NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = C2022D04: Software updates maart 2022
~~
{{htmlmetatags>
metatag-keywords=(software update)
metatag-og:title=(Software updates maart 2022)
metatag-og:description=(
	In de periode van 14--17 maart worden er software updates in de
	NPO hosting omgeving uitgevoerd. Het betreft:
	ImageMagick, OpenJDK11U, apache, apache-activemq, bind,
	dovecot, elasticsearch, ffmpeg, geoipupdate, goaccess, grafana,
	keycloak, mariadb, memcached, node, openssh,
	postfix, php, phpmyadmin, postgresql, tomcat en unbound.

	Verder een statusupdate over de migratie van het Appcluster naar
	CHP, Ruby-2.6 bijna End-Of-Life en aankondigingen over major
	upgrades van powerdns, postfix, ffmpeg en keycloak.
	)
}}
====== C2022D02: Software updates februari 2022 ======
====== Aankondiging: Software onderhoud hosting omgeving ======
Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].)

Wij vragen aandacht voor het volgende:
  - Statusupdate migraties Appcluster -> CHP
  - Ruby-2.6 bijna End-Of-Life
  - PowerDNS upgrade
  - Postfix upgrade
  - Ffmpeg upgrade
  - Keycloak upgrade

==== Statusupdate migraties Appcluster -> CHP ====
Ook afgelopen maand is er weer hard gewerkt om sites te migreren van het
Appcluster naar CHP.
In het bijzonder willen we hier twee partijen in het zonnetje zetten, te
weten kro-ncrv en HIRO.

Kro-ncrv is hard bezig met de migratie en hebben inmiddels de eerste
successen mogen vieren. Zowel kro-ncrv [[https://kro-ncrv.nl/|website]]
als [[https://pointer.kro-ncrv.nl/|pointer]] en
[[https://binnenstebuiten.kro-ncrv.nl/|binnenstebuiten]] zijn in de
afgelopen weken gemigreerd.

HIRO is de development partij achter een aantal NPO systemen, waaronder
het CMS van [[https://npostart.nl|npostart.nl]]. Inmiddels zijn een
aantal systemen succesvol gemigreerd naar CHP. Wellicht leuk om te
vermelden dat als gevolg hiervan er nu ook Ruby-on-Rails op CHP draait.

Ook OmroepMAX en de NTR maken flinke vorderingen, wij verwachten dat de
eerste sites over niet al te lange tijd ook om zullen gaan.

Al met al: goed bezig mensen!

==== Ruby-2.6 bijna End-Of-Life ====
Per [[:eol-kalender#ruby|31 maart 2022]] is Ruby-2.6 End-Of-Life.
Dat betekent dat deze versie vanaf die datum niet meer aangeboden wordt
op het appcluster. Mocht je nu nog gebruik maken van deze versie op het
appcluster en voorzie je dat deze niet voor 31 maart gemigreerd gaat
zijn? Dan is het tijd om heel snel in actie te komen. Eventueel kunnen
we op het appcluster ook ruby-2.7 aanbieden, maar daar hebben we
minstens een week lead-time voor nodig. Dus meld je alsjeblieft tijdig
bij ons als je vermoed dat dit aan de orde gaat zijn.

==== PowerDNS upgrade ====
Onze Domain Name Server (DNS) infrastructuur bestaat uit 3 peilers,
waarvan er frappant genoeg twee stuks Nederlandse wortels hebben.  Het
betreft [[https://www.nlnetlabs.nl/projects/unbound/about/|unbound]]
als resolver, [[https://www.isc.org/bind/|bind]] (niet NL) voor de klassiek
gehoste zones en [[https://www.powerdns.com|PowerDNS]] voor de cloud
based zones.

Eerder dit jaar is een nieuwe major versie van PowerDNS uitgekomen
(4.6). Hetzelfde geldt voor de gebruikte loadbalancer software (dnsdist). 
Hiervan is ook eerder dit jaar een nieuwe versie uitgekomen (1.7.0). Alle
bestaande versies worden geüpgrade naar de actuele versie.
De systemen worden stuk-voor-stuk geüpgrade waarmee geen onderbreking
in de dienstverlening zal optreden.

In detail gaat het om de volgende publiek bereikbare systemen:
^server                 ^van    ^naar   ^van    ^naar   ^
^                       ^PowerDNS       ^^dnsdist       ^
|ns1.npohosting.nl      |4.5.2  |4.6.0  |1.6.1  |1.7.0  |
|ns2.npohosting.eu      |4.5.2  |4.6.0  |1.6.1  |1.7.0  |
|ns3.npohosting.nl      |4.5.2  |4.6.0  |1.6.1  |1.7.0  |
|jim.npodns.nl          |4.5.2  |4.6.0  |1.6.1  |1.7.0  |
|june.npodns.net        |4.5.2  |4.6.0  |1.6.1  |1.7.0  |

Het upgraden van deze systemen zal verspreid over meerdere dagen uitgevoerd worden in de periode 14--17 maart.

==== Postfix upgrade ====
In deze ronde upgraden we onze mail infrastructuur van postfix 3.6.x
naar [[https://www.postfix.org/announcements/postfix-3.7.0.html|3.7.x]].
Dit raakt aan mail die vanuit het appcluster gestuurd wordt, maar ook
aan mail die bij out.mail.omroep.nl en smtp.mail.omroep.nl aangeboden
wordt. Wij verwachten hier geen issues bij, maar ondat dit een wat
grotere upgrade betreft melden we het even.

==== Ffmpeg upgrade ====
Ffmpeg gaat van versie 4.x naar versie 5.x
De oude versie blijft in het appcluster nog even beschikbaar als
''/local/ffmpeg4'', de nieuwe wordt (goh) ''/local/ffmpeg5''.
De versie die standaard in je zoekpad zit gaat van 4 naar 5.
Ook de audio encoding (arla) zal switchen naar deze versie,

==== Keycloak upgrade ====
[[https://www.keycloak.org/|Keycloak]] wordt door [[https://poms.omroep.nl|POMS]] gebruikt als
authenticatie provider. De mensen bij keycloak hebben niet stilgezeten
en keycloak ge-herimplementeerd bovenop een nieuwe applicatieserver.
Voorheen draaide keycloak op
[[https://www.wildfly.org/about/|wildfly]], met ingang van deze versie
(17) is dat [[https://quarkus.io/about/|quarkus]] geworden.
Voor de werking van applicatiesoftware zelf (keycloak) zou dat geen
verschil moeten maken, maar het kan geen kwaad hier even extra alert op
te zijn.

Overigens wordt keycloak ook in CHP gebruikt om in te kunnen loggen. Aan
die keycloak versie verandert niets.

===== Software update rooster =====
Het software update rooster voor de komende tijd ziet er als volgt uit:
^Actie					^uitrol in test	^gelegenheid tot testen	^uitrol in productie	^
|software updates Maart			|3--4 maart		|7--11 maart			|14--17 maart	|
|software updates April			|31 maart -- 1 april	|4--8 april			|11--14 april	|
|software updates Mei			|28--29 april		|5--6 mei			|9--12 mei	|
|software updates Juni			|26--27 mei		|30 mei -- 3 juni		|6--9 juni	|
|software updates Juli			|23--24 juni		|27 juni -- 1 juli		|4--7 juli	|

Het schema hierboven is hoe de updates ingeplanned staan. Dat is geen garantie dat het appcluster tegen die tijd nog bestaat.
Wel zullen de nieuwe php/nginx/enz images voor CHP volgens bovenstaand schema aangeboden gaan worden.

===== Reguliere software updates =====
De updates worden op 3--4 maart op het testcluster doorgevoerd,
waarna de week van 7--11 maart gebruikt kan worden om te testen.
In de periode van 14-17 maart worden de updates op de
productie-omgevingen doorgevoerd volgens onderstaand schema:

==== CHP ====
**Vetgedrukte** items zijn geüpdate.

^image						^alpine versie	^tags						^wat is het	^
|registry.npohosting.nl/npohosting/base		|3.15.0	|[[https://alpinelinux.org/releases/|3.15.0, 3.15, latest]]	|[[https://alpinelinux.org/|Alpine linux]]	|
|registry.npohosting.nl/npohosting/base-jre	|3.15.0	|[[https://alpinelinux.org/releases/|3.15.0, 3.15, latest]]	|[[https://alpinelinux.org/releases/|Alpine linux]] + openjdk8-jre	|
|registry.npohosting.nl/npohosting/nginx	|3.15.0	|[[http://nginx.org/en/CHANGES|1.21.6, 1.21, latest]]	|base + [[http://nginx.org/|nginx]] + nginx modules	|
|**registry.npohosting.nl/npohosting/php-fpm**	|3.15.0	|[[https://www.php.net/ChangeLog-7.php#7.4.28|7.4.28, 7.4]] **[[https://www.php.net/ChangeLog-8.php#8.0.16|8.0.16, 8.0, latest]]**	|base + [[https://www.php.net/|php]] + extensies	|
|registry.npohosting.nl/npohosting/ruby		|3.15.0	|[[https://www.ruby-lang.org/en/news/2021/11/24/ruby-2-7-5-released/|2.7.5, 2.7, latest]]		|base + [[https://www.ruby-lang.org/en/|ruby]]	|

==== Appcluster ====
/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
^wat			^impact	^op	^van		^ naar		^
/*|keepalived		|0	|W	|2.2.4		|[[http://www.keepalived.org/changelog.html|2.2.7]]|*/
/*|icecast		|0	|W	|2.4.0-kh15	|[[https://github.com/karlheyes/icecast-kh|2.4.0-kh15]] |*/
/*^ ^^^^^*/
/*|dhcp			|0	|D1	|4.4.2-P1	|[[https://downloads.isc.org/isc/dhcp/4.4.2-P1/dhcp-4.4.2-P1-RELNOTES|4.4.2-P1]] |*/
/*|freeipmi		|0	|D1	|1.6.8		|[[https://www.gnu.org/software/freeipmi/NEWS|1.6.9]] |*/
/*|nrpe			|0	|D1	|4.0.3		|[[https://github.com/NagiosEnterprises/nrpe/blob/master/CHANGELOG.md|4.0.3]] |*/
/*|cacti			|0	|D1	|1.2.19		|[[https://www.cacti.net/changelog.php|1.2.19]]	|*/
/*|cacti-spine		|0	|D1	|1.2.19		|[[https://www.cacti.net/spine_changelog.php|1.2.19]] |*/
|phpmyadmin		|0	|D1	|5.1.2		|[[https://www.phpmyadmin.net/files/5.1.3/|5.1.3]]|
/*|vsftpd			|1	|D1	|3.0.5		|[[https://security.appspot.com/vsftpd/Changelog.txt|3.0.5]]	|*/
|openssh		|0	|D1	|8.8p1		|[[https://www.openssh.com/releasenotes.html|8.891]] |
/*|GeoIP		|0	|D1	|1.6.12		|1.6.12 | */
|geoipupdate		|0	|D1	|4.8.0		|[[https://github.com/maxmind/geoipupdate/blob/master/CHANGELOG.md|4.9.0]] |
/*|fcron		|0	|D1	|3.2.1		|[[http://fcron.free.fr/doc/en/changes.html|3.2.1]] |*/
/*|chrony		|0	|D1	|4.2		|[[https://chrony.tuxfamily.org/news.html|4.2]] |*/
/*|openldap		|1	|D1	|2.6.0		|[[https://www.openldap.org/software/release/changes.html|2.6.1]] |*/
|dovecot		|1	|D1	|2.3.17.1	|[[https://www.dovecot.org/|2.3.18]] |
/*|mailman		|1	|D1	|2.1.37		|[[https://launchpad.net/mailman/2.1/2.1.39|2.1.39]] |*/
/*|influxdb		|1	|D1	|1.8.9		|[[https://docs.influxdata.com/influxdb/v1.8/reference/release-notes/influxdb/|1.8.10]] |*/
/*|influxdb2		|1	|D1	|2.0.8		|[[https://docs.influxdata.com/influxdb/v2.0/reference/release-notes/influxdb/|2.0.9]] |*/*/
|grafana		|1	|D1	|8.3.4		|[[https://github.com/grafana/grafana/blob/master/CHANGELOG.md|8.4.2]] |
|postgresql10 		|1	|D1	|10.19		|[[https://www.postgresql.org/docs/10/static/release.html|10.20]]|
|postgresql13 		|1	|D1	|13.5		|[[https://www.postgresql.org/docs/13/static/release.html|13.6]]|
/*|redis			|1	|D1	|6.2.5		|[[https://raw.githubusercontent.com/antirez/redis/6.2/00-RELEASENOTES|6.2.6]] |*/
/*|alsa-utils		|0	|D1	|1.2.5.1		|[[https://www.alsa-project.org/wiki/Main_Page|1.2.5.1]] |8/
/*|mp4split		|0	|D1	|1.11.3		|[[https://docs.unified-streaming.com/installation/distributions.html|1.11.9]]	|*/
/*|mod_smooth_streaming	|0	|D1	|1.11.3		|[[https://docs.unified-streaming.com/installation/distributions.html|1.11.9]]	|*/
/*|atop			|0	|D1	|2.7.0		|[[https://www.atoptool.nl/downloadatop.php|2.7.1]]	|*/
/*|sudo			|0	|D1	|1.9.8p2	|[[https://www.sudo.ws/changes.html|1.9.9]]	|*/
|apache			|0	|D1	|2.4.52		|[[http://www.apache.org/dist/httpd/CHANGES_2.4.53|2.4.53]] |
|keycloak		|1	|D1	|16.1.1		|[[https://www.keycloak.org/docs/latest/release_notes/index.html|17.0.0]] |
|Elastic Search 7.x	|0	|D1	|7.16.3		|[[https://www.elastic.co/guide/en/elasticsearch/reference/7.17/es-release-notes.html|7.17.1]] |
/*|syslog-ng		|0	|D1	|3.35.1		|[[https://github.com/balabit/syslog-ng/blob/master/NEWS.md|3.35.1]]	|*/*/
/*|nginx			|0	|D1	|1.21.6		|[[http://nginx.org/en/CHANGES|1.21.6]]|*/
/*|php 7.3		|0	|D1	|7.3.32		|[[https://www.php.net/ChangeLog-7.php#7.3.33|7.3.33]]	|*/
|php 7.4		|0	|D1	|7.4.27		|[[https://www.php.net/ChangeLog-7.php#7.4.28|7.4.28]]	|
|php 8.0		|0	|D1	|8.0.15		|[[https://www.php.net/ChangeLog-8.php#8.0.16|8.0.16]]	|
/*|passenger		|0	|D1	|6.0.12		|[[https://github.com/phusion/passenger/blob/stable-6.0/CHANGELOG|6.0.12]] |*/
/*|ruby 2.6		|0	|D1	|2.6.8		|[[https://www.ruby-lang.org/en/news/2021/11/24/ruby-2-6-9-released/|2.6.9]] |*/
/*|python		|0	|D1	|2.7.17		|[[https://www.python.org/downloads/release/python-2717/|2.7.17]]	|*/
/*|python			|0	|D1	|3.8.11		|[[https://docs.python.org/3.8/whatsnew/changelog.html|3.8.12]] |*/
|node 12		|0	|D1	|12.22.9	|[[https://github.com/nodejs/node/blob/master/doc/changelogs/CHANGELOG_V12.md|12.22.10]]	|
/*|yarn			|0	|D1	|1.22.15		|[[https://github.com/yarnpkg/yarn/blob/master/CHANGELOG.md|1.22.17]]|*/
/*|perl			|0	|D1	|5.34.0		|[[https://perldoc.perl.org/index-history.html|5.34.0]]	|*/
/*|tomcat-native		|0	|D1	|1.2.31		|[[http://tomcat.apache.org/native-doc/miscellaneous/changelog.html|1.2.31]] |*/
|memcached		|1	|D1	|1.6.13		|[[https://github.com/memcached/memcached/wiki/ReleaseNotes1614|1.6.14]]|
|ImageMagick 		|0	|D1	|7.1.0-22	|[[https://www.imagemagick.org/script/changelog.php|7.1.0-26]] |
|goaccess		|0	|D1	|1.5.4		|[[https://goaccess.io/release-notes|1.5.5]] |
/*|gzip			|0	|D1	|1.11		|[[https://www.gnu.org/software/gzip/|1.11]] |*/
/*|rclone			|0	|D1	|1.57.0		|[[https://rclone.org/changelog/|1.57.0]] |*/
/*|ts			|0	|D1	|0.7.3		|[[http://freshmeat.sourceforge.net/projects/taskspooler|0.7.3]] |*/
|ffmpeg			|0	|D1	|4.4.1		|[[https://www.ffmpeg.org/download.html#releases|5.0]] |
/*|sox			|0	|D1	|14.4.2		|[[http://sox.sourceforge.net/|14.4.2]] |*/
/*|git			|0	|D1	|2.34.1		|[[https://git-scm.com/|2.35.1]] |*/
/*|netperf		|0	|D1	|2.7.0		|[[https://github.com/HewlettPackard/netperf/blob/master/Release_Notes|2.7.0]] |*/
/*|id3v2			|0	|D1	|0.1.12		|[[https://sourceforge.net/projects/id3v2/|0.1.12]] |*/
/*|httperf		|0	|D1	|2020-12-06	|[[https://github.com/httperf/httperf|2020-12-06]]	|*/
/*|wkhtmltox		|0	|D1	|0.12.6		|[[https://github.com/wkhtmltopdf/wkhtmltopdf/blob/master/CHANGELOG.md|0.12.6]] |*/
|postfix		|0	|D1	|3.6.4		|[[http://www.postfix.org/announcements/postfix-3.7.0.html|3.7.0]] |
/*|amavisd		|0	|D1	|2.11.1		|[[https://www.amavis.org/release-notes.txt|2.11.1]] |*/
/*|clamav			|0	|D1	|0.104.2	|[[https://blog.clamav.net/|0.104.2]] |*/
/*|p0f			|0	|D1	|3.09b		|[[https://lcamtuf.coredump.cx/p0f3/|3.09b]] |*/
/*|postgrey		|0	|D1	|1.37		|[[https://github.com/schweikert/postgrey/blob/master/Changes|1.37]] |*/
/*|spamassassin		|0	|D1	|3.4.6		|[[https://spamassassin.apache.org/news.html|3.4.6]] |*/
/*|unrar			|0	|D1	|6.1.4		|[[http://www.linuxfromscratch.org/blfs/view/svn/general/unrar.html|6.1.4]] |*/
|bind			|0	|D1	|9.16.25	|[[https://ftp.isc.org/isc/bind9/9.16.26/CHANGES|9.16.26]] |
|unbound		|0	|D1	|1.14.0		|[[http://www.unbound.net/download.html|1.15.0]]	|*/
^ ^^^^^
/*|OpenJDK8U-jre		|2	|N3	|8u302b08 	|[[https://adoptopenjdk.net/release_notes.html|8u322b06]]	|*/
|OpenJDK11U-jre		|2	|N3	|11.0.14+9	|[[https://adoptopenjdk.net/release_notes.html|11.0.14.1+1]]	|
|OpenJDK11U-jdk		|2	|N3	|11.0.14+9	|[[https://adoptopenjdk.net/release_notes.html|11.0.14.1+1]]	|
|tomcat 8		|2	|N3	|8.5.75		|[[https://tomcat.apache.org/tomcat-8.5-doc/changelog.html|8.5.76]] |
|tomcat 9		|1	|D1	|9.0.58		|[[https://tomcat.apache.org/tomcat-9.0-doc/RELEASE-NOTES.txt|9.0.59]] |
/*|mysql-connector-java	|2	|N3	|8.0.27		|[[https://dev.mysql.com/doc/relnotes/connector-j/8.0/en/|8.0.28]] |*/
|ActiveMQ		|2	|N3	|5.16.3		|[[https://activemq.apache.org/activemq-5016003-release|5.16.4]] |
|mariadb 10.2 		|1	|N3	|10.2.41	|[[https://mariadb.com/kb/en/mariadb-10243-release-notes/|10.2.43]] |
|mariadb 10.6 		|1	|N3	|10.6.5		|[[https://mariadb.com/kb/en/mariadb-1066-release-notes/|10.6.6]] |
/*|mysql			|1	|N3	|5.7.36		|[[https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-37.html|5.7.37]] |*/
^ ^^^^^

==== Legenda ====
Veel software kan zonder, of met heel weinig impact ge-update worden.
Voor deze zaken
kiezen we ervoor om zo'n update overdag uit te voeren. Bij een aantal
andere componenten is er iets meer impact merkbaar. Die voeren we
uit in een nachtelijks change window. Hieronder is
de impact genummerd van 0 (geen impact) via 1 (korte onderbreking van
enkele seconden) tot 2 (onderbreking van enkele minuten op de
dienstverlening).
De tijdstippen zijn als volgt:
^code	^tijdstip	^
|D1	|maandag 14 maart 8:00--17:00	|
/*|D2	|dinsdag 15 maart 8:00--12:00	|*/
|N3	|woensdag 16 maart 1:00--6:00 AM	|
/*|D3	|woensdag 17 maart 8:00--17:00	|*/
/*|W	|6--9 december 8:00--17:00		|*/
/*|tbd	|te bepalen in overleg met de gebruikers	|*/

==== Bereikbaarheid ====
Team Hosting&Streaming is gedurende al het onderhoud via de normale
kanalen bereikbaar. Zie de [[:contact|contact pagina]].