Bạn có nên chạy cập nhật tự động


15

Tôi đang chạy các máy chủ web Centos. Tôi muốn biết những gì là thực hành tốt nhất để chạy cập nhật. Tôi nên tự động hóa điều này với yum-cron hoặc yum-Updatesd? Hoặc có nguy cơ cập nhật phá vỡ các trang web để tốt hơn là cập nhật trên máy chủ thử nghiệm và sau đó chạy cập nhật thủ công hàng tuần?

Phần lớn các máy chủ chỉ sử dụng các kho lưu trữ chính thức nhưng một số có kho lưu trữ nguyên tử cho các mô-đun PHP không có sẵn. Điều gì tốt nhất trong trường hợp này? Tôi có thể đặt yum chỉ sử dụng Nguyên tử cho các mô-đun PHP không? Tôi không muốn mọi thứ cập nhật lên các công cụ mới nhất trong Atomic, tôi tin tưởng hơn là Centos (hoặc thực sự là Red Hat) để giữ cho máy chủ của tôi ổn định và an toàn.

Câu trả lời:


11

Có những ưu và nhược điểm đối với cả hai cách, và bạn thực sự cần phải làm việc thông qua kiến ​​trúc hệ thống của mình để biết cách nào là tốt nhất cho bạn. Bất cứ con đường nào bạn đi, bạn nên hiểu lý do tại sao bạn chọn phương pháp đó và những nhược điểm là gì để bạn có thể bù đắp cho chúng.

Dưới đây là một số điều cần xem xét:

  • Cập nhật bảo mật phải luôn được áp dụng theo cách này hay cách khác, và sớm hơn là muộn hơn. Nếu máy chủ của bạn không nhận được cập nhật bảo mật được áp dụng kịp thời vì bất kỳ lý do gì, hãy khắc phục thói quen sysadmin của bạn.

  • Cập nhật distro thường tốt, đặc biệt nếu chúng là từ các nguồn chính thức. Nếu bạn cảm thấy không thoải mái khi áp dụng chúng, có lẽ bạn không sử dụng bản phân phối tốt nhất cho nhu cầu của mình. Bạn nên sử dụng một bản phân phối phù hợp với phương pháp của bạn. Nói cách khác, một thứ mà bạn có thể tin tưởng các bản cập nhật sẽ được bạn quan tâm nhất. Nếu chúng di chuyển quá nhanh hoặc thay đổi phần mềm phá vỡ nội dung của bạn, có lẽ bạn nên sử dụng một bản phân phối khác.

  • Cập nhật có thể phá vỡ công cụ của bạn. Việc chuyển sang phần mềm mới hơn có thể phá vỡ mã của bạn nếu bạn sử dụng các tính năng không dùng nữa hoặc chỉ viết nội dung xấu. Bạn nên xem xét một kiến ​​trúc hệ thống cho phép bạn kiểm tra sản phẩm của mình trên các bản cập nhật trước khi chạy chúng trên các hệ thống sản xuất.

  • Nếu bạn sử dụng các tính năng tự động cập nhật, bạn sẽ luôn có cách quay lại các cấu hình hoạt động đã biết. Ảnh chụp nhanh toàn hệ thống có thể là một trình bảo vệ cuộc sống nếu một số cập nhật phá vỡ sản phẩm của bạn trên một hệ thống sản xuất.

Đây không phải là một danh sách đầy đủ, chỉ là một vài điều để bạn suy nghĩ. Cuối cùng, đây không phải là quyết định mà bất kỳ ai khác có thể đưa ra cho bạn. Bạn là quản trị viên. Biết hệ thống của bạn. Biết bản phân phối của bạn.


6

Tôi đồng ý 100% với những gì Caleb đã nói. Một số khía cạnh cụ thể hơn về CentOS từ tôi:

Việc phân phối dựa trên RedHat và các bản vá của nó. Các bản vá đó được kiểm tra rất tốt và trong 4 năm qua chúng tôi đã sử dụng CentOS 5 với hơn 50 máy chủ, chưa bao giờ có bản vá xấu.

NHƯNG: Mặc dù chúng tôi tự động áp dụng tất cả các bản vá hàng ngày cho các máy chủ chỉ chạy công cụ phân phối, chúng tôi khởi động máy chủ sản xuất (sau khi cập nhật glibc hoặc kernel) chỉ sau khi chúng tôi có các hệ thống thử nghiệm chạy trong cấu hình đó vài ngày.

Đối với các kho lưu trữ khác, chúng tôi phản chiếu chúng vào một thư mục dàn. Những bản vá này được áp dụng cho các máy chủ thử nghiệm đầu tiên. Nếu nó được chứng minh rằng không có gì phá vỡ, chúng tôi kích hoạt thư mục dàn và sao chép nó vào một kho lưu trữ sản xuất.

Tự động vá có tác dụng phụ là các thành phần được vá thường được khởi động lại - vì vậy nếu bạn định cấu hình sai chúng sau khi khởi động thì khởi động lại sẽ thất bại ..

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.