Menurut Anda apa praktik terbaik untuk mempertahankan lusinan (jika bukan ratusan) server debian terkini? Ingatlah bahwa:
- Ada kelompok server (yaitu server web identik, Server DB, ...)
- Mungkin ada beberapa masalah Debian (lenny, etch)
- Menjalankan perulangan di semua server dan melakukan pembaruan apt-get && peningkatan tidak dapat diterima (karena itulah yang saya lakukan saat ini :)) Seharusnya lebih baik dari ini!
Saat ini, ketika saya akhirnya menyelesaikan semua pembaruan, pembaruan keamanan baru diposting, dan saya harus mengulanginya lagi.
Terima kasih sebelumnya komunitas serverfault!
Jawaban:
Saya menggunakan apt-dater untuk mengelola peningkatan semua kotak Debian saya. Tampaknya melakukan trik dengan cukup baik. Belum mencoba untuk meningkatkannya hingga ratusan host.
sumber
Google menyelesaikan ini dengan debmarshal:
http://code.google.com/p/debmarshal/
Yang memungkinkan Anda menyetujui paket dari repositori hulu untuk instalasi pada host produksi Anda.
Kemudian Anda bisa menjalankan cron-apt dalam mode otomatis penuh.
Ini video intro:
http://www.youtube.com/watch?v=L3hRToC23mQ
sumber
Kami mencoba menggunakan boneka untuk meningkatkan perbaikan keamanan pada paket yang tidak penting. Kami akan menjalankan apticron ke email daftar pembaruan untuk setiap server, kemudian setiap hari menjalankan skrip yang menggabungkan pembaruan ini menjadi file manifes boneka yang memberikan paket dan versi untuk setiap distribusi. Ini kemudian akan memperbarui banyak file di masing-masing server dan memulai skrip upgrade ketika sebuah paket perlu ditingkatkan. Ini bekerja dengan baik, tetapi kami belum mengujinya sebanyak yang saya inginkan. Skema ini berhasil mengatasi keterbatasan Wayang tidak memiliki sumber daya yang sama didefinisikan di banyak tempat.
Saya juga merasa tidak nyaman dengan melakukan pembaruan otomatis hal-hal seperti MySQL atau PostgreSQL, di mana pembaruan acak akan mematikan layanan, mungkin di tengah hari. Ini masih membutuhkan pembaruan manual.
Spacewalk dan Debmarshall memang terlihat seperti alternatif yang cocok untuk skema boneka kami.
sumber
Rupanya, Spacewalk sekarang memiliki dukungan awal untuk Debian. Itu, bersama-sama, mungkin, dengan Wayang, akan menjadi titik awal saya. Saya cukup yakin orang yang mengembangkan dukungan Debian untuk Spacewalk akan menyukai Anda karena bekerja dengannya dalam membawa dukungan Debian ke tingkat yang lebih tinggi.
sumber
Di jalan sistem konfigurasi berbasis tarik seperti Wayang, ada juga bcfg2 dan cfengine. Satu atau yang lainnya mungkin cocok dengan kebutuhan Anda. Saya meluncurkan bcfg2 di lab saya sekarang.
sumber
Sebuah solusi dapat diberikan oleh func
sumber
Saya tidak yakin jenis solusi apa yang Anda harapkan. Anda mungkin tahu tentang pekerjaan cron, tetapi saya tidak akan memperbarui sistem di blind karena ada intervensi manusia yang diperlukan (dan itulah sebabnya mereka membayar Anda untuk melakukan ini, kan?)
Jika Anda memiliki sistem yang benar-benar identik, Anda mungkin mempertimbangkan untuk menggunakan sesuatu seperti rsync untuk membawa perbedaan, tetapi mencari tahu file mana yang tidak ke rsync bisa sulit, dan saya tidak akan melakukan ini ketika layanan sedang berjalan. Setidaknya skrip pembaruan diatur untuk mengelola memulai kembali layanan dan menggabungkan perbedaan file konfigurasi.
Mungkin jika Anda menjelaskan apa masalahnya dengan melakukan perintah apt-get, kita bisa melihat apa yang ingin Anda hindari.
Jika masalahnya adalah bandwidth dan waktu untuk mengunduh, mungkin Anda harus menyiapkan satu kotak untuk bertindak sebagai repositori Debian lokal Anda. Ada panduan Debian tentang cara melakukan itu.
Berikut adalah beberapa tips tentang cara meminimalkan jumlah hal yang perlu Anda perbarui.
Ketika Anda menginstal Debian, jangan menginstal Desktop kecuali Anda benar-benar perlu menggunakan X pada konsol itu. Sebagian besar server tidak perlu X diinstal. Ini dapat mengurangi jumlah paket pada sistem secara signifikan, dan kemudian Anda tidak perlu memperbarui banyak paket.
Periksa apakah sources.list hanya menyertakan repositori yang benar-benar Anda butuhkan. Jika Anda telah bereksperimen dengan beberapa repositori dan lupa tentang itu, Anda mungkin membawa pembaruan yang tidak Anda butuhkan atau inginkan.
Jika Anda mengalami masalah dengan melakukan pembaruan secara membabi buta pada server produksi, berhati-hatilah untuk berkonsultasi dengan panduan peningkatan Debian ketika ada pembaruan besar (4.0 hingga 5.0). Ini akan berjalan dengan sangat baik jika Anda mengikuti instruksi upgrade. Tidak semudah menjalankan apt-get dist-upgrade dan berjalan pergi. Kadang-kadang dalam instruksi bahkan ada petunjuk tentang kapan harus menjalankan aptitude daripada apt-get - ada perbedaan kecil di dalamnya.
sumber
Apakah Anda sekarang alat ini "shell penari"? Saya menyukainya dan saya menggunakannya. Tetapi saya tidak tahu apakah Anda dapat menggunakannya untuk banyak host. Mungkin Anda bisa mencoba ...
http://www.netfort.gr.jp/~dancer/software/dsh.html.en
Dan dia ada di dalam repositori.
sumber
ClusterSSH. Anda masuk ke semua server dan memberi mereka perintah yang sama persis, sehingga Anda juga dapat bereaksi terhadap dialog. Jika satu server mendapat pertanyaan tambahan, klik saja yang itu dan itu akan menjadi satu-satunya yang merespons.
Saya telah menggunakannya untuk memutakhirkan 25 server web dari etch ke lenny. Bekerja seperti pesona.
http://sourceforge.net/projects/clusterssh/
sumber
Cluster ssh adalah saran yang bagus.
debmarshal belum menjadi bagian dari debian - Saya bahkan tidak yakin ini akan menjadi paket - sepertinya sistem yang sama sekali berbeda dengan repositori khusus. Seperti yang dikatakan pembicara, ini saat ini memusuhi pengguna, tidak ramah pengguna.
Spacewalk tampaknya merupakan tiruan dari Redhat Network, setidaknya di antarmuka web. Saya mendapat hasil buruk dari menggunakan Redhat Network untuk memperbarui sistem. Suatu kali itu menggantung, tanpa alasan yang jelas, dan menyebabkan pemadaman layanan. Saya melakukan pembaruan yum segera setelah itu dan menangani itu baik-baik saja, jadi saya hanya bisa berasumsi masalahnya adalah dari sesuatu yang muntah di sisi RHN. Hal lain yang saya tidak suka tentang pembaruan RHN adalah Anda tidak tahu kapan pembaruan akan terjadi, untuk melihat masalah.
sumber