Die Qual der Wahl + allgemeines Vorgehen

[dante]

Naben zusammen,

über Folgendes würde ich gerne die Meinungen von wirklichen Experten hören:

IST-Zustand: 2 Webserver (Apache) und 2 DB-Server (mysql) eines "Fremd"-Anbieters.
Soll-Zustand: Wir (intern) wollen die Dinger selbst neu aufsetzen und jeweils clustern (HA).

Die Frage 1:
Welche Distribution?
Für interne Kisten setzen wir Stand heute Debian (Lenny) ein. Damit kann ich also umgehen.
Allerdings geht es hier um unser produktives Websystem, d.h. es sollte so stabil und sicher wie möglich sein. Ist Debian hierfür wirklich die beste Wahl? Die Pakete in stable sind ja nicht unbedingt aktuell. Wir haben über Gentoo nachgedacht, sind aber dafür noch recht unerfahren, was im Fehlerfall ein Risiko sein könnte. CentOS habe ich auch in Betracht gezogen, jedoch mag (m)ich rpm nicht so sehr ;).
Was setzt ihr für solche Zwecke ein?

Die Frage 2:
Wie realisiert man Stabilität der Software-Pakete?
Unsere Idee (mit Basis z.B. Debian): Basissystem installieren, per apt-get auf den neusten Stand bringen. Alles was an Applications daherkommt (wie Apache oder mysqld), wollten wir aus den Sourcen installieren, da im aktuellen Debian stable z.B. nur die alte Apache Version 2.2.9 vertreten ist. Somit würden wir eine Aktualität der Applications sicherstellen.
Macht das Sinn? Oder sollte man auch den Kernel immer nachbacken?

Dazu bräuchte ich mal ein paar Best-Practice Tipps :)

Gute Nacht und lieben Gruß
dante

[Roger Wilco]

Für interne Kisten setzen wir Stand heute Debian (Lenny) ein. Damit kann ich also umgehen.

Dann bleib dabei. Wenn du genügend Spieltrieb besitzt, kannst du dir vielleicht noch CentOS ansehen. Für die Produktivsysteme solltest du aber ausschließlich ein Betriebssystem einsetzen, mit dem du dich auskennst.

Die Pakete in stable sind ja nicht unbedingt aktuell.

stable != bleeding edge. Die Pakete in Debian stable haben in der Regel eine lange Testphase hinter sich und können als wirklich stabil gelten. Dass das nicht per se vor Fehlern schützt, haben die OpenSSL-Geschichte und noch ein paar andere unschöne Zwischenfälle gezeigt. Das könnte allerdings mit jedem Betriebssystem passieren und seitdem sind die Debian Entwickler auch etwas vorsichtiger mit eigenen Patches.

CentOS habe ich auch in Betracht gezogen, jedoch mag (m)ich rpm nicht so sehr ;).

Also am Paketmanager solltest du diese Entscheidung wirklich nicht festmachen. CentOS hat den Vorteil, dass die Pakete gut getestet wurden (eben aus RHEL) und dass die Distribution einen extrem langen Lebenszyklus hat. Innerhalb von 7 Jahren tauscht ihr die Hardware vermutlich mindestens einmal aus…

Wie realisiert man Stabilität der Software-Pakete?

Gut testen, definierte Test- und Staging-Umgebungen sowie eine dokumentierte Upgrade- und Konfigurationsprozesse.

Somit würden wir eine Aktualität der Applications sicherstellen.

An der Stelle müsst ihr euch überlegen, was euch wichtiger ist. Eine möglichst aktuelle Version, die ihr dann selbst pflegen müsst, oder eine von der Distribution ausgelieferte Version, die etwas älter ist, aber dafür von den Entwicklern der Distribution mit Sicherheitspatches versorgt wird und deren API/ABI sich nicht ändert. Wenn ihr keine Features benötigt, die nur in aktuelleren Versionen vorhanden sind, oder spezielle Kompilierungsoptionen übergeben müsst, würde ich zu den Distributionspaketen greifen – unabhängig, für welches Betriebssystem ihr euch entscheidet.

Bei MySQL kann eine Rekompilierung aus Performance-Sicht allerdings durchaus sinnvoll sein, aber dazu gibt es hier schon den ein oder anderen Thread.

[dante]

Super, vielen Dank für diese Infos.
Ich denke, wir werden dann einfach bei Debian bleiben und vllt. bei weniger kritischen Projekten auf CentOS zurückgreifen. Denn genügend Spieltrieb ist bei mir sowieso vorhanden ;)
Zwecks Packages oder Source für die Software muss ich nochmal ne Nacht drüber schlafen, es ist eben die Frage, inwiefern man das verantworten kann (Sicherheit).

Ein schönes Wochenende zusammen
dante

[rudelgurke]

Würde nicht empfehlen Sources zu verwenden, wenn nicht gerade zwingend nötig. Irgendwann geht der Überblick verloren was nun wo liegt und welche Version installiert wurde mit welchen Patches.
Gerade wenn ihr clustern wollt, mal ein Rechner dazu, mal einer ausgetauscht - vielleicht unnötige Arbeit.