补丁管理傀儡

Question

我正在考虑使用木偶进行大规模补丁管理。

根据一些研究，这样做的方法是创建一个类并在需要的地方应用它，如下所示：

class mypack_update {
  package { 'mypack':
   # ensure => '1.0.1d-15.el6',
    ensure  => '1.0.1g-16.el6_5.7',
  }
}

然而，这似乎不实用，特别是当您有数百个可用的补丁，从内核到ssl，bash等在许多机器上。

有什么最好的做法，我可以遵循，使这更容易吗？

我们主要使用的Linux发行版是SLES11.3。

Answer 1

我们这样做的方式，是使用“确保=>‘最新的’”，然而，这是针对已被控制的已测试回购。如果您的环境有不同的角色和不同的需求，那么您需要使用事实作为感觉机制来确定哪个补丁适用于哪个角色，我们在hiera中这样做就会变得更加复杂。经过一年左右的时间，我相信正确的答案是把木偶和纸浆等回购管理系统结合起来，这正是卫星6正在做的事情。

Answer 2

假设您提到的不切实际的是生成这样一个类，那么这可能需要一些脚本来完成。与希拉相结合，您可以得到一个带有版本ID的包的.yaml列表，您的傀儡安装程序可以如下所示：

hieradata/patchlist.yaml

---
packages:
  mypack:
    ensure: 1.0.1g-16.el6_5.7
  otherpack:
    ensure: latest
  otherpacktwo:
    ensure: 2.0.1

yourclass.pp

class patchset {
    create_resources('packages')
}

至于脚本部分，一些应用于服务器上的rpm -qa命令的awk/perl应该可以完成这项工作。