2012年12月7日金曜日

Oracle Linux 第4回 ゼロ・ダウンタイム アップデート機能「Ksplice」管理編

Ksplice も概要編、導入編とご紹介してきましたが、今回は Ksplice 管理編をご紹介します。

Ksplice では、コマンドラインからの管理と Web の管理画面 「Uptrack website」 からの管理が行えます。今回は Uptrack website を中心に、Ksplice の管理についてご紹介します。

アップデート適用状況の確認

システムのアップデート適用状況を確認するには uptrack-show コマンドを使用するか、Uptrack website より適用されたアップデートの一覧を確認することができます。

コマンドラインからの確認では以下のように出力が行われます。

# uptrack-show
Installed updates:
[y0nt92xe] Use random access mode for dm-nfs backing file.
[s5wsi4gb] Load spike in leap second insertion.
[lkbyskll] CVE-2012-2745: Denial-of-service in kernel key management.
[3uzbjwql] CVE-2011-1083: Algorithmic denial of service in epoll.
[zq4sojfx] Don't fail starting FCOE in uniprocessor environment.
[993sftug] ext4 filesystem corruption on fallocate.
[1a5hpf65] Kernel crash with advisory locks on NFSv4.
[mtrlye1u] CVE-2012-3430: kernel information leak in RDS sockets.
[ilhg0wcp] CVE-2012-2313: Privilege escalation in the dl2k NIC.

( ~  中略 ~ )

[rvuez8zg] CVE-2012-0207: Denial of service bug in IGMP.
[zev1jxnm] CVE-2012-0045: Denial of service in KVM system call emulation.
[da5k0a2g] Kernel oops in unbound L2TP IP sockets.
[xwcjlkhr] CVE-2012-2133: Use-after-free in hugetlbfs quota handling.
[u0j9xiac] CVE-2012-3400: Buffer overflow in UDF parsing.
[k2w25yci] CVE-2012-3511: Use-after-free due to race condition in madvise.

Effective kernel version is 2.6.39-300.17.2.el6uek

同じ内容を Uptrack website で確認すると、以下のように表示されます。

では、アップデートが適用されているシステムと適用されていないシステムを判断するにはどのようにすれば良いのか、と思う方も多いと思います。
この様な場合は、Uptrack website をご確認いただけば一覧で判断することができます。

以下は、複数システムを登録した状態の Uptrack website のトップページです。 「Active Installations 」の項目にて各システムのステータスを確認すると、アップデート適用済みのシステムには "Up to date! (89 installed)" と表示され、アップデート未適用のシステムは赤文字で "0 installed, 89 more" というような表示がされます。

アップデート未適用のホスト名をクリックしシステムの詳細を見ると、適用可能なアップデートの情報を参照することができます。

この様に、Ksplice は、Uptrack website から情報を確認できるため、コマンド操作に慣れない方も安心してご利用いただけるようになっています。

グループ管理

管理する台数が増加してきた場合もシステムをグループ化して管理することもできます。

新規にグループを作成する場合は"Edit groups "の項目にて、" Create:" の入力フォームに作成したいグループ名を入力し [Save] ボタンをクリックします。

なお、このグループに対して、アップデートを適用するなどの特定の操作を行う事は現時点ではできません。この点は今後の開発に期待したいところです。

Allow/Deny Policies

Ksplice では、システムごとに Ksplice 機能の提供 (許可する/許可しない) を選択できます。デフォルトは許可する設定となっていますが、Ksplice によるアップデートを許可しないシステムの場合は "Deny" と設定することで、アップデートを抑制することができます。

許可されていないシステムで "uptrack-upgrade" を実行すると、以下のエラーが返される仕組みとなります。

# uptrack-upgrade -y
This machine has been denied access to the Ksplice Uptrack service.

It will not receive Ksplice Uptrack updates unless it is authorized to
do so. You can change the access policy for this machine at
https://uptrack.ksplice.com/.

Please contact support@ksplice.com with any questions.

以上が Ksplice の主な管理機能となります。
今回ご紹介した Ksplice は、Oracle 製品に含まれる機能となりますが、kernel のアップデートを再起動をせずに適用できるという、ミッションクリティカルなシステムに適合する機能は、止められないシステムを運用している方に、是非一度ご利用いただきたいソリューションです。

0 件のコメント:

コメントを投稿