應對Meltdown和Spectre這兩個漏洞，對于OpenStack人來說不是件輕松的事。比如CERN就必須重啟整個云來修補Meltdown和Spectre漏洞。

　　1月3日Meltdown和Spectre CPU安全漏洞被公開披露，引發(fā)了全球IT用戶和云運營商的一連串活動。在OpenCtack溫哥華峰會上，Openstack人詳細介紹了他們如何處理Meltdown和Spectre漏洞——這是一個很耗時的過程。

　　CERN（大型強子對撞機（LHC）的所在地）擁有最大的OpenStack云基礎設施（大約30萬個計算核心）。Arne Wiebalck負責CERN的OpenStack云的整體運維，當Meltdown和Specter等漏洞出現時，他的責任是及時反應并部署相應的修復程序。

　　“在冬季休息期間，CERN通常會關閉兩個星期，所以當每個人都還沒來上班時，事情發(fā)生了。”他說。

　　根據Wiebalck的說法，CERN有一個專門負責網絡安全的團隊。他的運維團隊與安全團隊協調，了解需要采取什么措施來緩解Meltdown和Spectre的風險。

　　“最終我們決定關閉整個云來打補丁。”Wiebalck說。

　　考慮到CERNOpenStack云的規(guī)模，整體關閉和打補丁的折磨可不是小事。 Wiebalck表示，他的團隊不得不關閉并重啟超過3萬臺虛擬機，并告知成千上萬的CERN云用戶會發(fā)生關機。

　　“我們已經在生產中運行了大約五年的云，而這是我們第一次不得不關閉所有的東西。”他說。

　　不過，CERN并沒有簡單地同時關閉所有的東西，而是在幾天的時間內分階段執(zhí)行打補丁、關機和重啟過程。CERN使用了一個迭代過程，最初關閉了大約200個虛擬機管理程序，以查看它們是否會返回以及是否有任何錯誤。

　　盡管CERN像大多數大型IT組織一樣利用自動化流程，但在為Meltdown和Specter打補丁和重啟時，涉及必須由人來運行和監(jiān)控的大量手動流程。

　　“我們有一些工具可以與數百臺機器進行對話，但實際上，我和我的同事基本上都是通過手動方式來做這件事。”Wiebalck說。

　　Clarke Boylan是OpenStack基礎設施項目的PTL，負責運行用于構建全球云中使用的OpenStack軟件的系統。Boyland也和CERN的Wiebalck一樣，必須重啟大量系統才能為Meltdown和Spectre打補丁。

　　Boylan表示，OpenStack基礎設施團隊將打補丁工作進行了分工，并利用Ansible配置管理技術確保補丁內核到位。

　　“我們仍然讓人仔細觀察，以確保服務仍能以預期的方式運行。”Boylan說。

　　盡管有Meltdown和Spectre補丁，但人們擔心潛在的性能下降問題—— 這正是Boylan團隊所監(jiān)控的。OpenStack基礎設施團隊的首要任務是盡快部署Linux內核補丁。

　　更進一步，Boylan指出，OpenStack Nova計算項目開發(fā)人員為Nova增加了一項功能，允許增強對CPU功能標志的控制，以便云運維人員可以限制對CPU更危險部分的訪問，并減輕補丁對性能的影響。

　　教訓是什么？

　　像Dave McCowan這樣的OpenStack社區(qū)成員認為，Meltdown and Spectre問題對云運維人員來說是一個很好的教訓。他是OpenStack Barbican秘密管理項目的前PTL、思科工程師。

　　“學到的教訓是要為任何可能發(fā)生的事情做好準備。當你考慮架構一個云和規(guī)劃工具時，要知道你可能需要給系統中的任何東西打補丁或替換它們。”

　　http://www.eweek.com/security/openstack-operators-detail-how-they-patched-for-meltdown-spectre

　　內容覆蓋主流開源領域

　　投稿郵箱

　　openstackcn@sina.cn