Mengelola peningkatan pada ratusan server Debian

20

Menurut Anda apa praktik terbaik untuk mempertahankan lusinan (jika bukan ratusan) server debian terkini? Ingatlah bahwa:

  • Ada kelompok server (yaitu server web identik, Server DB, ...)
  • Mungkin ada beberapa masalah Debian (lenny, etch)
  • Menjalankan perulangan di semua server dan melakukan pembaruan apt-get && peningkatan tidak dapat diterima (karena itulah yang saya lakukan saat ini :)) Seharusnya lebih baik dari ini!

Saat ini, ketika saya akhirnya menyelesaikan semua pembaruan, pembaruan keamanan baru diposting, dan saya harus mengulanginya lagi.

Terima kasih sebelumnya komunitas serverfault!

linux debian apt Falken
sumber
1
Memiliki satu server lokal untuk menyimpan paket-paket terbaru dan menggunakannya sebagai repositori yang tepat, ini akan menghemat bandwidth dan waktu Anda, gunakan repositori lokal Anda untuk mendistribusikan pembaruan ke server lokal. Oh, dan gunakan aptitude daripada apt-get.
Karolis T.
3
Ya untuk cermin dan tidak untuk bakat. Tidak ada manfaatnya hari ini. Bahkan tidak memiliki kekuatan sapi super.
David Pashley

Jawaban:

12

Saya menggunakan apt-dater untuk mengelola peningkatan semua kotak Debian saya. Tampaknya melakukan trik dengan cukup baik. Belum mencoba untuk meningkatkannya hingga ratusan host.

Haakon
sumber
1
Produk yang menarik, meskipun saya belum pernah mendengarnya.
wzzrd
Ini sangat bagus ! Saya akan mempromosikan jawaban ini jika apt-dater tidak memiliki paket lokal untuk diinstal pada setiap host ... dan saya tidak mengerti mengapa itu bahkan diperlukan.
Falken
Setelah pengujian, alat ini luar biasa! Tapi itu berfungsi untuk puluhan server, bukan ratusan. Saat menangani banyak mesin, semua menjadi serpihan dan lambat ... terlalu buruk.
Falken
1
Saya mempromosikan jawaban ini karena saya akhirnya berhasil menggunakannya, tetapi solusi lain juga cukup bagus, tergantung pada preferensi / lingkungan Anda!
Falken
2
Itu adalah agen ssh default di ubuntu yang membuat semuanya salah. Saya cukup menghapusnya dan menggunakan "ssh-add" yang mudah. Semua kelambatan menghilang!
Falken
3

Kami mencoba menggunakan boneka untuk meningkatkan perbaikan keamanan pada paket yang tidak penting. Kami akan menjalankan apticron ke email daftar pembaruan untuk setiap server, kemudian setiap hari menjalankan skrip yang menggabungkan pembaruan ini menjadi file manifes boneka yang memberikan paket dan versi untuk setiap distribusi. Ini kemudian akan memperbarui banyak file di masing-masing server dan memulai skrip upgrade ketika sebuah paket perlu ditingkatkan. Ini bekerja dengan baik, tetapi kami belum mengujinya sebanyak yang saya inginkan. Skema ini berhasil mengatasi keterbatasan Wayang tidak memiliki sumber daya yang sama didefinisikan di banyak tempat.

Saya juga merasa tidak nyaman dengan melakukan pembaruan otomatis hal-hal seperti MySQL atau PostgreSQL, di mana pembaruan acak akan mematikan layanan, mungkin di tengah hari. Ini masih membutuhkan pembaruan manual.

Spacewalk dan Debmarshall memang terlihat seperti alternatif yang cocok untuk skema boneka kami.

David Pashley
sumber
Tidak ada komentar atas jawabannya, hanya teriakan "happy 10K day" yang terlambat.
Evan Anderson
1

Rupanya, Spacewalk sekarang memiliki dukungan awal untuk Debian. Itu, bersama-sama, mungkin, dengan Wayang, akan menjadi titik awal saya. Saya cukup yakin orang yang mengembangkan dukungan Debian untuk Spacewalk akan menyukai Anda karena bekerja dengannya dalam membawa dukungan Debian ke tingkat yang lebih tinggi.

wzzrd
sumber
1

Di jalan sistem konfigurasi berbasis tarik seperti Wayang, ada juga bcfg2 dan cfengine. Satu atau yang lainnya mungkin cocok dengan kebutuhan Anda. Saya meluncurkan bcfg2 di lab saya sekarang.

Phil Miller
sumber
1

Sebuah solusi dapat diberikan oleh func

drAlberT
sumber
Saya tidak akan melakukan func. Ini cara yang belum matang untuk penggunaan produksi, meskipun saya akui itu memang menjanjikan.
wzzrd
func digunakan oleh tukang sepatu, itu bukan IMHO belum matang. tukang sepatu sangat banyak digunakan oleh spesialis Kesehatan Reproduksi dan teknologi tersebut akan dimasukkan dalam rilis RHEL berikutnya. Ini mungkin bukan produksi yang "resmi", mungkin, tetapi sebenarnya sudah dekat.
drAlberT
0

Saya tidak yakin jenis solusi apa yang Anda harapkan. Anda mungkin tahu tentang pekerjaan cron, tetapi saya tidak akan memperbarui sistem di blind karena ada intervensi manusia yang diperlukan (dan itulah sebabnya mereka membayar Anda untuk melakukan ini, kan?)

Jika Anda memiliki sistem yang benar-benar identik, Anda mungkin mempertimbangkan untuk menggunakan sesuatu seperti rsync untuk membawa perbedaan, tetapi mencari tahu file mana yang tidak ke rsync bisa sulit, dan saya tidak akan melakukan ini ketika layanan sedang berjalan. Setidaknya skrip pembaruan diatur untuk mengelola memulai kembali layanan dan menggabungkan perbedaan file konfigurasi.

Mungkin jika Anda menjelaskan apa masalahnya dengan melakukan perintah apt-get, kita bisa melihat apa yang ingin Anda hindari.

Jika masalahnya adalah bandwidth dan waktu untuk mengunduh, mungkin Anda harus menyiapkan satu kotak untuk bertindak sebagai repositori Debian lokal Anda. Ada panduan Debian tentang cara melakukan itu.

Berikut adalah beberapa tips tentang cara meminimalkan jumlah hal yang perlu Anda perbarui.

Ketika Anda menginstal Debian, jangan menginstal Desktop kecuali Anda benar-benar perlu menggunakan X pada konsol itu. Sebagian besar server tidak perlu X diinstal. Ini dapat mengurangi jumlah paket pada sistem secara signifikan, dan kemudian Anda tidak perlu memperbarui banyak paket.

Periksa apakah sources.list hanya menyertakan repositori yang benar-benar Anda butuhkan. Jika Anda telah bereksperimen dengan beberapa repositori dan lupa tentang itu, Anda mungkin membawa pembaruan yang tidak Anda butuhkan atau inginkan.

Jika Anda mengalami masalah dengan melakukan pembaruan secara membabi buta pada server produksi, berhati-hatilah untuk berkonsultasi dengan panduan peningkatan Debian ketika ada pembaruan besar (4.0 hingga 5.0). Ini akan berjalan dengan sangat baik jika Anda mengikuti instruksi upgrade. Tidak semudah menjalankan apt-get dist-upgrade dan berjalan pergi. Kadang-kadang dalam instruksi bahkan ada petunjuk tentang kapan harus menjalankan aptitude daripada apt-get - ada perbedaan kecil di dalamnya.

labradort
sumber
0

Apakah Anda sekarang alat ini "shell penari"? Saya menyukainya dan saya menggunakannya. Tetapi saya tidak tahu apakah Anda dapat menggunakannya untuk banyak host. Mungkin Anda bisa mencoba ...

http://www.netfort.gr.jp/~dancer/software/dsh.html.en

Dan dia ada di dalam repositori.

Matthieu
sumber
-1

ClusterSSH. Anda masuk ke semua server dan memberi mereka perintah yang sama persis, sehingga Anda juga dapat bereaksi terhadap dialog. Jika satu server mendapat pertanyaan tambahan, klik saja yang itu dan itu akan menjadi satu-satunya yang merespons.

Saya telah menggunakannya untuk memutakhirkan 25 server web dari etch ke lenny. Bekerja seperti pesona.

http://sourceforge.net/projects/clusterssh/

blauwblaatje
sumber
Agen SSH benar-benar mati jika Anda mencoba dan melakukan hal-hal aneh seperti menghubungkan ke ~ 50 mesin sekaligus. Kalau tidak, saya suka ClusterSSH, meskipun perlu tingkat pengelompokan lain.
LapTop006
-1

Cluster ssh adalah saran yang bagus.

debmarshal belum menjadi bagian dari debian - Saya bahkan tidak yakin ini akan menjadi paket - sepertinya sistem yang sama sekali berbeda dengan repositori khusus. Seperti yang dikatakan pembicara, ini saat ini memusuhi pengguna, tidak ramah pengguna.

Spacewalk tampaknya merupakan tiruan dari Redhat Network, setidaknya di antarmuka web. Saya mendapat hasil buruk dari menggunakan Redhat Network untuk memperbarui sistem. Suatu kali itu menggantung, tanpa alasan yang jelas, dan menyebabkan pemadaman layanan. Saya melakukan pembaruan yum segera setelah itu dan menangani itu baik-baik saja, jadi saya hanya bisa berasumsi masalahnya adalah dari sesuatu yang muntah di sisi RHN. Hal lain yang saya tidak suka tentang pembaruan RHN adalah Anda tidak tahu kapan pembaruan akan terjadi, untuk melihat masalah.

labradort
sumber
-1 Tidak Benar: Pembaruan RHN tidak otomatis kecuali Anda membuatnya otomatis. Terlepas dari itu: sebagai seseorang yang menggunakan RHN setiap hari, saya belum melihatnya kalau saya.
wzzrd
Saya tidak mengatakan bahwa RHN otomatis. Tetapi jika Anda mengatur pembaruan dari RHN, tidak ada yang tahu kapan itu akan terjadi, jadi rasanya sama. Keberuntungan Anda yang jelas tidak membatalkan pengalaman saya yang sebenarnya dengan kegagalan dan meninggalkan pengguna tanpa layanan. Bahkan pembaruan yum bisa gagal. Siapa pun yang berpikir Anda hanya dapat memperbarui dan berjalan pergi tidak berhati-hati atau tidak peduli karena itu bukan server produksi (produksi = ada klien yang bergantung pada layanan).
labradort