To se nikdo nepidi, proc se mu zvedly naklady na udrzbu stroju a co by se s tim dalo delat?
A co by s tím tedy měli dělat, když opravují zveřejněné zranitelnosti a aktulizace zveřejňují podle závažnosti?
Počítám, že tak trochu nemůžou dopředu vědět, co se objeví (hele Fando, už jich máme letos moc, počkej do listopadu, ať dorovnáme průměr).
Bylo by to podle vás lepší sdružovat do měsíčních kumulativních aktualizací jako třeba MS nebo Apple (pokud se nejedná o nějaký megaprůšvih)?
Navíc ty delší intervaly si můžete naordinovat tak trochu sám. Pročíst si info ke konkrétním RHSA, zvážit jak je to pro vás akutní, a případně jet podle nějakého pevného schématu (např. každá druhá sobota v měsíci).
Automatické aktualizace (např. přes dnf-automatic) fungují dobře na balíčky s aplikacemi, pokud tam můžete udělat nějaké přirozené okno (noc, víkend) a nejdede to 24/7 bez clusteru.
U balíčků s jádrem to jde použít taky, nainstaluje se to bokem, akorát pak musíte najít vhodný okamžik na restart.
Na zjištění, jestli potřebujete restart, nebo ne, pak po aktualizaci stačí zavolat dnf needs-restarting. Je tam exit-code 0, pokud to není potřeba, takže se to dá zapracovat do skriptu, co vás třeba nějak notifikuje. Když použijete totéž s parametrem -r, tak vám to vypíše lidsky do standardního výstupu včetně balíčků, co to potřebují (jádro, libc).
Restarty samotné se dají docela hodně zrychlit např. s použitím kexec, kdy se jen natáhne poslední jádro, bez toho, aby server musel probíhat celým postem, čekal na firmwary, BMC atp. Má to nějaké limity, ale obecně to dokáže zkrátit downtime z několika minut třeba na desítky sekund u fyzických serverů.
Jinak samozřejmě na RHEL s předplatným by měl fungovat kpatch na ty kritické záplaty v jádře i bez restartu, ale zas to může mít podle situace určitá omezení, je potřeba to pořádně ozkoušet (což se samozřejmě dá i třeba s virtuály a jejich developerskou licencí).
Oracle Linux s jejich Ksplice je pak obdobné, ale je to součástí jen toho dražšího předplatného.
17 Odpovědí
36938 Zhlédnutí