C2019D22: Software updates december 2019

Aankondiging: Software onderhoud hosting omgeving

Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

Wij vragen aandacht voor het volgende:

PHP-5.6 en PHP-7.1: Het einde is nabij!
Python-2.7, Node.js-8 en Elasticsearch-5: End-Of-Life per 31 dec 2019.
OpenSSL upgrade
Vooruitblik op het jaar 2020
Reguliere software updates

PHP-5.6 en PHP-7.1: Het einde is nabij!

Het eind voor zowel PHP-5.6 als voor PHP-7.1 zit er nu toch echt aan te komen. De lijn die gevolgd wordt is: “PHP-5.6 gaat uit, PHP-7.1 wordt omgezet naar PHP-7.2”. Het tijdschema daarvoor is als volgt:

datum	actie
zondag 1 december 2019	End-of-life moment voor PHP-7.1
maandag 2 december 2019	de laatste nog resterende PHP-7.1 sites in de productie omgeving worden omgezet naar PHP-7.2
maandag 16 december 2019	de laatste nog resterende PHP-5.6 sites in de test omgeving worden uitgezet
dinsdag 31 december 2019	En-of-life moment voor PHP-5.6
maandag 6 januari 2020	de laatste nog resterende PHP-5.6 sites in de productie omgeving worden uitgezet

Inmiddels valt onze gebruikersgroep uiteen in 3 groepen:

De mensen die hard hebben gewerkt en geen gebruik meer maken van oude PHP versies. Hulde! Voor deze groep is deze melding dus niet relevant.
De mensen die ook hard hebben gewerkt, maar de deadline net niet gaan halen en die daarover met ons afspraken hebben gemaakt. Prima! Jullie weten wie jullie zijn en wat de afspraken inhouden.
De rest. Daarvoor is bovenstaand schema wel van toepassing.

Het is dus van belang om:

voor maandag 2 december 2019 er zeker van te zijn dat eventuele PHP-7.1 sites het ook doen onder PHP-7.2, en
voor maandag 6 januari 2020 de migratie van PHP-5.6 naar PHP-7 afgerond te hebben.

Omdat PHP-5.6 al sinds 1 januari 2019 niet meer onderhouden wordt door de PHP developers kan zich een situatie voordoen dat er tussen nu en het uitzet-moment een kritiek beveiligingsprobleem aan het licht komt. Dat was recent al het geval, toen konden we er nog omheen werken. Mocht het nog een keer voorkomen, dan zullen we passende maatregelen nemen. Te denken valt aan het extra afschermen van de getroffen sites.

Python-2.7, Node.js-8 en Elasticsearch-5: End-Of-Life per 31 dec 2019

Zoals in de EOL kalender te lezen valt zijn bovengenoemde producten EOL per 31 dec 2019. In de eerste week van januari wordt deze software verwijderd van het platform.

OpenSSL upgrade

Veel software componenten gebruiken een library genaamd “openssl” om over encrypted kanalen te communiceren. Denk aan een browser die over https een webserver moet kunnen benaderen, maar ook aan mail clients of secure shell. Daarnaast zit openssl ingebakken in allerlei programmeertalen als php, ruby, python en perl. Omdat de vorige LTS¹⁾ versie van openssl (1.0.2) na 31 december 2019 geen support meer krijgt zijn wij voor alle componenten die openssl gebruiken overgestapt op de huidige LTS versie (1.1.1). Dat betekent dat talen als php en ruby en tools als curl vanaf nu (waar dat nog niet het geval was) door ons met een ingebakken openssl-1.1.1 uitgeleverd worden. Voor de gebruikers hiervan zal dit niet veel verschil maken. Hooguit dat nieuwere SSL protocollen (TLS 1.3) voortaan ondersteund worden.

Vooruitblik op het jaar 2020

End-Of-Life momenten

In 2020 komen de volgende End-Of-Life momenten aan bod

datum	einde beschikbaarheid van	benodigde actie
13 februari	PostgreSQL 9.4	Upgrade naar PostgreSQL 9.6
31 maart	Ruby 2.4	Upgrade naar Ruby 2.6
30 november	PHP 7.2	Upgrade naar PHP 7.3
31 december	Appcluster	Migreer sites naar het Community Hosting Platform

Ontmanteling van oude UG omgeving / mediastorage

In 2015 is de NPO begonnen met de ombouw van Uitzending Gemist naar NPO Start. Inmiddels is deze ombouw bijna voltooid. Dat betekent dat de oude UG omgeving afgebouwd kan gaan worden. Begin 2020 zullen we hier meer concrete plannen over ontvouwen, maar houd in elk geval rekening met het volgende:

Afbouw van de progressive download omgeving (content.omroep.nl aka download.omroep.nl, audio.omroep.nl, video.omroep.nl)
Afbouw van de adaptive VOD omgeving (adaptive.npostreaming.nl)
Afbouw van de adaptive livestreaming omgeving (“HASP” aka livestreams.omroep.nl)
Afbouw van de live audiostreaming omgeving (icecast.omroep.nl)
Opruimen van het oude UG audio/video archief.

Ons streven is dat eind 2020 bovenstaande omgevingen opgeheven kunnen worden. Daar waar dit (nog) niet goed mogelijk is, bijvoorbeeld omdat de use case out-of-scope voor NPO Start is zullen we met de betrokkenen in gesprek treden om na te denken over alternatieven.

Migratie van Appcluster naar Community Hosting Platform

Wij verwachten dat 2020 ook het jaar wordt van een migratie van de oude hosting omgeving (“het Appcluster”) naar de nieuwe omgeving (“het Community Hosting Platform”) Begin 2020 zullen we ook hier meer concrete plannen over presenteren. Wij streven ernaar dat eind 2020 het Appcluster niet meer, of slechts nog in zeer uitgeklede vorm bestaat.

Reguliere software updates

In de periode van 9 tot 12 december worden de volgende updates doorgevoerd:

wat	van	naar	changelog
nginx	1.17.5	1.17.6	1
php 5.6	5.6.40	5.6.40	²⁾
php 7.1	7.1.33	7.1.33	³⁾
php 7.2	7.2.24	7.2.25	1
php 7.3	7.3.11	7.3.12	1
ruby 2.4	2.4.9	2.4.9	⁴⁾
ruby 2.6	2.6.5	2.6.5	⁵⁾
ruby 2.4 gems	diverse	-	⁶⁾
ruby 2.6 gems	diverse	-	⁷⁾
perl	5.30.0	5.30.1	1
tomcat 8	8.5.47	8.5.49	1
tomcat 9	9.0.27	9.0.29	1
Graylog	3.1.0	3.1.3	1
Elastic Search 6.x	6.8.4	6.8.5	1
Elastic Search 7.x	7.4.1	7.4.2	1
grafana	6.4.3	6.5.0	1
keycloak	7.0.1	8.0.0	1
memcached	1.5.19	1.5.20	1
redis	5.0.5	5.0.7	1
mariadb	10.2.27	10.2.29	1
postgresql 9.4	9.4.24	9.4.25	1
postgresql 9.6	9.6.15	9.6.16	1
openldap	2.4.13	2.4.48	⁸⁾
ImageMagick	7.0.9-1	7.0.9-2	1
Image-ExifTool	11.74	11.76	1
curl	7.66.0	7.67.0	1
dovecot	2.3.8	2.3.8	⁹⁾
syslog-ng	3.24.1	3.24.1	¹⁰⁾
postfix	3.4.7	3.4.8	1
bind	9.11.12	9.11.13	1
unbound	1.9.4	1.9.5	1

De updates worden op 29 november op het testcluster doorgevoerd, zodat er gelegenheid is om de nieuwe versies te testen.

Het schema voor de productie clusters is als volgt:

wat	actie	impact	wanneer
graylog	herstart java	1 korte onderbreking naar de Graylog instanties	9 december 8:00 – 12:00
influxdb	herstart databases	1 korte onderbreking naar de database instanties	9 december 8:00 – 12:00
openldap	herstart databases	1 korte onderbreking naar de database instanties	9 december 8:00 – 12:00
nginx	herstart webservers	geen	10 december 8:00 – 12:00
php	herstart applicatieservers	geen	10 december 8:00 – 12:00
ruby	herstart Ruby-on-Rails applicaties	geen	10 december 8:00 – 12:00
ruby gems	herstart Ruby-on-Rails applicaties	geen	10 december 8:00 – 12:00
perl	herstart applicatieservers	geen	10 december 8:00 – 12:00
memcached	herstart Memcached instanties	memory caches worden gecleared	10 december 8:00 – 12:00
redis	herstart databases	1 korte onderbreking naar de database instanties	10 december 8:00 – 12:00
ImageMagick	nieuwe versie wordt actief	geen	10 december 8:00 – 12:00
Image-ExifTool	nieuwe versie wordt actief	geen	10 december 8:00 – 12:00
curl	nieuwe versie wordt actief	geen	10 december 8:00 – 12:00
syslog-ng	herstart syslog	geen	10 december 8:00 – 12:00
postfix	herstart mailservers	geen	10 december 8:00 – 12:00
dovecot	herstart imapservers	geen	10 december 8:00 – 12:00
bind	herstart nameservers	geen	10 december 8:00 – 12:00
unbound	herstart dns-resolvers	geen	10 december 8:00 – 12:00
grafana	herstart grafana applicatieserver	geen	10 december 8:00 – 12:00
tomcat	herstart java	ongeveer 1-5 min downtime per instantie	11 december 1:00 – 6:00
keycloak	herstart java	1 korte onderbreking naar de Keycloak instanties	11 december 1:00 – 6:00
mariadb	herstart databases	2 korte onderbrekingen naar de database instanties	11 december 1:00 – 6:00
postgresql	herstart databases	1 korte onderbreking naar de database instanties	11 december 1:00 – 6:00
Elastic Search	herstart java	geen	9–12 december 8:00 – 17:00
perl	herstart flash policy servers	geen	9–12 december 8:00 – 17:00

¹⁾

Long Term Support

²⁾ , ³⁾ , ⁴⁾ , ⁵⁾ , ⁶⁾ , ⁷⁾ , ⁸⁾ , ⁹⁾ , ¹⁰⁾

openssl upgrade

Table of Contents