那些遇到过的问题

运行公共 NTP 服务器时要考虑的事项

Stu*_*ggi 22 ntp ntpd

所以,最近我突然意识到,因为我的网络中有 3 个 GPS 时钟,从技术上讲,我可以回馈一点,为世界其他地方服务。到目前为止,我还没有看到这个想法的任何缺点,但我有以下问题;

  1. 我可以虚拟化这个吗?我不会为此花费金钱和时间来支持硬件,因此虚拟化是必须的。由于服务器可以访问三个第 1 层源,如果 ntpd 配置正确,我看不出这会是什么问题

  2. 公共 NTP 服务器(pool.ntp.org 的一部分)通常会看到什么样的流量?为此我需要多大的虚拟机?据我所知,ntpd 不应该占用太多资源,但我宁愿事先知道。

  3. 这有哪些安全方面的问题?我想只在 DMZ 中的两个 VM 上安装 ntpd,只允许 ntp 通过 FW 进入,并且只允许 ntp 从 DMZ 到内部 ntp 服务器。根据NTP池页面似乎也有一些推荐的ntp设置,但它们是否足够?https://www.ntppool.org/join/configuration.html

  4. 他们建议不要配置 LOCAL 时钟驱动程序,这是否等同于从配置文件中删除 LOCAL 时间源配置?

  5. 还有什么要考虑的吗?

Mad*_*ter 22

首先,对你有好处;这是一件有益且公益的事情。也就是说,鉴于您已澄清您计划创建一个或多个 DMZ 虚拟机,这些虚拟机将同步到您的三台启用了 Meinberg GPS 的第 1 层(内部)服务器的时间并使其公开可用:

  1. 编辑:不时在池列表上讨论虚拟化;最近的一次是在 2015 年 7 月,可以从这封电子邮件开始关注。问 Bjørn Hansen,项目负责人,确实在帖子中发帖,并没有公开反对虚拟化。显然,许多泳池服务器运营商现在都在进行虚拟化,所以我认为没有人会为此向您开枪,而且正如一张海报所明确指出的,如果您的服务器不可靠,泳池监控系统只会将它们从水池。KVM 似乎是首选的虚拟化技术;我没有找到任何人专门使用 VMWare,因此无法评论虚拟化的“诚实”程度。 也许关于这个主题的最好的总结

    我的池服务器在我自己的 KVM 主机上使用 KVM 进行了虚拟化。监控说,服务器非常准确,并在过去 2-3 年提供稳定的时间。但我不会在从其他提供商租用的虚拟服务器上设置池服务器。

  2. 这是过去一年我在我的池服务器(位于英国、欧洲和全球区域)上每秒看到的不同客户端的日平均数:

    ntp 客户端数

    这几乎不会造成可检测的系统负载(ntpd大多数情况下似乎使用了 1% 到 2% 的 CPU)。请注意,在一年中的某个时间点,负载曾短暂达到每秒近 1000 个客户端的峰值(最大值:849.27);我确实监控过负载,并且警报并没有全部响起,所以我只能注意到即使是这种负载水平也没有引起问题,尽管很短暂。

  3. 项目推荐的配置是最佳实践,对我有用。我还使用iptables在滚动的 10 秒窗口中将客户端的速率限制为两个入站数据包(令人惊讶的是那里有多少粗鲁的客户端,他们认为他们应该可以自由地突发以快速设置自己的时钟)。

  4. 或者删除所有引用以 开头的服务器地址的行127.127

  5. 最佳实践指南还建议使用三个以上的时钟,因此除了您的三个第一层服务器之外,您可能还想选择几个其他公共服务器或特定的池服务器。

    我还要注意的是,如果您打算将这两个 VM 放在同一主机硬件上,您可能应该只运行一个,但将声明给池的带宽增加一倍(即,接受两倍于其他情况下的查询)。

  • `iburst` 我并不介意,因为它只适用于服务器 *un*reachable 的情况。然而,设置“burst”是彻头彻尾的反社会行为。 (4认同)

Pau*_*ear 12

首先,祝贺 NTP 问题是非面部材料。:-) 我在这篇文章的底部包含了一些图表,让您对事物有一个了解。有问题的 VM 在池控制面板中设置为 100 Mbps,并且位于英国、欧洲和全球池中。

  1. 我认为 MadHatter 很好地涵盖了这一点 - 虚拟化应该没问题。就像你说的,如果他们从你的 GPS 连接的第 1 层馈送,他们应该相当可靠。根据我的经验,虚拟机在频率方面往往比裸机更不稳定(见下图),但这正是您所期望的 - 他们正在处理时钟仿真层(希望非常有效)并且可能有噪音邻居。如果您不想看到那种跳动,可以使用较旧的服务器或未使用的台式机作为 DMZ 层 2。

  2. 此 VM 为 1 核、2 GB RAM,运行 Ubuntu 16.04 LTS,在 OpenStack(KVM 管理程序)中虚拟化。正如您所看到的,RAM 有点超出了顶部。

  3. 推荐的设置 - 包括未配置本地驱动程序 - 是 Ubuntu 16.04 中的默认设置。除了对等列表之外,我的运行非常接近库存配置。

  4. (看上面)

  5. 我可能会在低端开始带宽,并在您监视一段时间后增加带宽。如果您的虚拟机彼此靠近并且在网络延迟方面靠近您的第 1 层,我可能会让所有虚拟机与所有第 1 层通信,并且可能相互对等并打开孤立模式。

这是图表 - 它们都涵盖了大约 3 周的同一时期,除了网络一个,它由于备份而出现了几次峰值。当网络高峰出现时,我什至看不到正常的 NTP 流量,所以我放大了一点以显示通常的背景。

中央处理器 中央处理器 记忆 记忆 网络 网络 频率 频率 系统偏移 系统偏移

归档时间:

查看次数:

1718 次

最近记录:

8 年,7 月 前
相关归档
我在哪里可以查找 ntpd 日志? 18
ntpdate 和 ntpd 无法在 Linux 上同步时钟 13
本地或公共 NTP 服务器? 12
使用 GPS 时钟的 NTP 时间同步质量似乎很差 7
Active Directory 时间同步 - 时间服务事件 ID 50 7
异构环境中的时间同步 6
新的第 1 层 NTP 服务器的用处 4
NTP 不更新 CentOS 中的服务器时间 3
openntpd多久更新一次时间? 2
尽管在启动前进行了 NTP 同步,但系统时间仍会关闭数百毫秒 0
难疑归档
您可以在 URL 参数中为 HTTP 基本身份验证传递用户/密码吗? 207
为什么 MySQL 命令行工具会忽略 --port 参数? 112
如何检查 RSA 公钥/私钥对是否匹配 111
如何在Linux中复制文件保留目录路径? 107
为什么我要防火墙服务器? 107
我如何确定我的网络上是否存在恶意 DHCP 服务器? 100
每次执行proxy_pass时如何强制nginx解析DNS(动态主机名)? 81
如何使用 iptables PREPEND 规则而不是 APPEND? 67
GNU less:如何在不使用 less -I 选项的情况下忽略区分大小写进行搜索? 61
如何将 pcap 文件拆分为一组较小的文件 52