Câu trả lời:
Trên các hệ thống dựa trên Linux / Debian, cron-apt là một công cụ rất tiện dụng có thể quản lý tự động hóa apt thông qua cron.
Tôi đang sử dụng nó apt-get updatemỗi ngày và gửi email cho tôi nếu bản cập nhật mới phải được cài đặt.
Đây là một giới thiệu ngắn và được thực hiện tốt trên công cụ đó .
Về câu hỏi thứ ba của bạn: Tôi luôn chạy một kho lưu trữ cục bộ. Ngay cả khi nó chỉ dành cho một máy, nó sẽ tiết kiệm thời gian trong trường hợp tôi cần cài đặt lại (tôi thường sử dụng một cái gì đó như autoclean), và đối với hai máy, nó hầu như luôn được đền đáp.
Đối với các cụm tôi quản trị, tôi thường không giữ nhật ký rõ ràng: Tôi để người quản lý gói làm việc đó cho tôi. Tuy nhiên, đối với những máy đó (trái ngược với máy tính để bàn), tôi không sử dụng cài đặt tự động, vì vậy tôi có ghi chú về những gì tôi dự định cài đặt cho tất cả các máy.
Tôi sử dụng apt-history cho lịch sử. Tôi không biết tại sao công cụ hữu ích này không được bao gồm theo mặc định, đó là gói đầu tiên tôi triển khai với con rối .
Tôi chạy / usr / bin / apt-get update -qq; / usr / bin / apt-get dist-nâng cấp -duyq như một công việc định kỳ mỗi đêm. Vào buổi sáng, tôi có thông báo về những gói cần được nâng cấp và các tệp đã được tải xuống trên máy.
Sau đó, tôi thường chụp ảnh nhanh cho máy (hầu hết các máy chủ của chúng tôi là ảo), thực hiện nâng cấp apt-get dist , kiểm tra nagios và đảm bảo mọi thứ vẫn hoạt động và xóa ảnh chụp nhanh.
Cuối cùng, tôi giữ một danh sách đang chạy của tất cả các thay đổi được thực hiện cho mọi máy chủ trên wiki , để theo dõi bất kỳ vấn đề nào phát sinh sau này.
Theo như giới hạn tải xuống dư thừa, tôi hiểu rằng bạn có thể thiết lập bộ đệm web-proxy (mực?) Giữa các máy chủ của bạn và internet sẽ lưu trữ các tệp .deb trong lần truy cập đầu tiên. Có lẽ điều này đơn giản hơn so với việc thiết lập một kho lưu trữ gói cục bộ - và có thêm lợi ích của việc tăng tốc duyệt web nói chung.
apt-cacher tiện dụng cho các gói bộ đệm, nó sẽ lưu trữ lần đầu tiên khi chúng cần thay vì hoàn thành một bản sao đầy đủ của toàn bộ kho lưu trữ, do đó tiết kiệm đĩa và băng thông. Nó cũng hữu ích vì nó truyền yêu cầu đầu tiên của gói trực tiếp đến người yêu cầu trong khi lưu trữ cùng lúc để không bị chậm trễ thêm.
Chạy một kho lưu trữ cục bộ là cách tốt nhất để quản lý chính xác những gì trên máy chủ cục bộ của bạn. Nó cũng cho phép bạn dễ dàng triển khai backport tùy chỉnh hoặc các gói địa phương tùy chỉnh. Tôi đã được biết là tạo ra các 'gói meta' cục bộ chỉ là một phần lớn của sự phụ thuộc để làm cho việc cài đặt cục bộ trở nên dễ dàng. (ví dụ: 'apt-get install local-mailserver'). Điều này có tác dụng phụ là cũng cho phép bạn 'phiên bản' thay đổi cấu hình của bạn. (Để quản lý cấu hình phức tạp hơn, bạn sẽ cần một cái gì đó như Puppet)
Đối với các hộp Windows của chúng tôi, chúng tôi có máy chủ WSUS cục bộ và một cửa sổ tiêu chuẩn để áp dụng các bản vá hàng tháng. Đối với các hệ thống Linux (RHEL), chúng tôi có một máy chủ satelite RHN trong khuôn viên trường mà tất cả chúng đều tham gia. Điều đó cung cấp một bảng điều khiển đẹp của mọi hệ thống đã tham gia mà bạn quản lý, cũng như các bản cập nhật chưa được áp dụng cho mỗi hệ thống. Đối với những người đang bị rối, chúng tôi đưa ra một kịch bản tự động áp dụng các bản vá trong một cửa sổ thông thường và gửi thông báo qua email với kết quả.
Bạn có thể có một kho lưu trữ cục bộ và cấu hình tất cả các máy chủ để trỏ đến nó để cập nhật. Không chỉ bạn có được tốc độ tải xuống cục bộ, bạn còn có thể kiểm soát những cập nhật chính thức nào bạn muốn cài đặt trên cơ sở hạ tầng của mình để ngăn chặn mọi sự cố tương thích.
Về phía Windows, tôi đã sử dụng Windows Server Update Services với kết quả rất hài lòng.
Trên OpenSuSE Linux, SLES và Novell OES (tất cả các sản phẩm dựa trên SuSE), chúng tôi đã có một tập lệnh chạy zypper và tìm kiếm các gói cần được cập nhật. Khi tìm thấy nó, nó sẽ gửi một vé cho JIRA và gán nó cho các sysadmin. Khi chúng tôi cài đặt các bản cập nhật, chúng tôi sẽ đóng vé, để lại dấu vết kiểm toán cho chúng tôi biết khi nào nó được cài đặt và bởi ai. Điều này có thể được đối chiếu / xác nhận với các bản ghi zypper và sudo, được tập trung trên một máy chủ syslogging.
OPTIONS="-o Dir::Etc::SourceList=/etc/apt/security.sources.list"và sau đó tạo /etc/apt/security.source.list chỉ kích hoạt kho bảo mật Debian. Bằng cách đó, tôi nhận được tất cả các bản cập nhật bảo mật được cài đặt tự động kịp thời (mỗi đêm) và tôi có thể thực hiện các nâng cấp khác, rủi ro hơn có thể phá vỡ mọi thứ bằng tay.