O blog de engenharia da Cloudflare publicou um post interessante que descreve seu processo de lidar com atualizações de BIOS do sistema, bem como várias outras atualizações de firmware. São informações importantes para aqueles que se perguntam como a Cloudflare mantém seus milhares de servidores em todo o mundo atualizados para o BIOS e firmware mais recentes. Então, saiba como a Cloudflare atualiza BIOS e o firmware em milhares de servidores.
Com as atualizações de BIOS e firmware muitas vezes sendo feitas em nome da segurança, eles se dedicam a garantir que seus servidores estejam nas versões mais recentes. Embora existam os gostos do Linux Vendor Firmware Service (LVFS) e Fwupd para lidar com atualizações de firmware, infelizmente, eles não estão usando isso, mas sim seu próprio conjunto de soluções.
É uma pena que eles não tenham jogado seu peso atrás de LVFS/fwupd para incentivar mais adoção de fornecedores, mas a abordagem atual da Cloudflare equivale a manter um conjunto de scripts caseiros.
Cloudflare atualiza BIOS e o firmware em milhares de servidores
As atualizações de BIOS/firmware do sistema são feitas através de um script de inicialização iPXE. A Cloudflare reinicializa seus servidores mensalmente (ou mais cedo, se necessário, por razões de segurança) e, portanto, eles dependem de um script de inicialização iPXE que consulta a versão atual do BIOS UEFI. Se essa versão do BIOS estiver desatualizada, ela procederá ao download e ao flash na versão especificada mais recente usando UEFI. Se o BIOS do sistema estiver atualizado, ele continuará a inicializar o kernel do Linux.
Para manter o BMC, as placas de rede e outros componentes de firmware atualizados é onde as coisas ficam um pouco mais confusas. A Cloudflare aproveita um serviço systemd de “pré-voo” para ser executado na inicialização que verifica várias versões de firmware e, em seguida, prossegue para tomar as diferentes etapas para atualizar o firmware do componente quando necessário.
Os interessados em saber mais sobre as aventuras de piscar firmware da Cloudflare em seus milhares de servidores podem ver esta postagem no blog.