Nie neu starten?

[StarWarsFan]

Hi!

Es gibt ja Systeme die eine Uptime von mehreren Monaten oder sogar Jahren haben. Da frage ich mich wie werden solche Systeme geupdatet? Spätestens bei einem Kernelupdate muss doch mal neu gestartet werden. Bei Windows noch schlimmer. Da ist bei mir eigentlich jeden Patchday ein Neustart fällig, also ein mal pro Monat.
Wie schafft man es dann ein System nie neu starten zu müssen? Gibt es da mittlerweile Möglichkeiten das ohne Neustart hinzubekommen? Vielleicht über eine Art zwischensystem: Hauptsystem wird kopiert und es wird auf das kopierte System gewechselt. Dann das Hauptsystem neu starten und anschließend wieder wechseln?!

[Sky.NET]

https://www.ksplice.com/
http://en.wikipedia.org/wiki/Ksplice

[Ta1lor]

Es gibt Möglichkeiten dazu unter Linux (Windows bin ich mir gerade nicht sicher). Habe das aber noch nicht im Livebetrieb gesehen. Meistens sind die Systeme einfach nicht geupdated und haben deswegen so eine hohe Uptime.

[Sky.NET]

Meistens sind die Systeme einfach nicht geupdated und haben deswegen so eine hohe Uptime.

Gibt hier zwei Fälle, einen wo das ganze mit Dummheit und Unvermögen zu tun hat, und zwar wenn ein Gerät NICHT in einer DMZ steht, dann ist derjenige der den Server betreibt und wegen Uptime nicht updated (respektive neu startet) ein kompletter Vollidiot.

Anders sieht es hingegen innerhalb einer DMZ aus, das Netzwerk in der DMZ wird von anderen Firewallservern geschützt (welche dann auch öfter mal rebooted werden zwecks Sicherheit), im Normalfall kommt da nichts rein, daher kann man Systeme in einer DMZ auch mit Windows XP Vanilla von 2000-2014 durchgehend laufen lassen, ohne auch nur 1 Patch einzuspielen (respektive einmal neu zu starten), solange die benötigte Software läuft und läuft...

Das ist eine gängige Vorgehensweise die in vielen professionellen Umgebungen so gehandhabt wird, meistens wird hierbei auch starke Redundanz betrieben, da ein Ausfall des Service einen finanziell nicht zu verachtenden Schaden verursachen würde.
Eine Schöne Skizze dazu kann man auf Wikipedia im entsprechenden Artikel finden:
http://de.wikipedia.org/wiki/Demilitarized_Zone

Das kann man auch zu Hause ganz einfach ziemlich hoch skaliert aufsetzen, je nachdem wie paranoid man ist...
Einfach 20 Raspberry Pi in reihe schalten mit jeweils einem anderen Firewall-Produkt drauf, am ende steht dann dein Router.
Wenn du dann noch in der Lage bist den ganzen Krams richtig zu konfigurieren kommt Niemand mehr über irgendwelche allgemeinen Lücken in dein Netzwerk, es sei denn du hast irgendwelche löchrigen Serveranwendungen durch die Firewalls nach aussen offen (Webserver z.B. Port 80), aber selbst hier gibts bei vielen Vulnerabilities Möglichkeiten die von einer halbwegs intelligenten und gut konfigurierten Firewall abfangen zu lassen, bevor sie irgendwelchen Schaden anrichten können.

[Ta1lor]

Auch wenn es etwas älter ist: Oracle Linux nutzt zum Beispiel schon ksplice (Ist ja auch von Oracle). Soll ganz gut funktionieren, traut sich nur noch nicht wirklich jemand zu benutzen.

[Testman]

In Windows-Umgebungen mit Hyper-V (Virtualisierungstechnologie) und dem System Center hat man z.b. die Möglichkeit einer Live-Migration von VMs. Das heißt, es werden im laufenden Betrieb VMs von Server A zu Server B migriert und schon kann man ohne Unterbrechungen für den User der mit den VMs arbeitet oder auf sie zugreift (die VMs können Datenbanken enthalten, oder Webserver, etc.) den Server A patchen und einen Neustart durchführen. Sobald Server A wieder komplett betriebsbereit ist kann man mit 1-2 Klicks die VMs "zurückholen" und alles ist wieder beim alten. Bei größeren Clustern ist das z.b. eine sehr geniale Sache.

Uptime an sich ist total unwichtig wie ich finde, solange der User von einem Neustart eines Servers nichts mitbekommt und trotzdem wichtige Wartungsarbeiten durchgeführt werden können.