C2021D12: Software updates september 2021

Aankondiging: Software onderhoud hosting omgeving

Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

Wij vragen aandacht voor het volgende:

Statusupdate migraties Appcluster → CHP
End-Of-Life Postgresql-9, Upgrade naar Postgresql-13
End-Of-Life OpenLDAP-2.4, Upgrade naar Openldap-2.5
End-Of-Life Bind-9.11, Upgrade Bind-9.16
Readline support verwijderd uit CHP versie van PHP
Reguliere software updates

Statusupdate migraties Appcluster -> CHP

Vanaf deze plek zullen we maandelijks statusupdates gaan geven over het verloop van de migratie van Appcluster naar CHP.

Waar staan we op dit moment?

De NOS is als een van de eerste omroepen begonnen met de migratie naar CHP en grote delen van nos.nl draaien inmiddels op CHP. Er wordt op dit moment de laatste hand gelegd om de resterende componenten te migreren. Daarnaast zijn er nog enkele andere applicaties (waaronder b.v. teletekst) waar inmiddels de eerste stappen worden gezet om deze naar CHP te migreren.
NPO Sites&Apps heeft deze zomer ook niet stilgezeten. Alle radio sites (nporadio1, nporadio2, npo3fm, nporadio4 en nporadio5) en achterliggende omgevingen zijn gemigreerd!
Er is door de VPRO hard gewerkt aan de migratie van POMS naar CHP. Gezien het belang en de complexiteit van POMS is dat een technisch uitdagende klus! Inmiddels zijn de test- en de acceptatieomgeving actief op CHP. Voor de migratie van de productieomgeving moet nog een laatste hobbel genomen worden voor het aansluiten van enkele externe systemen. Wanneer de productieomgeving over kan is afhankelijk van de leveranciers van deze systemen.
NPO-ID is een nieuw project en als zodanig is dit geen migratie vanuit het appcluster, maar ook id.npo.nl draait op CHP.
Als H&S team beheren we zelf ook wat sites, zoals bijvoorbeeld de hosting wiki, waarbij meerdere sites inmiddels gemigreerd zijn.
Met alle andere gebruikers van het appcluster zijn deze zomer gesprekken geweest om de migratie in gang te zetten. Dat bevindt zich nu in de eerste fase, waarin de omgevingen en accounts e.d. aangemaakt worden.

We hopen dat alle migratietrajecten die deze zomer opgestart zijn de komende periode op stoom zullen komen. De bal hiervoor ligt vooral bij de ontwikkelaars van de betreffende sites. Team Hosting&Streaming biedt ondersteuning in de vorm van advies, meekijken en meedenken.

Schroom niet om vragen te stellen; dat kan via ons ticketportal of via de NPOHOSTING slack workspace.

Wij denken dat het ook nuttig om elkaar op te zoeken met vragen als “Hoe doe jij dat nou?”. Dat kan bijvoorbeeld via het #openshift kanaal in bovengenoemde workspace.

End-Of-Life Postgresql-9, Upgrade naar Postgresql-13

Postgresql-9 is op 11 november 2021 End-Of-Life. In het appcluster zullen we deze versie aanbieden tot 1 december 2021. Projecten die voor die tijd over zijn naar CHP kunnen tot de migratie gebruik blijven maken van Postgresql-9. Maar omdat we verwachten dat niet alle migraties voor die datum afgerond zullen zijn gaan we in het appcluster op de valreep nog een upgrade traject naar een nieuwere versie (Postgresql-13) inzetten. We nemen hiertoe contact op met de klanten die het betreft.

End-Of-Life OpenLDAP-2.4, Upgrade naar OpenLDAP-2.5

OpenLDAP wordt gebruikt als authenticatiebackend voor POMS. De hoop was tot voor kort dat we het in het appcluster wel zouden kunnen uitzingen met versie 2.4, totdat POMS gemigreerd was. Echter, in augustus is er een bericht op de OpenLDAP mailinglist verschenen waaruit valt op te maken dat OpenLDAP-2.4 in September 2021 End-Of-Life verklaard gaat worden. Tegelijkertijd lijkt het dat de POMS migratie naar CHP iets uitgesteld gaat worden. Al met al is dat reden genoeg om een OpenLDAP upgrade uit te gaan voeren. We verwachten dat hier geen actie voor het POMS team aan vast zit.

Verder wordt er in het appcluster geen OpenLDAP gebruikt, dus voor andere gebruikers heeft deze upgrade geen impact.

End-Of-Life Bind-9.11, Upgrade Bind-9.16

Voor de domeinregistratie gebruiken gebruiken we een “Long Term Stable” (LTS) variant van bind; 9.11. Maar ook aan een “Long Term” komt een eind. De nieuwe LTS variant is 9.16. We zullen een upgrade naar deze versie uitvoeren. Ook deze actie heeft voor de gebruikers van het appcluster geen impact.

Readline support verwijderd uit CHP versie van PHP

In de CHP PHP images die we aanbieden zat readline support ingecompileerd. Dat is bedoeld om in de command line variant makkelijk vanaf je terminal editable command lines te hebben.

Echter, deze functionaliteit werkt niet meer in nieuwere PHP versies en het heeft eigenlijk ook geen nut in een container omgeving. Daarom is deze verwijderd uit de CHP PHP images die we aanbieden. (en in het appcluster heeft de functionaliteit er überhaupt nooit ingezeten)

Software update rooster

Het software update rooster voor de komende tijd ziet er als volgt uit:

Actie	uitrol in test	gelegenheid tot testen	uitrol in productie
software updates September	2–3 september	6–10 september	13–16 september
software updates Oktober	30 september – 1 oktober	4–8 oktober	11–14 oktober
software updates November	28–29 oktober	1–5 november	8–11 november
software updates December	25–26 november	29 november – 3 december	6–9 december

Reguliere software updates

De updates worden op 3 september op het testcluster doorgevoerd, waarna de week van 6–10 september gebruikt kan worden om te testen. In de periode van 13–16 september worden de updates op de productie-omgevingen doorgevoerd volgens onderstaand schema:

CHP

Vetgedrukte items zijn geüpdate.

image	alpine versie	tags	wat is het
registry.npohosting.nl/npohosting/base	3.14.2	3.14	Alpine linux
registry.npohosting.nl/npohosting/base-jre	3.14.2	3.14	Alpine linux + openjdk8-jre
registry.npohosting.nl/npohosting/nginx	3.14.2	1.21.1	base + nginx + nginx modules
registry.npohosting.nl/npohosting/php-fpm	3.14.2	7.3.30 7.4.23 8.0.10	base + php + extensies
registry.npohosting.nl/npohosting/ruby	3.14.2	2.7.4	base + ruby

Appcluster

wat	impact	op	van	naar
keepalived	0	W	2.2.2	2.2.4
icecast	0	W	2.4.0-kh15	2.4.0-kh15¹⁾
openssh	0	D1	8.6p1	8.7p1
openldap	1	D1	2.4.59	2.5.7
dovecot	1	D1	2.3.15	2.3.16
influxdb	1	D1	1.8.6	1.8.9
influxdb2	1	D1	2.0.7	2.0.8
grafana	1	D1	8.0.6	8.1.2
postgresql9	1	D1	9.6.22	9.6.23
postgresql13	1	D1	-	13.4
redis	1	D1	6.2.4	6.2.5
sudo	0	D1	1.9.7p1	1.9.7p2
apache	0	D1	2.4.48	2.4.48²⁾
keycloak	1	D1	12.0.4	15.0.2³⁾

syslog-ng	0	D2	3.33.1	3.33.2
nginx	0	D2	1.21.1	1.21.3
php 7.3	0	D2	7.3.29	7.3.30
php 7.4	0	D2	7.4.21	7.4.23
memcached	1	D2	1.6.9	1.6.10
ImageMagick	0	D2	7.1.0-2	7.1.0-5
rclone	0	D2	1.55.1	1.56.0
git	0	D2	2.32.0	2.33.0
postfix	0	D2	3.6.1	3.6.2
clamav	0	D2	0.103.3	0.103.3
bind	0	D2	9.11.33	9.16.20
unbound	0	D2	1.13.1	1.13.2

OpenJDK8U-jre	2	N3	8u292b10	8u302b08
OpenJDK11U-jre	2	N3	11.0.11_9	11.0.12_7
OpenJDK11U-jdk	2	N3	11.0.11_9	11.0.12_7
tomcat 8	2	N3	8.5.69	8.5.70
tomcat 9	2	N3	9.0.50	9.0.52
mysql-connector-java	2	N3	8.0.24	8.0.26
ActiveMQ	2	N3	5.16.2	5.16.3
mariadb	1	N3	10.2.39	10.2.40
mysql	1	N3	5.7.34	5.7.35

Elastic Search 7.x	0	D3	7.13.3	7.14.0

Legenda

Veel software kan zonder, of met heel weinig impact ge-update worden. Voor deze zaken kiezen we ervoor om zo'n update overdag uit te voeren. Bij een aantal andere componenten is er iets meer impact merkbaar. Die voeren we uit in een nachtelijks change window. Hieronder is de impact genummerd van 0 (geen impact) via 1 (korte onderbreking van enkele seconden) tot 2 (onderbreking van enkele minuten op de dienstverlening). De tijdstippen zijn als volgt:

code	tijdstip
D1	maandag 13 september 8:00–17:00
D2	dinsdag 14 september 8:00–12:00
N3	woensdag 15 september 1:00–6:00 AM
D3	woensdag 15 september 8:00–17:00

Bereikbaarheid

Team Hosting&Streaming is gedurende al het onderhoud via de normale kanalen bereikbaar. Zie de contact pagina.

¹⁾ , ²⁾

openssl update

³⁾

was uitgesteld ivm eerdere problemen bij upgrade naar keycloak-14

Table of Contents