Como você aborda o gerenciamento centralizado de patches para Linux?

8

Estou executando um ambiente Linux pequeno (mas crescente), composto por não mais que 10 servidores Linux.

O ambiente consiste em CentOS 5 e 6 e Oracle Linux 5 e 6. Todos esses são corrigidos individualmente por meio de seus repositórios yum apropriados.

Alguém pode sugerir um método de centralizar o gerenciamento de patches para esses servidores? Ouvi dizer que o Puppet costuma ser usado para fazer isso, mas nunca o usei e estaria interessado em ouvir outros administradores de sistema.

linux leftcase
fonte

Respostas:

7

A maioria das ferramentas de gerenciamento de configuração é realmente boa nisso. fantoche e Chef sendo dois dos mais populares, e radmind sendo o que eu uso.
A documentação da ferramenta específica fornecerá uma idéia de como implementar o gerenciamento de patches - ela varia de ferramenta para ferramenta.

Outras opções incluem um repositório centralizado yum / apt / qualquer que seja, e scripts caseiros para extrair patches em intervalos agendados (ou sob demanda), e também existem soluções comerciais de alguns dos principais fornecedores, alguns dos quais (como o RHN Satellite da RedHat ) são bastante excelente se você passar o tempo aprendendo como eles funcionam e realmente tirar proveito de suas capacidades.

Um item que ninguém apontou ainda que eu sinto que é importante notar é a homogeneidade - na medida do possível, torne os seus servidores engrenagens intercambiáveis ​​executando o mesmo software. Isso simplifica bastante o gerenciamento de patches (os mesmos patches precisam ir a qualquer lugar) e o IMHO facilita muito a vida à medida que o ambiente cresce.

voretaq7
fonte
Puppet e Chef parecem complexos, mas interessantes, e eu vou dar uma olhada. Marcarei sua resposta como minha resposta aceita, pois a) suporta os clientes e especificada na minha pergunta OOTB eb) parece a mais abrangente.
leftcase
O Puppet e o Chef são bastante complexos, mas o que você precisa saber para começar é bem baixo na curva de aprendizado. No momento em que você entrar em coisas realmente complicadas, ficará feliz por ter toda uma linguagem de programação dentro do seu sistema CM.
voretaq7
6

Eu recomendaria algo como Spacewalk . É basicamente a versão gratuita do software Satellite da Red Hat.

Eric
fonte
1
Especificamente "o projeto da comunidade upstream do qual o produto Red Hat Network Satellite é derivado".
Wesley
O Spacewalk parece incrível, mas parece um pouco PITA trabalhar com o Oracle Linux forums.oracle.com/forums/thread.jspa?threadID=2262193
leftcase
Infelizmente, nunca usei o Spacewalk com o Oracle Linux. Nós o usamos principalmente em uma loja do Fedora / CentOS, então eu não ajudaria muito nessa área. No entanto, eu assumiria que um produto tão popular teria seguidores suficientes que encontraram um método viável de usá-lo.
Eric
4

Como você está visualizando o Linux, faça o checkout de um próximo projeto da Redhat: Pulp .

A celulose é uma solução mais moderna para o problema, que visa especificamente o gerenciamento de pacotes e patches, a auditoria etc. A celulose faz apenas pacotes e Yum, e deixa o gerenciamento do Config para fantoche / chef, que é como deveria ser. Tem uma API Rest para scripts etc.

Eu não sou fã de Spacewalk / Satellite, mas YMMV.

Agora não
fonte
Pulp parece interessante, mas também parece bastante novo e não me parece imediatamente como seria possível configurar os clientes Oracle Linux como usá-lo.
leftcase
Pulp parece interessante, eu me pergunto o quão bem ele suportará os BSDs (no momento, todo o material de gerenciamento de patches que eu vejo está fortemente ligado aos gerenciadores de pacotes, então caras como eu, que make worldcostumamos fazer nossos patches, ainda estão presas a algo como radmind para distribuir os Alterações ...)
voretaq7
@leftcase Tudo que o celp faz é instalar um agente que pode adicionar / modificar os arquivos de configuração do yum. Eu usei no CentOS e RHEL, e tenho certeza que o Oracle linux funcionará da mesma forma. Além disso, o agente reporta atividades de volta a um servidor central e consulta o servidor para executar comandos relacionados ao pacote.
Não agora
3

Sim, usamos o fantoche para um patch de cluster grande e gerenciamento administrativo. Outra alternativa para conjuntos pequenos é criar um repositório yum local e implantar alterações com o empacotamento RPM personalizado.

Chakri
fonte