sản xuất ksplice đã sẵn sàng?


15

Tôi rất thích nghe những trải nghiệm của cộng đồng serverfault với Ksplice trong sản xuất.

Nhanh chóng từ wikipedia:

Ksplice là một phần mở rộng mã nguồn mở và miễn phí của hạt nhân Linux, cho phép các quản trị viên hệ thống áp dụng các bản vá bảo mật cho một nhân đang chạy mà không phải khởi động lại hệ điều hành.

Ksplice có thể, mà không cần khởi động lại kernel, áp dụng bất kỳ bản vá mã nguồn nào chỉ cần sửa đổi mã kernel. Không giống như các hệ thống cập nhật nóng khác, Ksplice chỉ lấy đầu vào là một mã nguồn gốc và mã nguồn gốc thống nhất và nó cập nhật chính xác hạt nhân đang chạy, không cần thêm sự trợ giúp của con người. Ngoài ra, việc tận dụng Ksplice không yêu cầu bất kỳ sự chuẩn bị nào trước khi hệ thống được khởi động ban đầu (ví dụ, hạt nhân đang chạy không cần phải được biên dịch đặc biệt). Để tạo bản cập nhật, Ksplice phải xác định mã nào trong kernel đã được thay đổi bởi bản vá mã nguồn.

Vì vậy, một vài câu hỏi:

Làm thế nào có sự ổn định? bất kỳ vấn đề kỳ lạ nào mà bạn gặp phải với 'bản vá trực tiếp không khởi động lại' của kernel? Kernel hoảng loạn hay truyện kinh dị?

Tôi đã chạy nó trên một vài hệ thống thử nghiệm và cho đến nay nó vẫn hoạt động như quảng cáo, nhưng tôi quan tâm đến những trải nghiệm hệ thống khác đã có với Ksplice trước khi đi 'tất cả' và triển khai nó trên các máy chủ sản xuất của chúng tôi.

Vì vậy, bất cứ ai sử dụng Kspice trong sản xuất?

cập nhật: hmm, không thấy bất kỳ hoạt động thực sự nào về câu hỏi này sau một vài giờ (bên cạnh một số loại upvote và favs). Có lẽ để châm ngòi cho một số hoạt động tôi cũng sẽ hỏi thêm một vài câu hỏi và xem liệu chúng ta có thể khiến cuộc thảo luận này diễn ra không ...

"Nếu bạn biết về Ksplice, có lý do gì bạn không sử dụng nó không?"

"Bạn có cảm thấy nó vẫn còn quá chảy máu, chưa được kiểm chứng hoặc chưa được kiểm tra?"

"Ksplice có không phù hợp với hệ thống quản lý bản vá hiện tại của bạn không?"

"Bạn có ghét việc có các hệ thống có thời gian hoạt động lâu dài (và an toàn) không?" ;-)


1
Chà, tôi cũng chỉ thử nó trong máy ảo thử nghiệm Ubuntu 9.04. Nhưng cho đến nay nó hoạt động tuyệt vời.
knweiss

Câu trả lời:


9

(Đầu tiên, từ chối trách nhiệm: Tôi làm việc cho Ksplice.)

Chúng tôi sử dụng nó trên cơ sở hạ tầng sản xuất của riêng mình, một cách tự nhiên, nhưng quan trọng hơn, hơn 500 khách hàng doanh nghiệp của chúng tôi (số lượng tính đến ngày 10 tháng 12).

Một sysadmin hỏi cùng một câu hỏi trong danh sách gửi thư của người dùng Red Hat Enterprise Linux và được đáp ứng với một số câu trả lời, một vài trong số đó được trích ra dưới đây:

Chúng tôi đã chạy Ksplice trong sản xuất vài tháng trên một tá máy chủ. Cho đến nay nó hoạt động như quảng cáo.

Tôi có> 500 máy dưới sự kiểm soát của mình, khoảng 445 trong số chúng được kết nối với uptrack (rrc 4 & 5). Chúng tôi đã sử dụng ksplice để chặn một vài khai thác root trước khi có cơ hội khởi động lại máy. Vì chúng tôi vẫn đang thử nghiệm nên chúng tôi đã triển khai kernel mới nhưng tôi đã chạy trong nhiều tuần ksplice'd mà không gặp vấn đề gì.

Một mối quan tâm của mọi người không phải là về sự ổn định, mà là sự tích hợp của nó với các công cụ kiểm toán và giám sát hiện có:

"Gotcha" duy nhất về việc sử dụng ksplice là chưa có công cụ kiểm toán "nhận biết ksplice" nào.

Như bạn có thể mong đợi, đây hiện là một lĩnh vực mà chúng tôi đang đầu tư rất nhiều.


Các bạn, tôi mới ở đây, vì vậy hãy cho tôi biết nếu tôi không làm đúng và tôi rất vui khi sửa những thứ cần thiết.
wdaher

5

Tôi đã nghe về Ksplice và tại thời điểm đó tôi đã nghĩ rằng đó là một ý tưởng tốt. Không có thời gian, không khởi động lại. Nhưng sau đó tôi nhìn vào nó xa hơn một chút và tôi trở nên sợ hãi khi thử nó.

Lý do của tôi để tránh nó là:

  • Nhân Linux rất phức tạp. Ksplice thêm vào sự phức tạp. Phức tạp hơn = nhiều hơn để thất bại.

  • Sẽ rất liều lĩnh khi thử nghiệm với Ksplice trên một máy chủ từ xa, nơi thất bại sẽ gây ra thời gian chết lâu và sửa chữa tốn kém.

  • Lợi ích duy nhất trong trường hợp của tôi là thống kê thời gian hoạt động cao hơn.


2
+1 để thêm vào độ phức tạp. Một vài phút thời gian chết tốt hơn rất nhiều so với thực hiện phẫu thuật tim hở trên nhân ở giữa sản xuất.
Urda

4

Tôi đã sử dụng Ksplice trên máy chủ gia đình của mình (trong đó thời gian hoạt động không quan trọng nhưng là một thứ tốt đẹp). Không có bất kỳ vấn đề nào với nó cả - cập nhật thường xuyên thông qua Apt cho khách hàng, không bao giờ có bất kỳ vấn đề nào với bản cập nhật kernel và không có sự mất ổn định (đáng chú ý).

Mặc dù vậy, từ chối trách nhiệm "YMMV" thông thường được áp dụng! ;-)


1
+1 về điều này, tôi đã sử dụng nó trên một máy chủ không quan trọng và nó đã hoạt động rất đáng ngưỡng mộ.
JamesHannah

2

Ksplice là một phần mở rộng kernel nguồn mở, nhưng hãy nhớ rằng mặc dù phần mềm này là miễn phí và có sẵn cho bất kỳ ai sử dụng, nhưng nó được tạo ra đặc biệt bởi và cho một công ty quản lý bản vá Linux (còn gọi là "Ksplice"). Ksplice (mod kernel) thực sự chỉ hữu ích nếu bạn có các bản vá có thể sử dụng ksplice cho kernel của mình, điều mà có lẽ bạn sẽ không bao giờ thấy trừ khi bạn có hợp đồng hỗ trợ với Ksplice (công ty).

Vì vậy, trong khi ksplice (công cụ) đã trưởng thành một cách hợp lý, điều đó thực sự chỉ phù hợp nếu bạn đang cân nhắc sử dụng Ksplice (công ty) để quản lý bản vá của mình.


1

Câu hỏi hay. Phản ứng đầu tiên của tôi sẽ là một cái gì đó dọc theo dòng của "tại sao làm tôi cần điều này?"

Hầu hết có lẽ không cần nó. Ngay cả trong thiết lập năm điểm, "bảo trì theo lịch trình" thường là một điều khoản trong SLA cho phép loại thời gian chết này. Nếu bạn có thiết lập HA, sau đó chuyển sang chuyển đổi dự phòng, cài đặt kernel trên một hộp, khởi động lại và lặp lại trên hộp kia. Nếu bạn không đủ khả năng thậm chí năm phút ngừng hoạt động trên một hộp, thì dù sao bạn cũng cần thiết lập chuyển đổi dự phòng.

Mặc dù nó là một công nghệ mới, tôi chưa thấy sử dụng thực dụng nhiều cho nó. Tất nhiên, các bản cập nhật bảo mật kernel là cần thiết và nên được vá càng sớm càng tốt, nhưng điều này giúp bạn tiết kiệm được bao nhiêu thời gian so với việc cài đặt kernel mới và khởi động lại? Điều gì xảy ra nếu có sự cố? Bạn đã mất bao nhiêu thời gian bằng cách chụp lại hệ thống, giả sử bạn đủ may mắn để có tùy chọn khôi phục loại PXE?

Ngoài ra, như đã đề cập ở trên, thử nghiệm từ xa với một công nghệ như thế này có thể là một thảm họa nếu nó bị lỗi trên nhiều máy chủ. Trong thử nghiệm của bạn, bạn có đang sử dụng phần cứng chính xác giống như bạn ở DC không? Những gì chơi tốt trên một máy có thể không chơi tốt trên một máy khác.

Chỉ cần 0,02 đô la của tôi.


1
Vâng, phần cứng trong giường thử nghiệm của tôi sản xuất gương.
lỗi

-1

Cách đây đã lâu nhưng những gì Ksplice có thể làm cho bạn rất nhiều ....

  • Cải thiện an ninh vì nó cho phép vá lỗi mà không có thời gian chết, điều này có thể cực kỳ quan trọng trong môi trường rất nhạy cảm.

  • Cải thiện tính ổn định vì nó cho phép vá lỗi mà không có thời gian chết, mọi thứ có thể được cải thiện trong khi không có thời gian để khởi động lại.

  • Cải thiện hiệu suất vì nó cho phép vá lỗi mà không có thời gian chết, chỉ áp dụng những gì bạn cần cho những gì bạn cần nó để làm.

  • Cải thiện hoạt động ủng hộ vì nó cho phép vá lỗi mà không có thời gian chết, do đó, thiết lập trang trại thử nghiệm cho các bản vá mới nóng là có thể trong khi dễ dàng trở lại trạng thái trước.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.