Provide Zero Downtime for Your Critical Applications, Including

Oracle Linux, engineered for open cloud, powers Oracle Cloud and tens of thousands of enterprise customers. Oracle Linux is the only Linux distribution that supports live, non-disruptive patching, both in the kernel space and in the user space. That means you can immediately apply security patches without impacting your production environment—and without rebooting. To date, more than one million patches have been delivered in this fashion through Ksplice. In this session you will learn - How Ksplice delivers zero-downtime update for your core infrastructure - How Oracle Linux provides a proven, secure, and reliable platform for the latest services offered by Oracle Cloud
展开查看详情

1.Oracle Linux and Ksplice: 为关键应用程序提供零停机时间, 包括容器部署 构建安全的云基础架构 苏虹林 – Honglin Su 张国华 – Frank Zhang Sr. Director of Product Management Principal Solution architect Oracle Linux and Virtualization June 27, 2018

2.IT 经理的一天:降低安全风险 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。|

3.Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。|

4.议程 1 Oracle Linux介绍 2 Ksplice -为关键应用程序提供零停机时间 3 Oracle Linux,容器部署和Oracle云 4 问题与解答 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 4

5.Oracle基础架构软件:开放云基础 通过最大限度地提高灵活性来降低业务风险 开放的操作系统 开放的虚机 开发/运维 Oracle Linux:最广泛的Linux Oracle VM:基于供应商中 Docker, SCL, VirtualBox and 部署选择 立硬件的云管理程序构建 OpenStack:丰富的功能集 和支持 零锁定以实现最大的业务灵活性 - 契约式和架构式 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 5

6.#2企业Linux提供商* 从2006年开始提供Oracle Linux 推动Oracle云和一体机 支持成千上万的企业 Oracle Linux & VM: Engineered for open cloud 数以百万的Docker容器下载 Linux Foundation 白金会员 Cloud Native Computing Foundation (CNCF) 白金会员 * Based on industry analyst and Oracle data 版权所有©2018,Oracle 版权所有© 和/或其附属公司。保留所有权利。| 2018,Oracle和/或其附属公司。 保留所有权利。 6

7.Oracle Linux:专为开放云而设计 专为云中的关键业务工作负载设计: • Unbreakable Enterprise Kernel (UEK) 适用于云基础架构 • Ksplice可实现零停机诊断和修补 • DTrace用于全面的跟踪和诊断 包括Docker容器技术 提供管理选择 • Oracle Enterprise Manager用于完整的堆栈管理 • Spacewalk 为开源Linux提供管理 • Oracle OpenStack 提供开放云管理平台 与红帽保持应用程序完全的二进制兼容 推动Oracle云和一体机 版权所有©2018,Oracle 版权所有© 和/或其附属公司。保留所有权利。| 2018,Oracle和/或其附属公司。 保留所有权利。 7

8.典型的攻击向量 社会工程攻击 漏洞利用 安全配置错误 被盗凭证 恶意软件/勒索 拒绝服务 软件 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 8

9. 解决系统漏洞所面临的挑战 您必须根据安全运营 如何让所有利益相关者都满意? 中心的建议修补系统, 但要遵从变更管理部 门 我的应用程序正在 进行开发,我们正 在为下一个月的发 行计划努力。 我不 能容许任何停机时 间 借助 Oracle: • 通过持续提供风险缓解技 变更 我有最新的安全修补 程序,但我如何可以 术助力 IT 主管。 管理 进行修复,而不用中 • 为应用程序获取 100% 的 断应用程序和等待变 正常运行时间,同时仍然 更管理部门的批准。 保持安全。 • 改善整体安全态势,让人 应用程序所 基础架构 放心。 有者 主管 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 9

10.全新云时代中依然存在原有挑战 防御漏洞和攻击 92.5% 81% 最新研究表明: 前 50 名应用程序中, 在所有已知漏洞中,81% 的漏洞具有可 92.5% 的应用程序在发现漏洞后,当天便 解决漏洞的修补程序 能提供修补程序 来源:https://info.flexerasoftware.com/SVM-WP-Vulnerability-Review-2017 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 10

11.针对安全、合规和补救的 Ksplice 维持业务正常运转 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 11

12.修补业务影响 无 Ksplice 的管理和业务流程资源 典型修补周期任务 变更 计划 关闭 修补 启动 验证和 分诊 管理 停机时间 堆栈 操作系统 堆栈 发布 Linux 管理员 数据库管理员 中间件 管理员 应用程序 数据库管理员 业务 用户 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 12

13.Ksplice 修补业务影响 - 零停机 使用 Ksplice 改进管理和业务流程 – 减少资源成本 Ksplice 修补周期任务 变更 计划 关闭 修补 启动 验证和 分诊 管理 停机时间 堆栈 操作系统 堆栈 发布 Linux 管理员 数据库管理员 中间件 管理员 任务资源 应用程序 数据库管理员 减少 60 % 业务 用户 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 13

14.Ksplice 完善当前修补流程 实现按要求的“无重启”修复和根据需要的按需安全修补 2018 重启修补 “无重启计划”修补 “按需”修补 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 14

15.示例:减少其他 Heart Bleed 安全漏洞 适用于用户空间的 Ksplice Heartbleed 导致成千上万的提供商重新签发安全证书,估计 损失 5 亿美元 一些引人注目的攻击对数百万用户造成影响 并导致不可计量的损失 Ksplice 使客户可以立即修补 • 修补无需计划停机时间 • 可显著缓解攻击造成的影响 如 Heartbleed 版权所有©2018,Oracle 版权所有© 和/或其附属公司。保留所有权利。| 2018,Oracle和/或其附属公司。 保留所有权利。 15

16.Ksplice 是什么? 业务影响:降低风险和暴露;维持生产率 • Ksplice 技术无需重启即可应用更新 – 无需重启对 Oracle Linux 和 Oracle VM 的好处: • 增强安全性 - 应用安全修补程序而无需重启 • 可靠(合规) - 更新整个系统,不仅仅是用户区 • 主动支持 - 适用于在测试中运行单元 • 减少运营成本 - 没有工作日夜晚升级/周末升级或非计划维护 • 将不合规暴露限制在尴尬的品牌利用上 • 使高层目标与IT保证和生产力保持一致 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 16

17.使用 Ksplice 的三大业务实践 生产率与收益率成正比 • 确保机器百分之百合规 – 照常修补用户空间 – 使用 Ksplice 修补内核和系统空间 – 无需重启,系统百分之百合规 • 修补常见漏洞和披露(CVE) – 立即修补安全漏洞或错误 – 无需重启 • 支持补救 – 与 Oracle 技术支持合作,以提供 Ksplice – 将 Ksplice 安装到运行系统中 – 无需重启和重置问题域 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 17

18.系统需要保持合规 提高了合规性以限制企业暴露 • 您的首席信息安全官 (CISO) 和信息保障团队告知您需要修补系统 – 很简单,您只需确定适用于用户空间的修补程序 – 并不简单,您需要安装新的内核 RPM • 但您需要确定 Ksplice 修补程序,以使您的内核合规,而非影响您的客户 • 安装用户空间和 Ksplice 修补程序 • 结果: – 合规机器,无需重启 – 您的客户不会察觉到任何中断 – 信息保障团队验证系统合规性 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 18

19.存在常见漏洞暴露的系统 预防和限制安全漏洞利用 • 您的首席信息安全官 (CISO)和团队确定受 CVE 影响的系统 • 您负责确定满足信息保障条件的 Ksplice • 您负责安装 Ksplice 修补程序以修复 CVE • 您的客户不会察觉到任何中断 • 您的信息保障团队验证一致性 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 19

20.需要诊断并修复退化的系统 运行时间与生产率成正比 • 系统开始出现退化迹象 – 性能不佳 ‒ 丢失或间歇性 I/O – RAM 消耗 ‒ 开始出现错误或警告 • 补救步骤: – 您针对系统故障联系支持/提交服务请求 – 您和支持人员将问题“细化”至内核代码。 • 修复存在于上游? • 需要创建修复? • 针对运行系统创建/安装 Ksplice 修补程序 • 验证修复: – 已修复? - 完成 – 未修复? 退出 Ksplice 修补程序,然后重复 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 20

21.启用 Ksplice 修补 - Unbreakable Linux Network (ULN) 已包含在 Oracle Linux 高级支持中 您将看到一个标有 KSplice Uptrack Registration 的按钮 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 21

22.在 ULN 上注册 Ksplice 用于托管 • Ksplice 需要注册 • Ksplice 将使用您的 CSI • 选择您要用来生成访问密钥的 CSI • 单击以注册 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 22

23.益处总结 • 可用性提高 – 应用关键更新和安全修补程序,无需重启 – 为用户和客户消除停机时间和中断 • 在应用程序运行时更新 • 协调 Ksplice 支持热修补 • 提高了安全性 – 减少漏洞窗口 – 提高合规性 • 降低了运营成本 – 消除计划外维护停机事件 • 不再需要花费漫长的夜晚和周末来重启服务器进行内核更新 – 无需与系统用户协调重启造成的运行中断 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 23

24.后续步骤 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 24

25.Ksplice Inspector 访问:http://ksplice.oracle.com/inspector 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 25

26.http://ksplice.oracle.com/try/ 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 26

27.客户角度 -美联航如何确保服务的连续性 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 27

28.使用Oracle Linux运行容器 • 适用于Docker的Oracle Container Runtime – 包括由Oracle构建和维护的Docker Engine二进制文件 – 支持btrfs和overlay2作为Docker文件系统 – 需要Oracle Linux 7和UEK版本4 • 用于Kubernetes的Oracle容器服务 – 基于上游Kubernetes 1.9.1 – 提供RPM包和Docker容器 – 包括Oracle提供的安装脚本,以简化Oracle Linux 7上的安装/配置 – 需要Oracle Linux 7, UEK 版本4和Oracle Container Runtime for Docker 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 28

29.支持在Docker容器中部署的Oracle软件 • Oracle Linux • WebLogic Server/FMW – 6 and 7 及精简版本 Infrastructure • MySQL Community Server • Coherence • MySQL Enterprise Server • Tuxedo • NoSQL • HTTP Server • Oracle Database • Business Intelligence Platform • GoldenGate • SOA Suite 版权所有© 2018,Oracle 和/或其附属公司。 保留所有权利。| 29