Автоматизация патчинга

0

2

Привет.

Какие Enterprise решения для патчинга Linux вы знаете? ОС: RedHat, Oracle, CentOS, OpenSUse.

нужно по максимуму автоматизировать патчинг (установка патчей в определённое время и т.д.). Можно как платные решения, так и бесплатные.

Зоопарки более чем из 500 серверов (но RHEL-based пока доминирует), свой костыль писать не хочется.

И как вообще вы патчите серваки, если их много? Спасибо.

Ссылка

←	CentOS7 не уходит почта с сервера

LXC захватил iDrac

→

в portage это очень просто

anonymous
(03.05.18 20:32:31 MSK)

Нет данных по инфраструктуре. Тогда самое простое:
переcобирать пакеты с патчами и распространять через локальный репозитарий и штатные обновление по крону

bass ★★★★★
(03.05.18 21:02:24 MSK)

Ссылка

ansible, puppet, etc ...

Смотря чего патчить и сколько

~~Jopich1~~ ☆
(03.05.18 21:05:33 MSK)

Для подобных задач обычно юзают ansible или аналоги

redixin ★★★★
(03.05.18 21:06:34 MSK)

Ссылка

Ответ на: комментарий от anonymous 03.05.18 20:32:31 MSK

кстати, под это дело можно запилить gentoo prefix с портажем и патчами

anonymous
(03.05.18 21:07:14 MSK)

Ссылка

Что значит «патчить серваки»? И почему бы не воспользоваться тем же инструментом, что и для управления пятьюстами серверами, тыже не вручную это делаешь?

generator ★★★
(03.05.18 21:26:01 MSK)

для патчинга Linux

В этом треде один я понял, что ТС о патчинге ядра на лету?

t184256 ★★★★★
(03.05.18 21:35:48 MSK)

Ответ на: комментарий от Jopich1 03.05.18 21:05:33 MSK

У нас есть salt. Запилить кастомные python-скрипты и прочее я могу в целом, но хотелось бы красивое решение, с веб-мордой и графиками, автоматизацией (в идеале Maintenance mode в Nagios, снепшоты в VmWare, e-mail и т.д.)

Сейчас всё частично автоматизировано кастомными Python-скриптами, но это всё костыли. Наверное.

Патчить ОС (yum update\yum update --security).

iljuase ★★★
(03.05.18 22:08:21 MSK) автор топика

Ответ на: комментарий от generator 03.05.18 21:26:01 MSK

тыже не вручную это делаешь?

Ты не поверишь...

Что значит «патчить серваки»?

yum update\yum update --security Ребут в случае необходимости (обновления ядра\systemd), проверить, запустилсоь ли приложение после. И в целом подготвоительные цикл (Maintenance mode в Nagios, снепшоты в VmWare, e-mail и т.д.)

iljuase ★★★
(03.05.18 22:11:50 MSK) автор топика

Ссылка

уверен, что многие системы имеют аналоги https://packages.debian.org/stretch/cron-apt и https://packages.debian.org/stretch/apticron

anonymous
(03.05.18 22:13:15 MSK)

Ответ на: комментарий от t184256 03.05.18 21:35:48 MSK

О патчинге ядра на лету — да. крутая штука, использует на Oracle Linux, Ksplice Uptrack. Работает как надо.

Но кроме ядра ещё патчить надо и всё остальное.

iljuase ★★★
(03.05.18 22:13:18 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 03.05.18 22:13:15 MSK

Да, есть yum-cron. Я внеедряю пока, но всё дело идёт крайне неохотно...

У меня контора «европейская», ITIL, всё по проессам. Нашим манагерам явно не понравится yum-cron (ты что, серваки же патчится будут не раз в месяц, а хрен пойми когда! И снепшотов нет! И не по процессам, а как же ITIL и т.д.).

с трудом ввёл автопатчинг на 6 серверах (все они dev) с помощью yum-cron.

Поэтому хочется веб-морду. Чтобы были графики и чтобы менеджеры наши смотрели их и радовались. И репортов чтобы было побольше. Они такое любят.

iljuase ★★★
(03.05.18 22:17:15 MSK) автор топика

Ответ на: комментарий от iljuase 03.05.18 22:08:21 MSK

зачем ? пихаешь в крон yu, update --security и радуешься жизни.

~~Jopich1~~ ☆
(03.05.18 22:24:49 MSK)

Ответ на: комментарий от iljuase 03.05.18 22:17:15 MSK

обычно production сервера обновляют крайне неохотно только если какой-нить blackout обнаружится. И делается это фактически единоразово.

~~Jopich1~~ ☆
(03.05.18 22:25:58 MSK)

Ссылка

Ответ на: комментарий от Jopich1 03.05.18 22:24:49 MSK

контора «европейская» с ITIL, процессами. Манагерам (а их тут больше, чем инженеров) очень сложно будет всё объяснить и они точно не согласятся на cron с yum update -security. Ещё у каждого севрера свой владелец, своя команда поддержки приложения. Ну, если кратко, придётся уговаривать около 200 менеджеров (без шуток).

Тут к патчингу относятся, кхм, слишком серьёзно что ли... И боятся его...

Поэтому yum-cron сложно протолкнуть...

iljuase ★★★
(03.05.18 22:28:47 MSK) автор топика
Последнее исправление: iljuase 03.05.18 22:31:02 MSK (всего исправлений: 1)

Ответ на: комментарий от iljuase 03.05.18 22:28:47 MSK

ты им скажи как они будут обьяснять после внедрения автопатчинга глюки которые будут возникать у владельцев ? А они будут возникать обязательно причем на самом ровном месте и совершенно неожиданно.

~~Jopich1~~ ☆
(03.05.18 22:32:55 MSK)

Ответ на: комментарий от Jopich1 03.05.18 22:32:55 MSK

если уж хочешь автомата - то сделай скрипт который бы читал описание secure updates и показывал красиво в web интерфейсе.И в случае если secure update тебе нужен ты бы галочку ставил на апдейт этого апдейта.

~~Jopich1~~ ☆
(03.05.18 22:35:20 MSK)

Ответ на: комментарий от Jopich1 03.05.18 22:35:20 MSK

вот, то, что нужно.

Но нужно готовое решение от профессионалов.

iljuase ★★★
(03.05.18 22:39:23 MSK) автор топика

Ответ на: комментарий от iljuase 03.05.18 22:39:23 MSK

похоже ты ищешь ansible tower

Centralize and control your IT infrastructure with a visual dashboard, role-based access
control, job scheduling, integrated notifications and graphical inventory management.

bass ★★★★★
(04.05.18 08:48:01 MSK)

Ссылка

если одновременно запилить апдейты автоматом на многих серверах, то и проблемы надо будет решать одновременно на всех серверах.
а большое количество «менегеров» на 1 кв.м. это очень большое зло.

dada ★★★★★
(04.05.18 09:50:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	CentOS7 не уходит почта с сервера

Admin

LXC захватил iDrac

→

Похожие темы