我最近以DevOps工程师的身份加入一家公司,我的职责之一是在OpsWorks中配置基础架构(ELB后面的EC2实例与Aurora DB进行通信)。
已要求我审核有关应用更新的当前解决方案。
在阅读了一些答案后,令我惊讶的是,如果我想自动将安全更新应用于我们的(Centos)EC2实例,则选项为:
还有很多其他方法可以实现各自的优点和缺点,因此我想知道“最佳实践”的共识,以便定期自动更新多个实例。
注意:这些实例正在运行24/7 365(即,我们从不重启它们),并且根据实例的不同,代码部署的范围可以从每天到每月!
答案 0 :(得分:3)
好的,对此会有很多意见。
请勿自动安装更新,即使是安全更新。有一天,您会发现所有系统都崩溃了,您将争先恐后地找出原因。然后,管理层将争先恐后地确定云供应商XYZ崩溃后企业系统的成本。
无论大小,安全性或应用程序补丁,都不应盲目安装。您应该具有测试实例,在其中安装补丁程序和更新并验证对系统,应用程序等的影响。这些步骤应记录为devops过程。
仅在确认补丁或更新能够按预期执行后,才推出实例更新策略(滚动,蓝色/绿色等)。
有些人会认为这意味着您将等待很长时间才能安装关键的安全补丁。我认为拥有良好的devops程序意味着您将不断(例如每天早晨)监视补丁程序和更新。然后,根据错误的严重程度,您将确定是否应该进行紧急更新或让标准OP(操作实践)继续进行。