Die Meinung der SAP-Community Linux Kolumne MAG 1804

Live/Online-Patching beim Linux-Enterprise-Einsatz

Pinguine auf fernsehern mit Linux als schrift
Geschrieben von Friedrich Krey, Suse

Bereits Realität ist ein Live- oder Online-Patching des Linux-Kernels im Enterprise-Umfeld – ohne typische System-Stop-and-go-Szenarien. Ausgefeilte Management-Software fungiert als zusätzlicher Nutzenbringer.

Serviceunterbrechungen wie Updates oder Patches sind zwar geübte Prozeduren in IT-Divisions in Unternehmen. Aber eigentlich will man sie nicht. Nicht häufig und auch nicht mit unverhältnismäßig lang andauernden Downtimes oder mit einem Ressourceneinsatz, der nicht gerechtfertigt ist.

Suse hat sich als Linux-Pionier und -Innovator bereits vor längerer Zeit mit dem Thema Linux-Kernel-Patches sehr intensiv auseinandergesetzt und erhebliche Entwicklungsarbeiten unternommen.

Das Resultat: Suse Linux Enterprise Live Patching, eine Komponente von SLES for SAP Applications, die faktisch eine Art Nonstop-IT-Nutzung unterstützt. Die Lösung wurde zuerst für x86-64-Server (Hana-on-Intel-Server) in SLES 12 for SAP Applications (SP1) bereitgestellt, seit Kurzem ist sie auch für IBM-Power (Hana-on-Power-Server) verfügbar (SP3).

Ein Aspekt im Rahmen der Entwicklungen war, das klassische Dynamic Software Updating (DSU) zu erweitern, vornehmlich verwendet für Sicherheits-Patches (CVEs) und Patches mit limitierter Größe. Entstanden ist eine Standard-Live-Patching-Lösung für den Linux-Enterprise-Einsatz mit hoher Automation.

Dabei fanden modernste Linux-Technologien Berücksichtigung. So etwa INT3/IPI-NMI (mit selbstmodifizierendem Code), ein RCU-ähnlicher Update-Mechanismus, mount-basierte NOP-Space-Allokation oder Standard-Kernel-Loading/Linking-Mechanismen.

Die Suse-Live-Patching-Funktionalität in SLES for SAP Applications verbessert das Risk/Security-Management sowie die Einhaltung/Umsetzung von Com­pliance-Vorgaben erheblich, indem beispielsweise Linux-Patches automatisch (proaktiv) vorgeschlagen und – falls gewünscht – (automatisiert) realisiert werden. Und zwar ohne ein typisches Stop-and-go.

Kombiniert mit dem Systemmanagement

Idealerweise wird das Live-Patching, wie all die anderen Building-Funktionsblocks in Suse Linux Enterprise Server for SAP Applications, über den Suse Manager verwaltet, gesteuert und kontrolliert.

Der Suse Manager auditiert unter anderem den Software-Patch-Status. Konfigurationsveränderungen können erkannt, verändert oder auf einen gewissen Zustand in der Vergangenheit zurückgesetzt werden, falls erforderlich.

Es lässt sich grundsätzlich mit dem Suse Manager die Komplexität von Hana-Umgebungen signifikant minimieren. Und zwar weil nur von einer zentralen Stelle aus alle Komponenten und Elemente der Infrastruktur und deren Patch/Update-Status sowie Gesamtsysteme an sich gemanagt werden können.

Auch lassen sich damit einzelne für den Enterprise-Betrieb erforderliche Umgebungen (zum Beispiel für Entwicklungs-, Test-, Integrations- und Produktivsysteme) punktgenau steuern.

Ferner ist es mit dem Suse Manager möglich, Com­pliance-Anforderungen wie etwa im Security-Umfeld vereinfacht umzusetzen oder die Einhaltung von Compliance-Vorgaben nachzuweisen.

Last, but not least ergeben sich deutliche Kostenvorteile, weil vor allem händische und wiederkehrende Arbeiten und erforderliche aufwändige Kapazitäten/Ressourcen für das Plattformmanagement gesenkt werden.

Dabei ist das Management über alle Hardware-x86-Intel-Anbieter, über alle Hana-on-Power-Systeme, über alle Hypervisoren und auch in gemischten Umgebungen möglich – nativ und virtualisiert. Selbstverständlich berücksichtigt der Suse Manager auch das Cloud Computing oder DevOps-Modelle.

Fazit

Ein Live- oder Online-Patching unterstützt einen Nonstop-IT-Betrieb und damit im Endeffekt auch eine Nonstop-Geschäftskontinuität. Der Suse Manager hilft, sowohl das Online-Patching als auch alle anderen Suse-Funktions-Building-Blocks beim Hana-Einsatz zu verwalten, automatisiert zu steuern und zu kontrollieren sowie damit deutliche Kostenvorteile zu erzielen.

https://e-3.de/partners/suse-linux-gmbh/

Über den Autor

Friedrich Krey, Suse

Friedrich Krey ist Head of SAP Alliances and Partners EMEA Central
SUSE Linux GmbH sowie einer unserer geschätzten E3 SAP Community Magazin Kolumnisten.

Hinterlassen Sie einen Kommentar

AdvertDie Meinung 2