Software::Kernel
KernelCare verspricht Patches ohne Neustart
Aktualisierungen des Linux-Kernels werden normalerweise erst nach einem Neustart wirksam. Dringende Updates sind daher oft eine große Last für die Administratoren. Die Firma KernelCare will Neustarts mit ihrem kostenpflichtigen Service komplett unnötig machen.
KernelCare
KernelCare ist eine Dienstleistung von
CloudLinux, dem Hersteller der gleichnamigen, von
CentOSabgeleiteten Distribution speziell für Rechenzentren, die Clouds oder zahlreiche virtuelle Maschinen betreiben.
Das Angebot von KernelCare besteht im automatisierten Patchen des Kernels, um Sicherheitslücken oder schwere Fehler zu beheben, wobei niemals ein Neustart nötig sein soll. Das erinnert an die von Oracle aufgekaufte Ksplice-Technologie sowie an die in den letzten Monaten entwickelten Technologien Kpatch von Red Hat und kGraft von Suse. Jedoch soll es sich bei KernelCare um eine bereits im eigenen Haus erprobte unabhängige Eigenentwicklung handeln. Anders als Kpatch und kGraft verspricht KernelCare, nicht nur einige Probleme ohne Neustart patchen zu können, sondern alle. Das »rituelle Booten« der Server nach einem Patch, möglichst noch außerhalb der Arbeitszeiten und mit dem Risiko, eventuelle Probleme beim Neustart beheben zu müssen, soll bei KernelCare komplett entfallen.
KernelCare besteht wie die anderen Lösungen aus einem Kernel-Modul, Werkzeugen und den Patches. Das Kernel-Modul kann ohne Neustart installiert werden. Sein Quellcode steht unter der GPLv2 zur Verfügung, woraus sich die Funktionsweise des Systems ableiten lässt, sobald es einer Analyse unterzogen ist. Patches stellt KernelCare zunächst für CentOS 6.x, CloudLinux 6.x, Red Hat Enterprise Linux 6.x und OpenVZ zur Verfügung. Debian und Ubuntu sollen folgen. Die Patches selbst können in einem Abonnement bezogen werden, das pro Server und Monat 3,95 US-Dollar kostet, also 47,40 US-Dollar im Jahr. Sie sind nicht frei verfügbar. Partner von KernelCare erhalten die Patches günstiger.
KernelCare könnte seine Dienstleistung vermutlich genauso anbieten, wenn sein Kernel-Modul auf kGraft oder Kpatch beruhen würde. Zur Zeit sind sowohl Suse als auch Red Hat bemüht, ihr System in den Kernel zu bekommen. Nachdem Suse seinen Patch als erstes zur Aufnahme in den Kernel vorgeschlagen hat, folgte inzwischen auch Red Hat, verbunden mit einer Darstellung der eigenen Lösung als überlegen und weniger intrusiv. Bei Kpatch sei auch die Konsistenz der Daten sichergestellt, der Nachteil sei lediglich eine Verzögerung im Millisekundenbereich. Doch wäre Red Hat auch mit einer Kombination der beiden Ansätze zufrieden. Ohnehin beruhen beide auf Technologien, die im Kernel bereits vorhanden sind, wie ftrace mit seinem reservierten Speicher in Funktions-Headern und dem Patchen von INT3/IPI-NMI, das auch in Jumplabels verwendet wird.
){kind=logo}
