Хочу поднять вопрос апдейтов ПО на рабочих машинах.
оговорюсь сразу, всё нижесказанное касается в первую очередь GNU/Linux систем.
Я думаю, многим хабралюдям знаком принцип «Работает — не трожь».
Так вот, иногда слепое следование этому принципу может подвести.
Пример:
дома у меня стоит система Gentoo, emerge world (полная пересборка и апдейт всех пакетов) делается каждый месяц.
К этой периодичности я пришёл после того, как после года без апдейтов решил обновить свою сборку Gnome. Это вылилось мне в неделю потерянного зря времени — собирал обновленные версии ВСЕХ пакетов, пересобирал зависимости и т.д.
А так — раз в месяц пересобирается только самое важое за 10-12 часов практически без моего участия.
Кто-то может сказать: нуу, домашняя машина — это одно, продакшн сервер — совсем другое. Хорошо, другой пример.
Есть сервер. На нём крутится некая контрольная панель управления аккаунтами (например, CPanel).
Также на этом сервере живёт Tomcat, установленный через эту контрольную панель, под которым работает некое Java-приложение.
И вот владелец сервера запрещает вам производить какие бы то ни было апдейты на сервере — он не хочет платить программистам за исправление приложения после каждого апдейта контрольной панели, которая периодически ломает старые конфиги того же Tomcat например.
Проходит год.
Мажорная версия контрольной панели пару раз уже успела поменяться — а вы до сих пор обслуживаете старое ПО.
И вот происходит страшное: в ядре находят страшно критичную для shared-сервера уязвимость. Нужен апдейт ядра. А на новом ядре старая контрольная панель работать не будет — это вы знаете из ChangeLog'а.
И вот дилемма: надеятся на «авось пронесёт» и не делать ничего, или провести глобальный апдейт всего, встаёт перед владельцем сервера.
И как ни грустно, чаще всего выбирается первый вариант — как якобы самый экономичный. «Работает — не трожь.» А в итоге — похаченый сервер, убытки — и уже вынужденый глобальный апдейт. Принцип «Скупой платит дважды» здесь работает как нигде. И хвала тому системному администратору, который сумел уговорить владельца сервера на периодические апдейты — тем самым он облегчил жизнь и себе, и своему работодателю.
А как часто вы производите апдейты на продакшн серверах? ;)
оговорюсь сразу, всё нижесказанное касается в первую очередь GNU/Linux систем.
Я думаю, многим хабралюдям знаком принцип «Работает — не трожь».
Так вот, иногда слепое следование этому принципу может подвести.
Пример:
дома у меня стоит система Gentoo, emerge world (полная пересборка и апдейт всех пакетов) делается каждый месяц.
К этой периодичности я пришёл после того, как после года без апдейтов решил обновить свою сборку Gnome. Это вылилось мне в неделю потерянного зря времени — собирал обновленные версии ВСЕХ пакетов, пересобирал зависимости и т.д.
А так — раз в месяц пересобирается только самое важое за 10-12 часов практически без моего участия.
Кто-то может сказать: нуу, домашняя машина — это одно, продакшн сервер — совсем другое. Хорошо, другой пример.
Есть сервер. На нём крутится некая контрольная панель управления аккаунтами (например, CPanel).
Также на этом сервере живёт Tomcat, установленный через эту контрольную панель, под которым работает некое Java-приложение.
И вот владелец сервера запрещает вам производить какие бы то ни было апдейты на сервере — он не хочет платить программистам за исправление приложения после каждого апдейта контрольной панели, которая периодически ломает старые конфиги того же Tomcat например.
Проходит год.
Мажорная версия контрольной панели пару раз уже успела поменяться — а вы до сих пор обслуживаете старое ПО.
И вот происходит страшное: в ядре находят страшно критичную для shared-сервера уязвимость. Нужен апдейт ядра. А на новом ядре старая контрольная панель работать не будет — это вы знаете из ChangeLog'а.
И вот дилемма: надеятся на «авось пронесёт» и не делать ничего, или провести глобальный апдейт всего, встаёт перед владельцем сервера.
И как ни грустно, чаще всего выбирается первый вариант — как якобы самый экономичный. «Работает — не трожь.» А в итоге — похаченый сервер, убытки — и уже вынужденый глобальный апдейт. Принцип «Скупой платит дважды» здесь работает как нигде. И хвала тому системному администратору, который сумел уговорить владельца сервера на периодические апдейты — тем самым он облегчил жизнь и себе, и своему работодателю.
А как часто вы производите апдейты на продакшн серверах? ;)
