Gute Praktiken zum Aktualisieren eines Servers? [ohne die aktuell laufenden Dienste zu beeinflussen]

7

Es gibt einige Server, denen eine Aufgabe delegiert wurde. Stellen Sie sich beispielsweise ein Szenario vor, in dem Webserver, Datenserver usw. zusammen einen Dienst für einen Client bereitstellen.

Wie soll ich nun sicherstellen, dass die Server mit neuen Softwarepaketversionen auf dem neuesten Stand sind, ohne blindlings eine automatische Aktualisierungsoption zu wählen? Ich kann möglicherweise einen Server für ein Update nicht herunterfahren. Wie kann ich wissen, welches Update sich auf alle im System ausgeführten Prozesse auswirkt, sodass ich dieses bestimmte Update ablehnen oder für eine andere Zeit neu planen kann, wenn das Update einen kritischen Prozess in Bezug auf einen Dienst betrifft?

--Bearbeiteter Teil-- Mein Hauptaugenmerk liegt darauf, dass der ausgeführte Dienst nicht betroffen sein sollte, während die Sicherheitsupdates für diesen Dienst dem im LAN angeschlossenen Administrator-PC mitgeteilt werden sollten. Außerdem sollten alle Aktualisierungen, die sich nicht auf den laufenden Dienst auswirken, automatisch aktualisiert werden.

Vivek Sethi
quelle
Das einzige, was Sie neu starten müssen, ist nach dem Kernel-Update, um auf einen neuen Kernel zu aktualisieren. So können Sie ohne Neustart aktualisieren. Auf der Serverseite sind Aktualisierungen jedoch seltener, insbesondere bei einer LTS-Version, und ich überprüfe die Informationen persönlich, bevor ich sie aktualisiere.
Panther
Was ist mit Updates für bereits installierte Pakete? Eigentlich bin ich besorgt darüber, Prozesse / Daemons zu stoppen, die dem Client Dienste anbieten. Ich kann den Prozess wirklich nicht neu starten oder zum Aktualisieren stoppen. Wie geht man vor?
Vivek Sethi
1
Abhängig vom Dienst wird er während der Aktualisierung kurz angehalten und neu gestartet. Wenn dies nicht akzeptabel ist, planen Sie entweder Ausfallzeiten für das Upgrade ein (mein Rat, wahrscheinlich Industriestandard) oder überspringen Sie Updates.
Panther
1
"Das Überspringen von Updates ist keine Option und der Prozess wird auch nicht gestoppt." klingt für mich unrealistisch, ich würde niemals einen solchen Vertrag abschließen. Viel Glück.
Panther

Antworten:

4

Soweit ich Ihre Frage verstehe: Sie möchten, dass Sicherheitsupdates automatisch installiert und andere Updates auf den Test verschoben werden, und Sie möchten wissen, ob dies als "bewährte Methode" bezeichnet wird.

Nun ja. Dies ist in der Tat eine gute Praxis.

Was Sie für Ihre Ubuntu-Server-Installation benötigen, ist das Paket: unbeaufsichtigte Upgrades

Das Ausführen von Diensten ist bis zum Neustart nicht betroffen.

Im bearbeiteten Teil Ihrer Frage haben Sie die Wunschliste ein wenig geändert: So aktualisieren Sie alles außer den kritischen laufenden Diensten.

Dieser ist etwas unkomplizierter, aber Sie können die aktuelle Version korrigieren, damit sie nicht aktualisiert werden. Lesen Sie hier mehr über das Fixieren

thom
quelle
2

Wenn Ihr Server so kritisch ist und niemals für ein paar Sekunden heruntergefahren werden kann, um neu zu starten (für eine VM) oder etwa 1-2 Minuten für einen normalen Server, sollte er redundant sein (zumindest um Hardware- oder Verbindungsfehler zu vermeiden). und Sie leiten Dienste während des Neustarts auf andere Computer um. Wenn dies nicht der Fall ist, sollten Sie dies ändern, da dies auf eine schlechte Planung zurückzuführen ist und Sie etwas anbieten, das Sie nicht haben (100% Verfügbarkeit).

Wenn es eine Option ist, den Neustart zu verzögern, wenn der Dienst nicht verwendet wird, können Sie das Update einfach durchführen und den Neustart mit cron planen, mit Schlaf / Neustart in einer Bildschirmsitzung, SSHing auf dem Server zum definierten Zeitpunkt oder auf die von Ihnen gewünschte Weise bevorzugen.

Laurent
quelle
0

Vivek, wenn das Überspringen von Updates keine Option ist. Wie wäre es mit einem Fernzugriff auf den Server über Nacht und einem Update? Ich arbeite in einer sehr geschäftigen Umgebung und plane alle meine Updates um 3 Uhr morgens. Ich ssh auf den Server und aktualisiere das benötigte Paket.

Schnell
quelle
Eigentlich bin ich eher auf der Suche nach einer Automatisierung der ganzen Sache. Außerdem kann der Server zu bestimmten Spitzenzeiten wochenlang nicht einmal für eine Sekunde gestoppt werden.
Vivek Sethi