Рекомендации по автоматическому обновлению на неизменяемых серверах

Я использую упаковщик для создания неизменяемых серверов Ubuntu 20.04.

Как он может бесперебойно работать при автоматических обновлениях?

Поскольку образ не упакован, как раньше, обновления не применяются к новым экземплярам. Это означает, что при запуске автоматического обновления сервера необходимо будет выполнить полное обновление. Это проблематично, поскольку некоторые из них требуют перезагрузки + это продлевает время включения сервера.

Какова наилучшая практика автоматического обновления неизменяемых серверов?

3

security ubuntu-20.04 packer unattended-upgrades immutable

Источник

Niro 27 дек '21 в 19:09

1 ответ

Другие вопросы по тегам security ubuntu-20.04 packer unattended-upgrades immutable

John Mahowald 28 дек '21 в 03:02 2021-12-28 03:02 · Answer 1 · 2021-12-28 03:02

Мой тест на неизменяемые серверы Linux будет монтировать /usr только для чтения на протяжении всего срока службы хоста. Коробки Debian или Ubuntu с включенными автоматическими обновлениями не являются неизменяемыми.

Но вам все равно придется применять обновления. Новые неизменяемые образы следует создавать для каждого обновления пакета системного программного обеспечения. Да, много образов, но смысл неизменности в том, чтобы иметь известный набор пакетов, который меняется только при атомарной замене другим известным набором при перезагрузке.

При создании новых образов устанавливайте пакеты и обновляйте все до последних версий. Отключите автоматические обновления. Возможно, вообще удалите apt. Как это сделать, может быть разным: это могут быть сценарии предварительной настройки, команды последующей подготовки или что-то еще. Внесите все изменения в систему, прежде чем архивировать ее как образ.

В стране Red Hat есть ostree для системы атомарных обновлений и композитор, он же создатель образов, для создания образов в целом. У Ubuntu, возможно, есть ответ на этот вопрос.