A equipe do projeto Incus, gerenciador moderno de containers do sistema, containers de aplicação e máquinas virtuais, anunciou oficialmente o lançamento da versão 7.0 LTS — a segunda versão de Long Term Support da ferramenta. O novo ciclo de suporte terá duração de cinco anos, com manutenção ativa nos primeiros dois anos e atualizações exclusivamente de segurança nos três anos seguintes — até junho de 2031.

O Incus é um projeto de código aberto sob licença Apache 2.0, mantido pela comunidade dentro da organização Linux Containers. Ele oferece ambiente semelhante ao de nuvem pública, com suporte nativo a imagens pré-construídas, registros OCI (como Docker Hub), clusterização distribuída, APIs REST completas e integrações com ferramentas como Ansible, Terraform/OpenTofu, Kubernetes Cluster API, entre outras.

Segurança reforçada com auditoria independente

A versão 7.0 LTS inclui correções para nove vulnerabilidades de segurança, identificadas durante uma auditoria realizada pela empresa especializada 7asecurity.com. Entre elas:

CVE-2026-35527 (Moderada)
CVE-2026-40195 (Moderada)
CVE-2026-40197 (Moderada)
CVE-2026-40251 (Moderada)
CVE-2026-41647 (Moderada)
CVE-2026-41684 (Moderada)
CVE-2026-41685 (Moderada)
CVE-2026-40243 (Baixa)
CVE-2026-41648 (Baixa)

Essas correções reforçam a confiabilidade do Incus em ambientes produtivos críticos — especialmente em infraestruturas de nuvem privada, edge computing e plataformas de CI/CD.

Mudanças significativas e requisitos atualizados

Como é padrão em novas versões principais, o Incus 7.0 traz mudanças incompatíveis (breaking changes) que exigem atenção na atualização. Os requisitos mínimos de sistema foram elevados para garantir estabilidade, desempenho e suporte a recursos avançados:

Go 1.25
Kernel Linux 6.12
QEMU 8.2
LXC 6.0.0
nftables 1.0.0
dnsmasq 2.90
Open vSwitch 2.15.0 (para uso com OVS ou OVN)
OVN 23.03.0 (quando OVN está habilitado)
ZFS 2.1.0 (para pools ZFS)
LVM 2.03.11 (para pools LVM)

Além disso, foram removidos suportes legados:

CGroupV1 (apenas CGroupV2 é suportado)
xtables (iptables, ip6tables, ebtables) — migração obrigatória para nftables

O cliente de linha de comando incus também foi revisado profundamente: sua lógica de parsing foi simplificada, casos especiais foram eliminados e o comportamento dos comandos agora é mais consistente e previsível.

Novidades técnicas e aprimoramentos

✅ Armazenamento S3 nativo (sem MinIO)

O Incus substituiu o MinIO — que deixou de ser mantido — por um serviço S3 embutido, implementado diretamente no código-fonte. Isso elimina dependências externas e reduz complexidade operacional.

Durante a primeira acessibilidade após atualização, os buckets antigos são migrados automaticamente do formato em disco do MinIO para um novo esquema baseado em arquivos simples + metadados separados. A migração é transparente para clientes S3 — apenas um pequeno atraso inicial pode ocorrer.

# Exemplo de uso (API inalterada)
aws s3 ls s3://meu-bucket --endpoint-url https://incus.example.com:8443

✅ Backup incremental via NBD e bitmaps

Uma das maiores inovações da versão 7.0 é a exposição de uma API NBD (Network Block Device) integrada à API REST do Incus. Combinada com controle de dirty bitmaps, essa funcionalidade permite backups eficientes de máquinas virtuais — inclusive incrementais — usando softwares tradicionais como BorgBackup, Restic, Veeam ou Zmanda.

O cliente incus pode configurar um listener NBD local com um único comando:

incus storage volume nbd default virtual-machine/v1 --address=127.0.0.1:1234
NBD listening on 127.0.0.1:1234

Assim, qualquer cliente NBD pode se conectar ao endereço local e realizar leitura/escrita direta no disco da VM.

✅ Restrição de acesso a storage pools por projeto

Agora é possível limitar quais storage pools um projeto pode usar, através da nova configuração restricted.storage-pools.access. Ao invés de uma abordagem de "negar tudo menos X", esse recurso adota uma política de allow-list, aumentando a segurança e a governança em ambientes multi-projeto.

incus project set meu-projeto restricted.storage-pools.access="default,backup"

Documentação completa: Project configuration - Incus documentation

✅ Scriptlets de posicionamento em rebalanceamento de cluster

Com o cluster rebalance ativado, o Incus agora chama o scriptlet de posicionamento de instâncias com um contexto específico: rebalance. Isso permite que administradores personalizem decisões de migração com base na carga atual dos nós — os servidores candidatos são ordenados de menos para mais carregados, facilitando estratégias de otimização de recursos.

Documentação: About clustering - Incus documentation

✅ Comandos `incus file` alinhados ao `cp`

Os comandos incus file push e incus file pull agora seguem o comportamento e as opções do utilitário cp, incluindo:

-p, --create-dirs: cria diretórios necessários
-L, --dereference: segue symlinks no caminho de origem
-H, --follow: segue symlinks passados na linha de comando
-P, --no-dereference: nunca segue symlinks
-r, --recursive: transferência recursiva

Isso torna a experiência mais intuitiva para usuários experientes em Linux e reduz erros comuns em automações.

✅ Flag `--reuse` em `incus image copy`

Ao copiar imagens com incus image copy, a nova flag --reuse — usada junto com --copy-aliases — faz com que a imagem recém-copiada assuma automaticamente os aliases já existentes, evitando conflitos ou necessidade de reconfiguração manual.

Recursos consolidados desde o Incus 6.x

Embora o foco esteja na versão 7.0, diversas funcionalidades introduzidas nas versões 6.x já estão disponíveis e aprimoradas:

🔹 Suporte nativo a imagens OCI

Desde a versão 6.3, é possível lançar containers de aplicação diretamente de registries OCI — como Docker Hub — com todas as configurações avançadas do Incus aplicáveis (limites de recursos, seccomp, apparmor, etc.):

incus remote add docker https://docker.io --protocol=oci
incus launch docker:mysql mysql -c environment.MYSQL_DATABASE=wordpress

🔹 Volumes dependentes

Introduzidos na 6.23, volumes personalizados podem agora estar vinculados diretamente a uma instância — sendo automaticamente incluídos em snapshots, migrações, backups e exclusões em cascata:

incus storage volume create default c1-extra dependent=true
incus config device add c1 extra disk pool=default source=c1-extra dependent=true path=/extra

🔹 Conjuntos de endereços de rede (address sets)

Disponíveis desde a 6.12, permitem agrupar IPs (IPv4 e IPv6) em listas nomeadas, simplificando ACLs de rede:

incus network address-set create cloudflare-dns
incus network address-set add cloudflare-dns 1.1.1.1
incus network address-set add cloudflare-dns 2606:4700:4700::1111
incus network acl rule add my-acl egress destination='$cloudflare-dns'

Documentação: How to use network address sets

🔹 Drivers de armazenamento avançados

LINSTOR: driver baseado em DRBD para replicação eficiente de blocos entre nós (documentação).
TrueNAS: integração com servidores TrueNAS via API + iSCSI, permitindo pools remotos com alta disponibilidade (documentação).
Ceph, clustered LVM, ZFS e outros continuam plenamente suportados.

🔹 Definição de baseline de CPU em grupos de cluster

Desde a 6.4, é possível definir perfis de CPU por grupo de cluster, garantindo compatibilidade em ambientes heterogêneos e viabilizando migrações live entre servidores com diferentes gerações de processadores.

Próximos passos e compatibilidade

O Incus 6.0 LTS entra agora na fase de manutenção de segurança apenas, com suporte total encerrado em junho de 2026. Usuários ainda em versões anteriores devem planejar a atualização para a 7.0 LTS — especialmente aqueles que utilizam recursos como OCI, dependent volumes, ou drivers de armazenamento avançados.

Para testar imediatamente, a equipe disponibiliza um ambiente online gratuito: Linux Containers - Incus - Try it online.

A versão 7.0 LTS marca um marco importante na maturidade do Incus como alternativa robusta, segura e escalável ao LXD — com ênfase em arquiteturas modernas de nuvem, edge e aplicações contêinerizadas.