A proc musi byt nase provozni prostredi za kazdou cenu ihned updatovano?
Verze z OpenVZ jeste neni stabilni. Co kdyz za tu chybu muze jejich oprava? v RH kernelu z RH 6 rady bych vinu primarne nedaval
Obecne se s opravami alespon nejakou doby pocka, pak se vezme testovaci jeden box a az pote se updatuje...
Zeptejte se spravcu Win serveru, jak to delaji, jak radeji nekolik dnu pockaji - za cenu zvyseneho kratkodobeho rizika.
Skutecen ta opravovana chyba byla tak zasadni, aby se ihned muselo updatovat cele VPSfree? Neumim to posoudit, ale nekolik dnu se mohlo pockat a jet pak postupne
Az vyda OpenVZ stabilni jadro, to budeme znova updatovat?
Dne 17.9.2014 14:57, Pavel Snajdr napsal(a):
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Abych to trosku podlozil, pro ty, co jsou lini si o tom neco najit a radsi budou delat akorat chytry :))
OpenVZ akorat vcera vydalo testing kernel 042stab093.5, ktery rebasuje nad RHEL6 kernel 2.6.32-431.29.2.el6 - da se cekat, ze tak do tydne max vyjde jako stable.
https://rhn.redhat.com/errata/RHSA-2014-1167.html https://access.redhat.com/security/cve/CVE-2014-0205 https://access.redhat.com/security/cve/CVE-2014-3535 https://access.redhat.com/security/cve/CVE-2014-3917 https://access.redhat.com/security/cve/CVE-2014-4667
Z toho jsme affected CVE-2014-0205.
Takze tak.
Jeste nejaky poznamky od expertu, co se do toho vyznaji?
/snajpa
On 09/17/2014 02:41 PM, Pavel Snajdr wrote:
On 09/17/2014 02:31 PM, Vaclav Dusek wrote:
Pokud nejsou pro upgradde jádra či jiné komponenty _vážné_ důvody, NENÍ důvod upgradovat. Pro provoz to platí _dvojnásob_.
A že vyšla nová verze, která neřeší žádný z problémů (bezpečnostních / výkonových) _NENÍ_ důvod provádět upgrade.
Souhlasim. Takove bezduvodne aktualizace nedelame.
Projdi si OpenVZ changelog a RHEL6 kernel changelog a uvidis.
Od toho jsou to stable supported kernely.
/snajpa
Dne 17.9.2014 14:25, Pavel Snajdr napsal(a): On 09/17/2014 02:17 PM, Vaclav Dusek wrote:
Chapu,
ale jsou ty důvody, proc se dělají změny v produkci tak často, skutečne relevantní?
Základní poučka admina/správce přece zní:
Když ti něco funguje, tak se v tom zbytečně nehradej :D
Tobe prijde normalni updatovat jadro jednou za rok na produkcnich strojich? A to to jeste nedelame zdaleka tak casto, jak bychom meli!
/snajpa
Dne 17.9.2014 14:09, Pavel Snajdr napsal(a): > -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 > > On 09/17/2014 02:06 PM, Pavel Snajdr wrote: >> On 09/17/2014 01:54 PM, Vaclav Dusek wrote: >>> Ahoj, >> >>> nikdo si nemůže dovolit testovat na koncových >>> zákaznících v produkčním prostředí. Produkční >>> prostředí je od toho, aby bylo maximálně stabilní za >>> cenu jisté konzervativnosti v "zastaralých" verzích >>> aplikací. >> >>> Jediné řešení vidím v jasném rozdělení VPSfree na 2 >>> nezávislé větve >> >>> - produkce/provoz, tj. stabilita, konzervativnost, >>> minimum změn, pouze bezpečnostní aktualizace >> >>> - development, tj. testování nových věcí, které se >>> po určité době přenášejí do produkce, a nebo aplikují >>> na nové servery, které se stávají později produkcí. >> >> Coz je strasne pekna teorie, ano. >> >> Jak rikam, ja ty veci testuju, nez jdou do production. >> >> Uzivatele, kterym nevadi vypadky, v drtivy vetsine >> skoro nic neprovozujou - cili je to jeste horsi, nez >> muj testing env. Opravte mne, jestli se mylim, ale kdyz >> uz mam nejakou zatez, vetsinou mam duvod, proc ji mam >> => je to production. >> >> Jak je ostatne videt na playgroundu :) > > Ale abych Ti nekrivdil, pravda je, ze ten problem s > MySQL by se nejspis projevil, jelikoz ja mam MySQL vsude > uz od prvnich experimentu se ZFS s vypnutym native AIO. > > Nicmene ne nestabilita, coz je nevetsi pain point IMHO. > > /snajpa > >> >> /snajpa >> >> >>> Uživatelé, kterým nevadí výpadky a potřebují >>> poslední nové věci, ať dobrovolně vstoupí do devel >>> větve a mají např. nižší poplatek za provoz, větší >>> disk apod. >> >>> Jiní ať pracují v produkční větvi, protože si výpadky >>> _nemohou_ dovolit. Mohou tak získávat postupně více >>> devítek v dostupnosti, přibližovat se postupně k 6 >>> sigma :) >> >>> Současný stav mi přijde nešťastný. >> >> >>> Dne 17.9.2014 13:20, mrkva@mrkva.eu napsal(a): >>>> Ahoj, na tohle jsi prisel jak? >>>> >>>> On 17.9.2014 11:26, Tomáš Valoušek wrote: >>>>> Ahoj...