Atualizações do sistema para muitos servidores

Temos muitos servidores e ainda queremos atualizá-los todos. A maneira real é que qualquer um dos administradores de sistema vá de servidor em servidor e faça um aptitude update && aptitude upgrade- ainda não é legal.

Estou procurando agora uma solução que seja ainda melhor e muito inteligente. O fantoche pode fazer este trabalho? Como você faz isso?

Você pode usar o exectipo como:

exec { "upgrade_packages":
    command => "apt-get upgrade -q=2",
    path    => "/usr/local/bin/:/bin/:/usr/bin/",
    # path  => [ "/usr/local/bin/", "/bin/" ],  # alternative syntax
}

Para ser sincero, eu não tentei, mas acho que você só precisa criar um novo módulo que inclua essa definição de exec.

O apt-get upgradecomando é interativo. Para fazê-lo funcionar silenciosamente, você pode adicionar a opção -q=2como mostrado acima.

se todos os seus hosts forem debian, você pode tentar o pacote de atualizações autônomas.

http://packages.debian.org/sid/unattended-upgrades

Aqui estamos usando o puppet para gerenciar nossas máquinas virtuais debian, com o puppet somos capazes de habilitar e gerenciar configurações de atualização sem precedentes em todos os servidores.

Recentemente, nossa equipe está testando a ferramenta mcollective para executar comandos em todos os servidores, mas para usar as habilidades de Ruby do mcollective são necessárias.

[s] Guto

Eu recomendaria ir para Puppet, facter e mCollective.

O mCollective é uma estrutura muito boa, na qual você pode executar comandos em uma série de hosts (em paralelos) usando o filtro como filtro.

Acrescente a isso um proxy / cache local e você estará bem definido para o gerenciamento de servidores.

Use uma ferramenta feita para executar um único comando em vários servidores. E com isso não quero dizer ter um kazillion de terminais abertos com o Terminator ou o ClusterSSH, mas sim um único terminal para um servidor de gerenciamento executando uma ferramenta adequada para o trabalho.

Eu recomendaria func, Salt ou mCollective neste contexto. Se você já possui o Puppet, escolha o mCollective (ele se integra perfeitamente ao Puppet). Se não, e você tem um Python antigo em suas máquinas, pode desfrutar de func. Se você usa Python de novo, tente o Salt. Todas essas ferramentas executam o comando especificado na linha de comando de forma assíncrona, o que é muito mais divertido do que um loop ssh seqüencial ou mesmo executando os mesmos comandos de aptidão em várias janelas do Terminator em vários servidores.

Você definitivamente vai adorar Salt .

Então, acho que há muitas coisas que contribuem para uma boa solução:

• Largura de banda
• Facilidade de administração
• Registro detalhado no caso de algo estragar.

Largura de banda : Basicamente, duas alternativas para economizar largura de banda vêm à minha mente:

• Configurando um espelho Debian e configurando todos os seus clientes para usar esse espelho, consulte http://www.debian.org/mirror/ para mais detalhes. (Eu recomendaria isso)
• Configurando um proxy (apt-cacher, apt-proxy ou Squid) e aumente o cache para que todos os seus clientes possam lucrar com esse cache

Administração : eu configuraria um shell paralelo como PDSH , PSSH , GNU Parallel e emitiria o comando em todos os clientes, se eu testasse o comando anteriormente em uma máquina de exemplo. Então não é muito provável que possa falhar em todos os outros. Como alternativa, você pode considerar um trabalho cron em todos os clientes, mas ele pode falhar automaticamente, então eu preferiria a primeira solução.

Se você se preocupa com a simultaneidade de atualizações, pode agendar seus comandos com at

Log : Como com shells paralelos, você tem a possibilidade de redirecionar a saída, eu combinaria stderr e stdout e gravaria em um arquivo de log.

Meu próprio wrapper ssh paralelo: classh é uma alternativa para as várias ferramentas ssh Parallel e cluster por aí.

Você pode gostar mais ou odiar. Existem apenas três razões pelas quais estou mencionando aqui:

• É extremamente simples de instalar e usar: um único arquivo .py sem dependências externas além das bibliotecas padrão do Python 2.5.
• É extremamente confiável dentro de seus limites. Eu o uso todos os dias úteis, geralmente quase 100 vezes por dia e geralmente em coleções de centenas a alguns milhares de alvos por comando. (Eu testei em listas de mais de 25 mil servidores por vez). Nunca falhou em executar, falhou em concluir ou me deu um comportamento indeterminado. (As únicas limitações relacionadas às do subprocess.communicate()método Python --- para que você possa obter apenas 64K de stdout e, separadamente, até 64K de stderr, por exemplo; também qualquer processo remoto que tente ler a partir de seu stdin simplesmente travará até que o sub-acesso local do ssh seja eliminado, automaticamente pelo tratamento de tempo limite do classh )

• É extremamente simples escrever um script personalizado, em Python, para usar o classh.py como módulo. Portanto, é muito fácil escrever algo como:

  
      !#/bin/env python
      import classh
      job = classh.SSHJobMan(cmd, targets)
      job.start()
      while not job.done():
          completed = job.poll()
          for i in completed:
              # do something with the classh.JobRecord object referenced by i
      # done
  
  
  # You can optionally do post-processing on the dictionary of JobRecords here
  #  keyed off the target strings (hostnames)    
  </code></pre>
  

É tudo o que há para isso. Por exemplo, no loop concluído aninhado, você pode reunir uma lista de todos aqueles que retornaram algum status de saída específico ou verificar mensagens de erro específicas e configurar tarefas de acompanhamento para lidar com elas. (Os trabalhos serão executados simultaneamente, o padrão é de 100 trabalhos a qualquer momento, até que cada um seja concluído; portanto, um comando simples em algumas centenas de hosts geralmente é concluído em alguns segundos e um script de shell muito complexo em uma única cadeia de comandos longa. digamos cinquenta linhas ou mais ... podem concluir mais de alguns milhares de hosts em cerca de 10 minutos ... cerca de 10 mil hosts por hora no meu ambiente, com muitos deles localizados intercontinentalmente).

Portanto, isso pode ser algo que você pode usar como uma medida ad hoc até que sua configuração de marionetes seja implementada e teste bem ... e também é útil para realizar pequenas pesquisas ad hoc de seus hosts para ver quais estão se desviando de seus padrões. várias pequenas maneiras.

A resposta usando exec é bastante útil.

No entanto, de acordo com o manual do apt-get, não é uma boa ideia usar -q = 2 dessa maneira (embora eu o tenha usado há anos sem problemas)

-q, --quiet
       Quiet; produces output suitable for logging, omitting progress indicators. More q's will produce more quiet up to a maximum of 2. You can also use -q=# to set the
       quiet level, overriding the configuration file. Note that quiet level 2 implies -y, you should never use -qq without a no-action modifier such as -d, --print-uris or
       -s as APT may decided to do something you did not expect. Configuration Item: quiet.

Eu mesmo tenho usado um script há anos, executando o apt-get da seguinte maneira:

ssh example.org "apt-get update && apt-get -y upgrade && apt-get -y dist-upgrade && apt-get clean"

Coisas como fantoches e outras ferramentas que as pessoas mencionaram com certeza podem funcionar, mas parece que é um exagero pelo que basicamente está apenas imitando alguns comandos digitados por um humano. Acredito em usar a ferramenta mais simples para um trabalho específico; nesse caso, um script bash é o mais simples possível sem perder a funcionalidade.

Por anos, eu estou felizmente atualizando e instalando pacotes usando o apt-dater . É uma ferramenta leve e eficaz para gerenciamento remoto de pacotes. Ele usa screen, sudoe ssh.
Para gerenciamento de pacotes, o apt-dater pode ser uma solução mais fácil do que as ferramentas de gerenciamento de configuração.
O apt-dater é útil para o gerenciamento centralizado de pacotes em diferentes tipos de GNU / Linux, como Debian e CentOS.

você pode usar o Fabric . O Fabric é uma biblioteca e ferramenta de linha de comando Python (2.5-2.7) para otimizar o uso do SSH para tarefas de implantação de aplicativos ou administração de sistemas.

use webmin ,,, e use seu recurso de cluster webmin, no qual você pode adicionar todos os sistemas a um console do webmin e emitir-lhes qualquer comando ou controle de todos eles em um único local.

Ou

Usar Cluster ssh

Ou

PSSH

Outra solução se todos os seus hosts estiverem executando o Debian (ou derivativos) é usar o pacote cron-apt . Mas, conforme sugerido pela documentação, um pouco de cuidado deve ser tomado.

Atualmente, estou usando o cron-apt em uma dúzia de servidores para executar todas as atualizações de segurança automaticamente e sem supervisão. Para evitar atualizações indesejadas, eu só uso o cron-apt em servidores que executam a distribuição estável Debian e certifico-me de configurar minhas fontes apt para usar o nome da distribuição, wheezy , e não seu apelido (stable).

A configuração específica do cron-apt que eu uso é resumida em um arquivo de ação: /etc/cron-apt/action.d/5-install

dist-upgrade -y -o APT::Get::Show-Upgraded=true -o Dir::Etc::SourceList=/etc/apt/sources.list.d/security.list -o Dir::Etc::SourceParts="/dev/null"

Qualquer outra atualização é feita manualmente, usando a tela ou o que for mais apropriado, pois pode exigir intervenção manual durante a atualização.