ClickCease Server jetzt oder später neu starten? (Weder noch, danke) - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Server jetzt oder später neu starten? (Weder noch, danke)

18. Dezember 2019. TuxCare PR Team

BANNER--01

Warst du auf der AWS re:Invent 2019?

Ich war dabei, und es war eine Offenbarung.

"Werden Sie Ihren Linux-Server in den nächsten 30 Tagen neu starten?"

Das habe ich fast jeden gefragt, der zum KernelCare-Stand kam.

Ein Drittel von Ihnen hat dies bejaht. Der Hauptgrund? Die Einhaltung der Vorschriften.

Das ist sinnvoll. Die meisten Compliance-Richtlinien schreiben Unternehmen vor, dass sie Sicherheits-Patches innerhalb von 30 Tagen nach der Veröffentlichung installieren müssen. Das Problem ist, dass bei Linux ein Patch für den Kernel einen Neustart des Servers bedeutet - es gibt einfach keine Möglichkeit, dies zu umgehen. (Oder etwa doch?)

Ich muss etwa 2000 Leute gefragt haben. Überlegen Sie, wie viele Server jeder von ihnen betreut. Dann multiplizieren Sie mit der Zeit, die ein Neustart nicht nur für die Durchführung, sondern auch für die Planung und Koordinierung benötigt. Selbst bei dieser kleinen Stichprobe ergibt sich ein erschreckender Aufwand an menschlicher Arbeit. Und Geld.

Neustart: Eine unbequeme Notwendigkeit

Linux Patch Management ist die schicke Art zu sagen, dass ein Server durch die Installation der neuesten Software auf dem neuesten Stand gehalten wird. Wenn es sich bei dieser Software um den Linux-Kernel handelt, ist das der häufigste Grund für Systemneustarts. Für große Unternehmen ist das Patchen von Sicherheitslücken keine Option - es ist eine Verpflichtung.

Eine typische Richtlinie zur Einhaltung der IT-Sicherheit enthält eine Klausel, die etwa so lautet:

 

"...Sicherheits-Patches müssen innerhalb von X Tagen nach Freigabe durch den Hersteller auf das System aufgespielt werden..."

 

X beträgt normalerweise 30 Tage. Aus diesem Grund werden in der Praxis die Patches von den Systemadministratoren in Stapeln zusammengestellt und in großen Mengen installiert, wobei die Arbeit in einem im Voraus geplanten Wartungsfenster durchgeführt wird, d. h. zu einem Zeitpunkt, zu dem alle Beteiligten zugestimmt haben, dass das System für kurze Zeit ausfallen darf. (Leider ist dieses Zeitfenster oft Samstagabend/Sonntagmorgen, wenn die Auswirkungen auf die Kunden am geringsten sind).

Die Planung dieses Zeitfensters kostet viel Mühe: Zeit, die in Sitzungen verbracht wird, Worte, die in E-Mails verschüttet werden, gebrochene Herzen bei Kompromissen. Und das ohne die verlorenen Wochenenden mit kaltem Kaffee und abgestandener Pizza. Während meiner Zeit auf der AWS re:Invent habe ich das Gefühl, dass 30 % der Linux-Systemadministratoren unnötig leiden.

Lesen Sie weiter: Die 10 wichtigsten Vorteile von Live-Patching mit KernelCare

Automatisierung: Eine unbedingte Notwendigkeit

Niemand sollte Patches manuell verwalten. Selbst für einen Server ist es ein enormer Aufwand, ihn auf dem neuesten Stand zu halten.

Sysadmins, die technischen Wesen, die sie sind, lieben es, solche Routineaufgaben zu automatisieren, besonders wenn sie große Serverflotten verwalten. Oft macht die Arbeit des Automatisierens mehr Spaß als das, was automatisiert wird. Es gibt auch noch andere Vorteile:

  • Es ist sicherer und weniger anfällig für menschliche Fehler.
  • Der Prozess kann aufgezeichnet und überprüft werden.
  • Es ist einfacher, sich die Arbeit und die Verantwortung zu teilen.

Es gibt viele Möglichkeiten, zu automatisieren. Schon die Entscheidung, welche man nutzen sollte, kann ein Hindernis sein. Zum Beispiel, sollten Sie:

  1. Ihr eigenes Automatisierungstool erstellen? Es gibt viele Skriptsprachen zur Auswahl, aber welche ist die beste, und haben Sie die Fähigkeiten, die Geduld und die Zeit?
  2. Verwenden Sie das bevorzugte Support-Tool des Herstellers? Red Hat hat Satellite (und Spacewalk, das Open-Source-Äquivalent), und Canonical hat Landscape, aber diese sind für ihre eigenen Plattformen und werden nur als Teil eines Supportpakets angeboten.
  3. Einen Dienst nutzen? Auch hier gibt es eine große Auswahl: Automox, GFI, Ivanti, Kaseya, ManageEngine, Pulseway, um nur einige zu nennen. Jemand muss sie sich ansehen, herausfinden, was sie tun, wie sie es tun und ob sie geeignet sind. In der Zwischenzeit kommen immer wieder Patches, die installiert werden müssen.
  4. Verwenden Sie ein Orchestrierungstool? Ansible, Chef oder Puppet sind einige Optionen, aber auch sie müssen ausprobiert werden und haben eine Lernkurve zu überwinden, bevor sich ihre Leistung auszahlt.

Es gibt noch eine weitere verlockende Option: Sie können mit verwalteten Cloud-Diensten wie VMware Cloud on AWS arbeiten, die eine virtualisierte Plattform für Sie betreuen (natürlich gegen eine Gebühr). Aber die Virtualisierung macht Neustarts nicht überflüssig. Sie macht sie nur schneller und weniger schmerzhaft, indem sie ihre Auswirkungen durch Clustering und andere Systemredundanzansätze abschwächt.

Ein Neustart, und sei er noch so kurz, schließt Datei-Handles, Netzwerkverbindungen, Benutzersitzungen und stoppt alle Prozesse. Für viele Arten von Anwendungen und Benutzern bleiben diese Unterbrechungen unbemerkt; Sitzungen werden wiederhergestellt, Verbindungen wieder aufgebaut. Aber für andere Arten von Anwendungen sind Unterbrechungen ruinös. Denken Sie an lang laufende wissenschaftliche Berechnungen, Echtzeit-Analysen, Live-Gaming-Server, IoT-Geräte, ...

Lesen Sie weiter: Endurance implementiert rebootlose Updates mit KernelCare

Ein Heilmittel für das Reboot-Syndrom

Live-Patching ist eine Methode, mit der Sicherheits-Patches für den Linux-Kernel automatisch und ohne Neustart installiert werden. Obwohl es diese Technik bereits seit 2010 gibt, hat sie noch nicht den Ruhm erlangt, der Linux umgibt.

Das liegt vor allem daran, dass es schwer zu bewerkstelligen ist. Es erfordert ein tiefes Verständnis des Kernel-Quellcodes und die Fähigkeit, Patches schnell und präzise zu programmieren. Aus diesem Grund können nur die großen Linux-Anbieter Live-Patching-Lösungen anbieten: Oracle (mit Ksplice), Red Hat (mit Kpatch), SUSE (mit SUSE Live Patching, ehemals Kgraft) und Canonical (mit Livepatch).

Wie man den Linux-Kernel ohne Neustart patcht

KernelCare funktioniert auf die gleiche Weise wie Ksplice, Kpatch und Kgraft. Der Unterschied zwischen KernelCare und diesen Tools besteht darin, wie die Patches erstellt werden. (Ein weiterer Unterschied besteht darin, dass diese Produkte Teil von Serviceverträgen der Hersteller sind, während KernelCare-Abonnements eigenständig sind und daher wesentlich kostengünstiger und flexibler sind). Außerdem unterstützt KernelCare eine große Auswahl an Kernel-Versionen und -Typen, viel mehr als alle anderen Anbieter zusammen.

Hier ist ein einfacher Überblick über die Funktionsweise von KernelCare.

Patching-Prozess-Diagramm (1)

Warum Sysadmins KernelCare lieben

In meiner Zeit als Marketing Manager für KernelCare habe ich mit vielen Kunden gesprochen. Hier sind die wichtigsten Vorteile, die sie mir genannt haben.

  1. Geringere Berichterstattung. Weniger Bedarf an Management- und Compliance-Berichten, in denen steht, was, warum und von wem getan wurde.
  2. Weniger E-Mails. Weniger Neustart bedeutet weniger Kommunikation und Verhandlungen mit Dutzenden von Interessenvertretern aus verschiedenen Abteilungen.
  3. Mehr Schlaf. Ein Neustart am Samstagabend/Sonntagmorgen ist für jeden sinnvoll, der von der Ausfallzeit betroffen ist. Aber es ist die Hölle für die Leute, die das machen müssen. Egal, ob sie vor Ort oder aus der Ferne arbeiten, irgendjemand muss immer wach sein, um die Befehle auszuführen, um zu prüfen, ob die Automatisierung reibungslos funktioniert, und um das System nach dem Hochfahren auf seine Funktionsfähigkeit zu überprüfen. Die Paranoia des Managements ist in solchen Situationen sehr groß, und das zu Recht, wenn man bedenkt, was auf dem Spiel steht.
  4. Das Leben ist einfacher. Durch weniger geplante Neustarts wird die Automatisierungskonfiguration unabhängig von der Methode rationalisiert. System-Playbooks sind einfacher und leichter zu verstehen.

Warum Dienstanbieter KernelCare lieben

Wenn Sie denken, dass KernelCare nur für Techniker geeignet ist, liegen Sie falsch. Jeder, der über grundlegende Kenntnisse der Linux-Konsole verfügt, kann KernelCare mit ein paar Befehlen installieren. Das ist eine großartige Neuigkeit für eine Gruppe von Menschen, die ich Service Provider nenne. Das sind Manager, Führungskräfte und Inhaber kleiner Unternehmen, die sich nicht mit den technischen Details des Live-Patchings befassen wollen. Sie wollen einfach nur wissen, dass ihre Linux-Server gepatcht, konform und sicher bleiben. Ich habe auch mit diesen Leuten gesprochen, und wie zu erwarten war, sehen sie die Vorteile von KernelCare aus einer anderen Perspektive.

  1. Es gibt weniger Ausfallzeiten. Das bedeutet weniger Unterbrechungen für die Kunden und weniger Gründe für sie, weiterzuziehen oder sich zu beschweren.
  2. Das Risiko, dass das System nach einem Neustart nicht mehr dasselbe ist, ist geringer, und es besteht weniger die Gefahr, dass man alles zurücksetzen muss, nur um den Betrieb aufrechtzuerhalten.
  3. Es wird weniger Geld für die Verwaltung ausgegeben. Live-Patching ist ein autarker Ansatz für die Verwaltung von Linux-Kernel-Patches.

Das Ende (der Reboots)

Die diesjährige AWS re:Invent 2019 war eine Offenbarung, nicht nur, weil es meine erste war, sondern auch, weil ich mit eigenen Augen gesehen habe, welchen Aufwand und welche Kosten Linux-Serveradministratoren im Zusammenhang mit lästigen Neustarts haben. Ich hatte das Gefühl, dass ich von unserem KernelCare-Stand aus lauthals schreien sollte:

 

Seien Sie kein Sklave von Reboots! Wir haben die Antwort! Schließen Sie sich uns an!

 

Aber das habe ich natürlich nicht getan. Ich verteilte nur ein paar Broschüren, Aufkleber und T-Shirts und hatte Mitleid mit Hunderten von wirklich netten, hart arbeitenden Menschen, weil sie ihre Server neu starten mussten, um Sicherheitsaktualisierungen durchzuführen.

F2C89C44-7062-40BA-AA31-B3B65001A902_1_201_a

 

Lesen Sie weiter: 5 schlechte Gründe, Ihren Linux-Kernel zu aktualisieren

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter