Т.е. залил на сервак архивичик метров в 500, распаковал и простой командой установил с него все применимые патчи

а если серверов 500 то на каждый будешь заходить и патчить? Удобно это что-то типа landscape (каюсь, не щупал) или RHN.

а если серверов 500 то на каждый будешь заходить и патчить? Удобно это что-то типа landscape (каюсь, не щупал) или RHN.

rhn есть, но оно неудобное. серваков даже если и 500, то патчатся они группами по 2-5 штук, потому с файлом удобнее.

может clusterssh подойдёт?

не, вопрос о самом наборе патчей. вот для соляры есть файлик «Recommended OS Patchset Solaris», а для рхела нету. rhn для этих целей не подходит, а локальный реп не всегда можно создать.

я наверное так ничего в РХЕЛ и не понял ;) Опиши ситкацию когда тебе нужны эти патчи на РХЕЛ.

когда надо пропатчить. для соляры я скачал кластер и установил, а для рхел?

когда надо пропатчить - это когда? я просто не врубаюсь о чём ты. Ты ставишь какой то ынтерпрайз или хитрое железо?

Ну есть сервер, его надо пропатчить, т.е. обновить до какого-то текущего состояния. В соляре я скачал 1 файл в 500м и пропатчил, через месяц этим же файлом пропатчил еще два десятка серваков. В итоге получил все серваки пропатченые до одинакового состояния, рекомендованного самим ораклом. В рхеле я могу сделать yum upgrade, но через день и тем более через месяц результат будет совершенно разный, разные патчи и пр. Вдобавок оракел выпускает такие файлики каждый квартал, а это именно то что нужно энтерпрайзу. У редхата же апдейты минорной версии выходят раз в год-два что никуда не годится.

прокатит ли такое для четвертого

Уже не нужно, он уже почти мёртв, и апдейтов больше не будет.

Уже не нужно, он уже почти мёртв, и апдейтов больше не будет.

у нас ~300 серваков

4ка нормально с юмом работает

обновить до какого-то текущего состояния.

apt-get upgrade/yum upgrade/whatever upgrade шоле?

нет. ты не понял, нужно именно пропатчить))) я вот пытался выведать что это и зачем, но увы.

Что значит «пропатчить»? Скачать сырцы, наложить патчи, скомпилять и проинсталлить?

Или ты имеешь в виду какие-нить дельта-апдейты? Дельта-апдейты в линукс-мире ещё никто не изобрёл, увы (ну может за исключением маргинальных дистров). Юзерам это не нужно, им бы лишь бы свистелки и перделки покрасивше были. Но дельта-апдейты не имеют смысла на мажорных апгрейдах.

я вот пытался выведать что это и зачем, но увы.

ты сам не знаешь чего хочешь? :)

ты меня с ТС перепутал ;)

Как минимум в федоре для части пакетов дельты приходят. Значит скоро и в rhel будет (если уже нет)

это хорошо, может и остальные зашевелятся. А то выкачивать тонны апдейтов заколебало.

Да, я немного запутал вас словом патчи. Я имел ввиду набор обновлений, понятно что в линупсе патчей как таковых нет и обновления выходят в виде новых версий пакетов. Т.е. в соляре есть некий набор обновлений, называют его Recommended patch cluster, установив его можно получить обновленную систему со всеми рекомендуемыми производителем обновлениями на тот момент времени.

yum upgrade не подходит, т.к. он постоянно меняется, сегодня там одни обновления а через неделю другие. но такой вариант не подходит для энтерпрайза, т.к. обновления там тестируют месяцами на тестовых серваках, а потом вкатывают на продакшен. yum upgrade вкатит в такой ситуации разные обновления.

Ну да, по сути дельта-апдейт в Солярке называется патчем.
Только при установке патча сохраняются предыдущие версии файлов.
Т.е. патч можно не только поставить, но и впоследствии удалить, если понадобится.

А что, правда в RHEL нет дельта-апдейтов?
В SLES давным-давно есть delta-rpms. Раньше даже были patch-rpms, но от них давно отказались в пользу дельт.

Для пятого, думаю, можно закопировать исошку со свежей версией, добавить ее как репо в yum и сделать yum upgrade.

Можно. А с инета юмом закачать религия не позволяет?

Можно. А с инета юмом закачать религия не позволяет?

нет. причина описана 3 раза в этом треде.

Вы хотите странного. Прошловекового. yum/apt с правильным репозиторием всё сделает как надо. Просто не пихайте лишнего/непротестированного/сильно-обновлённого в эти репозитории.

Вы хотите странного. Прошловекового. yum/apt с правильным репозиторием всё сделает как надо. Просто не пихайте лишнего/непротестированного/сильно-обновлённого в эти репозитории.

В прошлом веке приходилось настраивать свой правильный репозиторий, добавлять туда какие-то пакеты, а какие-то не добавлять, настраивать клиентов на его использование. А если клиенты в дмз, то надо как-то экспортить этот реп в файл, заливать на клиент и там разворачивать. Потом опять конфигурить клиента. В 21 веке не хватало мне еще самому что-то руками пихать в репозитории. В 21 веке вендор дает мне готовый файл с рекомендованными обновами, и... всё.

А что, правда в RHEL нет дельта-апдейтов?

ну, гугление подсказывает что есть некий yum presto, но мне лень оторвать задницу и проверять есть ли в rhel такое. Да и rhel-сервак у меня один и тот не мой.

В 21 веке вендор дает мне готовый стабильный репозиторий.

В 21 веке вендор дает мне готовый стабильный репозиторий.

Ну и как с него обновиться на серваке, который никуда не имеет доступ? Вдобавок эти репы постоянно меняются и обновляя две системы в разные отрезки времени наверняка получишь две разные системы.

как с него обновиться на серваке, который никуда не имеет доступ

Локальную копию делать. Satellite стоит порядка $10k.

репы постоянно меняются

Говорят, есть «provisioning module» с возможностью делать/применять конфигурации/снимки состояния. На худой конец, свой личный канал с проверенными пакетами.

Ну и как с него обновиться на серваке, который никуда не имеет доступ?

локальный сделай.

и обновляя две системы в разные отрезки времени наверняка получишь две разные системы.

версии ПО будут те же, значит вероятность раздолбать что-либо околонулевая. Но если прям так нужно то подними свой репо и не мучайся.

мде, не думал что все так печально. в соляре я делаю это одной командой,а ту в рхеле надо поднимать какой-то реп, кого-то настраивать... 2012 год, фигли.

не думал что все так печально. в соляре я делаю это одной командой

Ты не поверишь, у меня такие ощущения по поводу «твоего» метода(по описанию похоже на то, что в HPUX-е) - залезть на сайт, закачать, скопировать на все хосты, залезть туда, разпаковать, и только потом запустить установщик; вместо «одной» команды (for i in `hosts` ; do ssh $i yum update; done).

Кстати, нашёл сейчас yum-versionlock, вероятно им можно злоупотребить для твоей цели, сгенерировав список версий на «тестовой» системе после обновления.

залезть на сайт, закачать

делается один раз

скопировать на все хосты

для дмз нод все равно копировать, вот только для соляры ясно что копировать, а для рхела совсем не ясно. а если ноды в сети то по нфс все шарится. Так что опять никаких отличий.

залезть туда, разпаковать, и только потом запустить установщик;

залезть да, но это не проблема, все остальное делается одной командой.

вместо «одной» команды (for i in `hosts` ; do ssh $i yum update; done).

да, я уже писал что просто yum update тут некатит

yum-versionlock

спасибо, возможно это то что надо

Spacewalk с репозиториями для тестирования и для продакшена. Можно работать с группой серверов. Пушить в репозиторий продакшена с тестовых серверов.

Бесплатный аналог Sattelite.

А кстати разве при активной подписке нет доступа к управлению обновлениями через RHN? Или RHEL без поддержки?

А кстати разве при активной подписке нет доступа к управлению обновлениями через RHN? Или RHEL без поддержки?

тут два основных момента. 1) Неизменность набора обновлений во времени,т.е. что-то типа «2012_Q1 recommended updates». В rhel обновления больше похожи на rolling release т.е. мажорные версии софта обычно не меняются, а вот patchlevel часто вносит много существенных изменений. 2) Установка на машины без интернета и без локалки.

yum-versionlock посмотрел, но он вряд ли подойдет, т.к. набор пакетов может отличаться

Spacewalk надо посмотреть, но он опять же не решает вопрос 2)

reposync

работает только в rhel5+, но делает именно то что нужно. придется конечно завести под него отдельный сервер, но это не большая беда. для rhel4 придется старинным способом делать.

Spacewalk решает вопрос централизованной установки нужных исправлений.

SpaceWalk решает вопрос централизованной установке нужных пакетов. (вопрос 2)

То есть достаточно просто создать канал, в который постить только нужные тебе исправления. И все. Все подписанные системы к этому каналу установят эти пакеты в течение нескольких минут/часов (как настроено). Да еще и отчитаются об этом.

SpaceWalk решает вопрос централизованной установке нужных пакетов. (вопрос 2)

ну это не нужно по сути

То есть достаточно просто создать канал, в который постить только нужные тебе исправления. И все. Все подписанные системы к этому каналу установят эти пакеты в течение нескольких минут/часов (как настроено). Да еще и отчитаются об этом.

повторюсь, кто будет туда постить? как потом этот канал доставить на сервер, который находится вообще в другой сети.

Вобщем пока рещения нет.

кто будет туда постить?

Тот, кто занимается «рекомендованием» обновлений.

Есть более простое решение, естественно ограниченое. Ставим тот же spacewalk/satellite и отключаем регулярный satellite-sync (см. crontab). Итого, всем системам доступен только набор патчей, «рекомендованых» на момент последнего satellite-sync. После обновления всех промышленных систем запускаем его 1 раз и начинаем новый цикл проверки/установки.