer sa copie locale.

stgraber@dakara:~$ incus launch images:alpine/edge a1
Launching a1
stgraber@dakara:~$ incus query -X POST /1.0/instances/a1/backups -d '{"optimized_storage": true, "target": {"protocol": "s3", "url": "https://storage.googleapis.com", "bucket_name": "incus_backups", "path": "my-backup.tar.gz", "access_key": "ACCESS-KEY", "secret_key": "SECRET-KEY"}}' --wait
{
    "class": "task",
    "created_at": "2025-06-28T13:46:21.781378949-04:00",
    "description": "Backing up instance",
    "err": "",
    "id": "89936d87-25b3-44d2-930e-92b579cc2ee0",
    "location": "none",
    "may_cancel": false,
    "metadata": null,
    "resources": {
        "backups": [
            "/1.0/instances/a1/backups/backup0"
        ],
        "instances": [
            "/1.0/instances/a1"
        ]
    },
    "status": "Success",
    "status_code": 200,
    "updated_at": "2025-06-28T13:46:21.781378949-04:00"
}

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Personnalisation de l’expiration des instantanés à leur création¶

Une nouvelle option --expiry a été ajoutée aux commandes incus snapshot create et incus storage volume snapshot create. Celle-ci permet de modifier la date d’expiration d’un instantané à sa création, changeant la valeur par défaut du serveur.

stgraber@dakara:~$ incus snapshot create a1 foo --expiry=2d
stgraber@dakara:~$ incus snapshot list a1
+------+----------------------+----------------------+----------+
| NAME |       TAKEN AT       |      EXPIRES AT      | STATEFUL |
+------+----------------------+----------------------+----------+
| foo  | 2025/06/28 13:50 EDT | 2025/06/30 13:50 EDT | NO       |
+------+----------------------+----------------------+----------+

Modification du délai d’expiration par défaut pour les instantanés créés manuellement¶

Le délai d’expiration par défaut peut maintenant être modifié par l’intermédiaire de la clef de configuration snapshots.expiry.manual. Lorsqu’elle n’est pas définie, Incus utilise la valeur snapshots.expiry, qui est également utilisée pour les instantanés créés automatiquement.

stgraber@dakara:~$ incus config set a1 snapshots.expiry=7d
stgraber@dakara:~$ incus snapshot create a1 first
stgraber@dakara:~$ incus config set a1 snapshots.expiry.manual=2d
stgraber@dakara:~$ incus snapshot create a1 second
stgraber@dakara:~$ incus snapshot list a1
+--------+----------------------+----------------------+----------+
|  NAME  |       TAKEN AT       |      EXPIRES AT      | STATEFUL |
+--------+----------------------+----------------------+----------+
| first  | 2025/06/28 13:53 EDT | 2025/07/05 13:53 EDT | NO       |
+--------+----------------------+----------------------+----------+
| second | 2025/06/28 13:54 EDT | 2025/06/30 13:54 EDT | NO       |
+--------+----------------------+----------------------+----------+

Ajustements dans la migration à chaud et information d’avancement¶

Pour réduire le temps de migration pour les VM qui modifient activement leur mémoire, nous avons effectué quelques ajustements dans la logique de transfert de la mémoire.

Incus va à présent limiter plus agressivement le CPU des VM en cours de migration, en commençant par une limitation à 50 % de sa capacité après la première tentative de migration, puis en la limitant davantage si beaucoup de changements ont eu lieu en RAM.

Enfin, Incus va à présent fournir des informations sur l’avancement de la migration.

Information sur la taille des adresses CPU dans l’API des ressources¶

D’un CPU et d’une plateforme à l’autre, les adresses physiques et virtuelles peuvent avoir des tailles différentes.

Cela contraint la quantité de mémoire maximale disponible pour une machine virtuelle, que ce soit au démarrage ou après un hotplug.

Pour cette raison, Incus a besoin de surveiller ces valeurs pour ajuster la quantité maximale de mémoire hotpluggable dans les VM.

stgraber@castiana:~$ incus query /1.0/resources | jq .cpu.sockets[0].address_sizes
{
  "physical_bits": 48,
  "virtual_bits": 48
}

Transition des traitements en base de données vers notre générateur de code¶

Nous avons procédé à la transition d’un certain nombre d’objets réseau vers notre générateur de code pour les traitements en base de données.

Dans cette version, les deux objets suivants ont été convertis :

• Redirections réseau
• Peers réseau

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Liste complète des changements¶

Voici une liste complète de tous les changements apportés par cette version :

Documentation¶

La documentation d’Incus peut être consultée sur :
https://linuxcontainers.org/incus/docs/main/

Paquets¶

Incus ne fournit pas de paquet d’installation mais bien un tarball à chaque version. Vous trouverez ci-dessous différentes solutions pour mettre Incus en service.

Installation du serveur Incus sous Linux¶

Incus est disponible sur la plupart des distributions Linux courantes. Vous trouverez des instructions d’installation détaillées dans notre documentation.

https://linuxcontainers.org/incus/docs/main/installing/

Paquet Homebrew du client Incus¶

Le client Incus est disponible sur Homebrew pour Linux et macOS.

https://formulae.brew.sh/formula/incus

Paquet Chocolatey du client Incus¶

Le client Incus est disponible sur Chocolatey pour les utilisateurs de Windows.

https://community.chocolatey.org/packages/incus/6.14.0

Paquet Winget du client Incus¶

Le client Incus est aussi disponible sur Winget pour les utilisateurs de Windows.

https://winstall.app/apps/LinuxContainers.Incus

Support¶

Les versions de fonctionnalité d’Incus ne sont supportées que jusqu’à la sortie de la suivante. Les personnes souhaitant un support plus long et des changements moins fréquents devraient plutôt envisager d’utiliser Incus 6.0 LTS.

Le support communautaire est disponible sur : https://discuss.linuxcontainers.org
Un support commercial est disponible sur : https://zabbly.com/incus
Les bugs peuvent être signalés sur : https://github.com/lxc/incus/issues

Incus 6.13 est maintenant disponible¶

30 mai 2025

Introduction¶

L’équipe d’Incus est heureuse d’annoncer la sortie d’Incus 6.13 !

Cette version apporte BEAUCOUP de nouvelles fonctionnalités de toutes tailles et pour tous les cas d’utilisation, donc tout le monde devrait être servi !

Comme d’habitude, vous pouvez l’essayer vous-même en ligne : https://linuxcontainers.org/incus/try-it/

Nouvelles fonctionnalités¶

Agent pour les VM Windows¶

La logique de l’agent Incus pour les VM a été refactorisée pour que celui-ci soit construit pour des systèmes d’exploitation autres que Linux, et une première implémentation pour Windows a été réalisée.

Il s’agit encore d’un travail préliminaire, puisque Windows ne possède pas de driver VirtIO signé pour vsock, qu’Incus utilise normalement pour communiquer avec son agent.

Cependant, le protocole que nous utilisons par-dessus vsock est HTTPS, donc nous nous en sommes contentés pour nous connecter (via le réseau donc) à l’agent Windows. Cela ne peut fonctionner que si Incus connaît l’adresse IP de la VM, et que celle-ci est directement joignable depuis l’hôte. Nous avons pour espoir de remplacer cette solution par une connexion vsock native dans le futur.

Cet agent permet de lancer des commandes avec incus exec, d’obtenir les détails de l’OS avec incus info et de transférer des fichiers avec incus file.

Pour que l’agent fonctionne, il faut attacher un disque avec source=agent:config à la VM Windows, qui se présente à l’OS comme un CD-ROM content l’agent Windows (s’il a été packagé dans la distribution de l’hôte) ainsi que les fichiers de configuration nécessaires.

À partir de là, vous pouvez démarrer l’agent manuellement ou le configurer comme un service système.

Nous aimerions des retours de personnes ayant de l’expérience dans les systèmes Windows pour améliorer l’utilisabilité de l’agent, par exemple en fournissant un script d’installation dans le CD-ROM, ou encore en y incluant les fonctionnalités qui manquent par rapport à l’agent Linux.

Cet effort de plusieurs mois a été rendu possible grâce au soutien financier du Sovereign Tech Fund.

Améliorations dans incus-migrate¶

Un certain nombre d’améliorations ont été apportées à notre outil incus-migrate.

Pour rappel, cet outil peut être lancé sur un serveur distant afin de le convertir en conteneur ou VM Incus, ou de convertir des conteneurs ou VM qu’il virtualise en instances importables dans Incus.

Avec cette nouvelle version, incus-migrate supporte à présent :

• Le téléversement d’arbres de fichiers ou d’images disques comme volumes personnalisés
• L’import de disques additionnels ou de systèmes de fichiers lors de la création d’une nouvelle instance
• L’import d’une image OVA comme nouvelle instance
• La sélection d’un serveur ou d’un groupe de serveurs spécifique lorsqu’Incus est clusterisé

Des binaires statiques de incus-migrate sont disponibles sur GitHub, utiles pour procéder à la conversion d’un système qui n’utilise pas déjà Incus.

Accès aux volumes personnalisés en SFTP¶

Nous cherchons progressivement à ce que les volumes personnalisés (de type système de fichiers) supportent une API similaire à celle que nous avons déjà pour les fichiers des instances.

Nous avons fait un premier pas dans ce sens : Incus supporte désormais les opérations en SFTP sur ces volumes, avec la commande incus storage volume file mount. Les autres APIs et commandes devraient débarquer dans Incus 6.14.

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Configuration des adresses IP externes des instances sur les réseaux OVN¶

Deux nouvelles clefs de configuration pour les cartes réseau des instances ont été ajoutées :

• ipv4.address.external
• ipv6.address.external

Ces clefs peuvent être utilisées pour configurer quelle adresse IP une instance doit utiliser pour le trafic sortant initié par celle-ci. Il s’agit typiquement de l’adresse externe du réseau (par défaut) ou d’une adresse de forward qui pointe sur l’instance.

Documentation : https://linuxcontainers.org/incus/docs/main/reference/devices_nic/#nictype-ovn

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Possibilité de fixer l’adresse MAC de la gateway sur les réseaux OVN¶

OVN gère une table d’association entre les adresses IP et les adresses MAC (équivalente aux tables ARP et NDP). Cette table est peuplée la première fois qu’OVN a besoin d’interagir avec une adresse donnée.

Ce n’est pas toujours idéal, dans la mesure où les réseaux utilisant VRRP ou d’autres mécanismes de MAC virtuelles peuvent avoir besoin de préconfigurer une adresse MAC donnée pour la gateway, et enregistrer l’information dans OVN.

Deux nouvelles clefs de configuration rendent cela possible sur les uplinks OVN de type physical :

• ipv4.gateway.hwaddr
• ipv6.gateway.hwaddr

Documentation: https://linuxcontainers.org/incus/docs/main/reference/network_physical/

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Gestion de l’horloge dans les machines virtuelles¶

Incus définit désormais automatiquement l’option invtsc de QEMU sur les machines virtuelles qui n’ont pas pour vocation à être migrées.

De plus, Incus écoute à présent les événements RTC provenant de QEMU afin de rendre persistantes les horloges RTC des VM. Cela permet de mieux gérer les VM Windows ainsi que les autres VM qui n’utilisent pas d’horloge matérielle UTC.

Nouvelles commandes get-client-certificate et get-client-token¶

L’outil en ligne de commande possède deux nouvelles commandes, incus remote get-client-certificate et incus remote get-client-token, permettant de simplifier l’extraction des certificats clients et l’émission de JWT à partir d’un certificat client depuis des scripts externes.

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Support de DHCPv6 pour les conteneurs OCI¶

Le client DHCP intégré utilisé pour les conteneurs OCI est maintenant capable de faire du DHCPv6 stateful et stateless.

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Configuration des tables réseau de l’hôte pour les cartes réseau routées¶

Incus permettait de contrôler dans quelle table de routage injecter les routes pour les cartes réseau de type routed, mais cela manquait de flexibilité.

Désormais, nous avons de nouvelles clefs de configuration :

• ipv4.host_tables
• ipv6.host_tables

Celles-ci prennent une liste de tables, séparées par des virgules, dans lesquelles injecter les routes.

Documentation: https://linuxcontainers.org/incus/docs/main/reference/devices_nic/#nictype-routed

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Support de la publication d’images scindées¶

Jusqu’à présent, lancer incus publish générait des images unifiées, à savoir un seul fichier, souvent un tarball compressé, qui contenait à la fois le disque racine et la configuration Incus.

Désormais, nous supportons la génération d’images scindées, composées de deux fichiers, l’un pour les métadonnées Incus et l’autres pour les données du disque racine.

Dans l’outil en ligne de commande, il suffit de passer l’option --format=split à incus publish.

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Preseed de certificats¶

Les preseeds des serveurs Incus peuvent désormais inclure des certificats.

Par exemple :

certificates:
  - type: client
    name: my-client
    certificate: |-
      PEM ENCODED CERTIFICATE

Cette fonctionnalité est particulièrement utile lors du provisionnement automatique de systèmes comme Incus OS.

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Configuration du formattage des listes¶

Le fichier de configuration de l’outil en ligne de commande d’Incus (habituellement ~/.config/incus/config.yml) peut maintenant être utilisé pour définir un format d’affichage pour les listes.

Par exemple :

defaults:
  list_format: compact

Cet exemple est équivalent à passer --format=compact à toutes les commandes list.

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Ajout d’alias pour les commandes de création et de suppression¶

L’invite de commande Incus a été conçue de telle sorte que :

• Un objet portant un état a besoin d’être créé (create) et supprimé (delete)
• Un objet ou une relation sans état a besoin d’être ajouté (add) et enlevé (remove)

Cette distinction a été faite pour signaler le risque associé à chaque action, mais peut également donner une impression de manque de cohérence, rendant ainsi plus complexe la création de scripts autour d’Incus.

Pour résoudre ce problème, nous avons ajouté un certain nombre d’alias dans l’outil en ligne de commande afin de trouver plus rapidement la commande voulue.

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Conversion des appels SQL codés en dur vers notre générateur de code¶

La base de code d’Incus inclut un générateur de code pour les appels à la base de données.
Ce générateur est utile pour garantir la cohérence du comportement et éviter un certain nombre d’erreurs qui peuvent être commises en écrivant des requêtes à la main.

Bien qu’il soit de fait requis que toutes les nouvelles tables de la base utilisent le générateur, nous avons toujours un certain nombre d’objets qui ne l’utilisent pas.

Avec cette nouvelle version, nous avons terminé la migration des objets suivants :

• ACL réseau
• Load-balancers réseau
• Zones réseau

Bien que tous nos tests soient au vert, ce genre de refonte présente un certain risque d’introduction de régressions. Si vous notez le moindre changement de comportement avec ces objets dans Incus 6.13, merci d’ouvrir une issue pour que nous puissions investiguer.

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Filtrage côté serveur¶

Cette nouvelle version étend davantage les fonctionnalités de filtrage côté serveur.

Le filtrage est maintenant supporté pour :

• incus network list
• incus storage bucket list
• incus project list
• incus config trust list

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Documentation générée à partir du code¶

Nous avons également continué notre projet de génération automatique de documentation pour les clefs de configuration. Dans cette version, nous avons à présent de la documentation générée pour :

• Les périphériques PCI
• Les réseaux OVN
• Les réseaux physiques
• Les réseaux SR-IOV
• Les réseaux macvlan

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Intégration des métriques d’Incus OS dans l’API d’export des métriques Incus¶

Lorsqu’Incus est lancé depuis Incus OS, les métriques de l’hôte (extraites avec node-exporter) sont désormais automatiquement incluses dans l’API d’export de métriques d’Incus.

Ce choix a été fait car Incus OS essaie de limiter au maximum le nombre de ports ouverts, et d’imposer au trafic d’être authentifié et autorisé au travers d’une pile logicielle unique (Incus lui-même).

Avis pour les packagers¶

Nous n’utilisons plus la commande externe umoci et lui avons préféré le paquet Go équivalent.

Pour bénéficier du support du nouvel agent Windows, celui-ci doit également être compilé pour Windows, et rendu disponible à Incus en complément de l’agent Linux.

Liste complète des changements¶

Voici une liste complète de tous les changements apportés par cette version :

Documentation¶

La documentation d’Incus peut être consultée sur :
https://linuxcontainers.org/incus/docs/main/

Paquets¶

Incus ne fournit pas de paquet d’installation mais bien un tarball à chaque version. Vous trouverez ci-dessous différentes solutions pour mettre Incus en service.

Installation du serveur Incus sous Linux¶

Incus est disponible sur la plupart des distributions Linux courantes. Vous trouverez des instructions d’installation détaillées dans notre documentation.

https://linuxcontainers.org/incus/docs/main/installing/

Paquet Homebrew du client Incus¶

Le client Incus est disponible sur Homebrew pour Linux et macOS.

https://formulae.brew.sh/formula/incus

Paquet Chocolatey du client Incus¶

Le client Incus est disponible sur Chocolatey pour les utilisateurs de Windows.

https://community.chocolatey.org/packages/incus/6.13.0

Paquet Winget du client Incus¶

Le client Incus est aussi disponible sur Winget pour les utilisateurs de Windows.

https://winstall.app/apps/LinuxContainers.Incus

Support¶

Les versions de fonctionnalité d’Incus ne sont supportées que jusqu’à la sortie de la suivante. Les personnes souhaitant un support plus long et des changements moins fréquents devraient plutôt envisager d’utiliser Incus 6.0 LTS.

Le support communautaire est disponible sur : https://discuss.linuxcontainers.org
Un support commercial est disponible sur : https://zabbly.com/incus
Les bugs peuvent être signalés sur : https://github.com/lxc/incus/issues

Incus 6.12 est maintenant disponible¶

25 avr. 2025

Introduction¶

L’équipe d’Incus est heureuse d’annoncer la sortie d’Incus 6.12 !

Cette version apporte des améliorations attendues depuis longtemps, comme l’augmentation à chaud de la mémoire des machines virtuelles, la définition d’ensembles d’adresses pour simplifier l’écriture d’ACL réseau, un nouveau système de journalisation, et plus encore !

En plus de ces nouvelles fonctionnalités, cette version propose un certain nombre d’améliorations en matière de performances, en particulier pour les systèmes comportant beaucoup de snapshots, et encore davantage d’améliorations pour ZFS.

Comme d’habitude, vous pouvez l’essayer vous-même en ligne : https://linuxcontainers.org/incus/try-it/

Nouvelles fonctionnalités¶

Ensembles d’adresses réseau¶

Pour faciliter la gestion des ACL réseau complexes, Incus prend désormais en charge la définition d’ensembles d’adresses.

Tout comme les ACL, les ensembles d’adresses sont liés à chaque projet, et chaque ensemble peut contenir un certain nombre d’adresses IPv4 et IPv6. Les ensembles peuvent ensuite être utilisés dans les ACL comme source ou comme destination.

stgraber@dakara:~$ incus network address-set create cloudflare-dns
Network address set cloudflare-dns created
stgraber@dakara:~$ incus network address-set add cloudflare-dns 1.0.0.1
stgraber@dakara:~$ incus network address-set add cloudflare-dns 1.1.1.1
stgraber@dakara:~$ incus network address-set add cloudflare-dns 2606:4700:4700::1001
stgraber@dakara:~$ incus network address-set add cloudflare-dns 2606:4700:4700::1111

stgraber@dakara:~$ incus network acl create my-acl
Network ACL my-acl created
stgraber@dakara:~$ incus network acl rule add my-acl egress action=allow state=enabled
stgraber@dakara:~$ incus network acl rule add my-acl egress action=reject state=enabled destination='$cloudflare-dns'

stgraber@dakara:~$ incus config device override d13 eth0 security.acls=my-acl
Device eth0 overridden for d13

stgraber@dakara:~$ incus exec d13 -- ping linuxcontainers.org -c1 -W1
PING linuxcontainers.org (2602:fc62:a:1::7) 56 data bytes
64 bytes from rproxy.dcmtl.stgraber.org (2602:fc62:a:1::7): icmp_seq=1 ttl=59 time=8.60 ms

--- linuxcontainers.org ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 8.599/8.599/8.599/0.000 ms

stgraber@dakara:~$ incus exec d13 -- ping one.one.one.one -c1 -W1
PING one.one.one.one (2606:4700:4700::1111) 56 data bytes

--- one.one.one.one ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

Documentation : https://linuxcontainers.org/incus/docs/main/howto/network_address_sets/

Support du hotplug de mémoire dans les VM¶

L’un des rares points de divergence entre l’expérience utilisateur des conteneurs et des VM sous Incus était que la mémoire pouvait uniquement être réduite dans les VM, jamais augmentée.

C’est un problème désormais résolu : nous supportons à présent le hotplug de mémoire, de sorte que limits.memory puisse être augmenté à chaud, permettant aux VM d’utiliser immédiatement la RAM ajoutée.

stgraber@dakara:~$ incus launch images:debian/13 d13 --vm
Launching d13
stgraber@dakara:~$ incus exec d13 -- free -m
               total        used        free      shared  buff/cache   available
Mem:             879         238         662          19         102         640
Swap:              0           0           0
stgraber@dakara:~$ incus config set d13 limits.memory=4GiB
stgraber@dakara:~$ incus exec d13 -- free -m
               total        used        free      shared  buff/cache   available
Mem:            3951         351        3684          19         102        3600
Swap:              0           0           0

Refonte de la gestion des journaux et syslog distant¶

Jusqu’à présent, la journalisation d’Incus était limitée à deux options :

• Journalisation locale via syslog
• Journalisation distante via Loki (avec un seul endpoint)

Avec cette nouvelle version, nous avons mis en place mécanisme de journalisation bien plus flexible, permettant un nombre illimité de cibles de journalisation, via loki ou syslog, permettant de sélectionner quels événement inclure dans les journaux.

Exemple :

logging.loki01.target.type: loki
logging.loki01.target.address: https://loki01.int.example.net
logging.loki01.target.username: foo
logging.loki01.target.password: bar
logging.loki01.types: lifecycle,network-acl
logging.loki01.lifecycle.types: instance

logging.syslog01.target.type: syslog
logging.syslog01.target.address: syslog01.int.example.net
logging.syslog01.target.facility: security
logging.syslog01.types: logging
logging.syslog01.logging.level: warning

Cet exemple définit deux cibles pour les journaux, loki01 et syslog01. La première reçoit le trafic au travers d’un endpoint authentifié (reverse proxy), avec uniquement les événements liés au cycle de vie des instances et aux ACL réseau. La seconde reçoit via syslog les messages d’avertissement et de priorité supérieure.

Documentation : https://linuxcontainers.org/incus/docs/main/server_config/#server-options-logging

Support du SNAT pour les redirections réseau¶

Les redirections réseau peuvent être assez flexibles dans la manière dont les plages de ports sont autorisées.
Par exemple, vous pouvez rediriger les ports 80 et 443 externes vers une IP interne sur les ports 1234 et 2345 respectivement.

Cela fonctionne bien dans la plupart des cas, mais dans des situations spécifiques, comme les applications WebRTC utilisant des ports UDP, une partie du trafic sera initiée depuis l’instance plutôt que depuis un client externe. Dans ce scénario, le trafic sortant de l’instance depuis le port 2345 devrait apparaître à l’extérieur comme provenant de l’adresse externe sur le port 443.

La nouvelle propriété snat, qui peut être appliquée à une redirection donnée, permet de mettre en place un tel comportement. Elle définit une règle de SNAT pour le trafic provenant d’une instance.

La fonctionnalité est limitée aux redirections sur des bridges standards (OVN n’est pas supporté), et uniquement sur les systèmes utilisant nftables pour les règles de pare-feu.

Documentation: https://linuxcontainers.org/incus/docs/main/howto/network_forwards/#port-properties

Authentification via le paramètre access_token¶

Incus supporte deux mécanismes d’authentification :

• Via des certificats client TLS
• Via OpenID Connect (OIDC)

En ce qui concerne les certificats client TLS, la plupart des clients se servent directement du certificat utilisé dans la connexion TLS. Cependant, cela ne fonctionne pas toujours, soit parce que le client a du mal à le gérer (par exemple, un navigateur web), soit parce qu’un proxy terminant la connexion TLS est présent dans la chaîne.

Pour cette raison, nous supportons l’utilisation d’un jeton signé Bearer dérivé du certificat TLS, dans l’en-tête HTTP Authorization.

Dans cette nouvelle version, ce même jeton Bearer peut être passé dans le paramètre d’URL access_token plutôt que dans l’en-tête HTTP.

Cela permet à des clients web tels que l’API websocket de JavaScript de se connecter à des endpoints websocket authentifiés, lorsque ceux-ci ne prennent pas en charge l’utilisation d’en-têtes HTTP personnalisés.

Exemple :

stgraber@dakara:~$ curl -k -s https://127.0.0.1:8443/1.0 | jq -r .metadata.auth
untrusted
stgraber@dakara:~$ curl -k -s https://127.0.0.1:8443/1.0?access_token=eyJhbGciOiJFUzM4NCIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJhZjQ3MzRhYzY3YzAzMDYxY2Y1Yzg5Y2UxYTQ2NDAwYjc4MzQ2MWRiOGI3MjlkMDhjNDZhYjE5MmM3ZDc2NTMxIiwiZXhwIjoxNzQ1NTMxOTA4LCJuYmYiOjE3NDU1MzE4NDgsImlhdCI6MTc0NTUzMTg0OH0.WcsG48XQ41fNhLUlf-nqwAyJrZKpCrfM-W8mOSNpt7cwPH-QhKZkiBDa3sFWIVOdo15_cOZBeNy1QbJu6rCnYYQ18LpNJNkSKPkcwi65-yBo7U7ync5BQCuhsOgxAQap | jq -r .metadata.auth
trusted

Meilleur support du filtrage côté serveur dans la CLI¶

Nous avons récemment ajouté le support du filtrage côté serveur pour tous les objets dans l’API d’Incus. Pour continuer dans cette lancée, nous sommes en train petit à petit d’ajouter le support pour ce filtrage dans la CLI, permettant de réduire les accès à la base de données et le trafic réseau lorsque seuls certains éléments sont demandés.

Dans cette version, les objets suivants supportent à présent le filtrage côté serveur :

• Instances
• Images
• Volumes personnalisés
• Profils

Exemple :

stgraber@dakara:~$ incus profile list description=bar
+------+-------------+---------+
| NAME | DESCRIPTION | USED BY |
+------+-------------+---------+
| foo  | bar         | 0       |
+------+-------------+---------+

Ce travail a été en partie mené par des étudiants de l’Université du Texas à Austin.

Davantage de documentation automatiquement générée¶

Nous avons poursuivi nos efforts pour porter la plupart de nos tables de configuration afin qu’elles soient générées directement à partir du code, évitant ainsi tout risque d'oubli de clefs de configuration.

Dans cette version, la documentation de la configuration des objets suivants est désormais générée automatiquement :

• Bridges réseau
• Redirections réseau
• Périphériques TPM
• Périphériques proxy
• Périphériques GPU
• Interfaces réseau
• Périphériques Infiniband

Ce travail a été mené par des étudiants de l’Université du Texas à Austin.

Liste complète des changements¶

Voici une liste complète de tous les changements apportés par cette version :

Documentation¶

La documentation d’Incus peut être consultée sur :
https://linuxcontainers.org/incus/docs/main/

Paquets¶

Incus ne fournit pas de paquet d’installation mais bien un tarball à chaque version. Vous trouverez ci-dessous différentes solutions pour mettre Incus en service.

Installation du serveur Incus sous Linux¶

Incus est disponible sur la plupart des distributions Linux courantes. Vous trouverez des instructions d’installation détaillées dans notre documentation.

https://linuxcontainers.org/incus/docs/main/installing/

Paquet Homebrew du client Incus¶

Le client Incus est disponible sur Homebrew pour Linux et macOS.

https://formulae.brew.sh/formula/incus

Paquet Chocolatey du client Incus¶

Le client Incus est disponible sur Chocolatey pour les utilisateurs de Windows.

https://community.chocolatey.org/packages/incus/6.12.0

Paquet Winget du client Incus¶

Le client Incus est aussi disponible sur Winget pour les utilisateurs de Windows.

https://winstall.app/apps/LinuxContainers.Incus

Support¶

Les versions de fonctionnalité d’Incus ne sont supportées que jusqu’à la sortie de la suivante. Les personnes souhaitant un support plus long et des changements moins fréquents devraient plutôt envisager d’utiliser Incus 6.0 LTS.

Le support communautaire est disponible sur : https://discuss.linuxcontainers.org
Un support commercial est disponible sur : https://zabbly.com/incus
Les bugs peuvent être signalés sur : https://github.com/lxc/incus/issues

Incus 6.0.4 LTS est maintenant disponible¶

4 avr. 2025

Introduction¶

L’équipe d’Incus est heureuse d’annoncer la sortie d’Incus 6.0.4 !

Il s’agit de la quatrième version apportant des corrections de bugs pour Incus 6.0, dont le support est assuré jusqu’en juin 2029

Changements¶

Comme d’habitude, cette version se concentre sur la stabilité et le hardening.

Des améliorations mineures ont également été rétroportées, en particulier tout ce qui ne nécessite pas de migrations de données, de modifications dans la base de données, ou ne cause pas de changements inattendus dans le comportement observé par l’utilisateur.

Le nombre de ces améliorations pour la branche LTS est amené à diminuer avec le temps.

Les points marquants de cette version sont :

• ACL réseau par instance pour les réseaux de type bridge
• Scriptlets QEMU améliorés
• Dumps de mémoire pour les VM
• Informations supplémentaires sur l’état des réseaux OVN
• Amélioration du fichier de preseed du serveur
• Support de ACME DNS-01
• Support du provisionnement des VM via SMBIOS11
• Support de l’IOMMU pour les VM
• Support des VRF pour les cartes réseau routées
• Nouvelle plage d’adresses MAC
• Cartes réseau USB pour les VM
• Disques USB pour les VM
• Serveurs DNS configurables par réseau
• Routes IPv4 supplémentaires en DHCP

La liste complète des commits est présentée ci-dessous :

Avis pour les packagers : Incus utilise à présent l’outil externe lego pour la gestion du protocole ACME, plutôt que d’en intégrer la logique dans le binaire incusd. Veuillez prendre en compte cette dépendance si vous souhaitez préserver le support des certificats via ACME.

Support et mise à niveau¶

La branche Incus 6.0 est supportée jusqu’en juin 2029. Il est toujours fortement recommandé d’utiliser la dernière version de correction de bugs.

Téléchargements¶

• Tarball d’Incus : incus-6.0.4.tar.xz
• Signature GPG : incus-6.0.4.tar.xz.asc

Remerciements¶

Cette version LTS a été rendue possible grâce au financement du Sovereign Tech Fund (qui fait maintenant partie de la Sovereign Tech Agency).

Le Sovereign Tech Fund soutient le développement, l'amélioration et la maintenance des infrastructures numériques ouvertes. Son objectif est de renforcer durablement l'écosystème open source, en mettant l'accent sur la sécurité, la résilience, la diversité technologique et les personnes qui sont derrière le code.

Pour en savoir plus, consultez https://www.sovereign.tech

Incus 6.11 est maintenant disponible¶

28 mars 2025

Introduction¶

L’équipe d’Incus est heureuse d’annoncer la sortie d’Incus 6.11 !

La fonctionnalité phare de cette version est sans aucun doute la prise en charge initiale de LINSTOR comme nouveau driver de stockage pour les personnes cherchant une alternative à Ceph !
Mais c’est loin d’être la seule nouveauté de cette version, avec un grand nombre de fonctionnalités pour les VM, les conteneurs d’application, et le réseau.

Comme d’habitude, vous pouvez l’essayer vous-même en ligne : https://linuxcontainers.org/incus/try-it/

Nouvelles fonctionnalités¶

Driver de stockage LINSTOR¶

Incus supporte à présent LINSTOR comme alternative à Ceph pour le stockage en cluster.
Vous pouvez en apprendre plus sur LINSTOR sur leur site web : https://linbit.com/linstor/

En résumé, LINSTOR est une couche logicielle reposant sur DRBD, permettant la réplication de périphériques en mode bloc entre plusieurs serveurs.

Cela permet aux volumes en bloc d’être créés pour les conteneurs et les machines virtuelles, avec une copie primaire présente typiquement sur le serveur sur lequel l’instance tourne, et une copie répliquée présente sur un autre serveur du cluster.

Documentation du driver : https://linuxcontainers.org/incus/docs/main/reference/storage_linstor/
Guide d’utilisation : https://linuxcontainers.org/incus/docs/main/howto/storage_linstor_setup/
Documentation technique : https://linuxcontainers.org/incus/docs/main/reference/storage_linstor_internals/

Nouvelle plage d’adresses MAC¶

LXC et Incus utilisaient tous deux jusqu’à présent la plage d’adresses MAC 00:16:3e.

Cette plage était en réalité allouée au projet Xen et, bien qu’il n’y ait pas de risque de collision avec des adresses MAC de périphériques physiques, celle-ci ne permettait pas de distinguer facilement entre des instances LXC/Incus et des instances Xen.

Pour rendre cela plus propre, Zabbly a obtenu de l’IEEE une plage d’adresses MAC pour un usage par LXC et Incus, 10:66:6a.

La nouvelle plage sera automatiquement utilisée pour les instances et réseaux nouvellement créés.
Les instances et les réseaux existants restent inchangés.

Cartes réseau USB pour les VM¶

Une nouvelle clef de configuration, io.bus, a été ajoutée pour les interfaces réseau des VM.
Elle peut prendre deux valeurs : virtio (par défaut) et usb.

En définissant io.bus=usb, l’interface réseau apparaîtra comme un adaptateur réseau USB générique plutôt qu’un périphérique PCI.

Cela devrait permettre à certains anciens OS invités d’accéder au réseau, ainsi qu’aux plus récents de se connecter à Internet pour récupérer les drivers VirtIO avant de retourner sur le bus virtio par défaut.

Documentation : https://linuxcontainers.org/incus/docs/main/reference/devices_nic/

Disques USB pour les VM¶

Il est maintenant également possible d’attacher des disques aux VM via un bus USB.
Ce faisant, les disques apparaîtront comme des périphériques de stockage de masse USB.

Pour utiliser la fonctionnalité, il faut définir io.bus=usb sur le périphérique disque.

Documentation : https://linuxcontainers.org/incus/docs/main/reference/devices_disk/

Suivi des définitions des machines QEMU¶

Incus garde désormais en mémoire la définition des machines QEMU au démarrage des VM, permettant la migration à chaud entre plusieurs versions de QEMU dès lors que le service QEMU cible est au moins aussi récent que le service source.

Cela se fait par l’intermédiaire d’une nouvelle clef de configuration, volatile.vm.definition.

Configuration du point d’entrée pour les conteneurs OCI¶

Il est désormais possible de configurer le point d’entrée des conteneurs OCI.

À la création d’un conteneur OCI, le point d’entrée est extrait de la configuration OCI et est transformé en clefs de configuration du conteneur.

Les clefs de configuration sont les suivantes :

• oci.entrypoint
• oci.cwd
• oci.uid
• oci.gid

Celles-ci peuvent être modifiées à la création de l’instance, ou changées par la suite.

stgraber@castiana:~$ incus launch oci-docker:nginx nginx
Launching nginx
stgraber@castiana:~$ incus config show nginx | grep oci\\.
  oci.cwd: /
  oci.entrypoint: /docker-entrypoint.sh nginx -g 'daemon off;'
  oci.gid: "0"
  oci.uid: "0"

Documentation : https://linuxcontainers.org/incus/docs/main/reference/instance_options/

Accès à l’ICMP (ping) dans les conteneurs OCI pour les utilisateurs non privilégiés¶

Les conteneurs OCI peuvent désormais envoyer des paquets ICMP en tant qu’utilisateurs ordinaires.
Les conteneurs d’application étant conçus pour exécuter une seule application, il n’y a pas grand intérêt à restreindre les pings au seul utilisateur root.

Accès aux ports privilégiés dans les conteneurs OCI pour les utilisateurs non privilégiés¶

Les conteneurs OCI peuvent désormais utiliser les ports privilégiés en tant qu’utilisateurs ordinaires.
Les conteneurs d’épplication étant conçus pour exécuter une seule application, il n’y a pas grand intérêt à restreindre les ports privilégiés au seul utilisateur root.

Temps CPU alloué dans l’API de consultation de l’état des instances¶

Une nouvelle valeur allocated_time est exposée dans l’API permettant de consulter l’état des instances.
Elle donne combien de temps CPU (en nanosecondes) peut être utilisé par seconde par l’instance, au maximum de ses capacités allouées.

Cela permet de calculer un pourcentage d’utilisation CPU lorsque cette valeur est combinée avec plusieurs mesures de l'utilisation CPU sur une période de temps donnée.

stgraber@castiana:~$ incus query /1.0/instances/nginx/state | jq .cpu
{
  "allocated_time": 1000000000,
  "usage": 163062000
}

Configuration des serveurs DNS¶

Une nouvelle option de configuration, dns.nameservers, est désormais disponibles pour les réseaux bridge et ovn.

Cela peut être utile lorsqu’un ensemble de résolveurs DNS dédiés doivent être utilisés par l’intégralité des instances, ou dans des environnements dans lesquels certains réseaux doivent ignorer la résolution locale pour utiliser des résolveurs publics.

Documentation (bridge) : https://linuxcontainers.org/incus/docs/main/reference/network_bridge/
Documentation (OVN) : https://linuxcontainers.org/incus/docs/main/reference/network_ovn/

Routes IPv4 supplémentaires en DHCP¶

Une nouvelle option de configuration, ipv4.dhcp.routes, est désormais disponible sur les réseaux bridge et ovn. Elle permet d’annoncer des routes supplémentaires en DHCP.

Documentation (bridge) : https://linuxcontainers.org/incus/docs/main/reference/network_bridge/
Documentation (OVN) : https://linuxcontainers.org/incus/docs/main/reference/network_ovn/

Configuration de l’expiration des baux DHCP en IPv4 pour OVN¶

L’option de configuration ipv4.dhcp.expiry est à présent aussi disponible pour les réseaux OVN.
Elle permet de réduire ou d’étendre la durée par défaut des baux DHCP.

Documentation : https://linuxcontainers.org/incus/docs/main/reference/network_ovn/

Extension de l’état des réseaux pour inclure le nom du switch local OVN¶

Le nom du switch local OVN fait désormais partie des informations réseau OVN.
Cela simplifie le débogage, en particulier pour des réseaux isolés (sans uplink) ou qui n’ont pas de routeur logique.

root@server01:~# incus network info default
Name: default
MAC address: 00:16:3e:54:62:a9
MTU: 1500
State: up
Type: broadcast

IP addresses:
  inet  10.104.61.1/24 (link)
  inet6 fd42:73ae:9013:c530::1/64 (link)

OVN:
  Chassis: server01
  Logical router: incus-net20-lr
  Logical switch: incus-net20-ls-int
  IPv4 uplink address: 172.31.254.10
  IPv6 uplink address: fd00:1e4d:637d:1234:216:3eff:fe54:62a9

Avis pour les packagers¶

Dans cette version, Incus utilise l’outil externe lego pour la gestion du protocole ACME.
Cela a pour effet de réduire significativement la taille du binaire d’Incus, mais l’outil lego devient donc une dépendance qu’il s’agirait de déclarer comme telle.

Liste complète des changements¶

Voici une liste complète de tous les changements apportés par cette version :

Documentation¶

La documentation d’Incus peut être consultée sur :
https://linuxcontainers.org/incus/docs/main/

Paquets¶

Incus ne fournit pas de paquet d’installation mais bien un tarball à chaque version. Vous trouverez ci-dessous différentes solutions pour mettre Incus en service.

Installation du serveur Incus sous Linux¶

Incus est disponible sur la plupart des distributions Linux courantes. Vous trouverez des instructions d’installation détaillées dans notre documentation.

https://linuxcontainers.org/incus/docs/main/installing/

Paquet Homebrew du client Incus¶

Le client Incus est disponible sur Homebrew pour Linux et macOS.

https://formulae.brew.sh/formula/incus

Paquet Chocolatey du client Incus¶

Le client Incus est disponible sur Chocolatey pour les utilisateurs de Windows.

https://community.chocolatey.org/packages/incus/6.11.0

Paquet Winget du client Incus¶

Le client Incus est aussi disponible sur Winget pour les utilisateurs de Windows.

https://winstall.app/apps/LinuxContainers.Incus

Support¶

Les versions de fonctionnalité d’Incus ne sont supportées que jusqu’à la sortie de la suivante. Les personnes souhaitant un support plus long et des changements moins fréquents devraient plutôt envisager d’utiliser Incus 6.0 LTS.

Le support communautaire est disponible sur : https://discuss.linuxcontainers.org
Un support commercial est disponible sur : https://zabbly.com/incus
Les bugs peuvent être signalés sur : https://github.com/lxc/incus/issues

Anciennes nouvelles¶

• 28 févr. 2025
• 24 janv. 2025
• 19 déc. 2024
• 13 déc. 2024
• 15 nov. 2024
• 3 oct. 2024
• 17 sept. 2024
• 6 sept. 2024
• 9 août 2024
• 12 juil. 2024
• 28 juin 2024
• 31 mai 2024
• 7 mai 2024
• 4 avr. 2024
• 26 mars 2024
• 23 févr. 2024
• 29 janv. 2024
• 26 janv. 2024
• 21 déc. 2023
• 27 nov. 2023
• 28 oct. 2023
• 7 oct. 2023