Grundlegendes zur Betriebssystemsicherheit

Abgeschlossen

Das Patchen des Betriebssystems, die Installation von Sicherheitsupdates und der Neustart von VMs werden empfohlen, um das zugrunde liegende Betriebssystem auf dem neuesten Stand zu halten. HDInsight ist ein PaaS-Dienst und zum Zeitpunkt der Erstellung dieses Dokuments ist das zugrunde liegende Betriebssystem für virtuelle HDInsight-Computer Ubuntu 16.0.4 LTS. Aktualisierte Informationen zu den HDInsight-Betriebssystemversionen finden Sie auf der Dokumentationsseite Komponentenversionsverwaltung. Nach dem Patchen müssen virtuelle Linux-Computer neu gebootet werden, damit die Patches angewendet werden können. Dies kann dazu führen, dass HDInsight-Knoten neu gebootet werden, was mit den Kundenplänen und Workloadausführungen in Konflikt geraten kann.

Es gibt zwei Hauptmethoden, mit denen Sie sicherstellen können, dass die zugrunde liegenden Basisimages in den VMs auf dem neuesten Stand sind.

Regelmäßiges Ablegen und erneutes Erstellen älterer Cluster

Unabhängig von der HDInsight-Version wird jedes Mal, wenn Sie einen neuen HDInsight-Cluster erstellen, die neueste Basisbetriebssystemversion mit dem sichersten Basisimage aktualisiert. Regelmäßiges Ablegen und erneutes Erstellen von HDInsight-Clustern wird bei Workloads empfohlen, sofern dies realisierbar ist.

Shellskript zum Aktualisieren der Cluster

Für zeitintensive Workloads oder hochgradig konfigurierte oder miteinander verbundene Cluster. Das regelmäßige Ablegen oder erneute Erstellen von Clustern stellt eine Herausforderung dar und ist in vielen Fällen möglicherweise nicht realisierbar. Für diese Fälle stellt HDInsight zwei konfigurierbare Shellskripts zur Verfügung, die zum Patchen des Betriebssystems und zum Planen von Neustarts verwendet werden können.

Skriptname

install-updates-schedule-reboots.sh

Parameter

Argument 1 0: Nur Kernelupdates aktivieren oder

1: Nur Kernel- und Sicherheitsupdates aktivieren

2: Alle Updates aktivieren

Standardwert: 0

Argument 2 0: Neustart deaktivieren

1: Geplanten Neustart aktivieren

2: Sofortigen Neustart aktivieren

Standardwert: 0

Skriptname

schedule-reboots.sh

Parameter

1: Ermöglicht einen Neustart zwischen 12 – 24 Stunden

2: Ermöglicht sofortigen Neustart (in 5 Minuten)

Standardwert: 1

Hinweis

Wenn der Neustart bei der Ausführung von „install-updates-schedule-reboots.sh“ deaktiviert wurde, können Sie „schedule-reboots.sh“ verwenden, um den Neustart zu einem späteren Zeitpunkt Ihrer Wahl durchzuführen.