a produção do ksplice está pronta?

15

Eu estaria interessado em ouvir as experiências da comunidade de falha de servidor com Ksplice em produção.

Sinopse rápida da wikipedia:

Ksplice is a free and open source extension of the Linux kernel which allows system administrators to apply security patches to a running kernel without having to reboot the operating system.

e

Ksplice can, without restarting the kernel, apply any source code patch that only needs to modify the kernel code. Unlike other hot update systems, Ksplice takes as input only a unified diff and the original kernel source code, and it updates the running kernel correctly, with no further human assistance required. Additionally, taking advantage of Ksplice does not require any preparation before the system is originally booted (the running kernel does not need to have been specially compiled, for example). In order to generate an update, Ksplice must determine what code within the kernel has been changed by the source code patch.

Então, algumas perguntas:

Como tem sido a estabilidade? Quaisquer problemas estranhos que você tenha encontrado com seu 'patch sem reinicialização ao vivo' do kernel? Kernel pânico ou histórias de terror?

Eu tenho executado em alguns sistemas de teste e até agora tem funcionado como anunciado, mas estou interessado em que outras experiências de administradores de sistemas foram com o Ksplice antes de ir all-in e implementar isso em nossos servidores de produção.

Então, alguém usando o Kspice em produção?

update: hmm, não vendo nenhuma atividade real nesta questão depois de algumas horas (além de alguns tipos de upvotes e favs). Talvez para desencadear alguma atividade eu também farei mais algumas perguntas e veja se podemos fazer esta discussão ...

"Se você está ciente do Ksplice, existe um motivo para você não usá-lo?"

"Você sente que ainda é muito sangrento, não testado ou não testado?"

"O Ksplice não se encaixa bem no seu sistema atual de gerenciamento de patches?"

"Você odeia ter sistemas que tenham tempo de funcionamento longo (e seguro)?" ; -)

    
por faultyserver 26.10.2009 / 18:40

6 respostas

9

(Primeiro, um aviso: Eu trabalho para o Ksplice.)

Nós o usamos em nossa própria infraestrutura de produção, naturalmente, mas o mais importante é o mesmo que nossos mais de 500 clientes corporativos (número a partir de dez '10).

Um sysadmin faz a mesma pergunta em uma lista de usuários do Red Hat Enterprise Linux , e é recebido com várias respostas, algumas das quais são extraídas abaixo:

We've been running Ksplice in production for a few months on a dozen or so hosts. So far it works as advertised.

e

I have > 500 machines under my control, about 445 of them are connected to uptrack (rhel 4 & 5). We used ksplice to block a few root exploits before we had a chance to reboot machines. Since we are still testing we rolled out the new kernel anyway but I've run for weeks ksplice'd without a problem.

Uma preocupação expressa pelas pessoas não é sobre a estabilidade, mas sim sua integração com as ferramentas existentes de auditoria e monitoramento:

The only "gotcha" about using ksplice is that there aren't any "ksplice-aware" auditing tools available yet.

Como você pode imaginar, essa é uma área em que estamos investindo pesado.

    
por 17.12.2010 / 06:49
5

Eu ouvi falar do Ksplice e na época achei que era uma boa ideia. Sem tempo de inatividade, sem reinicialização. Mas então eu olhei para isso um pouco mais e fiquei com medo de tentar.

Minhas razões para evitar isso são:

  • O kernel do Linux já é muito complexo. O Ksplice aumenta a complexidade. Mais complexidade = mais para falhar.

  • Será imprudente experimentar o Ksplice em um servidor remoto, onde a falha causaria um longo tempo de inatividade e um reparo caro.

  • O único benefício no meu caso seria uma estatística de tempo de atividade maior.

por 26.10.2009 / 22:11
4

Eu tenho usado o Ksplice no meu servidor doméstico (onde o tempo de atividade não é crítico, mas é bom de se ter). Não tive nenhum problema com isso - atualizações ocasionais através do Apt para o cliente, nunca quaisquer problemas com as atualizações do kernel e nenhuma instabilidade (perceptível).

A renúncia usual "YMMV" aplica-se, no entanto! ; -)

    
por 26.10.2009 / 23:46
2

O Ksplice é uma extensão de kernel de código aberto, mas lembre-se de que, embora o software seja gratuito e esteja disponível para qualquer pessoa, ele é criado especificamente para uma empresa que faz o gerenciamento de patches do Linux (também chamado de "Ksplice"). O Ksplice (o mod do kernel) é realmente útil apenas se você tiver patches usáveis pelo ksplice para o seu kernel, o que você provavelmente nunca verá a menos que tenha um contrato de suporte com o Ksplice (a empresa).

Portanto, embora o ksplice (a ferramenta) esteja razoavelmente maduro, isso só é relevante se você estiver pensando em usar o Ksplice (a empresa) para o gerenciamento de patches.

    
por 17.12.2010 / 07:23
1

Boa pergunta. Minha resposta inicial seria algo do tipo "por que fazer eu preciso disso?"

Provavelmente não precisa disso. Mesmo em uma configuração de cinco noves, a "manutenção programada" geralmente é uma cláusula em um SLA que permite esse tipo de tempo de inatividade. Se você tiver uma configuração de HA, mude para o failover, instale o kernel em uma caixa, reinicialize e repita na outra. Se você não puder pagar até cinco minutos de inatividade em uma caixa, precisará de uma configuração de failover de qualquer maneira.

Embora seja uma tecnologia nova, ainda não vejo muita utilidade pragmática. Atualizações de segurança do kernel são necessárias, é claro, e devem ser corrigidas o mais rápido possível, mas quanto tempo / esforço / preocupação isso economiza você ao invés de simplesmente instalar um novo kernel e reinicializar? E se algo der errado? Quanto tempo você perdeu com a nova imagem do sistema, supondo que você tenha a sorte de ter uma opção de recuperação do tipo PXE?

Além disso, como mencionado acima, experimentar remotamente uma tecnologia como essa pode ser uma catástrofe se ocorrer um erro em vários servidores. Em seu teste, você está usando exatamente o mesmo hardware que está no DC? O que funciona bem em uma máquina pode não ser legal em outra.

Apenas meus US $ 0,02.

    
por 27.10.2009 / 01:02
-1

Já faz muito tempo, mas o que o Ksplice pode fazer por você é muito ...

  • Segurança aprimorada, uma vez que permite correções on-line sem tempo de inatividade, isso pode ser extremamente importante em ambientes altamente sensíveis.

  • Estabilidade aprimorada, uma vez que permite correções on-line sem tempo de inatividade, as coisas podem melhorar enquanto não há tempo para uma reinicialização disponível.

  • Desempenho aprimorado, pois permite correções on-line sem tempo de inatividade, aplicando exatamente o que você precisa para o que precisa fazer.

  • Melhoria da pró-atividade, pois permite correções on-line sem tempo de inatividade, portanto, é possível configurar um farm de teste para novos patches novos, ao mesmo tempo em que facilmente reverte para um estado anterior.

por 20.06.2013 / 10:43