Több szerver frissítése központilag

Debian GNU/Linux

Sziasztok!

Az volna a kérdésem, hogy milyen megoldásokat lehet bevetni kb. 300-400 egymástól független azonos verziójú debian telepítés-frissítés elvégzésére központilag. Azt szeretném elérni, hogy egy helyen kiadok egy parancsot, pl: apt-get upgrade, akkor azt az összes gépen futtassa le. Természetesen a felelősség az enyém...
Ami nekem jutott eszembe:
- saját tükör készítése, annak a megfelelő frissítése, gépeket apt cronolva.
- klienseken cronba szkript, mely ssh-val feljelentkezik egy szerverre és az ott egy fájlba leírt parancsokat végrehajtja.
Ami kérdés maradt: le kell azt is ellenőrizni, hogy lement-e a frissítés, telepítés, illetve milyen eredménnyel.

Más megoldás, esetleg program létezik-e erre?

Köszi!

  • 4057 megtekintés

Én kipróbáltam a puppetet, de két dolog miatt nem használtam.

Egyrészt nem volt elég stabil, másrészt a config-nyelve annak ellenére, hogy a csillagokat az égről, mégis csak nem tette szükségtelenné a generálásukat. Helyette inkább cfengine2, az működik is.

Az persze más kérdés, hogy a scriptjeidet verzionálni kell, a saját DEB repó meg szinte kötelező.

( informer v | 2009. 04. 09., cs – 09:39 )

300-400 gép? és mind debian? szép rendszer lehet.
Egyébként meg ha saját repo-t csinálsz akkor a cron-os megoldás szerintem tök jó. Úgyis csak az frissül amit a repoban frissül. Azt meg te határozod meg.

( valaki123 | 2009. 04. 12., v – 22:44 )

Köszönöm a válaszokat!

A Puppet érdekes megoldásnak tűnik, az svn nekem is megfordult a fejemben. Ki fogom próbálni, amint lehet.

Mégegyszer köszi!

( siposf | 2009. 04. 12., v – 23:57 )

Létezik: cfengine2
Bár ennél sokkal többet tud.

( KisLebowszky | 2009. 04. 13., h – 12:09 )

Szerintem én vagyok a legbutább a dologhoz de egy ötlet:
írni egy .sh-t, később akár cron-ba:
ssh -l root 192.168.0.2 aptitude upgrade
ssh -l root 192.168.0.3 aptitude upgrade
ssh -l root 192.168.0.4 aptitude upgrade
...

Ahhoz hogy ne kérjen jelszót, megcsinálni hogy RSA kulccsal hitelesítsen pass nélkül, vagy ezt finomítani.

( robit v | 2009. 04. 13., h – 15:00 )

Hali

ugyan nem 300-400 gépen de kb 10 gépen használom
apt-dater -t
http://www.ibh.de/apt-dater/

kellemesen használható különböző verziókra is (etch sarge lenny ill ubuntu-k) egyszerre

írtam egy alap telepítő scriptet azzal gyorsan rendszerbe rakhatók a gépek.

Üdv Robit

( valaki123 | 2009. 04. 15., sze – 10:05 )

Mégegyszer köszi a segítséget!

Kaptam pár ötletet, elkezdtem kipróbálni, jobban mondva a doksikat olvasgatni. Amint van használható eredmény vissza is fogok jelezni a tapasztalatról.

Az ssh gépenkénti futtatása kulcsos auth-tal nem járható út ennyi gépnél, mert inhüvelygyulladást kapok :)
A puppet és a cfengine tetszik eddig a legjobban, ezeket kezdtem el tanulmáynozni.
Saját készítésű szkripten is gondolkodtam, van is egy kicsi alap. Csak hogy bonyolultabb legyen nem lehet minden gépet közvetlenül elérni, és a többsége változó ip cím mögött található :(.

Szóval köszi az ötleteket, a kipróbálás nem öt perc, dolgozom rajta és jelentkezem, ha van eredmény!

Szia!

Hát arra jutottam, hogy melóhelyet váltok. :D De komolyan, talán már meg sincs az a cég, ahol kellett volna. Ebből kifolyólag nem próbáltam ki végül.
Az esélyesek között két versenyző maradt: puppet és cfengine.
Ezeket érdemes kipróbálni.
Volt még egy versenyző ami végül elvileg nem tettszett ssh terminál ha jól emlékszem. A lényeg, hogy nyit annyi terminált ahány karbantartandó gép és te egyben gépelsz, Ő pedig az összesben végrehajtja.
Van még fizetős program is amit viszont kipróbáltam és működik, de mivel ez nem a reklám helye nem írnám ide le.

Döntést mindenképpen neked kell meghozni, ahhoz hogy jól működjön a dolog valahogy szinkronba kell hozni a gépeidet.

A plusz beruházási költségen kívül, amit annak idején nekem 101%-os biztonsággal nem biztosítottak volna milyen előnnyel jár? Eleve fel van készítve 300 szerver egyidejű konfigurálására?
Vagy csak egy címtár van mögötte? Nem tudom tényleg mit nyújt a RHEL ebből a szempontból?
Szempontok voltak:
- telepítés, frissítés
- userek felvétele, tiltása, jelszócsere
- konfigurálás
- telepítés nem repoból származó egyedi szoftverek esetén

Ha RHEL-ed lenne, akkor hozzaferhetnel a Red Hat Networkhoz, illetve Satellite szerverhez, ahol ezeket a feladatokat viszonylag egyszeruen elvegezhetned. Ha CentOS-ed lenne, akkor hasznalhatnal Spacewalk-ot, amely a Satellite ingyenes alternativaja.

Alapvetoen a trukk mindket esetben annyi, hogy van egy daemonod, amely bizonyos idokozonkent benez a szerverre es vegrehajtja az ott meghatarozott feladatokat - ez lehet csomagupdate, -install, de akar tetszoleges script futtatasa is. Raadasul definialhatsz host groupokat es egy-egy muvelet vegrehajtasat akar egy-egy csoporton is elvegezheted.

Ha ennel tobbet szeretnel, akkor Puppet.

--
SELinux, Xen, RHEL, Fedora: http://sys-admin.hu

itt hogy oldják meg ami néha előjön debianba, hogy adott programnak változik a konfigja és ezért csak kézzel tudod úgy megszerkeszteni, hogy működjön, mert vagy marad a régi amivel nem fog működni, vagy felteszi a csomagból az alap konfigot, amivel meg hibásan működik.

Miután ugye telepítettél egy RH-t, be kell regisztrálnod a serialt a weboldalukon, onnan figyelemmel kísérheted az adott gép állapotát, és webes felületen lehet up to date tartani.

Nameg van egy olyan dolog, hogy: Red Hat Network Satellite (http://www.redhat.com/docs/manuals/RHNetwork/index.html)
Ez ha emlékeim nem csalnak pöppet többet tud mint az előző(bár ha jól tévedek, akkor ez külön licence/gép alapon megy).
Nézd meg amit linkeltem.

-
Debian Lenny

( veyron007 | 2010. 04. 26., h – 16:21 )

Tipp: - de ez a te problémádra nem megoldás, viszont érdemes megfontolni - "apt-cacher".
300-400 Debian esetében, nagy sávszélességet takarítassz meg, és gyorsabban töltöd le a frissítéseket LAN-ról, egy központi szerverről, mintha minden PC-nek "ki kellene menni a netre érte"

Infó: http://www.scribd.com/doc/23708950/Full-Circle-Issue-26

Hát ez csak akkor igaz, ha a gépek egy internet mögött találhatók. Az én esetemben ami már régebben volt minden gép gyakorlatilag egyedi internet mögött ült, méghozzá több különböző városban. Ilyen esetben nem sokat segített volna.
A másik, hogy az adminisztrációra csak egy példa az apt futtatás, mert ugye lehet konfigurálni is, stb. Az apt csak egy példa volt.
Ettől még az ötlet nem rossz, ha olan helyzetbe kerülök, meg fogom keresni ezt a szálat :)

( miloska | 2010. 04. 28., sze – 07:34 )

cfengine +++++

Mondjuk allam az allamban, de nagyon hasznos tud lenni.