How to Setup Oracle Linux Ksplice on Oracle Cloud
테크넷 김재벌 입니다.
제가 예전에도 몇번 공유한 적이 있습니다만, 오라클 리눅스의 가장 큰 장점 중 하나는 Ksplice (https://ksplice.oracle.com/) 라는 걸출한 기능을 이야기 안할 수 없습니다.
다양한 취약점이 나오고 있고 이런 취약점은 제로데이 공격이 대다수 입니다.
하지만, OS 차원에서 패치를 적용하기엔 여러 어려움이 있는데, 당장 데이터센터에서 구동중이거나 클라우드에서 구동중인 시스템이라도 다운타임이 필수적으로 생길 수 밖에 없습니다.
하지만, 오라클의 Ksplice 는 재부팅 없는 제로다운타임 (ZeroDown TIme)을 제공해 줍니다.
물론, OCI 클라우드에서 제공하는 자율주행리눅스에 이런 Ksplice 기능이 탑재되어 있죠.
암튼, Ksplice 는 메모리 내에서 즉시 업데이트 되고 즉시 적용됩니다.
이를 통해 리눅스 커널에서의 치명적인 버그 , 보안 취약점을 즉시 재부팅 없이 적용해서 시스템을 보호 합니다.
재부팅 없는 없는 업데이트는 Ksplice Uptrack 서버와 USN (Unbreakable Linux Network) 를 통해 제공됩니다.
기본적으로 Kspice 패치는 실행되는 동안 최신 버전으로 관리되고 , 추후 Yum서버를 통해 디스크에서도 업데이트 됩니다.
통상적으로 레거시라고 불리우는 환경과 달리 OCI 클라우드에서는 이미 Kspice가 설치되어 있고 다음의 경우에만 별도 설치 하면 됩니다.
- 2017년 8월 25일 이전에 생성된 이미지
- 고유한, 또는 별도로 생성된 오라클 리눅스 이미지
- 타사의 리눅스 배포판 (RHEL, CentOS , Ubuntu)
게다가 오라클 클라우드를 사용하는 경우 별도의 USN 네트워크에 등록할 필요가 없습니다. 기본적으로 모든 서버에서 Ksplice 를 사용할 수 있습니다.
Kspice를 OCI에서 설치
1) 커널 버전 확인
2) SSH를 이용하여 연결 후 아래 명령 실행
$sudo wget -N https://www.ksplice.com/uptrack/install-uptrack-oc |
3) 다운로드 후 설치
$sudo sh install-uptrack-oc --autoinstall |
** Ksplice 가 업데이트를 자동으로 설치하지 않도록 하려면 아규먼트에서 --autoinstall 제거하고 실행하시면 됩니다.
OCI에 등록된 Oracle Autonomous Linux 인스턴스의 경우는 추가 구성이 필요없고, 자동으로 설치, 업데이트 구성이 가능합니다.
기타 다른 리눅스의 경우는 /etc/uptrack/uptrack.conf 에서 autoinstall 을 yes 로 구성합니다.
Ksplice 실행
사용 가능한 업데이트를 설치하기 위해서 다음과 아래와 같이 수행합니다.
$ sudo ksplice -y all upgrade |
이 후에는 주기적으로 자동관리 됩니다. SWAG~~~
더불어 추가적인 도움말이 필요하면 man 명령을 이용하여 man ksplice 등의 명령을 통해 도움말을 참고 할 수 있습니다.
또, 아래 링크를 통해 활용 가능합니다
https://docs.oracle.com/en/learn/oracle-linux-ksplice-use/#introduction
이상으로 OCI에서 Kspice 를 이용한 오라클 리눅스 관리 방법에 대해서 간략하게 살펴 보았습니다. : -)