Ubuntu
自動修補中斷包
在我們的組織中,我們的 IT 部門定期將作業系統更新檔推送到我們的項目生產伺服器(Ubuntu-18.04 LTS 和 Ubuntu-20.04 LTS),因此我們的應用程序(Kubernetes、MYSQL、系統核心等)會自動升級到最新版本很少有應用程序顯示與服務相關的錯誤。這會導致執行應用程序出現很多問題,並影響我們的生產。我們需要花費大量時間來解決由於自動修補而出現的問題。
和我們的IT部門討論過很多次要停止更新檔,但是他們說不能停止自動更新,這會導致安全漏洞問題。
生產環境推薦我們的IT自動更新檔方式?所以請讓我知道這在其他公司是如何處理的?
關於這個問題的一些想法/建議會有所幫助。
提前致謝。
將更新/更新檔包(實際上是您的自定義應用程式碼的依賴項)推送到生產環境而不首先在非生產環境中測試它們是不好的。這與將您自己的自定義應用程式碼(或依賴項,如庫/類/模組)中的更改推送到生產環境一樣糟糕,而無需先在非生產環境中對其進行測試。
安全更新檔很重要,但您的正常執行時間和滿足客戶服務水平協議 (SLA) 的能力也很重要。您可以打更新檔並且非常安全,但是如果您因為更新檔不斷破壞您的服務而失去所有客戶,那麼每個人都會失敗。
您的組織需要製定一個折衷方案,讓更新檔級別在一段合理的時間內保持穩定(不變)(因此對客戶的 SLA 不受影響),然後將作業系統更新檔放入相同的正常非生產測試環境中序列作為您的應用程式碼:開發、質量保證、集成、暫存等,並與經過測試可與作業系統更新檔一起使用的應用程式碼一起應用於生產。