Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Titelthema<br />
www.linux-magazin.de Enterprise 09/2013<br />
40<br />
Abbildung 3: Ubuntu Landscape implementiert Remote-Management mit automatischen Updates in Ubuntu.<br />
tigsten Updates, die bei Suse traditionell<br />
„Patches“ heißen.<br />
Ein solcher Flicken ist im Grunde eine<br />
Liste aktualisierter Pakete. Die verfügbaren<br />
Patches für ein System listet der<br />
Manager übersichtlich auf und lässt den<br />
Admin zwischen verschiedenen Optionen<br />
entscheiden.<br />
Suse Manager unterteilt bereitstehende<br />
Patches in drei Stufen mit ansteigender<br />
Relevanz:<br />
n Mit einem Ausrufezeichen versehene<br />
kritische Security-Patches.<br />
n Bugs, die Fehler korrigieren, zum Beispiel<br />
Crashes in Desktopsoftware.<br />
n Verbesserungen und Optimierungen<br />
an Paketen, etwa Versions-Upgrades.<br />
Für einzelne Rechner legen Administratoren<br />
fest, ob Pakete dort per automa-<br />
tischem Update einzuspielen sind, und<br />
wenn ja, welches Level ein Patch haben<br />
muss, damit es sich für das Upgrade auf<br />
dieser Maschine qualifiziert.<br />
Suse Manager selbst ist ebenfalls fleißig<br />
und erstellt eine Vorauswahl der „Relevant<br />
Patches“, die auf jedes einzelne<br />
System zugeschnitten ist. Per Klick lässt<br />
sich dann bestimmen, ob die festgelegten<br />
Kriterien Updates automatisch auf das<br />
System bringen oder ob die Installation<br />
vom Admin händisch anzustoßen ist.<br />
Suse Manager beherrscht übrigens auch<br />
das genaue Gegenteil: Wenn der Admin<br />
mal viel Zeit hat oder sich Ärger ersparen<br />
möchte, legt er per Klick im Manager-<br />
Fenster Patch für Patch fest, welches seinen<br />
Weg auf den Server finden soll und<br />
welches nicht.<br />
Insgesamt macht der Suse Manager einen<br />
sehr flexiblen Eindruck, der hohe Preis<br />
scheint einigermaßen gerechtfertigt.<br />
E Ubuntu Landscape<br />
Den jüngsten Dienst für Enterprise-<br />
Systemverwaltung bietet Ubuntu an:<br />
Landscape [5]. Wer bei Canonical einen<br />
Supportvertrag kauft, kriegt auf das Verwaltungswerkzeug<br />
Zugriff. Im Grunde ist<br />
dessen Funktionalität ganz ähnlich der<br />
von Red Hat und Suse, auch wenn Landscape<br />
unter der Haube natürlich andere<br />
Tags nutzt und einen anderen Arbeitsablauf<br />
praktiziert (Abbildung 3).<br />
Unter dem Menüpunkt »Packages« lassen<br />
sich aus der Ferne Pakete installieren<br />
und löschen. Sind Sicherheitsupdates<br />
verfügbar, so weist Landscape über eine<br />
entsprechende Nachricht darauf hin und<br />
ermöglicht es dem Admin, später eine<br />
entsprechende Auswahl zu treffen. Der<br />
gesamte Vorgang ist auch für viele verschiedene<br />
Rechner gleichzeitig nutzbar,<br />
sodass selbst ein Update von Hunderten<br />
Rechnern in der Serverfarm keine Klick-<br />
Orgien verursacht.<br />
Fazit: Kein Kinderspiel<br />
Egal was das Marketing verspricht: Automatische<br />
Security-Updates sind und<br />
bleiben eine wackelige Angelegenheit,<br />
die der Admin mit Bedacht handhaben<br />
sollte. Weil die Gründe dafür nicht nur<br />
Puppet und Chef<br />
Wer keinem der großen Distributoren Geld<br />
für ein zentrales Managementwerkzeug zahlen<br />
möchte, muss auf ein solches Tool nicht<br />
zwangsläufig verzichten. Die freien Alternativen<br />
Puppet und Chef bieten sich insbesondere<br />
dort auch für Upgrades an, wo ohnehin schon<br />
eines der beiden Werkzeuge zum zentralen Konfigurationsmanagement<br />
im Einsatz ist.<br />
Unterschiedliche Systeme verwalten<br />
Ein weiterer Vorteil: Nur so lassen sich unterschiedliche<br />
Distributionen zentral betreuen. Anders<br />
als die kommerziellen Tools suggerieren,<br />
ist es durchaus möglich, Systeme von Red Hat,<br />
Suse und Ubuntu gemeinsam unter einem Dach<br />
zu verwalten. Theoretisch lässt sich so über die<br />
Grenzen der Systeme hinweg beispielsweise ein<br />
Security-Update anstoßen, wobei Puppet und<br />
Chef auf den jeweiligen Systemen das für die<br />
Distribution spezifisch Nötige erledigen. In der<br />
Praxis bieten »dpkg«-gestützte Distributionen<br />
mehr Freiheiten in der Update-Verwaltung als<br />
ihre RPM-Kollegen.<br />
Puppet-Apt – der Apt-Dater und das Kochbuch<br />
für die Chef-unattended-Upgrades<br />
Eine besonders hübsche Kombination ist die<br />
aus Puppet und Apt auf Ubuntu oder Debian:<br />
Mittels »puppet‐apt« [6] lässt sich die Paketverwaltung<br />
via Apt unmittelbar aus Puppet<br />
heraus steuern, und über »apt‐Dater« [7]<br />
erhält »puppet‐apt« direkte Angaben darüber,<br />
ob Pakete automatisch zu aktualisieren sind.<br />
Zur Not stoßen Admins über diese Kombination<br />
auch manuelle Updates an, etwa wenn ein dringendes<br />
Sicherheitsproblem auftaucht.<br />
Wer auf Chef statt auf Puppet setzt, kommt<br />
bei Debian-Systemen über das »chef‐unattended‐upgrades«-Cookbook<br />
[8] weiter. Es<br />
nutzt auf Debian-Systemen zwar auch nur die<br />
»unattended‐upgrades«-Funktion, erlaubt es<br />
aber, wenigstens die Einstellungen zentral zu<br />
steuern, also zum Beispiel, welche Pakete von<br />
den Unattended Upgrades denn ausgenommen<br />
sein sollen und welche nicht.<br />
Puppet-yum: Yum automatisieren auf Enterprise-<strong>Linux</strong><br />
Puppet-yum [9] unterstützt auf Enterprise-<br />
Systemen die Automatik von Yum. Über eine<br />
zentrale Konfigurationsdatei stellt der Admin<br />
ein, ob Yum Updates per Crontab durchführen<br />
soll oder nicht. So erlaubt es das Chef-Modul,<br />
zum Beispiel nach entsprechenden Staging-Tests<br />
die automatischen Updates zu aktivieren und so<br />
zeitlich gesteuert die Hosts auf den neuesten<br />
Stand zu bringen. Puppet-yum unterstützt aktuelle<br />
Red-Hat-Enterprise-<strong>Linux</strong>-Systeme, wobei<br />
die hiermit kompatiblen Distributionen freilich<br />
eingeschlossen sind.