Datum a čas: 2019-03-08 17:00 CET Očekavaná délka: 40 minut Oznámení se týká serverů: node1.stg Typ odstávky: restart Důvod: Aktualizace OS Odstávku řeší: Jakub Skokan, Richard Marko

U všech VPS budeme měnit seccomp profil pro povolení přístupu ke kernel keyringu. V minulosti jsme s tím měli potíže, např. systemd nestartoval některé služby. Teď už mají všechny VPS alokován svůj vlastní keyring, takže by to mělo být v pohodě. VPS s povoleným Dockerem už tenhle profil používají, u těch se nic nemění.

Pokud máte na stagingu VPS se systemd a službami jako web server nebo databáze, můžeme ten profil zkusit změnit i teď a ověřit že to bude v pořádku. Může se to lišit podle distribuce a verze systemd. Změna vyžaduje jen restart VPS, kdo máte zájem ozvěte se prosím na IRC.

ENGLISH: Date and time: 2019-03-08 17:00 CET Expected duration: 40 minutes Affected systems: node1.stg Maintenance type: restart Reason: OS upgrade Handled by: Jakub Skokan, Richard Marko

We'll be changing seccomp profiles of all VPS to enable access to kernel keyring. We've had issues with this in the past, e.g. systemd failed to start certain services when the keyring was enabled. Now that each VPS has its own keyring allocated, it should work just fine. VPS with Docker feature already use this profile, so no changes there.

Nevertheless, if you have VPS on staging with systemd and some services such as web server or database and would like to be sure it's going to work, we can switch over VPS to the new seccomp profile even now. Please ping us on IRC if you'd like to try it. I've done some tests myself, but it may vary per distribution and systemd version.

-----BEGIN BASE64 ENCODED PARSEABLE JSON----- eyJpZCI6NTA2LCJwbGFubmVkIjp0cnVlLCJiZWdpbnNfYXQiOiIyMDE5LTAz LTA4VDE3OjAwOjAwKzAxOjAwIiwiZHVyYXRpb24iOjQwLCJ0eXBlIjoicmVz dGFydCIsImVudGl0aWVzIjpbeyJuYW1lIjoiTm9kZSIsImlkIjo0MDAsImxh YmVsIjoibm9kZTEuc3RnIn1dLCJoYW5kbGVycyI6WyJKYWt1YiBTa29rYW4i LCJSaWNoYXJkIE1hcmtvIl0sInRyYW5zbGF0aW9ucyI6eyJlbiI6eyJzdW1t YXJ5IjoiT1MgdXBncmFkZSIsImRlc2NyaXB0aW9uIjoiV2UnbGwgYmUgY2hh bmdpbmcgc2VjY29tcCBwcm9maWxlcyBvZiBhbGwgVlBTIHRvIGVuYWJsZSBh Y2Nlc3MgdG8ga2VybmVsIGtleXJpbmcuIFdlJ3ZlIGhhZCBpc3N1ZXMgd2l0 aCB0aGlzIGluIHRoZSBwYXN0LCBlLmcuIHN5c3RlbWQgZmFpbGVkIHRvIHN0 YXJ0IGNlcnRhaW4gc2VydmljZXMgd2hlbiB0aGUga2V5cmluZyB3YXMgZW5h YmxlZC4gTm93IHRoYXQgZWFjaCBWUFMgaGFzIGl0cyBvd24ga2V5cmluZyBh bGxvY2F0ZWQsIGl0IHNob3VsZCB3b3JrIGp1c3QgZmluZS4gVlBTIHdpdGgg RG9ja2VyIGZlYXR1cmUgYWxyZWFkeSB1c2UgdGhpcyBwcm9maWxlLCBzbyBu byBjaGFuZ2VzIHRoZXJlLlxyXG5cclxuTmV2ZXJ0aGVsZXNzLCBpZiB5b3Ug aGF2ZSBWUFMgb24gc3RhZ2luZyB3aXRoIHN5c3RlbWQgYW5kIHNvbWUgc2Vy dmljZXMgc3VjaCBhcyB3ZWIgc2VydmVyIG9yIGRhdGFiYXNlIGFuZCB3b3Vs ZCBsaWtlIHRvIGJlIHN1cmUgaXQncyBnb2luZyB0byB3b3JrLCB3ZSBjYW4g c3dpdGNoIG92ZXIgVlBTIHRvIHRoZSBuZXcgc2VjY29tcCBwcm9maWxlIGV2 ZW4gbm93LiBQbGVhc2UgcGluZyB1cyBvbiBJUkMgaWYgeW91J2QgbGlrZSB0 byB0cnkgaXQuIEkndmUgZG9uZSBzb21lIHRlc3RzIG15c2VsZiwgYnV0IGl0 IG1heSB2YXJ5IHBlciBkaXN0cmlidXRpb24gYW5kIHN5c3RlbWQgdmVyc2lv bi4ifSwiY3MiOnsic3VtbWFyeSI6IkFrdHVhbGl6YWNlIE9TIiwiZGVzY3Jp cHRpb24iOiJVIHbFoWVjaCBWUFMgYnVkZW1lIG3Em25pdCBzZWNjb21wIHBy b2ZpbCBwcm8gcG92b2xlbsOtIHDFmcOtc3R1cHUga2Uga2VybmVsIGtleXJp bmd1LiBWIG1pbnVsb3N0aSBqc21lIHMgdMOtbSBtxJtsaSBwb3TDrcW+ZSwg bmFwxZkuIHN5c3RlbWQgbmVzdGFydG92YWwgbsSba3RlcsOpIHNsdcW+Ynku IFRlxI8gdcW+IG1hasOtIHbFoWVjaG55IFZQUyBhbG9rb3bDoW4gc3bFr2og dmxhc3Ruw60ga2V5cmluZywgdGFrxb5lIGJ5IHRvIG3Em2xvIGLDvXQgdiBw b2hvZMSbLiBWUFMgcyBwb3ZvbGVuw71tIERvY2tlcmVtIHXFviB0ZW5obGUg cHJvZmlsIHBvdcW+w612YWrDrSwgdSB0xJtjaCBzZSBuaWMgbmVtxJtuw60u XHJcblxyXG5Qb2t1ZCBtw6F0ZSBuYSBzdGFnaW5ndSBWUFMgc2Ugc3lzdGVt ZCBhIHNsdcW+YmFtaSBqYWtvIHdlYiBzZXJ2ZXIgbmVibyBkYXRhYsOhemUs IG3Fr8W+ZW1lIHRlbiBwcm9maWwgemt1c2l0IHptxJtuaXQgaSB0ZcSPIGEg b3bEm8WZaXQgxb5lIHRvIGJ1ZGUgdiBwb8WZw6Fka3UuIE3Fr8W+ZSBzZSB0 byBsacWhaXQgcG9kbGUgZGlzdHJpYnVjZSBhIHZlcnplIHN5c3RlbWQuIFpt xJtuYSB2ecW+YWR1amUgamVuIHJlc3RhcnQgVlBTLCBrZG8gbcOhdGUgesOh amVtIG96dsSbdGUgc2UgcHJvc8OtbSBuYSBJUkMuIn19fQ== -----END BASE64 ENCODED PARSEABLE JSON-----