私はCentosプロダクションWebサーバーを実行しています。アップデートを実行するためのベストプラクティスは何ですか?これを自動化するには、yum-cronまたはyum-updatesdを使用する必要がありますか?それとも、アップデートがサイトを壊す危険性があるため、テストサーバーで毎週手動でアップデートを実行する方が良いですか?
ほとんどのサーバーは公式リポジトリのみを使用しますが、一部のサーバーでは使用できないPHPモジュール用のアトミックストアがあります。この状況で最高のものは何ですか? PHPモジュールにのみAtomicを使用するようにyumを設定できますか?私はすべてがAtomicの最先端の機能で更新されたくありません。むしろ、Centos(または実際にRed Hat)が私のサーバーを安定して安全に保つことを信頼したいと思います。
答え1
2つのアプローチには長所と短所があり、どのアプローチが自分に最も適しているかを知るには、システムアーキテクチャを詳しく調べる必要があります。どちらに行っても理解する必要がありますなぜどのような方法を選択し、その欠点を補うためにどのような欠点があったか。
考慮すべき事項は次のとおりです。
セキュリティアップデートはいつもどんな方法でも早く適用してください。何らかの理由でサーバーがセキュリティ更新プログラムをすぐに適用しない場合は、システム管理者の習慣を修正してください。
Distroのアップデートは一般的に良好であり、特に公式ソースのアップデートはさらにそうです。適用するのが不便な場合は、ニーズに最も適したディストリビューションを使用していない可能性があります。あなたのアプローチと一致する分布を使用する必要があります。つまり、アップデートがあなたにとって最大の利益になると信じることができます。動きが速すぎたり、ソフトウェアの変更によって作業が中断したりする場合は、おそらく別のディストリビューションを使用する必要があります。
アップデートによってコンテンツが破損する可能性があります。廃止予定の機能を使用したり、正しく作成していない場合は、最新のソフトウェアに移行するとコードが破損する可能性があります。更新された製品を本番システムで実行する前にテストできるシステムアーキテクチャを検討する必要があります。
自動更新機能を使用する場合は、既知のジョブ構成にロールバックする方法が常に必要です。一部のアップデートで本番システムの製品がクラッシュする場合は、システム全体のスナップショットが命の恩人になる可能性があります。
これは完全なリストではなく、単にあなたが考えることができるいくつかのことです。最終的に、これは他の人があなたに代わって行うことができる決定ではありません。あなたは管理者です。あなたのシステムを学びましょう。ディストリビューションをご覧ください。
答え2
ケイロップの言葉に100%同意します。私が書いた追加のCentOS関連タグ:
このディストリビューションはRedHatとそのパッチに基づいています。パッチテストは非常によく行われました。私たちは過去4年間で50を超えるサーバーでCentOS 5を使用してきましたが、一度も間違ったパッチを受けたことがありません。
ただし、展開コンテンツのみを実行しているサーバーには毎日すべてのパッチが自動的に適用されますが、テストシステムが数日間その構成で実行されるまで本番サーバーを起動しません(glibcまたはカーネルの更新後)。
他のリポジトリの場合は、それをステージングディレクトリにミラーリングします。そのパッチはテストサーバーに最初に適用されます。問題がないことがわかったら、準備ディレクトリを有効にして本番ストレージにコピーします。
自動パッチの副作用は、パッチされたコンポーネントが頻繁に再起動されることです。したがって、起動後にコンポーネントを誤って設定すると、再起動は失敗します。