C2020D21: Software updates december 2020
Aankondiging: Software onderhoud hosting omgeving
Beste klant/collega,
(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)
Wij vragen aandacht voor het volgende:
-
Discontinuering graylog en mongodb
-
Vooraankondiging OS upgrade
-
PHP-7.2, Elasticsearch-6 en NodeJS-10 End-Of-Life
-
Discontinuering second screen (live.<omroep>.nl) apps
-
Reguliere software updates
Discontinuering graylog en mongodb
Tot recent boden we op het appcluster graylog en mongodb aan. Echter, er zijn op dit moment geen klanten meer die dit nog gebruiken. Daarom hebben we besloten dit niet meer aan te bieden binnen het appcluster. Uiteraard is het in CHP4 mogelijk om zelf graylog, danwel mongodb containers te draaien.
Vooraankondiging OS upgrade
Het appcluster draait op een linux variant genaamd “Scientific Linux (SL)”, wat weer een variant is op “Red Hat Enterprise Linux (RHEL)”. Echter, de versie die we thans draaien, SL-6, gaat uit support en het is voor ons dus van belang om te migreren naar een nieuwere, wel gesupporte versie. Daarbij is de keuze gevallen op “CentOS”, wat ook weer een variant op RHEL is. De versie die we zullen gaan draaien is Centos-8, oftewel de meest recente versie op dit moment.
Het appcluster zit zodanig in elkaar dat een upgrade van het onderliggende OS op de gebruikers maar minimale impact heeft. Dat komt omdat alle zaken waar gebruikers mee te maken hebben (webservers, applicatieservers, databases e.d.) ontkoppeld zijn van het onderliggende OS. Het is dus zo dat ondanks dat het OS veranderd wordt, de versies van apache, php, java, tomcat, enz allemaal gelijk blijven. Op die manier zorgen we (vanuit klantperspectief) voor een eenvoudig upgrade pad. Als het goed is hoeft er in de meeste gevallen namelijk helemaal niets aangepast te worden. Slechts in een aantal gevallen kunnen we in het oude en het nieuwe OS niet dezelfde versie van een softwarecomponent leveren. In die gevallen nemen we contact op met de betrokken gebruikers om een zo glad mogelijke transitie te bewerkstelligen.
We verwachten dat deze OS upgrade in Q1 2021 z'n beslag zal krijgen. Via de bekende kanalen zullen we u over dit proces op de hoogte houden.
PHP-7.2, Elasticsearch-6 en NodeJS-10 End-Of-Life
Zoals al eerder gemeld zijn in november 2020 zowel PHP-7.2 en Elasticsearch-6 End-Of-Life. Dat betekent dat deze versies na november niet meer standaard beschikbaar zullen zijn op het hosting platform.
Verder is NodeJS-10 op 30 april 2021 End-Of-Life. Wij adviseren gebruikers hiervan om tijdig over te stappen naar NodeJS-12. De NodeJS-10 gebruikers zullen we de komende periode persoonlijk gaan aanschrijven.
In het geval van PHP-7.2 hebben zich in de tussentijd een klein aantal gebruikers gemeld met de vraag of het mogelijk is om deze versie nog iets langer aan te houden. Wij zijn hier geen voorstander van. End-Of-Life producten krijgen geen patches meer. Dit kan ervoor zorgen dat je op enig moment een software versie draait waar bekende security problemen in zitten welke actief door hackers getarget worden. Mogelijke gevolgen hiervan kunnen zijn website defacements en/of het lekken van privacygevoelige data. Op zo'n vraag geven we daarom altijd het volgende antwoord:
-
We spreken een harde deadline af tot wanneer we deze software versie aan blijven bieden. Wij denken daarbij aan een periode van enkele weken tot maximaal enkele maanden.
-
Mocht er in deze periode een ernstig probleem in de verouderde software versie gevonden worden, dan behouden we ons het recht voor om gepaste maatregelen te nemen. In het beste geval kunnen we er zelf iets aan doen (misschien zijn er workarounds of kunnen we een patch voor een nieuwere versie backporten). Maar in het slechtste geval (ernstig probleem, risico op infectie van rest van de omgeving) kunnen we door de omstandigheden gedwongen zijn om de site offline te halen.
Ons advies is is dus: “Zorg ervoor om altijd up-to-date te zijn in je gebruikte software versies. Daarmee voorkom je allerhande nare problemen.”
Discontinuering second screen (live.<omroep>.nl) apps
Vanuit de gezamelijkheid zijn ooit in het verleden de zogeheten “Second Screen apps” ontwikkeld. Dit is toen in de gezamelijkheid vanuit de NPO gedaan; de NPO heeft een development partij ingehuurd om dat te maken en vervolgens konden alle omroepen daar gebruik van maken.
Echter, vanuit de NPO heeft de voormalige opdrachtgever ons als hosting team te kennen gegeven dat er geen animo meer is om deze applicaties nog langer te onderhouden. En dat onderhoud is wel nodig, want deze applicaties draaien op PHP-7.2, een versie die op 30 november 2020 gediscontinueerd gaat worden. Gevolg is dat wij als hosting partij hiervan eigenlijk geen andere keuze hebben dan deze applicaties te discontinueren per 30 november 2020. De bij ons bekende gebruikers zijn inmiddels aangeschreven. Mocht er alsnog iemand opstaan om het eigenaarschap van deze applicaties over te nemen dan houden we ons aanbevolen om de hosting hiervan voor onze rekening te nemen.
Software update rooster
Het software update rooster voor de komende tijd ziet er als volgt uit:
| software update ronde | uitrol in test | gelegenheid tot testen | uitrol in productie |
|---|---|---|---|
| December | 26–27 november | 30 november–4 december | 7–10 december |
| Januari | 7–8 januari | 11–15 januari | 18–21 januari |
| Februari | 4–5 februari | 8–12 februari | 15–18 februari |
| Maart | 4–5 maart | 8–12 maart | 15–18 maart |
Reguliere software updates
De updates worden op 27 november op het testcluster doorgevoerd, waarna de week van 30 november – 4 december gebruikt kan worden om te testen. In de periode van 7–10 december worden de updates op de productie-omgevingen doorgevoerd volgens onderstaand schema:
| wat | impact | op | van | naar |
|---|---|---|---|---|
| cacti-spine | 0 | D1 | 1.2.14 | 1.2.15 |
| openldap | 1 | D1 | 2.4.55 | 2.4.56 |
| grafana | 1 | D1 | 7.3.0 | 7.3.3 |
| postgresql | 1 | D1 | 9.6.19 | 9.6.20 |
| syslog-ng | 0 | D2 | 3.29.1 | 3.30.1 |
| nginx | 0 | D2 | 1.19.4 | 1.19.5 |
| php 7.3 | 0 | D2 | 7.3.23 | 7.3.25 |
| php 7.4 | 0 | D2 | 7.4.11 | 7.4.13 |
| passenger | 0 | D2 | 6.0.6 | 6.0.7 |
| python | 0 | D2 | 3.8.5 | 3.8.6 |
| node 12 | 0 | D2 | 12.19.0 | 12.19.1 |
| ImageMagick | 0 | D2 | 7.0.10-34 | 7.0.10-41 |
| goaccess | 0 | D2 | 1.4 | 1.4.2 |
| rclone | 0 | D2 | 1.53.2 | 1.53.3 |
| git | 0 | D2 | 2.29.1 | 2.29.2 |
| postfix | 0 | D2 | 3.5.7 | 3.5.8 |
| unrar | 0 | D2 | 6.0.1 | 6.0.2 |
| bind | 0 | D2 | 9.11.24 | 9.11.25 |
| memcached | 1–2 | N3 | 1.6.8 | 1.6.9 |
| OpenJDK8U-jre | 2 | N3 | 8u272b10 | 8u275b01 |
| tomcat 8 | 2 | N3 | 8.5.59 | 8.5.60 |
| tomcat 9 | 2 | N3 | 9.0.38 | 9.0.40 |
| newrelic-java | 2 | N3 | 6.1.0 | 6.2.1 |
| mariadb | 1 | N3 | 10.2.34 | 10.2.36 |
| Elastic Search 7.x | 0 | D3 | 7.9.3 | 7.10.0 |
Legenda
Veel software kan zonder, of met heel weinig impact ge-update worden. Voor deze zaken kiezen we ervoor om zo'n update overdag uit te voeren. Bij een aantal andere componenten is er iets meer impact merkbaar. Die voeren we uit in een nachtelijks change window. Hieronder is de impact genummerd van 0 (geen impact) via 1 (korte onderbreking van enkele seconden) tot 2 (onderbreking van enkele minuten op de dienstverlening). De tijdstippen zijn als volgt:
| code | tijdstip |
|---|---|
| D1 | maandag 7 december 8:00–17:00 |
| D2 | dinsdag 8 december 8:00–12:00 |
| N3 | woensdag 9 december 1:00–6:00 AM |
| D3 | woensdag 9 december 8:00–17:00 |