no way to compare when less than two revisions
Differences
This shows you the differences between two versions of the page.
— | aankondigingen:2019:c2019d22-software-updates-201912 [2024/04/16 07:59] (current) – created - external edit 127.0.0.1 | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ~~META: | ||
+ | title = C2019D22: Software updates december 2019 | ||
+ | ~~ | ||
+ | {{htmlmetatags> | ||
+ | metatag-keywords=(software update) | ||
+ | metatag-og: | ||
+ | metatag-og: | ||
+ | In de periode van 9--12 december worden er software updates in de | ||
+ | NPO hosting omgeving uitgevoerd. Het betreft | ||
+ | nginx, php, ruby, rubygems, perl, tomcat, graylog, | ||
+ | elasticsearch, | ||
+ | keycloak, | ||
+ | influxdb, | ||
+ | memcached, | ||
+ | redis, | ||
+ | mariadb, | ||
+ | postgresql, | ||
+ | openldap, | ||
+ | freeradius-server, | ||
+ | ImageMagick, | ||
+ | Image-ExifTool, | ||
+ | curl, | ||
+ | dovecot, syslog-ng, | ||
+ | postfix, | ||
+ | bind en unbound. | ||
+ | |||
+ | Verder zijn er mededelingen m.b.t. de aanstaande End-Of-Life | ||
+ | voor PHP-5.6, PHP-7.1, Python-2.7, Node.js-8 en Elasticsearch-5. | ||
+ | Er vindt er een Openssl upgrade plaats en blikken we alvast vooruit | ||
+ | op het jaar 2020. | ||
+ | ) | ||
+ | }} | ||
+ | ====== C2019D22: Software updates december 2019 ====== | ||
+ | ====== Aankondiging: | ||
+ | Beste klant/ | ||
+ | |||
+ | (Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].) | ||
+ | |||
+ | Wij vragen aandacht voor het volgende: | ||
+ | - PHP-5.6 en PHP-7.1: Het einde is nabij! | ||
+ | - Python-2.7, Node.js-8 en Elasticsearch-5: | ||
+ | - OpenSSL upgrade | ||
+ | - Vooruitblik op het jaar 2020 | ||
+ | - Reguliere software updates | ||
+ | |||
+ | ===== PHP-5.6 en PHP-7.1: Het einde is nabij! ===== | ||
+ | Het eind voor zowel PHP-5.6 als voor PHP-7.1 zit er nu toch echt aan | ||
+ | te komen. De lijn die gevolgd wordt is: " | ||
+ | wordt omgezet naar PHP-7.2" | ||
+ | ^ datum ^ actie ^ | ||
+ | | zondag 1 december 2019 | **End-of-life moment voor PHP-7.1** | | ||
+ | | maandag 2 december 2019 | de laatste nog resterende PHP-7.1 sites in de **productie** omgeving worden omgezet naar PHP-7.2 | | ||
+ | | maandag 16 december 2019 | de laatste nog resterende PHP-5.6 sites in de **test** omgeving worden uitgezet | | ||
+ | | dinsdag 31 december 2019 | **En-of-life moment voor PHP-5.6** | | ||
+ | | maandag 6 januari 2020 | de laatste nog resterende PHP-5.6 sites in de **productie** omgeving worden uitgezet | | ||
+ | |||
+ | Inmiddels valt onze gebruikersgroep uiteen in 3 groepen: | ||
+ | - De mensen die hard hebben gewerkt en geen gebruik meer maken van oude PHP versies. Hulde! Voor deze groep is deze melding dus niet relevant. | ||
+ | - De mensen die ook hard hebben gewerkt, maar de deadline net niet gaan halen **en** die daarover met ons afspraken hebben gemaakt. Prima! Jullie weten wie jullie zijn en wat de afspraken inhouden. | ||
+ | - De rest. Daarvoor is bovenstaand schema **wel** van toepassing. | ||
+ | |||
+ | Het is dus van belang om: | ||
+ | * **voor** maandag 2 december 2019 er zeker van te zijn dat eventuele PHP-7.1 sites het ook doen onder PHP-7.2, en | ||
+ | * **voor** maandag 6 januari 2020 de migratie van PHP-5.6 naar PHP-7 afgerond te hebben. | ||
+ | |||
+ | Omdat PHP-5.6 al sinds 1 januari 2019 niet meer onderhouden wordt door | ||
+ | de PHP developers kan zich een situatie voordoen dat er tussen nu en het | ||
+ | uitzet-moment een kritiek beveiligingsprobleem aan het licht komt. | ||
+ | Dat was | ||
+ | [[https:// | ||
+ | al het geval, toen konden we er nog omheen werken. | ||
+ | Mocht het nog een keer voorkomen, dan zullen we passende maatregelen | ||
+ | nemen. Te denken valt aan het extra afschermen van de getroffen sites. | ||
+ | |||
+ | ===== Python-2.7, Node.js-8 en Elasticsearch-5: | ||
+ | Zoals in de [[: | ||
+ | valt zijn bovengenoemde producten EOL per 31 dec 2019. In de eerste week | ||
+ | van januari wordt deze software verwijderd van het platform. | ||
+ | |||
+ | ===== OpenSSL upgrade ===== | ||
+ | Veel software componenten gebruiken een library genaamd " | ||
+ | over encrypted kanalen te communiceren. Denk aan een browser die | ||
+ | over https een webserver moet kunnen benaderen, maar ook aan mail | ||
+ | clients of secure shell. Daarnaast zit openssl ingebakken in allerlei | ||
+ | programmeertalen als php, ruby, python en perl. | ||
+ | Omdat de vorige LTS((Long Term Support)) versie van openssl (1.0.2) na | ||
+ | [[https:// | ||
+ | geen support meer krijgt zijn wij voor alle componenten | ||
+ | die openssl gebruiken overgestapt op de huidige LTS versie (1.1.1). Dat | ||
+ | betekent dat talen als php en ruby en tools als curl vanaf nu (waar | ||
+ | dat nog niet het geval was) door ons met een ingebakken openssl-1.1.1 | ||
+ | uitgeleverd worden. Voor de gebruikers hiervan zal dit niet veel verschil | ||
+ | maken. Hooguit dat nieuwere SSL protocollen (TLS 1.3) voortaan ondersteund | ||
+ | worden. | ||
+ | |||
+ | ===== Vooruitblik op het jaar 2020 ===== | ||
+ | ==== End-Of-Life momenten ==== | ||
+ | In 2020 komen de volgende End-Of-Life momenten aan bod | ||
+ | ^datum ^einde beschikbaarheid van ^benodigde actie ^ | ||
+ | |13 februari |PostgreSQL 9.4 |Upgrade naar PostgreSQL 9.6 | | ||
+ | |31 maart |Ruby 2.4 |Upgrade naar Ruby 2.6 | | ||
+ | |30 november |PHP 7.2 |Upgrade naar PHP 7.3 | | ||
+ | |31 december |Appcluster |Migreer sites naar het [[:chp]] | | ||
+ | |||
+ | ==== Ontmanteling van oude UG omgeving / mediastorage ==== | ||
+ | In 2015 is de NPO begonnen met de ombouw van Uitzending Gemist naar NPO | ||
+ | Start. Inmiddels is deze ombouw bijna voltooid. Dat betekent dat de oude | ||
+ | UG omgeving afgebouwd kan gaan worden. Begin 2020 zullen we hier meer | ||
+ | concrete plannen over ontvouwen, maar houd in elk geval rekening met het | ||
+ | volgende: | ||
+ | * Afbouw van de progressive download omgeving (content.omroep.nl aka download.omroep.nl, | ||
+ | * Afbouw van de adaptive VOD omgeving (adaptive.npostreaming.nl) | ||
+ | * Afbouw van de adaptive livestreaming omgeving (" | ||
+ | * Afbouw van de live audiostreaming omgeving (icecast.omroep.nl) | ||
+ | * Opruimen van het oude UG audio/video archief. | ||
+ | |||
+ | Ons streven is dat eind 2020 bovenstaande omgevingen opgeheven kunnen | ||
+ | worden. Daar waar dit (nog) niet goed mogelijk is, bijvoorbeeld omdat | ||
+ | de use case out-of-scope voor NPO Start is zullen we met de | ||
+ | betrokkenen in gesprek treden om na te denken over alternatieven. | ||
+ | |||
+ | ==== Migratie van Appcluster naar Community Hosting Platform ==== | ||
+ | Wij verwachten dat 2020 ook het jaar wordt van een migratie van de oude | ||
+ | hosting omgeving ("het [[: | ||
+ | Begin 2020 zullen we ook hier meer concrete plannen over presenteren. | ||
+ | Wij streven ernaar dat eind 2020 het Appcluster niet meer, of slechts nog in | ||
+ | zeer uitgeklede vorm bestaat. | ||
+ | |||
+ | ===== Reguliere software updates ===== | ||
+ | In de periode van 9 tot 12 december worden de | ||
+ | volgende updates doorgevoerd: | ||
+ | |||
+ | /* Dingen die deze ronde niet meedoen zijn uit ge-comment */ | ||
+ | ^ wat ^ van ^ naar ^ changelog ^ | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | |nginx |1.17.5 |1.17.6 |[[http:// | ||
+ | |php 5.6 |5.6.40 |5.6.40 |((openssl upgrade)) | | ||
+ | |php 7.1 |7.1.33 |7.1.33 |((openssl upgrade)) | | ||
+ | |php 7.2 |7.2.24 |7.2.25 |[[https:// | ||
+ | |php 7.3 |7.3.11 |7.3.12 |[[https:// | ||
+ | / | ||
+ | /*|ruby 2.4 |2.4.7 |2.4.9 |[[https:// | ||
+ | /*|ruby 2.6 |2.6.4 |2.6.5 |[[https:// | ||
+ | |ruby 2.4 |2.4.9 |2.4.9 |((openssl upgrade)) | | ||
+ | |ruby 2.6 |2.6.5 |2.6.5 |((openssl upgrade)) | | ||
+ | |ruby 2.4 gems |diverse |- |((openssl upgrade)) | | ||
+ | |ruby 2.6 gems |diverse |- |((openssl upgrade)) | | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | |perl |5.30.0 |5.30.1 |[[https:// | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | |tomcat 8 |8.5.47 |8.5.49 |[[https:// | ||
+ | |tomcat 9 |9.0.27 |9.0.29 |[[https:// | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | |Graylog |3.1.0 |3.1.3 |[[http:// | ||
+ | /*|Elastic Search 5.x |5.6.15 |5.6.16 |[[https:// | ||
+ | |Elastic Search 6.x |6.8.4 |6.8.5 |[[https:// | ||
+ | |Elastic Search 7.x |7.4.1 |7.4.2 |[[https:// | ||
+ | |grafana |6.4.3 |6.5.0 |[[https:// | ||
+ | |keycloak |7.0.1 |8.0.0 |[[https:// | ||
+ | / | ||
+ | / | ||
+ | |memcached |1.5.19 |1.5.20 |[[https:// | ||
+ | / | ||
+ | |redis |5.0.5 |5.0.7 |[[https:// | ||
+ | |mariadb |10.2.27 |10.2.29 |[[https:// | ||
+ | / | ||
+ | |postgresql 9.4 |9.4.24 |9.4.25 |[[https:// | ||
+ | |postgresql 9.6 |9.6.15 |9.6.16 |[[https:// | ||
+ | / | ||
+ | |openldap |2.4.13 |2.4.48 |((openssl upgrade)) | | ||
+ | |ImageMagick |7.0.9-1 |7.0.9-2 |[[https:// | ||
+ | |Image-ExifTool |11.74 |11.76 |[[https:// | ||
+ | |curl |7.66.0 |7.67.0 |[[https:// | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | |dovecot |2.3.8 |2.3.8 |((openssl upgrade)) | | ||
+ | / | ||
+ | |syslog-ng |3.24.1 |3.24.1 |((openssl upgrade)) | | ||
+ | / | ||
+ | / | ||
+ | |postfix |3.4.7 |3.4.8 |[[http:// | ||
+ | |bind |9.11.12 |9.11.13 |[[https:// | ||
+ | |unbound |1.9.4 |1.9.5 |[[http:// | ||
+ | / | ||
+ | / | ||
+ | |||
+ | De updates worden op 29 november op het testcluster doorgevoerd, | ||
+ | zodat er gelegenheid is om de nieuwe versies te testen. | ||
+ | |||
+ | Het schema voor de productie clusters is als volgt: | ||
+ | /* Dingen die deze ronde niet meedoen zijn uit ge-comment */ | ||
+ | ^ wat ^ actie ^ impact ^ wanneer ^ | ||
+ | |graylog |herstart java |1 korte onderbreking naar de Graylog instanties |9 december 8:00 -- 12:00 | | ||
+ | |influxdb |herstart databases |1 korte onderbreking naar de database instanties |9 december 8:00 -- 12:00 | | ||
+ | |openldap |herstart databases |1 korte onderbreking naar de database instanties |9 december 8:00 -- 12:00 | | ||
+ | / | ||
+ | / | ||
+ | |nginx |herstart webservers |geen |10 december 8:00 -- 12:00 | | ||
+ | |php |herstart applicatieservers |geen |10 december 8:00 -- 12:00 | | ||
+ | / | ||
+ | |ruby |herstart Ruby-on-Rails applicaties |geen |10 december 8:00 -- 12:00 | | ||
+ | |ruby gems |herstart Ruby-on-Rails applicaties |geen |10 december 8:00 -- 12:00 | | ||
+ | / | ||
+ | / | ||
+ | |perl |herstart applicatieservers |geen |10 december 8:00 -- 12:00 | | ||
+ | |memcached |herstart Memcached instanties |memory caches worden gecleared |10 december 8:00 -- 12:00 | | ||
+ | |redis |herstart databases |1 korte onderbreking naar de database instanties |10 december 8:00 -- 12:00 | | ||
+ | / | ||
+ | |ImageMagick |nieuwe versie wordt actief |geen |10 december 8:00 -- 12:00 | | ||
+ | |Image-ExifTool |nieuwe versie wordt actief |geen |10 december 8:00 -- 12:00 | | ||
+ | |curl |nieuwe versie wordt actief |geen |10 december 8:00 -- 12:00 | | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | |syslog-ng |herstart syslog |geen |10 december 8:00 -- 12:00 | | ||
+ | / | ||
+ | |postfix |herstart mailservers |geen |10 december 8:00 -- 12:00 | | ||
+ | |dovecot |herstart imapservers |geen |10 december 8:00 -- 12:00 |*/ | ||
+ | |bind |herstart nameservers |geen |10 december 8:00 -- 12:00 | | ||
+ | |unbound |herstart dns-resolvers |geen |10 december 8:00 -- 12:00 | | ||
+ | |grafana |herstart grafana applicatieserver|geen |10 december 8:00 -- 12:00 | | ||
+ | / | ||
+ | |tomcat |herstart java |ongeveer 1-5 min downtime per instantie |11 december 1:00 -- 6:00 | | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | |keycloak |herstart java |1 korte onderbreking naar de Keycloak instanties |11 december 1:00 -- 6:00 | | ||
+ | / | ||
+ | |mariadb |herstart databases |2 korte onderbrekingen naar de database instanties |11 december 1:00 -- 6:00 | | ||
+ | / | ||
+ | |postgresql |herstart databases |1 korte onderbreking naar de database instanties |11 december 1:00 -- 6:00 | | ||
+ | |Elastic Search |herstart java |geen |9--12 december 8:00 -- 17:00 | | ||
+ | / | ||
+ | / | ||
+ | |perl |herstart flash policy servers |geen |9--12 december 8:00 -- 17:00 | | ||