Zivot s FreeBSD servery

Dan Lukes dan at obluda.cz
Wed Jan 19 09:58:35 CET 2005


Pavlicek Jaroslav Ing. napsal/wrote, On 01/19/05 09:12:
> 1. jak udrzujete produkcni server(y) up-to-date?

	Jedna vec je samotny system. Ten rozhodne neudrzuju aktualni "kazdou 
noc" - do jiz jednou vydane RELEASE se podle pravidel zasahuje jen pri 
vyskytu bezpecnostnich chyb - a takova, kdyz se objevi, tak k ni zase je 
vydane SA. A ty mi chodi mailem, takze se o tom dozvim.

	A kdyz uz to nastane, tak pomoci cvsup na jednim "centralnim" stroji 
necham udelat update zdrojoveho stromu, provedu "make buildworld", 
prelozim vsechna jadra - a pote pomoci NFS vyexportuji /usr/src a 
/usr/obj, pripojim je na vsech strojich, ktere jest treba updatovat - a 
na nich uz jen provedu "mergemaster -p ; mergemaster ; make KERNNAME=xxx 
installworld installkernel" (a pak reboot, samozrejme)

	Ano, pri teto konfiguraci je treba udrzet nektere konfiguracni zasady 
spolecne (napriklad takhle nelze nekde mit IPFW1 a jinde IPFW2) coz 
znamena, ze nez nekde neco napisu do /etc/make.conf musim posoudit 
dopady - a pak pripadne stejnou vec zapsat do vsech /etc/make.conf, 
nicmene, v praxi se tenhle problem neukazuje jako zavazny ...

	Vlastni "installworld" pak neprovadim v single modu. Popravde receno, 
provadim ho typicky za plneho provozu (nevyhazuju ani uzivatele) a na 
dalku. Bezpecnostni opravy jsou obvykle takoveho razu, ze to tak lze 
udelat celkem bez rizika.

	Kdyz jde o upgrade mezi minor verzemi - i ten vetsinou delam zaziva. 
Pokud to je mozne zastavim sluzby a vyhodim uzivatele.

	Zcela jinak je to pri upgrade mezi major verzemi. Tam obecna pravidla 
IMHO neexistuji. Nicmene, tahle situace zas tak casto nenastava.

	S ohledme na ulehceni si vlastni prace se zasadne snazim NEMIT na 
ruznych produkcnich strojich ruzne verze OS. Ano, kdyz prijde "cas 
update" je to, pri soucasnem poctu nekde okolo dvaceti stroju, prace na 
zhruba sestnact hodin (je ale pravda, ze pri te prilezitosti obvykle 
delam i update packages). Oono se to ale nedeje casto a mezitim je klid 
a nemusim resit, ze neco se na 4.10 dela jinak nez na 4.8 ...

   -----

	Co se nainstalovanych aplikaci tyce - ne, ani ty neupgraduji kazdou 
noc. Jen pokud se dozvim o oprave bezpecnostni chyby a/nebo potrebuji 
nejakou novou feature nove verze.

	Nepravidelne pak projdu vsechny stroje, pomoci pkg_version zjistim jak 
hodne stare jsou tam package, stahnu nove a provedu pkg_update. 
Mimochodem, na rozdil od OS kde na produkcnich strojich pouzivam 
RELEASE, packages vzdy beru ze STABLE.

> 2. ctete logy, ktere se generuji kazdou noc / tyden / mesic?

Ano. Presneji receno, nectu, prolistuju. Po tolika letech uz vetsinou i 
pri velmi rychlem scrolovani dokazu zdetekovat "zmenu rytmu" 
naznacujici, ze tentokrat je v LOGu neco neobvykleho.

> 3. pouzivate nekdo lepsi metody sledovani systemu
> ... zatizeni systemu ?

	Ne. Zatizeni systemu aktivne nesleduju. Problem tohoto typu se obvykle 
projevi i jinde nez ve statistice - a tim se na nej prijde.

	Nicmene, dovedu si predstavit, ze napriklad zatizeni sledujete prubezne 
pomoci net_snmp + mrtg - to by vam kreslilo grafy s petiminutovymi 
hodnotami ...

> delate to tak, ze mate vedle jeste jeden pracovni stroj, kde si pripravite balicky a konfiguraci, kterou pak nalijete na ostry server?

	Vlastne ano. Ale balicky se v maximalni mire snazim vyuzivat ty 
"predkousane". Vlastni (z portu) vyrabim jen tam, kde to neni mozne. A 
to je, kdyz se tak probiram pameti a svymi konfiguracemi, v mem pripade 
jen php5.

	Ale gcc z produkcnich stroju ani tak neodstranuji ...

						Dan



More information about the Users-l mailing list