a produção do ksplice está pronta?

15

Eu estaria interessado em ouvir as experiências da comunidade serverfault com o Ksplice em produção.

Resumo rápido da wikipedia:

O Ksplice é uma extensão gratuita e de código aberto do kernel Linux, que permite aos administradores de sistema aplicar patches de segurança a um kernel em execução sem precisar reiniciar o sistema operacional.

e

O Ksplice pode, sem reiniciar o kernel, aplicar qualquer patch de código fonte que precise apenas modificar o código do kernel. Diferentemente de outros sistemas de atualização quentes, o Ksplice recebe como entrada apenas um diff unificado e o código-fonte original do kernel, e atualiza o kernel em execução corretamente, sem necessidade de assistência humana adicional. Além disso, tirar proveito do Ksplice não requer nenhuma preparação antes da inicialização do sistema (o kernel em execução não precisa ser especialmente compilado, por exemplo). Para gerar uma atualização, o Ksplice deve determinar qual código no kernel foi alterado pelo patch de código fonte.

Então, algumas perguntas:

Como tem sido a estabilidade? algum problema estranho que você encontrou com seu 'patching ao vivo sem reinicialização' do kernel? Pânico do kernel ou histórias de horror?

Eu o tenho executado em alguns sistemas de teste e até agora está funcionando como anunciado, mas estou interessado em outras experiências com os administradores de sistemas que estiveram com o Ksplice antes de iniciar o processo e implantá-lo em nossos servidores de produção.

Então, alguém usando o Kspice em produção?

update: hmm, não vendo nenhuma atividade real nessa questão depois de algumas horas (além de alguns votos positivos e favoritos). Talvez para estimular alguma atividade, eu também faça mais algumas perguntas e veja se podemos continuar com essa discussão ...

"Se você conhece o Ksplice, existe algum motivo para não usá-lo?"

"Você sente a borda ainda muito sangrenta, não comprovada ou não testada?"

"O Ksplice não se encaixa bem no seu sistema atual de gerenciamento de patches?"

"Você odeia ter sistemas com tempo de atividade longo (e seguro)?" ;-)

linux  kernel  update  patch-management 
servidor defeituoso
fonte
1
Bem, eu também testei apenas em uma VM de teste do Ubuntu 9.04. Mas até agora funciona muito bem.
26609 knweiss

Respostas:

9

(Primeiro, um aviso: trabalho para o Ksplice.)

Nós o usamos em nossa própria infraestrutura de produção, naturalmente, mas mais importante, o mesmo acontece com nossos mais de 500 clientes corporativos (número a partir de dez / 10).

Um sysadmin faz a mesma pergunta em uma lista de discussão de usuários do Red Hat Enterprise Linux e recebe várias respostas, algumas das quais são extraídas abaixo:

Estamos executando o Ksplice em produção há alguns meses em cerca de uma dúzia de hosts. Até agora, funciona como anunciado.

e

Eu tenho mais de 500 máquinas sob meu controle, cerca de 445 delas estão conectadas à faixa superior (rhel 4 e 5). Usamos o ksplice para bloquear algumas explorações de raiz antes de termos a chance de reiniciar as máquinas. Como ainda estamos testando, lançamos o novo kernel de qualquer maneira, mas eu corri por semanas o ksplice'd sem problemas.

Uma preocupação expressa pelo pessoal não é sobre a estabilidade, mas sua integração com as ferramentas de auditoria e monitoramento existentes:

A única "dica" sobre o uso do ksplice é que ainda não existem ferramentas de auditoria "compatíveis com o ksplice".

Como você pode esperar, agora é uma área em que estamos investindo pesadamente.

wdaher
fonte
Gente, eu sou novo por aqui, então deixe-me saber se eu não fiz isso direito e estou feliz em consertar as coisas conforme necessário.
wdaher
5

Eu ouvi falar do Ksplice e na época pensei que era uma boa ideia. Sem tempo de inatividade, sem reinicialização. Mas então eu olhei um pouco mais e fiquei com medo de tentar.

Minhas razões para evitá-lo são:

  • O kernel do Linux já é muito complexo. O Ksplice aumenta a complexidade. Mais complexidade = mais a falhar.

  • Será imprudente experimentar o Ksplice em um servidor remoto, onde a falha causaria um longo tempo de inatividade e reparo dispendioso.

  • O único benefício no meu caso seria uma estatística de tempo de atividade mais alto.

simplr
fonte
2
+1 para aumentar a complexidade. Alguns minutos de inatividade são muito melhores do que realizar cirurgias cardíacas abertas no kernel no meio da produção.
Urda
4

Estou usando o Ksplice no meu servidor doméstico (onde o tempo de atividade não é crítico, mas é bom de se ter). Não tive nenhum problema com isso - atualizações ocasionais por meio do Apt para o cliente, nunca houve problemas com o kernel, e nenhuma instabilidade (perceptível).

O aviso "YMMV" usual se aplica, no entanto! ;-)

James Muscat
fonte
1
Com +1, uso-o em um servidor não crítico e ele é executado de maneira admirável.
27909 JamesHannah
2

O Ksplice é uma extensão de código-fonte aberto, mas lembre-se de que, embora o software seja gratuito e disponível para qualquer um usar, ele foi criado especificamente por e para uma empresa que gerencia o patch do Linux (também chamado de "Ksplice"). O Ksplice (o mod do kernel) é realmente útil apenas se você tiver patches utilizáveis ​​pelo ksplice para o seu kernel, o que você provavelmente nunca verá, a menos que tenha um contrato de suporte com a Ksplice (a empresa).

Portanto, embora o ksplice (a ferramenta) esteja razoavelmente maduro, isso é realmente relevante apenas se você estiver pensando em usar o Ksplice (a empresa) para o gerenciamento de patches.

tylerl
fonte
1

Boa pergunta. Minha resposta inicial seria algo como "por que eu preciso disso?"

Provavelmente não precisa disso. Mesmo em uma configuração de cinco e nove, a "manutenção programada" geralmente é uma cláusula em um SLA que permite esse tipo de tempo de inatividade. Se você tiver uma configuração de alta disponibilidade, mude para o failover, instale o kernel em uma caixa, reinicie e repita na outra. Se você não puder pagar nem cinco minutos de tempo de inatividade em uma caixa, precisará de uma configuração de failover de qualquer maneira.

Embora seja uma tecnologia nova, ainda não vejo muita utilidade pragmática. As atualizações de segurança do kernel são necessárias, é claro, e devem ser corrigidas o mais rápido possível, mas quanto tempo / esforço / preocupação isso economiza em comparação com a simples instalação de um novo kernel e a reinicialização? E se algo der errado? Quanto tempo você perdeu ao criar uma nova imagem do sistema, supondo que você tenha a sorte de ter uma opção de recuperação do tipo PXE?

Além disso, como mencionado acima, experimentar remotamente uma tecnologia como essa pode ser uma catástrofe se der errado em vários servidores. Nos seus testes, você está usando exatamente o mesmo hardware que está no controlador de domínio? O que é bom em uma máquina pode não ser bom em outra.

Apenas meus $ 0,02.

Sam Halicke
fonte
1
Sim, o hardware na minha cama de teste reflete a produção.
faultyserver
-1

Há muito tempo, mas o que o Ksplice pode fazer por você é muito ....

  • Segurança aprimorada, pois permite a aplicação imediata de patches sem tempo de inatividade, o que pode ser extremamente importante em ambientes altamente sensíveis.

  • Estabilidade aprimorada, pois permite a correção instantânea sem tempo de inatividade, as coisas podem melhorar enquanto não há tempo para uma reinicialização disponível.

  • Desempenho aprimorado, pois permite a aplicação imediata de patches sem tempo de inatividade, aplicando exatamente o que você precisa e o que precisa fazer.

  • Pró-atividade aprimorada, pois permite a aplicação imediata de patches sem tempo de inatividade; portanto, é possível configurar um farm de testes para novos patches quentes, ao mesmo tempo em que reverte facilmente para um estado anterior.

Saint Crusty
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.