全靠OpenStack-Ansible，eBay Classifieds躲过一大劫

大约一年前，安全社区敲响了令人害怕的警钟：Spectre和Meltdown。

它们被专家认为是“非常灾难性的”，是各种安全研究人员围绕现代CPU内置的性能优化技术发现的一系列漏洞。这些优化（包括超标量功能、无序执行和推测分支预测）实质上创建了一个可以被利用来推断通常不可访问的计算机内存内容的旁道。

对于电子商务巨头eBay来说，要对付这两个漏洞非常复杂。eBay Claasifieds Group的私有云分布在两个地理位置（正在计划第三个），大约有1000个虚拟机管理程序和80000个核心。该团队需要使用最新内核、KVM版本和BIOS更新为每个地方的四个可用区域修补虚拟机管理程序。在这些更新期间，所有区域不可用，并且所有实例都自动重新启动。

来自eBay云可靠性团队的Bruno Bompastor和Adrian Joian分享了如何支持系统应对从1月延续到7月的这些漏洞。

首先，Ansible是基础设施自动化的绝佳工具。“我们决定使用Ansible作为主要工具，并且很大程度上依赖于Ansible role来组织任务。”Bompastor说。例如，该团队拥有OpenStack role、hardware role、update role以及此项目最重要的checker role，以扫描这些漏洞。他们在主机上运行了一个checker（一个基本上测试想要检查的变种的开源脚本）。它可以在GitHub上找到，“这是一个非常好的脚本，涵盖了一切。”

他们还深入了解了团队必须执行的所有工作，以便完全关闭、更新和引导基础架构，而不会丢失数据。他们介绍了在重新启动大量内核时，团队如何管理SDN（Juniper Contrail）和LBaaS（Avi Networks）。

http://superuser.openstack.org/articles/ansible-ebay-spectre-and-meltdown/

内容覆盖主流开源领域