Как правильно организовать патчинг-процесс Linux в крупной IT-конторе? (400+ серверов)

google://linux automated compliance
google://SCAP
лучше бы неправильные чёрточки поставил, третий раз переписываю.

Для начала перестать перезагружать сервера в том случае, если не обновилось ядро. Для действительно критичных купить livepatch, вообще перезагружать не придется.

Обновляйте сервера в ненагруженное время предварительно прогнав тестовый апдейт на стаге. Едрить-педрить, вот у людей проблемы-то.

патчить как патчите, раз в месяц, чтобы даунтайм был для пользователей предсказуем.

+1.

Тут теперь при обновлении systemd надо ребут делать, а ты про ядро.

Мы так и работаем, ребутаем только в том случае, если обновляется ядро или другие пакеты, которые требуют ребута.

Но по опыту ядро почти гарантировано выходит раз в месяц, поэтому, как правило, серверы ребутаются каждый месяц.

Livepatch у нас установлен на Oracle-кластерах (Uptrack), они патчатся без доунтайма.

На RedHat (у нас стандартная подписка) и на CentOS, насколько мне известно, нет адекватной системы патчинга ядра на лету.

95% скопа — это RHEL\CentOS, Debian около десятка серверов, SLES скоро будет (100+ серверов, livepatch куплен).

Вообще нихрена не понял.. yum update по крону вообще не катит?

yum update по крону - это худшее из возможного. Нравятся внезапные отвалы сервиса?

yum-cron настроен на ~10-ти серверах (+ ребут раз в неделю при необходимости через

/usr/bin/ls  /var/run/yum.pid 2>/dev/null || /usr/bin/needs-restarting -r  || /usr/sbin/reboot

Другие не согласились внедрять эту идею на своих серверах... боятся.

У каждого сервера свой владелец - это хорошо и правильно, но это полдела. Сделайте второй шаг - спихните патчинг на владельцев.

Чтобы у владельца сервера голова болела, что сервер не пропатчен, а не у вас. Т.е. чтобы у владельца высвечивался красный алерт: ваши сервера не пропатчены, и предлагались возможные даты для патчинга. Тогда владелец, увидев этот алерт, выбирает окно для патчинга, и в это самое время сервер патчится и перезагружается автоматически.

И чтобы владелец понимал, что за непатченный сервер его будут иметь, а также то, что это его (владельца) обязанность проверить, что после патчинга все поднялось.

Сделайте второй шаг - спихните патчинг на владельцев.

Это невозможно. Мы работаем по оутсорсингу, по сути мы — дешёвая рабочая сила. И покрывать патчинг-процесс входит в наши обязанности и кастомер за это платит. И кастомеров (т.е. владельцев серверов) у нас очень много (порядка сотни), и если каждый будет рандомно выбирать дату для патчинга, то нанётся хаос..

+ будут проблемы с автоматизацией... Будет только хуже и непонятнее...

Не рандомно выбирать, а а одну из дат, предложенных вами.

И патчинг-weekend'ы расписываются и согласуются со всеми владельцами на год вперед, чтобы не вылезало потом гоблинов «у нас релиз в эти выходные, отмените всё».

Врочем, дело ваше. Я рассказал, как процесс был организован в самом зверском (в хорошем смысле этого слова) энтерпрайзе, в котором я когда-то работал, и о котором у меня остались самые приятные воспоминания.

Хмм, а можешь расписать процесс чуть подробнее? Какие инструменты\автоматизацию использовали?

Веб-морда для владельцев серверов, насколько я понимаю, была самописная - выглядела простенько и ничего лишнего. Скрипты для патчинга *nix-серверов - тоже, а для виндовых серверов использовали BigFix.

Офигеть ) Ребут в кроне. Это где такой клиент сговорчивый водится? :)

Если серверы некритичные и приложение стартует автоматом — почему бы не сделать ребут раз в неделю при необходимости?

Но увы, не все на это соглашаются...

yum update по крону - это худшее из возможного. Нравятся внезапные отвалы сервиса?

RHEL - это тебе не генту на коленке собрать, там такого в пределах ветки не бывает..

Что ты подразумеваешь под веткой?

вообще не понял зачем обновлять если нет необходимости? перезагрузить сервер потому-что вышел новый vi? лiль.

Что ты подразумеваешь под веткой?

6.x, 7.x

вообще не понял зачем обновлять если нет необходимости? перезагрузить сервер потому-что вышел новый vi? лiль.

Я вообще нифига не понял, что хочет аффтор :)

Хочу по-человечески организовать патчинг-процесс. Но не знаю как. Решил спросить помощи тут. Чтобы кто-то поделился своим опытом.

Ооо, отваливается еще как. Особенно на первых стадиях жизненного цикла RHEL, когда активно внедряются новые фичи и происходят ребэйзы пакетов (например, при обновлении c 7.3 до 7.4 OpenSSH обновился v6 до v7, а rsyslog - с v7 до v8). RHEL 7 сейчас находится в этой самой бурной фазе. Наивно думать, что при таких ребейзах ничего не отвалится.

Вот пример капитального отваливания при обновлении с RHEL 7.3 на RHEL 7.4:

https://access.redhat.com/solutions/3139201
https://bugzilla.redhat.com/show_bug.cgi?id=1478175

Наступил на этот баг в июле прошлого года, когда этой статьи в редхате и бага в багзиллле еще не существовало. Отвалилось капитально - пользователи не могли по ssh на сервер зайти.

Это уже потом, когда войдет в какую-то там фазу (не помню, как она называется), бурное внедрение новых фич прекращается, и выходят только критические фиксы - т.е. именно та стадия, в которой сейчас находится RHEL 6. Тогда уж конечно вряд ли что отвалится, дык там и обновлений всего ничего.

Бывает, к сожалению. Ту же самбу громили вдоль и поперёк между 7.2-7.3-7.4 круто.

Для glibc тоже надо презагружать, и вообще, посмотри сколько файлов висит при большом аптайме в состоянии «удален».

Для glibc тоже надо перезагружать

Не обязательно. Достаточно перезапустить сервисы.

systemd тоже можно перезапустить?

systemd перезапусти )