Comments 13
ubuntu/debian не место на сервере, а не вот это всё
а обновы ставить руками )
Вполне вероятно, что так, ваши рекомендации?
первое спорно, второе согласен
обновы нужны только если сервис явно торчит в сеть и то закрываем все порты по максимуму и 99% проблем обойдет стороной
Интересно, не знал о таком, проверил на случайном сервере - в 6 утра действительно что то происходит.
+-150 серваков, за 2,5 года ни разу не заметил. Миновало как то.
До Debian 12 такого не было? Или образа у хостеров уже почищены от этого. У меня на всех серверах нет файлика 20auto-upgrades. Все сервера старые, стартовали с Debian 10 или 11, сейчас проапгрейжены до 13.
А как вы предлагаете использовать PodDisruptionBudget для координации обновления хостов? Он не помешает вам отправить весь кластер в ребут одновременно.
Приводим 20auto-upgrades к виду:
APT::Periodic::Update-Package-Lists “0”;
APT::Periodic::Unattended-Upgrade “0”;
Запускаем обновления своим сценарием ansible для каждого хоста, с отдельной управляющей машины.
В сценарии еще и автопроверка работоспособности нужных сервисов после обновления каждого хоста.
По кластеру важный момент: RandomizedDelaySec - это рандомизация, а не координация. Задержка случайная и берётся заново при каждом срабатывании таймера, между узлами никак не согласована - два узла спокойно попадут в одно окно, и кворум всё равно уедет. Для кворума это не лечение, а лотерея.
Если надо железно по одному - либо выключить автоприменение и катить своим плейбуком (как выше с ansible), либо развести окна ребута по узлам, чтобы они физически не пересекались. В k8s для этого есть kured: держит кластерный лок и ребутит строго по одному, уважая PodDisruptionBudget (сам по себе PDB ребут ноды не сдержит - выше верно подметили).
А "моргание" одиночного сервера - это needrestart дёргает сервисы после апдейта библиотек. Если внезапный рестарт хуже отложенного, переведи его в list-only ($nrconf{restart} = ‘l’) и перезапускай в своё окно.
Автообновления Linux: почему сервер моргает по утрам, а кластер теряет кворум