Agendamento de patch sutil para o cluster do Windows 2003

Navegue suas respostas
7

Temos um cluster de 75 nós Win2k3 funcionando em um cluster de computação de granulação grossa. O cluster está por trás de uma montanha de firewalls e reside em sua própria VLAN. Trabalhos de todos os tamanhos e tipos são executados no cluster e todos os executáveis executados são personalizados.

(ed: notas adicionais sobre nossos executáveis) As tarefas variam de 30 segundos a 7 dias de duração, e podem conter um executável ou 2000 subempregos (de curta duração). Obviamente, estamos tentando evitar a situação em que nossa TI programa uma reinicialização durante um trabalho de produção de 7 dias.

Temos software de agendamento que acomoda todas as tarefas normais para um cluster de granulação grossa e podemos controlar quais máquinas estão ativas para envio, etc. Se o WSUS foi de alguma forma programável por script (ou o cliente pôde declarar sua disponibilidade para desligamento) poderíamos coordenar os dois sistemas e ajudar.

Atualmente, o agendamento de patches é o domingo após o Super Tuesday, independentemente do que está sendo executado no cluster. Temos que pedir uma isenção toda vez que quisermos atrasar o patch de uma máquina para um trabalho de produção de longa duração. Basicamente, embora nosso grupo seja responsável pelas máquinas, temos pouco controle sobre o cronograma de patches de TI.

  1. A atualização mensal é feita com a programação do MS para um cluster do Windows de produção?
  2. Existem ganchos de software no WSUS nos quais podemos dizer "por favor, não reinicialize ainda"?
por user7116 18.01.2010 / 18:38

3 respostas

3

1.Is patching monthly with MS's schedule sane for a production Windows cluster?

Sim, no entanto, um cluster não deve ter qualquer tempo de inatividade associado a um patch, pois ele deve reprovar os jobs em outro nó - NÃO aplicaria patch em todo o cluster ao mesmo tempo (seria insano)

2.Are there software hooks in WSUS where we could say, "please don't reboot just yet"?

Não há como os usuários finais interromperem uma atualização ou reinicialização do WSUS, mas parece que você tem um problema real de comunicação entre seu grupo e o grupo de TI; no entanto, você deve ser capaz de perder 1 nó por vez, com pouco impacto na produção.

    
por 18.01.2010 / 18:57
3

Ao usar o Config Mgr para gerenciar a implantação de atualizações, você pode impedir que os servidores sejam reinicializados. Portanto, as atualizações são aplicadas (mas podem não estar em vigor até a reinicialização) e a TI terá relatórios mostrando os servidores que estão aguardando uma reinicialização. Eles podem facilmente lhe dar essa lista e espero que você possa facilmente agendar as reinicializações de nós específicos sem muita interupção. A TI pode facilmente ter uma implantação à prova de falhas (com reinicializações forçadas) e um longo prazo de prazo final, para que isso acabe forçando as atualizações e reinicializações caso você não consiga manter seu lado do negócio!

Para as implementações de atualização padrão, a TI (e você) provavelmente desejará prazos muito curtos em totalmente silenciosa (implantação sem reinicialização) e também uma implementação de prazo um pouco mais longa que não é silenciosa, portanto você verá uma notificação se fizer login o servidor. Nenhuma dessas implantações deve forçar a reinicialização.

Você ainda pode se deparar com a situação em que algo falha quando uma biblioteca ou outro componente de código é atualizado enquanto não está em uso e, em seguida, é usado antes de a reinicialização fazer o restante das atualizações entrar em vigor.

Esta é uma maneira eficiente de obter o que você e a TI desejam e cada um de vocês tem alguma visibilidade do que está acontecendo. O relato de quais servidores estão em que estado, de acordo com as implantações, é realmente útil para ambos também.

    
por 11.01.2011 / 12:34
1

Parece que você está recebendo muita atitude de 'conversar com a mão' do seu departamento de TI. Você precisa sentá-los (ou suborná-los com cerveja?) Explicar sua situação & veja se eles podem fazer algo como criar um servidor WSUS downstream com aprovações manuais de patch.

As configurações do WSUS são todas definidas pelas Diretivas de Grupo, definidas no diretório ativo no nível do domínio ou da unidade organizacional. Se os servidores estiverem no domínio corporativo sem uma UO separada, eles obterão o que todo mundo está obtendo, o que não parece apropriado.

Se você não conseguir resolver o problema com seu departamento de TI, remova os computadores do domínio?

    
por 21.01.2010 / 16:21

Tags

pptp (pon) falha quando chamado via cron (debian) Parando os traficantes de quebrar meu repositório central do Mercurial [fechado]