保持几台 Linux 机器处于相同的补丁级别

有一种更简单的方法可以做到这一点，那就是使用包锁文件。 yum 版本锁定应该允许您在机器 A 上创建一个参考锁文件，然后您可以手动或使用 Ansible 将其复制到其他 centOS 7 机器。

如果您只关心几个软件包，那么使用 Ansible 管理它们会更容易。如果您确实需要所有软件包在不同的机器上保持完全相同的版本，那么 yum-versionlock 是最佳选择。您仍然可以使用 Ansible 从机器 A 复制锁定文件。

安装 yum-versionlock

[centos@ec2]$ sudo yum -y install yum-versionlock

然后添加所有包*或特定包，例如httpd

[centos@ec2]$ sudo versionlock add *

您应该会在文件中看到这些包，versionlock.list如 中指定的那样versionlock.conf。默认情况下，这些文件位于/etc/yum/pluginconfg.d/

[centos@ec2]$ cat /etc/yum/pluginconf.d/versionlock.conf
[main]
enabled = 1
locklist = /etc/yum/pluginconf.d/versionlock.list
#  Show a hint when any locked packages have updates available
show_hint = 1
#  Uncomment this to lock out "upgrade via. obsoletes" etc. (slower)
# follow_obsoletes = 1

[centos@ec2]$ cat /etc/yum/pluginconf.d/versionlock.list
# Added locks on Mon Jun 22 20:05:02 2020
0:libverto-libevent-0.2.5-4.el7.*
0:nss-sysinit-3.44.0-7.el7_7.*
10:qemu-guest-agent-2.12.0-3.el7.*
1:wpa_supplicant-2.6-12.el7.*
2:shadow-utils-4.6-5.el7.*
0:libgcrypt-1.5.3-14.el7.*
0:rsyslog-8.24.0-41.el7_7.2.*
0:gettext-libs-0.19.8.1-2.el7.*
...

然后复制versionlock.list到另一台机器并运行sudo yum install -y或sudo yum update -y，它将安装或更新所有软件包到锁定文件中的版本。如果你只是运行更新，它应该只会将你已经拥有的更新到锁定文件允许的版本（但我还没有尝试过）。

对于其他操作系统也有类似的工具，例如此处解释 apt，但我不知道有哪个工具可以跨不同的包管理器锁定包。

如果你只关心一些包，你可以使用 Ansible 的封装模块执行此操作，但您可能会发现某些用例必须使用 yum 和其他包管理器特定模块。这可能会变得混乱，但值得。

如果您确实需要一个单一工具，那么您可以使用 Ansible 从您需要支持的不同包管理器中的 jinja2 模板创建包锁定文件，然后将它们复制到您的机器上。这将需要更长的设置时间并且容易出错，但可以让您维护要安装的单个包列表。