Установка обновлений на парк серверов: отслеживание необходимости, запуск

1

3

Доброго времени, прошу не пинать нуба, но пришла ко мне необходимость автоматизации управления серверами (до этого было всё ручками накаждом отдельном сервере).

Есть парк серверов (более сотни) в AWS, в основном ubuntu 12-16LTS. Требуется периодически или по не необходимости обновлять их всех: не только секьюрные обновления, но и просто ПО (тот же nginx).

Через что лучше это реализовать?

Почти на всех серверах стоит newrelic. Клиент предложил использывать Salt (я с ним не знаком, только немного ansible. Но если он того стоит, конечно могу разбраться)

Ссылка

←	Заставить wpa_supplicant подключаться к одной из сетей в списке по доступности

Не корректное отображение MAC адресов

→

Ничего не нужно делать, unattended-upgrades все сделает за тебя, и даже перезагрузит, если это необходимо.

anonymous_sama ★★★★★
(12.01.17 12:18:18 MSK)

Требуется периодически
в основном ubuntu

man cron-apt

novitchok ★★★★★
(12.01.17 12:19:24 MSK)

Ссылка

Ответ на: комментарий от anonymous_sama 12.01.17 12:18:18 MSK

Спасибо большое, почитал, посмотрел, можно даже заносить не желаемые обновления в чёрный список.

Но пугает одно - именно автоматическая установка и перезагрузка. Бывает же, что после подобного что-то ломается. Поэтому мне б больше подошёл ручной выбор и установка на все серверах или группе серверов выбранных обновлений. Можно ли как-нибудь с помощью этих тулз реализовать это?

Patjomkin
(12.01.17 12:46:34 MSK) автор топика

Ответ на: комментарий от Patjomkin 12.01.17 12:46:34 MSK

Automatic upgrades can break your system, so be aware, that you should only install this on systems where a failiure is not fatal to any means.

Т.е. как было б в идеальне:поставил определённые обновление на группу dev серверов-> если всё ок, поставил на production

Patjomkin
(12.01.17 12:59:27 MSK) автор топика

Ссылка

Ansible/Salt

Что больше нравится. Ansible проще в освоении, но по сравнению с Salt - лютый тормоз. Пожалуй единственный серьезный недостаток этой системы.

trancefer ★★
(12.01.17 13:30:37 MSK)

Если знакомы с ansible возмите его. Тем более что сценарий «поставил определённые обновление на группу dev серверов-> если всё ок, поставил на production» осуществляется довольно просто. Если вам нужны GUI и прочее - можно запускать все это через rundesk или купить ansible tower.

alozovskoy ★★★★★
(12.01.17 13:46:49 MSK)

Ответ на: комментарий от trancefer 12.01.17 13:30:37 MSK

Спасибо, буду осваивать Salt.

А есть ли возможность автоматической нотификации о необходимости обновлений и получения списка доступных обновлений? Т.е. выводить эту информацию через отдельный сервис или систему мониторинга(newrelic, zabbix etc)?

Patjomkin
(12.01.17 13:52:06 MSK) автор топика

Ссылка

Ответ на: комментарий от alozovskoy 12.01.17 13:46:49 MSK

Спасибо, но у клиента уже стоит Salt для группы серверов. Здесь или объяснить чем что-то лучше Salt, или почему нельзя это реализовать через него, или оставить всё как есть, просто привести всё к нормальному виду и доставить на остальные сервера

Patjomkin
(12.01.17 13:57:00 MSK) автор топика

Ответ на: комментарий от Patjomkin 12.01.17 13:57:00 MSK

Можно и salt (и я сам сталкивался с серверами, где его используют для вашего юзкейса). Вы говорите что с salt не сталкивались, а с ansible знакомы - вот вам и аргумент.

Но вообще задача то у вас не выбрать оркестратор, а сделать так, чтоб накат апдейта не положил всю инфраструктуру - какое-нибудь a\b-тестирование проводить, обновления продуктива накатывать через тестирование на dev-среде и так далее. Я бы в первую очередь смотрел в эту сторону. А уж как оно запускаться будет в целом все равно и не сложно сделать любым инструментом - вам, по сути, apt-get upgrade да и все.

alozovskoy ★★★★★
(12.01.17 14:08:25 MSK)