NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = C2022D07: Software updates juli 2022
~~
{{htmlmetatags>
metatag-keywords=(software update)
metatag-og:title=(Software updates juli 2022)
metatag-og:description=(
	In de periode van 4--7 juli worden er software updates in de
	NPO hosting omgeving uitgevoerd. Het betreft:
	alsa-utils, apache-activemq, apache, bind, cacti, clamav,
	dovecot, elasticsearch, git, goaccess,
	grafana, imagemagick, iptables, keycloak, mariadb,
	mysql-connector-java, mysql, node, java,
	openldap, passenger, perl, phpmyadmin, postfix, php, postgresql,
	powerdns, rclone, redis, sudo, syslog-ng, tomcat-native, tomcat,
	unbound, unrar en yarn.


	Verder (g)een statusupdate over de migratie van het Appcluster naar
	CHP en aankondigingen betreffende introductie life cycle
	management voor CHP images en aanstaande upgrades van redis,
	mariadb en nodejs.
	)
}}
====== C2022D07: Software updates juli 2022 ======
====== Aankondiging: Software onderhoud hosting omgeving ======
Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].)

Wij vragen aandacht voor het volgende:
  - Statusupdate migraties Appcluster -> CHP
  - Introductie Life Cycle Management van images in CHP
  - Redis upgrade 6 naar 7
  - Mariadb 10.2 EOL, upgrade naar 10.6
  - NodeJS 12 EOL, upgrade naar 16

==== Statusupdate migraties Appcluster -> CHP ====
Op dit vlak valt niets nieuws te melden!

Hooguit wat ouds: de afgelopen tijd is er focus geweest op het
opruimen van oude omgevingen in het appcluster.
Op de hoogtijdagen van het appcluster waren er zo'n 1000 docroots
(zeg maar projecten in CHP termen) en daarvoor draaiden bij elkaar ruim
meer dan
1000 instances (pods in CHP termen). Inmiddels zijn we terug naar 126
docroots en zo'n 300 instances. Dus er is vooruitgang, maar we zijn er
nog niet.
In de grafiek hieronder valt de opkomst en ondergang van het appcluster
tussen 2006 en 2022 te zien. Bovenaan de docroots, daaronder de
instances, uitgepsplitst naar webservers (e-fp (apache) en e-wb
(nginx)), applicatieservers (php, java, ruby-on-rails enz, samengenomen
als e-as) en database servers (e-db).
Helemaal rechts zie je alle lijntjes scherp naar beneden bijbuigen.
Datis het opruimen van een aantal grote omgevingen (NOS, NPO Audio, NPO
Video)
{{:aankondigingen:2022:appcluster-rise-and-fall.png|opkomst en ondergang appcluster}}

Het moge duidelijk zijn dat er aan alle kanten gewerkt wordt aan deze
migratie, maar dat we de eindstreep nog niet gehaald hebben.

==== Introductie Life Cycle Management van images in CHP ====
(Dit was al eerder [[c2022d06-software-updates-202205#introductie_life_cycle_management_van_images_in_chp|aangekondigd]], maar is daarna niet uitgevoerd)

In CHP bieden wij images aan voor o.a. php, nginx en ruby.
Elke maand komen daar wel een of meerdere nieuwe versies van uit en die
maken we dan beschikbaar in CHP.
Vanaf heden zullen we oude versies ook gaan opruimen. Dit hoort ons
inziens bij "huis op orde". Voordat je een nieuw kledingstuk in de kast
kan leggen moet er eerst een oude uit om plaats te maken.
Daarnaast zijn oude versies veelal niet supported meer en zullen bugs
die erin gevonden worden niet meer gefixed worden, met alle gevolgen
voor security van dien.

Het model dat we hiervoor gaan hanteren is heel vergelijkbaar met zoals
dat op het appcluster was. Namelijk, we ondersteunen enkel software die
niet End-Of-Life (EOL) is. Bijvoorbeeld voor PHP betekent dit dat we
PHP-7.4, 8.0 en 8.1 kunnen ondersteunen.

Van de patchlevels (b.v.
7.4.19) ondersteunen we alleen de laatste twee. In praktijk betekent dat dat
alleen het laatste en het een-na-laatste level op het platform aanwezig
zullen zijn. Als (zoals nu) dus php-7.4.19 beschikbaar komt dan zorgen
we ervoor dat dit patchlevel (7.4.19) en eentje eerder (7.4.18) in onze
registry aanwezig is. Eerdere versies worden verwijderd.

Dit alles betekent eigenlijk 2 dingen:
  - Het is waarschijnlijk niet verstandig om in de deployments een expliciet patchlevel te vermelden. Geef inplaats daarvan alleen de major release aan. In geval van php is dat dan "7.4" en niet "7.4.19". Wij zorgen ervoor dat het label "7.4" altijd aan de meest recente "7.4.X" hangt.
  - Doe regelmatige deployments om te voorkomen dat de code nog tijdenlang blijft draaien onder een oude versie, terwijl deze versie niet meer beschikbaar is in de registry.

Het verwijderen van de oude images zal deze keer plaatsvinden op maandag
4 juli. Merk op dat omdat ruby-2.6, php-7.2 en php-7.3 EOL zijn dit zal
inhouden dat **alle** ruby-2.6, php-7.2 en 7.3 images verwijderd zullen worden.

==== Redis upgrade 6 naar 7 ====
Sinds enige tijd is [[https://redis.io/download/|Redis-7]] beschikbaar.
Onze ervaring is dat redis heel goed backwards compatible is.
Er zijn een aantal
[[https://raw.githubusercontent.com/redis/redis/7.0/00-RELEASENOTES|Potentially Breaking Changes]]
tussen beide versies, maar wij verwachten niet dat dat tot problemen zal
leiden. Daarom zullen we alle redis 6 instances upgraden naar redis 7.
In het verleden hebben we vergelijkbare redis 4-> 5 -> 6 upgrades
gedaan, welke voor zover wij weten probleemloos verlopen zijn.

==== Mariadb 10.2 EOL, upgrade naar 10.6 ====
(ook dit was al eerder
[[c2022d06-software-updates-202205#mariadb_102_eol_upgrade_naar_106|aangekondigd]], maar is op de plank blijven liggen)

Oorspronkelijk was geprojecteerd dat het appcluster eind Q1 2022
uitgezet zou kunnen worden. Die deadline is niet gehaald, met als gevolg
dat een aantal software componenten in de knoop gaan komen met hun EOL
datum. MariaDB 10.2 is er zo een. Deze is EOL op
[[https://mariadb.org/about/maintenance-policy/|23 mei 2022]]. De policy
in het appcluster is dat als een component bij de leverancier EOL is, we
deze ook in het appcluster tot EOL verklaren. Maar omdat het aannemelijk
is dat nog niet alle afnemers over zullen zijn voor die datum zijn we
geforceerd om in het appcluster een MariaDB upgrade naar een nieuwere
versie door te voeren. Dat wordt versie 10.6. De komende tijd zullen we
een inventarisatie doen welke instances hier nog voor in aanmerking
komen en de afnemers daarvan zullen we individueel benaderen.

==== NodeJS 12 EOL, upgrade naar 16 ====
(Ook deze actie was al eerder
[[c2022d06-software-updates-202205#nodejs_12_eol_upgrade_naar_16|aangekondigd]],
maar is ook nog niet uitgevoerd)

De situatie met NodeJS versie 12 is vergelijkbaar met die van MariaDB.
NodeJS-12 is per [[https://nodejs.org/en/about/releases/|30 april 2022]] EOL.
Deze vervangen we door NodeJS veris 16. De afnemers hiervan zullen we
individueel benaderen.

===== Software update rooster =====
Het software update rooster voor de komende tijd ziet er als volgt uit:
^Actie					^uitrol in test	^gelegenheid tot testen	^uitrol in productie	^
|software updates Juli			|23--24 juni		|27 juni -- 1 juli		|4--7 juli	|
|software updates Augustus		|4--5 augustus		|8--12 augustus			|15--18 augustus	|
|software updates Oktober		|28--29 september	|3--7 oktober			|10--13 oktober	|
|software updates December		|24--25 november	|28 november -- 2 december	|5--8 december	|

Het schema hierboven is hoe de updates ingeplanned staan. Dat is geen garantie dat het appcluster tegen die tijd nog bestaat.

Vooralsnog zullen de nieuwe php/nginx/enz images voor CHP ook volgens bovenstaand schema aangeboden gaan worden.
Na de zomer zullen we evalueren of de CHP image updates weer 1x per 4 weken
worden en hoe dat samengaat met updates van de OpenShift component van
CHP zelf.

===== Reguliere software updates =====
De updates worden op 23--24 juni op het testcluster doorgevoerd,
waarna de week van 27 juni -- 1 juli gebruikt kan worden om te testen.
In de periode van 4--7 juli worden de updates op de
productie-omgevingen doorgevoerd volgens onderstaand schema:

==== CHP ====
**Vetgedrukte** items zijn geüpdate.

^image						^alpine versie	^tags						^wat is het	^
|**registry.npohosting.nl/npohosting/base**	|**3.16.0**	|**[[https://alpinelinux.org/releases/|3.16.0, 3.16, latest]]**	|[[https://alpinelinux.org/|Alpine linux]]	|
|**registry.npohosting.nl/npohosting/base-jre**	|**3.16.0**	|**[[https://alpinelinux.org/releases/|3.16.0, 3.16, latest]]**	|[[https://alpinelinux.org/releases/|Alpine linux]] + openjdk8-jre	|
|**registry.npohosting.nl/npohosting/nginx**	|**3.16.0**	|[[http://nginx.org/en/CHANGES|1.21.6, 1.21, latest]]	|base + [[http://nginx.org/|nginx]] + nginx modules	|
|**registry.npohosting.nl/npohosting/php-fpm**	|**3.16.0**	|**[[https://www.php.net/ChangeLog-7.php#7.4.30|7.4.30, 7.4]]** **[[https://www.php.net/ChangeLog-8.php#8.0.20|8.0.20, 8.0]]** **[[https://www.php.net/ChangeLog-8.php#8.1.7|8.1.7, 8.1, latest]]**	|base + [[https://www.php.net/|php]] + extensies	|
|**registry.npohosting.nl/npohosting/ruby**	|**3.16.0**	|[[https://www.ruby-lang.org/en/news/2022/04/12/ruby-2-7-6-released/|2.7.6, 2.7, latest]]		|base + [[https://www.ruby-lang.org/en/|ruby]]	|

==== Appcluster ====
/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
^wat			^impact	^op	^van		^ naar		^
/*|keepalived		|0	|W	|2.2.4		|[[http://www.keepalived.org/changelog.html|2.2.7]]|*/
/*|icecast		|0	|W	|2.4.0-kh15	|[[https://github.com/karlheyes/icecast-kh|2.4.0-kh15]] |*/
/*^ ^^^^^*/
/*|dhcp			|0	|D1	|4.4.3		|[[https://downloads.isc.org/isc/dhcp/4.4.3/dhcp-4.4.3-RELNOTES|4.4.3]] |*/
/*|freeipmi		|0	|D1	|1.6.8		|[[https://www.gnu.org/software/freeipmi/NEWS|1.6.9]] |*/
/*|nrpe			|0	|D1	|4.0.3		|[[https://github.com/NagiosEnterprises/nrpe/blob/master/CHANGELOG.md|4.0.3]] |*/
|cacti			|0	|D1	|1.2.20		|[[https://www.cacti.net/changelog.php|1.2.21]]	|
|cacti-spine		|0	|D1	|1.2.20		|[[https://www.cacti.net/spine_changelog.php|1.2.21]] |
|phpmyadmin		|0	|D1	|5.1.3		|[[https://www.phpmyadmin.net/files/5.2.0/|5.2.0]]|
/*|vsftpd			|1	|D1	|3.0.5		|[[https://security.appspot.com/vsftpd/Changelog.txt|3.0.5]]	|*/
/*|openssh		|0	|D1	|8.9p1		|[[https://www.openssh.com/releasenotes.html|9.0p1]] |*/
/*|GeoIP		|0	|D1	|1.6.12		|1.6.12 | */
/*|geoipupdate		|0	|D1	|4.8.0		|[[https://github.com/maxmind/geoipupdate/blob/master/CHANGELOG.md|4.9.0]] |*/
/*|fcron		|0	|D1	|3.2.1		|[[http://fcron.free.fr/doc/en/changes.html|3.2.1]] |*/
/*|chrony		|0	|D1	|4.2		|[[https://chrony.tuxfamily.org/news.html|4.2]] |*/
|openldap		|1	|D1	|2.6.1		|[[https://www.openldap.org/software/release/changes.html|2.6.2]] |
|dovecot		|1	|D1	|2.3.18		|[[https://www.dovecot.org/|2.3.19.1]] |
/*|mailman		|1	|D1	|2.1.37		|[[https://launchpad.net/mailman/2.1/2.1.39|2.1.39]] |*/
/*|influxdb		|1	|D1	|1.8.9		|[[https://docs.influxdata.com/influxdb/v1.8/reference/release-notes/influxdb/|1.8.10]] |*/
/*|influxdb2		|1	|D1	|2.0.8		|[[https://docs.influxdata.com/influxdb/v2.0/reference/release-notes/influxdb/|2.0.9]] |*/*/
|grafana		|1	|D1	|8.5.0		|[[https://github.com/grafana/grafana/blob/master/CHANGELOG.md|9.0.0]] |
|postgresql10 		|1	|D1	|10.20		|[[https://www.postgresql.org/docs/10/static/release.html|10.21]]|
|postgresql13 		|1	|D1	|13.6		|[[https://www.postgresql.org/docs/13/static/release.html|13.7]]|
|redis6			|1	|D1	|6.2.5		|[[https://raw.githubusercontent.com/antirez/redis/6.2/00-RELEASENOTES|6.2.7]] |
|redis7			|1	|D1	|-		|[[https://raw.githubusercontent.com/antirez/redis/7.0/00-RELEASENOTES|7.0.2]] |
|alsa-utils		|0	|D1	|1.2.5.1		|[[https://www.alsa-project.org/wiki/Main_Page|1.2.7]] |
/*|mp4split		|0	|D1	|1.11.3		|[[https://docs.unified-streaming.com/installation/distributions.html|1.11.9]]	|*/
/*|mod_smooth_streaming	|0	|D1	|1.11.3		|[[https://docs.unified-streaming.com/installation/distributions.html|1.11.9]]	|*/
/*|atop			|0	|D1	|2.7.0		|[[https://www.atoptool.nl/downloadatop.php|2.7.1]]	|*/
|iptables		|0	|D1	|1.8.7		|[[https://www.netfilter.org/projects/iptables/files/changes-iptables-1.8.8.txt|1.8.8]]	|
|sudo			|0	|D1	|1.9.9		|[[https://www.sudo.ws/changes.html|1.9.11p2]]	|
|apache			|0	|D1	|2.4.53		|[[http://www.apache.org/dist/httpd/CHANGES_2.4.54|2.4.54]] |
|keycloak		|1	|D1	|18.0.0		|[[https://www.keycloak.org/docs/latest/release_notes/index.html|18.0.1]] |
|Elastic Search 	|0	|D1	|7.17.3		|[[https://www.elastic.co/guide/en/elasticsearch/reference/7.17/es-release-notes.html|7.17.4]] |
|syslog-ng		|0	|D1	|3.36.1		|[[https://github.com/balabit/syslog-ng/blob/master/NEWS.md|3.37.1]]	|
/*|nginx			|0	|D1	|1.21.6		|[[http://nginx.org/en/CHANGES|1.21.6]]|*/
|php 7.4		|0	|D1	|7.4.29		|[[https://www.php.net/ChangeLog-7.php#7.4.30|7.4.30]]	|
|php 8.0		|0	|D1	|8.0.18		|[[https://www.php.net/ChangeLog-8.php#8.0.18|8.0.20]]	|
|passenger		|0	|D1	|6.0.13		|[[https://github.com/phusion/passenger/blob/stable-6.0/CHANGELOG|6.0.14]] |
/*|ruby 2.7		|0	|D1	|2.7.5		|[[https://www.ruby-lang.org/en/news/2022/04/12/ruby-2-7-6-released/|2.7.6]] |*/
/*|python		|0	|D1	|2.7.17		|[[https://www.python.org/downloads/release/python-2717/|2.7.17]]	|*/
/*|python			|0	|D1	|3.8.12		|[[https://docs.python.org/3.8/whatsnew/changelog.html|3.8.13]] |*/
/*|node 12		|0	|D1	|12.22.11	|[[https://github.com/nodejs/node/blob/master/doc/changelogs/CHANGELOG_V12.md|12.22.12]]	|*/
|node 16		|0	|D1	|16.14.2	|[[https://github.com/nodejs/node/blob/master/doc/changelogs/CHANGELOG_V16.md|16.15.1]]	|
|yarn			|0	|D1	|1.22.18	|[[https://github.com/yarnpkg/yarn/blob/master/CHANGELOG.md|1.22.19]]|
|perl			|0	|D1	|5.34.1		|[[https://perldoc.perl.org/index-history.html|5.36.0]]	|
|tomcat-native		|0	|D1	|1.2.32		|[[http://tomcat.apache.org/native-doc/miscellaneous/changelog.html|1.2.34]] |
/*|memcached		|1	|D1	|1.6.14		|[[https://github.com/memcached/memcached/wiki/ReleaseNotes1615|1.6.15]]|*/
|ImageMagick 		|0	|D1	|7.1.0-30	|[[https://www.imagemagick.org/script/changelog.php|7.1.0-37]] |
|goaccess		|0	|D1	|1.5.6		|[[https://goaccess.io/release-notes|1.6]] |
/*|gzip			|0	|D1	|1.12		|[[https://www.gnu.org/software/gzip/|1.12]] |*/
|rclone			|0	|D1	|1.58.0		|[[https://rclone.org/changelog/|1.58.1]] |
/*|ts			|0	|D1	|0.7.3		|[[http://freshmeat.sourceforge.net/projects/taskspooler|0.7.3]] |*/
/*|ffmpeg4		|0	|D1	|4.4.1		|[[https://www.ffmpeg.org/download.html#releases|4.4.2]] |*/
/*|ffmpeg5		|0	|D1	|5.0		|[[https://www.ffmpeg.org/download.html#releases|5.0.1]] |*/
/*|sox			|0	|D1	|14.4.2		|[[http://sox.sourceforge.net/|14.4.2]] |*/
|git			|0	|D1	|2.36.0		|[[https://git-scm.com/|2.36.1]] |
/*|netperf		|0	|D1	|2.7.0		|[[https://github.com/HewlettPackard/netperf/blob/master/Release_Notes|2.7.0]] |*/
/*|id3v2			|0	|D1	|0.1.12		|[[https://sourceforge.net/projects/id3v2/|0.1.12]] |*/
/*|httperf		|0	|D1	|2020-12-06	|[[https://github.com/httperf/httperf|2020-12-06]]	|*/
/*|wkhtmltox		|0	|D1	|0.12.6		|[[https://github.com/wkhtmltopdf/wkhtmltopdf/blob/master/CHANGELOG.md|0.12.6]] |*/
|postfix		|0	|D1	|3.7.1		|[[http://www.postfix.org/announcements/postfix-3.7.2.html|3.7.2]] |
/*|amavisd		|0	|D1	|2.11.1		|[[https://www.amavis.org/release-notes.txt|2.11.1]] |*/
|clamav			|0	|D1	|0.104.2	|[[https://blog.clamav.net/|0.105.0]] |
/*|p0f			|0	|D1	|3.09b		|[[https://lcamtuf.coredump.cx/p0f3/|3.09b]] |*/
/*|postgrey		|0	|D1	|1.37		|[[https://github.com/schweikert/postgrey/blob/master/Changes|1.37]] |*/
/*|spamassassin		|0	|D1	|3.4.6		|[[https://spamassassin.apache.org/news.html|3.4.6]] |*/
|unrar			|0	|D1	|6.1.6		|[[http://www.linuxfromscratch.org/blfs/view/svn/general/unrar.html|6.1.7]] |
|bind			|0	|D1	|9.16.28	|[[https://ftp.isc.org/isc/bind9/9.16.30/CHANGES|9.16.30]] |
|unbound		|0	|D1	|1.15.0		|[[http://www.unbound.net/download.html|1.16.0]]	|
^ ^^^^^
|OpenJDK8U-jre		|2	|N3	|8u322b06 	|[[https://adoptopenjdk.net/release_notes.html|8u332b09]]	|
|OpenJDK11U-jre		|2	|N3	|11.0.14.1+1	|[[https://adoptopenjdk.net/release_notes.html|11.0.15+10]]	|
|OpenJDK11U-jdk		|2	|N3	|11.0.14.1+1	|[[https://adoptopenjdk.net/release_notes.html|11.0.15+10]]	|
|tomcat 8		|2	|N3	|8.5.78		|[[https://tomcat.apache.org/tomcat-8.5-doc/changelog.html|8.5.81]] |
|tomcat 9		|1	|D1	|9.0.6r2	|[[https://tomcat.apache.org/tomcat-9.0-doc/RELEASE-NOTES.txt|9.0.64]] |
|mysql-connector-java	|2	|N3	|8.0.28		|[[https://dev.mysql.com/doc/relnotes/connector-j/8.0/en/|8.0.29]] |
|ActiveMQ		|2	|N3	|5.17.0		|[[https://activemq.apache.org/activemq-5017001-release|5.17.1]] |
|mariadb 10.2 		|1	|N3	|10.2.43	|[[https://mariadb.com/kb/en/mariadb-10244-release-notes/|10.2.44]] |
|mariadb 10.6 		|1	|N3	|10.6.6		|[[https://mariadb.com/kb/en/mariadb-1068-release-notes/|10.6.8]] |
|mysql			|1	|N3	|5.7.37		|[[https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-38.html|5.7.38]] |
^ ^^^^^

==== Overig ====
De software van de PowerDNS systemen (ns1.npohosting.nl, ns2.npohosting.eu, ns3.npohosting.nl, jim.npodns.nl, june.npodns.net) zal bijgewerkt worden naar de laatste beschikbare versies:
^wat			^impact	^op	^van		^ naar		^
|PowerDNS		|0	|D1/D2	|4.6.0		|4.6.2		|
|dnsdist		|0	|D1/D2	|1.7.0		|1.7.2		|
De systemen zullen verspreid over 2 dagen geüpdate worden en geen impact op de dienstverlening hebben.

==== Legenda ====
Veel software kan zonder, of met heel weinig impact ge-update worden.
Voor deze zaken
kiezen we ervoor om zo'n update overdag uit te voeren. Bij een aantal
andere componenten is er iets meer impact merkbaar. Die voeren we
uit in een nachtelijks change window. Hieronder is
de impact genummerd van 0 (geen impact) via 1 (korte onderbreking van
enkele seconden) tot 2 (onderbreking van enkele minuten op de
dienstverlening).
De tijdstippen zijn als volgt:
^code	^tijdstip	^
|D1	|maandag 4 juli 8:00--17:00	|
|D2	|dinsdag 5 juli 8:00--12:00	|
|N3	|woensdag 6 juli 1:00--6:00 AM	|
/*|D3	|woensdag 6 juli 8:00--17:00	|*/
/*|W	|4--7 juli 8:00--17:00		|*/
/*|tbd	|te bepalen in overleg met de gebruikers	|*/

==== Bereikbaarheid ====
Team Hosting&Streaming is gedurende al het onderhoud via de normale
kanalen bereikbaar. Zie de [[:contact|contact pagina]].