Biz kullanıyoruz unattended-upgrades
hiçbir sorunları ile 2020 için 2015 den. Aşağıdakileri içeren küçük bir kurulumumuz var (DigitalOcean'da):
nginx
mysql-server
php5-fpm
php5-curl
php5-mysql
İyi geçmiş performansa dayanarak, güncellemeleri bu şekilde yapmak, yapmamaktan daha güvenlidir. Ancak bu, gelecek için bir garanti olmak zorunda değildir!
Bu apache
, diğer kullanıcıların raporlarına ve geçmiş apache
güncellemeler deneyimime dayanarak iyi bir fikir olmayabilir . [Yukarıya ve buraya bakınız ]
Bu durumda unattended-upgrades
, serbest bırakma EOL'ye yaklaştığında yine de manuel müdahale gerekecektir .
(Sorunun yanı sıra: TWiki, WordPress ve Jenkins ile yaşadığım deneyimde, bu uygulamaları güncel tutmak aslında işletim sisteminin kendisinden daha büyük bir endişe kaynağı olsa da, elbette ikisini de yapmalıyız. Internet'e dönük uygulamaları bir Docker kapsayıcısının içinde çalışan kök olmayan işlemler olarak yerleştirebilirsiniz.)
Ancak en iyi uygulamaları sorduğunuzdan , AWS belgelerinde önerilen birincil yaklaşım :
Geçerli çevrimiçi örneklerinizi değiştirmek için yeni örnekler oluşturun ve başlatın. Ardından geçerli örnekleri silin.
Yeni örneklerde, kurulum sırasında en son güvenlik düzeltme ekleri yüklü olacaktır.
(Şubat 2020)
Bu, mavi-yeşil bir dağıtım stratejisinin bir parçası olarak yapılabilir . Buradaki avantaj, trafiği değiştirmeden önce yeni sunucunuzda testler yapabilmenizdir. Testleriniz kapsamlıysa, teoride güncellemeleriniz tam otomatikleştirilebilir, canlı yayına geçmeden önce ve kesinti olmadan doğrulanabilir.
Diğer avantajlar:
Testler, insanın dikkat etmesi gerekiyorsa size önceden uyarı verebilir (aksine unattended-upgrades
, uyarılar kullanıcılarınızdan yalnızca sorun yaşandıktan sonra geldiğinde!)
Sisteminizin güvenliği ihlal edilirse veya sağlayıcıları değiştirmeye karar verirseniz, bu yaklaşım yeni bir dağıtım gerçekleştirmeyi kolaylaştırmalıdır. Dağıtım stratejiniz eski anıdan ziyade betiklidir.
Ancak elbette bu yaklaşım için basit kurulumdan daha fazla kurulum unattended-upgrades
ve daha karmaşıklık gerekiyor, bu yüzden hala hata için yer var.
AWS, benzer bir şey yapmanın resmi yolu gibi görünen "Bağımlılıkları Güncelle yığın komutunu" gerçekleştirmeyi de belirtiyor unattended-upgrades
. Görünüşe göre Instances arayüzünden tetiklenebilir, ancak otomatik olup olamayacağından emin değilim.