Я не уверен, что существует определенный "BSD путь", чтобы сделать этот тип материала. Все это сводится к знанию, что обновляется и тестирующей - универсальный материал системного администратора. К счастью, freebsd-обновление и portsnap делают "знание что" довольно тривиальным.

Но, так как Вы попросили специфические особенности, назад когда я пас большое количество машин FreeBSD, они были всеми узлами в кластере. Автономные машины не были бы всем, что отличающийся от этого, но я предполагаю, что Вы могли сделать это неопределенно 'devops' как для Ваших услуг по производству. В конце, всегда хорошая идея иметь отдельные тестовые и продуктивные среды.

В кластерной ситуации:

• Каждая машина смонтированный/usr/src,/usr/obj, и/usr/ports через NFS.
• В зависимости от Вашего бюджета Вы можете или иметь машину подготовки/сборки или определять кластерный узел как узел подготовки/сборки.
• Узел подготовки имел другую копию/usr/ports
• Узел подготовки обновил бы src-все и порты - все через cvsup каждую ночь
• В случае необходимого обновления узел подготовки был бы вынут из вращения и buildworld, installworld, и portupgrade будет выполнен.
• Узел подготовки был бы протестирован полностью.
• /usr/ports был бы подкачан на хосте NFS
• Каждый кластерный узел был бы повернут выполненный installworld и portupgrade, протестировал и затем вращался, въезжают задним ходом.

Очевидно, это было и в случае системы и в случае обновления портов, но процедура была достаточно подобным обновлением просто пакеты или система.

Если это сделано с двумя машинами, Вы могли бы иметь каждого сменяющегося как являющийся производством или подготовкой, или просто обновить производство от подготовки.

Можно отследить изменения от журналов cvs и проверить, получили ли Вы определенные обновления в/usr/src/UPDATING и/usr/ports/UPDATING, оба из которых автоматически обновляются от cvsup.

Если Вы не будете использовать cvsup (и в эти дни существует меньше причины для), то необходимо будет просто найти некоторый другой способ отследить то, что обновляет Вас, хотят. Вы могли отправить список по почте изменений, которые freebsd-обновление хочет внести в себя и следить за страницей опечаток безопасности.

Философия обновления OpenBSD

Это - мой подход для обновления OpenBSD

Оставайтесь в курсе выпусков/патчей безопасности для:

• ОСНОВА (т.е. материал команда разработчиков OpenBSD поддерживает в их исходном дереве),
• Пакеты/Порты (т.е. приложения, установленные сверх ОСНОВЫ)

Процедуры обновления:

• Та же версия ОС
• Новая версия ОС

ОСНОВА

a. Следуйте соответствующим спискам рассылки - я смотрю squish.net ежедневные обзоры, а также общее направление, показанное в списках рассылки Tech и Misc.

b. Следуйте за связанными с Unix веб-сайтами/списками рассылки объявления безопасности.

c. Поддержите локальную копию CVS использования cvsync

d. Создайте Стабильные версии из вышеупомянутого

Когда обновления системы защиты публикуются, мы оцениваем фактическую проблему безопасности с профилем машин с той версией ОС/уязвимости. Если уязвимость релевантна, что мы проходим "ту же процедуру обновления версии".

Пакеты/Порты

Более трудно отслеживать обновления системы защиты для портов/пакетов, но если достаточно очень важно быть на нашей инфраструктуре затем, достаточно важно отслеживать прочь подобным образом для БАЗИРОВАНИЯ.

• Войдите в список рассылки для определенного приложения (это - наша обязанность следить восходящих изменений, независимых от проекта OpenBSD.)

• Войдите в списки рассылки безопасности, находится как CERT, который публикует результаты уязвимостей на приложениях и т.д.

Процедуры обновления

Очевидно, создайте и протестируйте свою процедуру установки по отдельному оборудованию (или VM) прежде, чем сделать его на Ваших производственных машинах. К счастью, для нас, мы имеем избыточные хосты ко многим вещам и можем поэтому развернуть с минимальным временем простоя сервисов. Поскольку OpenBSD поддерживает широкий диапазон аппаратных средств, мы можем оборудование класса сервера развертывания для наших основных машин и рабочие столы более низкого уровня как наши избыточные хосты (или мы просто создаем временное поле для заполнения для основной машины во время цикла обновления.)

Наши процедуры обновления в большой степени зависят от использования системы портов/пакетов для неосновного программного обеспечения. Два хоста, где мы устанавливаем программное обеспечение из источника, являются болью для обновления между обновлениями версии ОС.

То же обновление ОС

Для ОСНОВНОЙ ОС мы продолжаем иметь успех только с установкой новых двоичных файлов по старым. Предпочтительно, мы копируем всю ОС и Конфигурацию приложения / файлы данных, формат и переустанавливаем исправленную ОС и переустанавливаем пакеты (сохраняющий исходные данные)

В наших развернутых хостах OpenBSD (30 +), и опыт, создавая резервную копию конфигурации и данных не является трудным. Для наших брандмауэров все данные находятся в конфигурационных файлах и файлах журнала.

Для Портов/Пакетов - где изменения просты, мы изменяем наш собственный порт и создаем пакет из этого. Наличие обновленного порта упрощает процесс выше.

Новое обновление ОС

Между версиями ОС мы устанавливаем все из эскиза.

Я уверен, что существует достаточно документации там для процесса, но по существу мы создаем ссылочную машину с той же конфигурацией как система, которая будет "заменена". Пройдите те же тесты, требуемые прежде, чем развернуть хост.

Мы копируем конфигурацию от ссылочного хоста и устанавливаем OpenBSD на производственном узле, восстанавливая "проверенную" конфигурацию ontop его (снова выполнение той же валидации впоследствии.)

Для OpenBSD, по крайней мере:

• пакеты являются конечным продуктом системы портов; должен быть мало, если любая потребность обтекать с портами.
• - выпуск и - стабильный является (главным образом) застывшим во времени с некоторыми обновлениями время от времени.
• - текущий регулярно обновляется. При реальной необходимости в актуальных пакетах это - способ пойти.
• останьтесь последовательными: - release/-устойчивые-системы придерживаются с - release/-стабильные выполненные... существующие системы пакетов - текущие пакеты

Часто задаваемые вопросы 15, все о портах и пакетах

Если нет никакой проблемы безопасности или затрудняющей функциональность ошибки, то оставьте его в покое. Проверяйте на обновления, возможно, каждые 3-6 месяцев, таким образом, Вы не становитесь слишком далекими позади, но иначе оставляете вещи в покое.

Если это не, повредился, не фиксируйте его.

Я предпочитаю использовать portupgrade для обновления портов, и делают это только при необходимости, например, когда уязвимость найдена в порте, или новая функциональность требуется.

Что касается обновления системы, я обычно восстанавливаю из источников с make buildworld. У меня никогда не было проблем с этим подходом.