aankondigingen:2019:c2019d22-software-updates-201912

C2019D22: Software updates december 2019

Aankondiging: Software onderhoud hosting omgeving

Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

Wij vragen aandacht voor het volgende:

  1. PHP-5.6 en PHP-7.1: Het einde is nabij!
  2. Python-2.7, Node.js-8 en Elasticsearch-5: End-Of-Life per 31 dec 2019.
  3. OpenSSL upgrade
  4. Vooruitblik op het jaar 2020
  5. Reguliere software updates

Het eind voor zowel PHP-5.6 als voor PHP-7.1 zit er nu toch echt aan te komen. De lijn die gevolgd wordt is: “PHP-5.6 gaat uit, PHP-7.1 wordt omgezet naar PHP-7.2”. Het tijdschema daarvoor is als volgt:

datum actie
zondag 1 december 2019 End-of-life moment voor PHP-7.1
maandag 2 december 2019 de laatste nog resterende PHP-7.1 sites in de productie omgeving worden omgezet naar PHP-7.2
maandag 16 december 2019 de laatste nog resterende PHP-5.6 sites in de test omgeving worden uitgezet
dinsdag 31 december 2019 En-of-life moment voor PHP-5.6
maandag 6 januari 2020 de laatste nog resterende PHP-5.6 sites in de productie omgeving worden uitgezet

Inmiddels valt onze gebruikersgroep uiteen in 3 groepen:

  1. De mensen die hard hebben gewerkt en geen gebruik meer maken van oude PHP versies. Hulde! Voor deze groep is deze melding dus niet relevant.
  2. De mensen die ook hard hebben gewerkt, maar de deadline net niet gaan halen en die daarover met ons afspraken hebben gemaakt. Prima! Jullie weten wie jullie zijn en wat de afspraken inhouden.
  3. De rest. Daarvoor is bovenstaand schema wel van toepassing.

Het is dus van belang om:

  • voor maandag 2 december 2019 er zeker van te zijn dat eventuele PHP-7.1 sites het ook doen onder PHP-7.2, en
  • voor maandag 6 januari 2020 de migratie van PHP-5.6 naar PHP-7 afgerond te hebben.

Omdat PHP-5.6 al sinds 1 januari 2019 niet meer onderhouden wordt door de PHP developers kan zich een situatie voordoen dat er tussen nu en het uitzet-moment een kritiek beveiligingsprobleem aan het licht komt. Dat was recent al het geval, toen konden we er nog omheen werken. Mocht het nog een keer voorkomen, dan zullen we passende maatregelen nemen. Te denken valt aan het extra afschermen van de getroffen sites.

Zoals in de EOL kalender te lezen valt zijn bovengenoemde producten EOL per 31 dec 2019. In de eerste week van januari wordt deze software verwijderd van het platform.

Veel software componenten gebruiken een library genaamd “openssl” om over encrypted kanalen te communiceren. Denk aan een browser die over https een webserver moet kunnen benaderen, maar ook aan mail clients of secure shell. Daarnaast zit openssl ingebakken in allerlei programmeertalen als php, ruby, python en perl. Omdat de vorige LTS1) versie van openssl (1.0.2) na 31 december 2019 geen support meer krijgt zijn wij voor alle componenten die openssl gebruiken overgestapt op de huidige LTS versie (1.1.1). Dat betekent dat talen als php en ruby en tools als curl vanaf nu (waar dat nog niet het geval was) door ons met een ingebakken openssl-1.1.1 uitgeleverd worden. Voor de gebruikers hiervan zal dit niet veel verschil maken. Hooguit dat nieuwere SSL protocollen (TLS 1.3) voortaan ondersteund worden.

In 2020 komen de volgende End-Of-Life momenten aan bod

datum einde beschikbaarheid van benodigde actie
13 februari PostgreSQL 9.4 Upgrade naar PostgreSQL 9.6
31 maart Ruby 2.4 Upgrade naar Ruby 2.6
30 november PHP 7.2 Upgrade naar PHP 7.3
31 december Appcluster Migreer sites naar het Community Hosting Platform

In 2015 is de NPO begonnen met de ombouw van Uitzending Gemist naar NPO Start. Inmiddels is deze ombouw bijna voltooid. Dat betekent dat de oude UG omgeving afgebouwd kan gaan worden. Begin 2020 zullen we hier meer concrete plannen over ontvouwen, maar houd in elk geval rekening met het volgende:

  • Afbouw van de progressive download omgeving (content.omroep.nl aka download.omroep.nl, audio.omroep.nl, video.omroep.nl)
  • Afbouw van de adaptive VOD omgeving (adaptive.npostreaming.nl)
  • Afbouw van de adaptive livestreaming omgeving (“HASP” aka livestreams.omroep.nl)
  • Afbouw van de live audiostreaming omgeving (icecast.omroep.nl)
  • Opruimen van het oude UG audio/video archief.

Ons streven is dat eind 2020 bovenstaande omgevingen opgeheven kunnen worden. Daar waar dit (nog) niet goed mogelijk is, bijvoorbeeld omdat de use case out-of-scope voor NPO Start is zullen we met de betrokkenen in gesprek treden om na te denken over alternatieven.

Wij verwachten dat 2020 ook het jaar wordt van een migratie van de oude hosting omgeving (“het Appcluster”) naar de nieuwe omgeving (“het Community Hosting Platform”) Begin 2020 zullen we ook hier meer concrete plannen over presenteren. Wij streven ernaar dat eind 2020 het Appcluster niet meer, of slechts nog in zeer uitgeklede vorm bestaat.

In de periode van 9 tot 12 december worden de volgende updates doorgevoerd:

wat van naar changelog
nginx 1.17.5 1.17.6 1
php 5.6 5.6.40 5.6.40 2)
php 7.1 7.1.33 7.1.33 3)
php 7.2 7.2.24 7.2.25 1
php 7.3 7.3.11 7.3.12 1
ruby 2.4 2.4.9 2.4.9 4)
ruby 2.6 2.6.5 2.6.5 5)
ruby 2.4 gems diverse - 6)
ruby 2.6 gems diverse - 7)
perl 5.30.0 5.30.1 1
tomcat 8 8.5.47 8.5.49 1
tomcat 9 9.0.27 9.0.29 1
Graylog 3.1.0 3.1.3 1
Elastic Search 6.x 6.8.4 6.8.5 1
Elastic Search 7.x 7.4.1 7.4.2 1
grafana 6.4.3 6.5.0 1
keycloak 7.0.1 8.0.0 1
memcached 1.5.19 1.5.20 1
redis 5.0.5 5.0.7 1
mariadb 10.2.27 10.2.29 1
postgresql 9.4 9.4.24 9.4.25 1
postgresql 9.6 9.6.15 9.6.16 1
openldap 2.4.13 2.4.48 8)
ImageMagick 7.0.9-1 7.0.9-2 1
Image-ExifTool 11.74 11.76 1
curl 7.66.0 7.67.0 1
dovecot 2.3.8 2.3.8 9)
syslog-ng 3.24.1 3.24.1 10)
postfix 3.4.7 3.4.8 1
bind 9.11.12 9.11.13 1
unbound 1.9.4 1.9.5 1

De updates worden op 29 november op het testcluster doorgevoerd, zodat er gelegenheid is om de nieuwe versies te testen.

Het schema voor de productie clusters is als volgt:

wat actie impact wanneer
graylog herstart java 1 korte onderbreking naar de Graylog instanties 9 december 8:00 – 12:00
influxdb herstart databases 1 korte onderbreking naar de database instanties 9 december 8:00 – 12:00
openldap herstart databases 1 korte onderbreking naar de database instanties 9 december 8:00 – 12:00
nginx herstart webservers geen 10 december 8:00 – 12:00
php herstart applicatieservers geen 10 december 8:00 – 12:00
ruby herstart Ruby-on-Rails applicaties geen 10 december 8:00 – 12:00
ruby gems herstart Ruby-on-Rails applicaties geen 10 december 8:00 – 12:00
perl herstart applicatieservers geen 10 december 8:00 – 12:00
memcached herstart Memcached instanties memory caches worden gecleared 10 december 8:00 – 12:00
redis herstart databases 1 korte onderbreking naar de database instanties 10 december 8:00 – 12:00
ImageMagick nieuwe versie wordt actief geen 10 december 8:00 – 12:00
Image-ExifTool nieuwe versie wordt actief geen 10 december 8:00 – 12:00
curl nieuwe versie wordt actief geen 10 december 8:00 – 12:00
syslog-ng herstart syslog geen 10 december 8:00 – 12:00
postfix herstart mailservers geen 10 december 8:00 – 12:00
dovecot herstart imapservers geen 10 december 8:00 – 12:00
bind herstart nameservers geen 10 december 8:00 – 12:00
unbound herstart dns-resolvers geen 10 december 8:00 – 12:00
grafana herstart grafana applicatieservergeen 10 december 8:00 – 12:00
tomcat herstart java ongeveer 1-5 min downtime per instantie 11 december 1:00 – 6:00
keycloak herstart java 1 korte onderbreking naar de Keycloak instanties 11 december 1:00 – 6:00
mariadb herstart databases 2 korte onderbrekingen naar de database instanties 11 december 1:00 – 6:00
postgresql herstart databases 1 korte onderbreking naar de database instanties 11 december 1:00 – 6:00
Elastic Search herstart java geen 9–12 december 8:00 – 17:00
perl herstart flash policy servers geen 9–12 december 8:00 – 17:00

1)
Long Term Support
2) , 3) , 4) , 5) , 6) , 7) , 8) , 9) , 10)
openssl upgrade
  • aankondigingen/2019/c2019d22-software-updates-201912.txt
  • Last modified: 2020/10/17 11:12
  • (external edit)