25 votos

La actualización de la producción de Ubuntu cuadros de los dos y don'ts

Cada tanto entro a la web de producción/db/cajas de herramientas y ver el típico mensaje de:

30 paquetes puede ser actualizado. 16 actualizaciones las actualizaciones de seguridad.

Mi pregunta es, ¿cómo hacer que todos manejan las actualizaciones en su producción Ubuntu cajas? ¿Automatizar estas actualizaciones? Se establece el tiempo de inactividad para ellos? El problema es que nunca se sabe cuando una actualización se va a romper algo, como tal vez un archivo de configuración existente, etc.

La otra parte de este problema es, mantenerse al día con los parches es 'bueno', pero los parches son liberados casi a diario. Cuántos cortes programados hace que uno tiene que hacer si hay un nuevo parche de seguridad disponible todos los días?

Creo que un hilo de respuestas en cuanto a cómo administrar tus actualizaciones, sería muy útil.

14voto

James Puntos 5362

Nuestro Ubuntu máquinas están ejecutando versiones LTS.

Acabamos de instalar automáticamente todas las actualizaciones - seguro que no es la "mejor práctica", pero estamos en una relativamente pequeña y no tiene una prueba de/dev/entorno de producción para cada uno de los servicios. La LTS actualizaciones son en general bastante bien probado y mínimamente invasiva de todos modos.

Actualizando a una nueva versión es, obviamente, un poco más complicado.

6voto

Pablo Venturino Puntos 1660

Cosas que Hacer:

  1. Tome una Copia de seguridad
  2. Asegúrese de que es una copia de seguridad recuperables (aunque, estos dos son los puntos generales)
  3. Trate de dirigir el tráfico de distancia desde el cuadro de producción durante la actualización.
  4. Trate de tener un fuera-de-banda el método de acceso en caso de que todo va mal, KVM, de serie de la consola, el acceso Local o remoto-manos.
  5. Prueba en un servidor, a continuación, asegúrese de que todo funciona, antes de la implementación de actualizaciones en los servidores de
  6. El uso de títeres si usted se puede asegurar que los números de versión son los mismos a través de múltiples servidores. (También se puede utilizar para forzar actualizaciones)
  7. En un servidor de prueba, diff las versiones de los archivos de configuración en contra de la nueva (actualización instalada), y asegurarse de que nada va a romper cosas en serio. Me parece recordar dpkg preguntar antes de instalar las nuevas versiones que difieren de las actualmente instaladas.

Cosas a evitar:

  1. Haciendo actualizaciones en la mitad del día, o las 09:00 de la mañana del lunes, o 5 de la tarde un viernes por la tarde! (gracias @3influence!)
  2. Actualizar MySQL muy grandes servidores de base de datos (reinicio podría tomar un largo tiempo)
  3. Haciendo todos sus servidores a la vez (especialmente granos)
  4. Hacer cualquier cosa que podría cambiar en /etc/networks (porque podría perder la conectividad)
  5. Actualizaciones automáticas que podrían hacer los de arriba sin que usted esté allí para comprobar que todo está bien.

4voto

Zypher Puntos 26466

No hay nada especial acerca de la aplicación de parches de Ubuntu vs Windows, RHEL, CentOS, SuSE, debian, etc.

El estado básico de la mente que usted necesita para diseñar el procedimiento de revisión es la de asumir que algo va a romper.

Algunas de las pautas básicas que tienden a usar a la hora de diseñar un parche de instalación son:

  • Utilice siempre un sistema local para centralizar internamente a la red en la que los parches se instalan desde

Esto puede incluir el uso de WSUS, o espejos de <your_os_here> a un interno de la gestión de parches de la máquina. Preferible uno que puede centralizada de la consulta y le permiten conocer el estado de los parches instalados en sus máquinas individuales.

  • Etapa previa de las instalaciones - cuando sea posible - en las máquinas.

Cuando es posible, como los parches de salir tiene el servidor central de copia de ellos a las máquinas individuales. Esto es realmente sólo un ahorro de tiempo de modo que usted no tiene que esperar a descargar E instalar, sólo tienes que saque de la instalación durante su revisión de la ventana.

  • Obtener un corte de luz de la ventana para instalar los parches, puede que tenga que reiniciar, y probablemente algo se va a romper. Asegúrese de que la apuesta de los titulares de esos sistemas son conscientes de que hay parches que se implementa. Estar preparado para el "este" no es un trabajo que exige.

De acuerdo con mi teoría básica de que los parches de romper cosas, asegúrese de que usted tiene una ventana de interrupción para aplicar los parches tiempo suficiente para solucionar los problemas críticos, y posiblemente el rollo de la revisión de la espalda. No necissarally necesidad de tener a la gente allí sentado la prueba después de los parches. Personalmente creo que se basan en gran medida en mi supervisión de los sistemas de hacerme saber que todo está funcionando en el nivel mínimo que podemos hacer. Pero también ha de estar preparado para la persistente poco de los temas a ser llamada como la gente ir al trabajo. Se debe tener siempre a alguien programado para estar listos a contestar el teléfono - preferible no el chico que estaba hasta las 3 de la madrugada la revisión de los cuadros.

  • automatizar tanto como sea posible

Como todo lo demás en ELLA, la secuencia de comandos de secuencia de comandos de secuencia de comandos, a continuación, algunos más. Secuencia de comandos de la descarga de paquetes, el inicio de la instalación, el espejo. Básicamente, usted desea activar el parche de windows en un bebé sentado asignación que sólo necesita un ser humano que hay en el caso de que las cosas se rompen.

  • Tener múltiples ventanas de cada mes

Esto le da la capacidad de no arreglar algunos servidores si por cualquier razón que no puede ser parcheado en "el designado por la noche". Si usted no puede hacer en noche 1, requieren estar libres de la noche en 2. También le permite mantener el número de servidores parcheado al mismo tiempo sane.

Lo que es más importante mantenerse actualizado con los parches! Si usted no encontrará su auto para no hacer muy grande 10+ horas el parche de windows para volver al punto en el que están atrapados. Introduciendo aún más los puntos donde las cosas podrían salir mal, y hacer de encontrar el parche causado y problema mucho más difícil.


La otra parte de este problema es, mantenerse al día con los parches es 'bueno', pero los parches son liberados casi a diario. Cuántos cortes programados hace que uno tiene que hacer si hay un nuevo parche de seguridad disponible todos los días?

El remiendo de un servidor una vez al mes o una vez cada dos meses es - en mi humilde opinión - muy asequibles, aceptables y objetivo. Más que eso, y así vas a estar constantemente parches servidores, mucho menos y empiezas a meterte en situaciones donde usted tiene cientos de parches, que deben ser aplicados por servidor.

En cuanto a cuántos de windows que necesita de un mes? Que depende de su entorno. ¿Cuántos servidores tienen? Lo que se necesita tiempo para su corta?

Entornos más pequeños que son 9x5 probablemente puede conseguir lejos con un parche de la ventana de un mes. Gran 24x7 tiendas necesitan dos. Muy grande 24x7x365 puede necesitar una ventana con movimiento de cada semana para tener un conjunto diferente de los servidores parcheado cada semana.

Encontrar una frecuencia que funciona para usted y su entorno.

Una cosa a tener en cuenta es que el 100% hasta la fecha es un imposible meta a alcanzar - no deje que su departamento de seguridad te diga lo contrario. Haz tu mejor esfuerzo, no se atrase demasiado.

4voto

mpez0 Puntos 1237

Otro punto que vale la pena hacer: Si estás acostumbrado a Windows, usted se sorprenderá de que la mayoría de los Linux actualizaciones no requieren de tiempo de inactividad o reiniciar. Algunos, tales como actualizaciones del kernel. Pero las actualizaciones que requieren reiniciar o el tiempo de inactividad son generalmente marcan como tales, y puede ser manejado en un programa separado.

0voto

gbjbaanb Puntos 3338

Una cosa que me gustaría recomendar es el manejo de reversiones de paquetes. Ver http://serverfault.com/questions/21436/transactions-and-rollback-with-debian por una sugerencia de cómo hacerlo, como a veces se necesita una solución rápida para una actualización que se rompe algo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: