Mobiln├ę Spr├ívy, Gadgety, Blogy's Secenziami

Pre─Źo by ste mali zv├í┼żi┼ą ┼żiv├ę opravy QEMU

┼Żiv├ę opravy QEMU

Sysadmins vedia, ak├ę s├║ rizik├í spustenia neorigin├ílnych slu┼żieb. Vzh─żadom na v├Żber a neobmedzen├ę zdroje v├Ą─Ź┼íina pracovit├Żch spr├ívcov zaist├ş, aby boli v┼íetky syst├ęmy a slu┼żby konzistentne opravovan├ę.

Veci s├║ v┼íak len zriedka tak├ę jednoduch├ę. Technick├ę zdroje s├║ obmedzen├ę a oprava m├┤┼że by┼ą ─Źasto komplikovanej┼íia, ako sa na prv├Ż poh─żad zd├í. Hor┼íie je, ┼że niektor├ę slu┼żby s├║ tak skryt├ę na pozad├ş, ┼że sa jednoducho nedostan├║ do zoznamu vec├ş, ktor├ę je potrebn├ę opravi┼ą.

QEMU je jednou zo slu┼żieb, ktor├ę zvy─Źajne sp├┤sobuj├║ probl├ęmy s opravou. Funguje na pozad├ş a je ─żahk├ę ho bra┼ą ako samozrejmos┼ą. Oprava QEMU navy┼íe prin├í┼ía zna─Źn├ę technick├ę a praktick├ę v├Żzvy – a z├írove┼ł vy┼żaduje obrovsk├ę zdroje.

V tomto ─Źl├ínku sa budeme zaobera┼ą niektor├Żmi probl├ęmami spojen├Żmi s opravou QEMU a pouk├í┼żeme na rie┼íenie, ktor├ę z opravy QEMU odstr├íni tie naj┼ąa┼ż┼íie k├║sky.

Ignorovanie opravy QEMU je ve─żk├Żm rizikom

Pravdepodobne o tom budete vedie┼ą, ak pou┼ż├şvate QEMU – skr├ítene, samozrejme, pre Quick EMUlator – preto┼że QEMU bude poskytova┼ą kritick├ę virtualiza─Źn├ę schopnosti, ktor├ę podporuj├║ va┼íe pracovn├ę za┼ąa┼żenie. To si v┼íak mo┼żno neuvedomujete, ┼że rovnako ako hostite─żsk├Ż OS, virtualizovan├Ż OS a v┼íetky va┼íe aplik├ície, aj QEMU je potrebn├ę pravidelne aktualizova┼ą – ÔÇőÔÇőaj ke─Ć funguje na pozad├ş.

Nie je to len stra┼íideln├Ż pr├şbeh. Uk├ízalo sa, ┼że QEMU je rovnako zranite─żn├Ż ako v┼íetky ostatn├ę slu┼żby, kni┼żnice alebo komponenty. Napr├şklad v roku 2015 bol virtu├ílny disketov├Ż ovl├ída─Ź v QEMU pova┼żovan├Ż za zranite─żn├Ż: naz├Żva sa to chyba Venom a ovplyv┼łuje syst├ęmy, ─Źi sa virtu├ílna disketa QEMU pou┼ż├şva alebo nie.

Rovnako aj v roku 2019 boli organiz├ície, ktor├ę pou┼ż├şvaj├║ hypervisor KVM/QEMU na prev├ídzkovanie in┼ítanci├ş Linuxu, na konci bezpe─Źnostnej chyby, ktor├í ohrozovala mnoh├ę syst├ęmy. A rovnako ako ka┼żd├Ż in├Ż be┼żne pou┼ż├şvan├Ż softv├ęr je pravdepodobn├ę, ┼że v QEMU bud├║ odhalen├ę ─Ćal┼íie nedostatky.

In├Żmi slovami, ak nezaplat├şte, va┼íe syst├ęmy bud├║ ohrozen├ę. Ale je tu probl├ęm: pokia─ż ide o QEMU, oprava nie je jednoduch├í, preto┼że oprava QEMU ovplyv┼łuje z├íkladn├ę virtualizovan├ę pracovn├ę za┼ąa┼żenie: k├Żm prestanete re┼ítartova┼ą QEMU, mus├ş sa zastavi┼ą aj virtu├ílne pracovn├ę za┼ąa┼żenie.

Va┼íe mo┼żnosti pre opravu QEMU

Uplatnenie jednej slu┼żby na jednom syst├ęme zvy─Źajne nie je probl├ęm – za predpokladu, ┼że si to zapam├Ąt├íte – a dokonca ani oprava jedn├ęho opera─Źn├ęho syst├ęmu nie je tak├ę ┼ąa┼żk├ę, ako by ste sa zvy─Źajne dok├ízali vyrovna┼ą s jedin├Żm re┼ítartom, ale napriek tomu je ru┼íiv├ę, preto┼że ka┼żd├Ż aplik├ícia sa re┼ítartuje. Sp├írovanie flotily opera─Źn├Żch syst├ęmov je ove─ża ┼ąa┼ż┼íie, preto┼że by to mohlo znamena┼ą tis├şce re┼ítartov a naru┼íenie nespo─Źetn├ęho po─Źtu aplik├íci├ş.

Preto┼że QEMU je virtualiza─Źn├í slu┼żba, oprava m├í ove─ża v├Ą─Ź┼íie d├┤sledky ako jednoduch├ę opravy inej aplik├ície. Opravte QEMU a mus├şte re┼ítartova┼ą z├íkladn├ę opera─Źn├ę syst├ęmy, ktor├ę na ┼łom be┼żia.

V in├Żch m├┤┼że pou┼żitie opravy na jednu slu┼żbu – QEMU – vies┼ą k n├║ten├ęmu re┼ítartu tis├şcov opera─Źn├Żch syst├ęmov. Zna─Źne to komplikuje opravu QEMU – a m├┤┼że to znamena┼ą, ┼że technologick├ę t├şmy niekedy oneskoruj├║ opravu QEMU a pok├║┼íaj├║ sa ospravedlni┼ą riskovanie zranite─żnos┼ąami, preto┼że naru┼íenie pova┼żuj├║ za pr├şli┼í ve─żk├ę.

Oprava je v┼íak nevyhnutn├í a pri aktualiz├ícii QEMU – a spr├ívnom sp├┤sobe, samozrejme existuj├║ skratky. Tu s├║ niektor├ę z va┼íich mo┼żnost├ş.

R├Żchla, ale ve─żmi riskantn├í met├│da

Najjednoduch┼íou, ale z├írove┼ł najru┼ínej┼íou mo┼żnos┼ąou je jednoducho pou┼żi┼ą opravu, re┼ítartova┼ą a zisti┼ą, ─Źo sa stane. Ak je to len jeden stroj, m├┤┼żete by┼ą v poriadku – koniec koncov, budete si vedom├ş toho, ┼że budete musie┼ą re┼ítartova┼ą pracovn├ę za┼ąa┼żenie.

Ak v┼íak spravujete QEMU v r├ímci serverovej flotily alebo v prostrediach, kde sa vyvinuli extern├ş zainteresovan├ş ├║─Źastn├şci, jednoduch├ę oprava a spustenie re┼ítartov na v┼íetk├Żch po─Ź├şta─Źoch bezpochyby povedie k mnoh├Żm rozru┼íen├Żm ─żu─Ćom.

Rozumn├Ż pr├şstup

Namiesto toho, aby sa iba re┼ítartovali, v├Ą─Ź┼íina sysadminov s vyrovnanou hlavou prid├í k uveden├ęmu postupu trochu viac pl├ínovania. Na za─Źiatok upozorn├şte v┼íetk├Żch, ktor├Żch sa to t├Żka, nastaven├şm okna pl├ínovanej ├║dr┼żby s pl├ínovan├Żm ─Źasom prest├ívky – povedzme mesiac vopred. Probl├ęm je, samozrejme, v tom, ┼że budete musie┼ą d├║fa┼ą, ┼że v├ís do toho mesiaca hackn├║.

Po─Źas okna ├║dr┼żby v┼íak budete ma┼ą mo┼żnos┼ą opravi┼ą bez toho, aby ste niekoho ru┼íili, je dovolen├ę tolerova┼ą nieko─żko hod├şn bez slu┼żby. Akon├íhle re┼ítartujete QEMU, v┼íetky virtu├ílne po─Ź├şta─Źe by sa mali re┼ítartova┼ą a m├┤┼żete informova┼ą zainteresovan├ę strany, ┼że oprava je dokon─Źen├í.

Napriek tomu sa pravdepodobne po re┼ítartoch nastav├şte na primeran├ę obdobie na rie┼íenie probl├ęmov, a napriek tomu, ┼że sa v├ím ni─Ź nestane, dokonca ani pl├ínovan├í ├║dr┼żba. windows s├║ n├íro─Źn├ę pre v┼íetk├Żch z├║─Źastnen├Żch. Existuje tie┼ż mnoho scen├írov, kde by pl├ínovan├í ├║dr┼żba, ktor├í zah┼Ľ┼ła skuto─Źn├ę prestoje, jednoducho nebola prijate─żn├í.

Pr├şstup na podnikovej ├║rovni

Niektor├ę pracovn├ę z├í┼ąa┼że nevyrovnaj├║ sa dobre s preru┼íen├şm sp├┤soben├Żm re┼ítartovan├şm opera─Źn├ęho syst├ęmu. V podnikov├Żch prostrediach budete potrebova┼ą ─Ćal┼í├ş pl├ín. Budete musie┼ą zvoli┼ą ove─ża akt├şvnej┼í├ş pr├şstup: ┼żiv├║ migr├íciu pracovn├ęho za┼ąa┼żenia QEMU.

M├┤┼żete to urobi┼ą iba vtedy, ak je va┼íe pracovn├ę za┼ąa┼żenie u┼ż rozdelen├ę medzi viacer├Żch hostite─żov a kde m├íte v t├Żchto uzloch aktivovan├║ vysok├║ dostupnos┼ą. Opravu potom spust├şte informovan├şm svojich zainteresovan├Żch str├ín, ┼że bude potrebn├ę vykona┼ą okno ├║dr┼żby, ktor├ę ovplyvn├ş v├Żkon – ale ┼że by nemalo ovplyvni┼ą dostupnos┼ą.

Spoliehaj├║c sa na svoju vysok├║ dostupnos┼ą, migrujete virtu├ílne po─Ź├şta─Źe, potom zastav├şte QEMU, oprav├şte ho a re┼ítartujete. Po re┼ítarte migrujete virtu├ílne po─Ź├şta─Źe sp├Ą┼ą do opraven├Żch in┼ítanci├ş QEMU.

Vykon├ívanie spr├ívne, oprava migr├íciou zais┼ąuje, ┼że va┼íe in┼ítancie QEMU s├║ bezpe─Źne opravovan├ę bez toho, aby to znepokojovalo z├║─Źastnen├ę strany po─Źas skuto─Źn├Żch prestojov.

Probl├ęm s migr├íciou QEMU

Hovorili sme o troch r├┤znych pr├şstupoch k z├íplatovaniu QEMU a migra─Źn├í trasa je bezpochyby najlep┼íou mo┼żnos┼ąou pre organiz├ície, ktor├ę sa spoliehaj├║ na QEMU pri vytv├íran├ş ve─żk├ęho pracovn├ęho za┼ąa┼żenia. Ale aj tento pr├şstup na ├║rovni podniku prin├í┼ía rizik├í. Vykon├ívate ve─żmi zlo┼żit├Ż postup, ktor├Ż, ako v┼íetky zlo┼żit├ę postupy, m├┤┼że v┼żdy zlyha┼ą.

Niektor├ę z vec├ş, ktor├ę sa pokazia, zah┼Ľ┼łaj├║:

  • V├Żkon m├┤┼że by┼ą po─Źas migr├ície v├Żrazne zn├ş┼żen├Ż – ─Źo m├┤┼że ma┼ą vplyv na spokojnos┼ą zainteresovan├Żch str├ín a pou┼ż├şvate─żov, najm├Ą tam, kde migr├ícia trv├í dlh┼íie, ako sa o─Źak├ívalo.
  • Koordin├ícia okna ├║dr┼żby, ktor├í je napriek tomu potrebn├í z d├┤vodu mo┼żn├ęho naru┼íenia v├Żkonu, m├┤┼że by┼ą st├íle n├íro─Źn├í a ─Źasovo n├íro─Źn├í-a z├írove┼ł vedie k ur─Źit├ęmu ob┼ąa┼żovaniu zainteresovan├Żch str├ín.
  • Po─Źas migra─Źnej oper├ície by mala by┼ą tolerovan├í men┼íia strata sie┼ąov├Żch paketov – ale niektor├ę pracovn├ę z├í┼ąa┼że m├┤┼żu by┼ą na to citliv├ę, ─Źo m├┤┼że sp├┤sobi┼ą zna─Źn├ę probl├ęmy.
  • Po migr├ícii mus├şte otestova┼ą a overi┼ą-nem├┤┼żete predpoklada┼ą, ┼że v┼íetko pre┼ílo hladko, a mo┼żno budete musie┼ą do tohto testovacieho procesu zapoji┼ą zainteresovan├ę strany.

Vykon├ívanie aktualiz├íci├ş QEMU prostredn├şctvom procesu migr├ície obmedzuje preru┼íenie, ale v├í┼í t├şm napriek tomu mus├ş do tohto procesu investova┼ą zna─Źn├ę mno┼żstvo ─Źasu. Riziko, ┼że sa nie─Źo pokaz├ş, zost├íva – a existuje mal├ę riziko katastrofick├ęho zlyhania.

Aj ke─Ć je nepravdepodobn├ę, ┼że by va┼íe zainteresovan├ę strany zaznamenali v├Żrazn├ę naru┼íenie, v├í┼í t├şm bude musie┼ą starostlivo napl├ínova┼ą. Nakoniec stoj├ş za zv├í┼żenie, ┼że ak├Żko─żvek nepriazniv├Ż v├Żsledok procesu migr├ície – aj ke─Ć mal├Ż m├┤┼że by┼ą riziko – sa negat├şvne odraz├ş na v├ís a va┼íom t├şme.

┼Żiv├í oprava ako alternat├şva

V minulosti oprava v┼żdy z├ívisela od procesu zastavenia, opravy a re┼ítartu. ├üno, migr├ícia pom├íha t├Żm, ┼że zais┼ąuje, ┼że s├║ k dispoz├şcii in┼ítancie vy┼żaduj├║ce re┼ítart. ─îerstvej┼í├ş pr├şstup je v┼íak st├íle be┼żnej┼í├ş: z├íplatovanie za behu bez re┼ítartovania softv├ęru, ktor├Ż sa opravuje.

Tento pr├şstup, naz├Żvan├Ż ┼żiv├ę opravy, v├Żrazne zjednodu┼íuje proces opravy. ┼Żiv├ę opravy namiesto toho, aby sa vy┼żadoval re┼ítart, aktualizuj├║ v├í┼í server alebo slu┼żbu, ktor├║ potrebujete na cest├ích. To je pr├şpad aj QEMU live patching, kde teraz m├┤┼żete nain┼ítalova┼ą najnov┼íie opravy pre QEMU – bez nastavenia okna ├║dr┼żby, ani bez nutnosti vykon├íva┼ą a pl├ínova┼ą migr├íciu.

Preto je QEMUCare od TuxCare n├ístrojom na zmenu hry pre t├şmy, ktor├ę vykon├ívaj├║ pracovn├ę z├í┼ąa┼że na QEMU. QEMUCare nielen u─żah─Źuje proces aktualiz├ície a migr├ície, ale ho aj ├║plne odober├í. Va┼íe in┼ítancie QEMU/KVM s├║ okam┼żite z├íplatovan├ę bez vplyvu na podkladov├Ż virtu├ílny po─Ź├şta─Ź.

Vo─żba trasy ┼żiv├ęho opravovania prin├í┼ía cel├Ż rad v├Żhod:

  • Konzistentn├ę opravy. Dobr├ę ┼żiv├ę rie┼íenie opravy, ako je QEMUCare, automaticky zist├ş uvo─żnenie novej opravy a spust├ş proces opravy. V├í┼í t├şm ani nemus├ş monitorova┼ą vydania opr├ív: QEMUCare sa o to len star├í. To znamen├í, ┼że v├í┼í t├şm opravuje konzistentnej┼íie – ─Ź├şm sa zni┼żuje riziko, ┼że va┼íe in┼ítancie QEMU bud├║ zranite─żn├ę vo─Źi nov├ęmu zneu┼ż├şvaniu.
  • ┼á┼ąastn├ş zainteresovan├ş. Preto┼że QEMUCare funguje na pozad├ş a automaticky opravuje bez re┼ítartovania QEMU, va┼íe zainteresovan├ę strany – vr├ítane intern├Żch pou┼ż├şvate─żov a va┼íich z├íkazn├şkov alebo klientov – ani nebud├║ vedie┼ą, ┼że vykon├ívate opravu. V┼íetko sa deje hladko bez potreby pl├ínovanej ├║dr┼żby windows.
  • Eliminuje pracovn├║ dobu. Aj ke─Ć m├íte mo┼żnos┼ą pok├║si┼ą sa pou┼żi┼ą skratku, podnikov├Ż proces migr├ície riaden├Ż opravou, ktor├Ż sme op├şsali predt├Żm, je va┼íou jedinou realistickou vo─żbou. Je to v┼íak ve─żmi n├íro─Źn├ę na pracovn├║ silu, pri─Źom v├í┼í t├şm str├ívi ve─ża hod├şn-zatia─ż ─Źo QEMUCare spotrebuje v├í┼í t├şm takmer nulov├ę hodiny.
  • Minimalizuje riziko chyby. Preto┼że nemus├şte svoje pracovn├ę za┼ąa┼żenie migrova┼ą ru─Źne, existuje men┼íie riziko, ┼że oprava QEMU v├ím sp├┤sob├ş zna─Źn├ę probl├ęmy. Neexistuj├║ ┼żiadne probl├ęmy s migr├íciou ani chyby siete, ktor├Żch by ste sa museli ob├íva┼ą – ÔÇőÔÇőa vy a ─Źlenovia v├í┼ího t├şmu sa nemus├şte stara┼ą o svoju pr├ícu.

┼Żiv├ę opravy o─Źividne v├Żrazne zjednodu┼íuj├║ aktualiz├íciu va┼íich in┼ítanci├ş QEMU: deje sa to automaticky, nemus├şte sa stara┼ą o to, ┼że sa nie─Źo pokaz├ş – a nepotrebujete investova┼ą ve─ża ─Źasu, aby ste to urobili.

Oprava QEMU je z├ísadn├í – a ┼żiv├ę opravy s├║ ove─ża jednoduch┼íie

QEMU m├┤┼że pokojne vykon├íva┼ą svoju pr├ícu na pozad├ş, ale z poh─żadu kybernetickej bezpe─Źnosti ho nem├┤┼żete ignorova┼ą.

Mus├şte opravi┼ą QEMU, ale je pochopite─żn├ę, ┼że v├í┼í t├şm m├┤┼że by┼ą potenci├ílnym z├íkazn├şkom odraden├Ż.

Aj ke─Ć v├ís d├┤kladn├ę pl├ínovanie a okno ├║dr┼żby dovedie tam, ┼żiv├ę opravy to len ve─żmi u─żah─Źuj├║ – opravy m├┤┼żete vykon├íva┼ą ─Źastej┼íie a s men┼íou n├ímahou. Ak ste teda z├ívisl├ş od pracovn├ęho za┼ąa┼żenia na QEMU, zv├í┼żte, ako m├┤┼że ┼żiv├ę z├íplatovanie z TuxCare prospie┼ą v├í┼ímu t├şmu.

Table of Contents