Updateverwaltung für LXC/VMs

e36Alex

New Member
Jan 1, 2021
1
0
1
37
Hallo zusammen!

Ich betreibe in meinem Heimnetzwerk seit geraumer Zeit einen kleinen Virtualisierungsserver auf dem primär ein paar LXC-Container laufen.
Insgesamt bin ich sehr zufrieden und alles läuft sehr stabil und wie gewünscht.

Das Einzige, was mir zum vollständligen Glück noch fehlt, ist eine "gebündelte" Updateverwaltung für meine LXCs. Dabei würde es mir fast schon reichen, wenn täglich auf den Containern einmal APT UPDATE läuft und dann eine Mail bekomme, in der steht welche neuen Pakete für welchen Container zur Verfügung stehen.
Im besten Fall würde ich mir eine Oberfläche wünschen, über die alle oder ggf. auch nur bestimmte Pakete updaten könnte.

Ich habe mir hierzu schon einmal Ansible etwas näher angesehen und damit etwas "gespielt". Allerdings gefällt mir die rein manuelle Konfiguration über die Playbooks nicht so gut und etwas umständlich.

Daher würde mich einmal interessieren, wie ihr eure VMs/Container wartet und aktuell haltet. Ich bin sehr gespannt auf eure Best Practices und Empfehlungen.

Vielen Dank im Voraus und Gruß,
Alex
 

H4R0

Active Member
Apr 5, 2020
556
118
43
unattended-upgrades und needrestart für security patches.

apticron und apt-listchanges für mail mit changelog.

ansible für upgrades, brauchst nichtmal playbooks einfach
Code:
ansible all --forks 1 -m shell -a "apt update && apt full-upgrade -y"

vorher auf einem host testen, statt all gruppen nutzen.
 

Dunuin

Renowned Member
Jun 30, 2020
1,237
236
63
Ich persönlich nutze nur unattended-upgrades für die automatischen Security Patches und den Rest mache ich alle paar Wochen manuell.
Automatisierung hilft mir glaube ich nicht viel, da ich vor jedem manuellen Upgrade auch immer noch ein Backup erstelle, damit ich zurückrollen kann, falls mir das Upgrade was zerschießt. Und meist muss ich ja eh erst noch Change Logs lesen, wenn da ein größeres Upgrade ansteht oder ich muss irgendwelche Konfig-Dateien für neue Versionen anpassen. Und wenn dann das Upgrade geklappt hat prüfe ich noch alle Dienste ob die wie gewohnt laufen und ich keine Probleme entdecken kann.
Passt da alles, dann mache ich noch ein Backup, damit ich im Ernstfall nicht alles noch einmal machen muss. Und dann entferne ich alte Backups (also die von dem vorherigen größeren Update).

"needrestart" ist mir neu, da werde ich mal gleich googlen was das ist.
 

H4R0

Active Member
Apr 5, 2020
556
118
43
Ich persönlich nutze nur unattended-upgrades für die automatischen Security Patches und den Rest mache ich alle paar Wochen manuell.
Automatisierung hilft mir glaube ich nicht viel, da ich vor jedem manuellen Upgrade auch immer noch ein Backup erstelle, damit ich zurückrollen kann, falls mir das Upgrade was zerschießt. Und meist muss ich ja eh erst noch Change Logs lesen, wenn da ein größeres Upgrade ansteht oder ich muss irgendwelche Konfig-Dateien für neue Versionen anpassen. Und wenn dann das Upgrade geklappt hat prüfe ich noch alle Dienste ob die wie gewohnt laufen und ich keine Probleme entdecken kann.
Passt da alles, dann mache ich noch ein Backup, damit ich im Ernstfall nicht alles noch einmal machen muss. Und dann entferne ich alte Backups (also die von dem vorherigen größeren Update).

"needrestart" ist mir neu, da werde ich mal gleich googlen was das ist.

Das geht aber nur bei sehr kleinen setups, ansonsten kostet es zu viel Zeit.

Zur not hab ich zfs autosnapshot.


Alle services laufen eh als container via kubernetes, bei major upgrades wird einfach neu deployt.

Terraform, cloud-init und ansible kümmern sich um alles.
 
Mar 14, 2019
764
94
33
43
Ich verwalte meinen ganzen VMs und Container mit puppet und unattended-upgrades. Wobei ich nicht nur security patches upgrade sondern in der Tat alles. Gab da noch nie Probleme. Das ganze wird mittlerweile auch auf meinen Clientsystemen so betrieben. Eigener Debian Mirror und die Verwaltung. Hin und wieder ist es etwas doof wenn die Tochter gerade in einem Homeschooling Videomeeting sitzt und der NetworkManager aktuallisiert wird aber das nehme ich für die 5 Sekunden gerne in kauf.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE and Proxmox Mail Gateway. We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!