Gérer Des serveurs Debian et Ubuntu

Tout d’abord, bonjour à tous.

J’aurais une petite question s’adressant aux gens qui gère plusieurs serveurs.
Dans ma société nous avons plusieurs serveurs sur ubuntu ou debian.
4 fois par années nous planifions des soirée de mise à jours, tous se passe généralement bien.

Cependant j’aimerais gérer les mise à jours de ces serveurs de façons centralisé, un peu comme redhat fait.

J’ai bien vu quelque chose du côté de ubuntu (landscape) cependant il semble ne travailler qu’avec ubuntu.

J’ai pensé faire un repo local, cependant ce ne centralise pas vraiment le déploiement, cela ne centralise que les paquets, ce qui est déjà pas mal.

Ma question est donc la suivantes, quelqu’un utilise t’il un tel système ?

D’avance merci pour vos réponses et je vous souhaite une excellente journée.

Lampil

Un petit up…

Personne n’est dans ce cas de figure ?

Voilà une première piste :
blog.admin-linux.org/administrat … opensource

Un soft payant est possible ou obligatoirement gratuit ?

Merci beaucoup d’avoir pris un peu de temps pour me répondre.
Je vais regarder ton lien.

Un soft payant est possible, mais de préférence open-source, pour la flexibilité. Cela dis je suis ouvert à toutes propositions.

Voilà j’ai regardé tout ça.

OCS, j’aurais dû y pensé, j’avais déjà vu plusieurs présentation par le passé. Mais je ne suis pas sûr qu’il soit vraiment fait pour les mise à jour. Je suis en train de télécharger la VM pour tester.

Puppet à l’air bien, mais 2000$ pour 25 machines par an, ça va être dur a négocier. J’essaye quand même.

Func n’est pas très sexy. Mes collègues amateurs de fenêtres vont de nouveau me traiter de barbu… j’écarte pour le moment.

Je vais tester tout ça et je vous fait un petit article pour que le prochain ai une bonne base.

Si tu as d’autre idées n’hésite pas. J’ai un peu moins d’un mois, çà me permettra d’essayer plusieurs système.

Autrement la super surprise c’est OPENQRM, Celui-ci je le garde sous le bras comme solution de virtualisation haute dispo. Actuellement on test Proxmox pour la virtualisation en open-source c’est pas mal du tout. Si quelqu’un veut des infos je suis à dispo.

Content que ça t’ai aidé, j’ai juste chercher vite fait sur notre ennemi Google. Si je trouve quelque chose d’autre je te tint au courant.

J’avais aussi googler, mais j’avais chercher sous: “mise à jour centralisées”… pas les bons mots clés…

Bonjour,

Pourrais-je avoir votre retour d’expérience?
Je suis actuellement dans le même cas que vous “Lampli”, après plusieurs recherche je n’ai rien trouvé de concret pour la gestion centralisé des mise à jour pour Ubuntu. Il y a bien LandScape qui est payant, SpaceWalk qui est un dérivé de RedHat Network Sattelite qui ne supporte pas à ma connaissance Ubuntu.
J’ai cherché du coté de la communauté Ubuntu mais je n’ai rien trouvé, a part la mise en place d’un serveur de dépôt miroir…

ps:Si quelqu’un connait une solution pour la gestion centralisé des mises à jours sur Ubuntu/Débian je suis ouvert à toute proposition.
Merci,
Thomas

Moi j’ai juste fait un script .sh qui se connecte en SSH, lance les apt-get update puis me propose un apt-get upgrade (sans /y non plus faut pas exagérer :p).

Toutes les clefs des serveurs sont gérées donc pas de login/mot de passe à gerer. Je lance une ligne de commande et tout se fait automatiquement en me posant juste les questions qu’il faut au moment critique.

Hey salout,

Tu peux taper des commandes simultanément (dans ton cas pour les MAJ) sur plusieurs serveurs avec cluster ssh : tux-planet.fr/ssh-en-paralle … uster-ssh/
ça ne répond pas forcement à ta question mais ça peut, peut être, être utile.

Ensuite niveau virtualisation j’ai vu que tu test “Proxmox” c’est une super distribution très pratique et qui gére bien la HA. Sinon tu as aussi ovirt. Si je ne me trompe pas, tu peux faire tous tes hyperviseurs sous debian avec KVM et pour la gestion (l’interface graphique) tu installe une machine Fedora (oui fedora car il y a des RPM dans les dépots donc un simple YUM et c’est good ^^ j’aime la méthode feigniant) et tu installe ovirt-engine qui est l’interface graphique de gestion.

Bonsoir,

Merci pour vos réponses rapide (je me suis permis de reprendre ce poste pour éviter de faire doublon).

@BOULATE: Votre solution vous oblige donc de vous connecter sur chacune des stations que vous avez et d’exécuter le script?
@el_profesor: Mais grâce à cssh il me semble qu’il y aurait possibilité de lancer un script sur un pool de machines distante.
Avez-vous mis en place un serveur de dépôt miroir?

C’est bien ce qu’il me semblait, il va falloir mettre les mains dans le cambouis pour mettre une solution viable sur un parc de ~500 machines (je reste septique sur la mise ne place).

Pour mettre à jour le cache et vérifier ce que tu as de disponible :

apt-get update && apt-get -s dist-upgrade | grep Security | grep -e Inst

Pour le restant je suis très étonné que puppet soit payant sinon il y a chef développer aussi ruby, cfengine, mais il y a en d’autre.

Après l’idée de taper une ligne de commande et mettre à jour 15 machines me fais frémir rien que d’y penser.

Encore si ce sont des machines strictement identiques

Oui avec cssh tu peux taper une commande qui sera exécuter sur tous les serveurs. Non je n’ai pas mis de mirroir en local.
Sinon pour tes mises à jour automatique tu peux configurer tes serveurs comme ça : blog.pastoutafait.org/billets/Mi … c-Cron-APT

Bonsoir,

@clochette Merci, je vais creuser ces solutions (chef, cfengine, …) et vous tiens au courant.
Te fait frémir de peur ou de joie ? Le système RedHat Network Satellite permet de déployer des MàJ sur plusieurs Machines sous RH et cela fonctionne du tonnerre (aucun plantage) donc pourquoi pas sur Debian/Ubuntu ?

@el_profesor Merci, c’est très intéressant je vais aussi creuser cette piste “cron-apt”, je l’avais déjà mis dans ma liste mais je n’avais pas encore eu le temps de regarder, merci pour le lien.

PS: je reste ouvert à toutes solutions permettant la gestion centralisé des mises à jours sur Ubuntu/Débian.

Il parait que SpaceWalk (qui une version libre de RedHat Network Sattelite) peut gérer le déploiement de mises à jour?

Si non, je pense opter pour une solution entièrement maison:
Serveur de dépôt miroir
Script + crontab
Gestion des MàJ selon les versions d’OS
Notification avant MàJ
…
Gestion et archivage des paquets et des notifications

Avec cron-apt tu peux faire juste un update et lui faire t’envoyer un mail avec la liste des paquets que tu dois mettre à jour. Et ensuite avec cssh tu peux faire l’upgrade d’une commande sur tous tes serveurs …

Parfois après une MAJ tu dois redémarrer des services et pour savoir lesquels tu peux utiliser checkrestart qui est dans le paquet debian-goodies.

Merci “el_professor” tu es le grand gagnant car ta proposition m’a séduite.

Cron-apt m’a l’air tout à fait correspondre à ce que je cherche.
Par contre il faut que sur l’ensemble de mes machines “cron-apt” soit installé ?

J’ajoute juste mon petit grain de sel pour dire que sur un parc hétérogène et/ou sur quelque chose d’un peu plus évolué qu’un apt-get upgrade, je préfère utiliser ansible (http://ansible.cc/) que cssh.

[quote=“toma28”]Bonsoir,

@clochette Merci, je vais creuser ces solutions (chef, cfengine, …) et vous tiens au courant.
Te fait frémir de peur ou de joie ? Le système RedHat Network Satellite permet de déployer des MàJ sur plusieurs Machines sous RH et cela fonctionne du tonnerre (aucun plantage) donc pourquoi pas sur Debian/Ubuntu ?[/quote]

Pourquoi ? tout simplement que sur une plateforme tu n’a jamais la même configuration et les mêmes besoins.

Nous parlons bien de serveur ?

Donc du dépôts stable et très peu d’application compiler par tes soins (oui oui ça existe des paquets qui ne sont pas disponible sur les dépôts Debian répondant à des besoins ultra spécifique ).
On peu en conclure que l’on parle de mise à jour de sécurité et dans la quasi totalité de celle-ci il n’y a pas de redémarrage de serveur requis.

Les outils que je recommandé sont des outils de déploiement de fichiers; on y inclus dedans les paquets pour les mises à jour, les fichiers de configuration divers, etc …
Couplé à un mirroir à quelques scripts bien senti pour récupérer la liste des paquets à mettre à jour avec une commande comme celle que j’avais fourni on peu arrivé à automatiser les mises à jour de sécurité en gardant la main tout de même sur les machines.

Autre avantages ces outils permettent aussi de pouvoir re déployer des machines à l’identique si peu que l’on est les back-ups adéquat.
On peu gérer le déploiement des sondes de monitoring, etc …

Maintenant il faut surtout voir la taille du parc machine, bien souvent un screen est bien suffisant pour gérer une douzaine de machines et l’utilisation de apt-cron peut bien entendu rendre un peu plus automatique les manipulations.

MAIS jamais au grand jamais je ne ferai totalement confiance à un système de gestion de mise à jour de façon aveugle (sans aucun contrôle de ma part) sur une partie d’une plateforme en production ou en pré-production.

[quote=“Clochette”]Donc du dépôts stable et très peu d’application compiler par tes soins (oui oui ça existe des paquets qui ne sont pas disponible sur les dépôts Debian répondant à des besoins ultra spécifique ).
On peu en conclure que l’on parle de mise à jour de sécurité et dans la quasi totalité de celle-ci il n’y a pas de redémarrage de serveur requis.[/quote]
C’est en effet le cas pour les serveurs DNS, SMTP, IMAP/POP, IRC, XMPP et NTP. Mais quand tu fais du web ou autre chose tu déploie des applications spécifiques (non, non pas ultra) qui doivent donc être mises à jour. C’est un besoin très courant.

La manière la plus classe que j’ai vu de gérer ça c’est de créer son propre dépôt et de tout faire passer par celui-ci. Le déploiement, l’exécution de script, tout passe par la création d’un paquet dans le dépôt qui va être ensuite installé sur le parc. Ensuite avec fabric ou cssh, on lance les mises à jours sur les machines que l’on veut. Tu peut faire des trucs assez énormes, par exemple tu as un paquet admin-web, installé uniquement sur les serveurs web : dans sa nouvelle version, elle dépend de la nouvelle version de PHP et installe la nouvelle version du site de l’entreprise. Je trouve ça magnifique.