Genel NTP sunucuları çalıştırırken dikkat edilmesi gerekenler


21

Son zamanlarda ağımda 3 GPS saati bulunduğundan, teknik olarak biraz geri verebilir ve dünyanın geri kalanına zaman ayırabilirim. Şimdiye kadar bu fikirlerle herhangi bir dezavantajı görmedim, ancak aşağıdaki soruları var;

  1. Bunu sanallaştırabilir miyim? Bunun için donanıma dayanmak için para ve zaman harcamayacağım, bu yüzden sanallaştırma bir zorunluluktur. Sunucular üç katman 1 kaynağa erişebildiğinden, ntpd config'in doğru olması koşuluyla bunun nasıl bir sorun olabileceğini göremiyorum

  2. Genel NTP sunucusu (pool.ntp.org'un bir parçası) normal olarak ne tür trafik görüyor? Ve bunun için ne kadar büyük VM'lere ihtiyacım var? Ntpd toplayabildiğim kadar kaynak yoğun olmamalı, ama önceden bilmeyi tercih ederim.

  3. Bunun hangi güvenlik yönleri var? Sadece ntpd'yi DMZ'deki iki VM'ye kurmayı düşünüyorum, FW üzerinden sadece ntp'ye izin veriyor ve DMZ'den dahili ntp sunucularına sadece ntp çıkışı sağlıyor. NTP havuz sayfasına göre önerilen bazı ntp ayarları da var gibi görünüyor, ancak yeterli mi? https://www.ntppool.org/join/configuration.html

  4. LOCAL saat sürücüsünün yapılandırılmamasını tavsiye ediyorlar, bu LOCAL zaman kaynağı yapılandırmasını config dosyalarından kaldırmakla aynı mı?

  5. Dikkate alınması gereken başka bir şey var mı?

Yanıtlar:


22

İlk olarak, sizin için iyi; Bu yardımsever ve halk ruhlu bir şey. Bununla birlikte, Meinberg GPS özellikli üç adet stratum-1 (dahili) sunucunuzla zamanı senkronize edecek ve herkese açık hale getirebilecek bir veya daha fazla DMZ VM'si oluşturmayı planladığınızı açıkladı:

  1. Düzenleme : Zaman zaman havuz listesinde tartışma için sanallaştırma geliyor ; son bir tanesi Temmuz 2015’te bu e-postadan başlayarak izlenebildi . Asker Bjørn Hansen, proje lideri, konuya mesaj attı ve sanallaştırmaya karşı konuşmadı. Açıkçası birkaç havuz sunucusu operatörü şu anda sanallaştırıyor, bu yüzden kimsenin sizi vuracağını sanmıyorum ve bir posterin belirttiği gibi, eğer sunucularınız güvenilir değilse, havuz izleme sistemi bunları yalnızca havuzu. KVM tercih edilen sanallaştırma teknolojisi gibi görünüyor; Özellikle VMWare kullanan birini bulamadım, bu yüzden sanallaştırmanın ne kadar dürüst olduğu konusunda yorum yapamam. Belki de konuyla ilgili en iyi özeti dedi.

    Havuz sunucularım KVM ile kendi KVM ana bilgisayarlarımda sanallaştırıldı. İzleme, sunucunun oldukça doğru olduğunu ve son 2-3 yıl boyunca kararlı zaman sağladığını söylüyor. Ancak başka bir sağlayıcıdan kiralanmış bir sanal sunucuya bir havuz sunucusu kurmazdım.

  2. Bu, havuz sunucumda (İngiltere, Avrupa ve küresel bölgelerdeki) geçen yıl boyunca gördüğüm, saniye başına düşen ortalama farklı istemci sayısıdır:

    ntp istemci sayısı

    Bu, neredeyse hiç tespit edilebilir bir sistem yükü empoze etmiyor ( ntpdçoğu zaman bir CPU'nun% 1 ila% 2'sini kullanıyor gibi görünüyor). Yıl boyunca belirli bir noktada, yükün saniyede yaklaşık bin müşteriye kısaca ulaştığını not edin (Maks: 849.27); Aşırı yük için izlerim ve alarmların hepsi kapanmaz, bu yüzden kısaca da olsa, bu yük seviyesinin bile sorun yaratmadığını not edebilirim.

  3. Projenin önerdiği yapılandırmalar en iyi yöntemdir ve benim için çalışır. Ayrıca iptablesmüşterileri iki saniyelik bir pakette 10 saniyelik bir pencerede sınırlandırmak için de kullanıyorum ( dışarıda kaç tane kaba müşteri olduğu şaşırtıcı , kendi saatlerini hızlı bir şekilde ayarlamak için patlamaları konusunda özgür olmaları gerektiğini düşünüyorlar).

  4. Veya ile başlayan sunucu adreslerine başvuran tüm satırları kaldırın 127.127.

  5. En iyi uygulama yönergeleri ayrıca üç saatten daha fazla saat önerir, bu nedenle üç stratum-1 sunucunuza ek olarak birkaç başka kamu sunucusu veya özel havuz sunucusu seçmek isteyebilirsiniz.

    Ayrıca, her iki VM'yi de aynı ana bilgisayar donanımına yerleştirmeyi planlıyorsanız, muhtemelen bir tanesini çalıştırmanız gerektiğini, ancak havuza bildirilen bant genişliğini iki katına çıkarmanız gerektiğini (diğer bir deyişle, iki kat daha fazla sorgu kabul edersiniz). ).


1
Set Birçok Linux dağıtımı iburstvarsayılan olarak ...
Michael Hampton

4
iburstSunucu olduğunda geçerlidir olarak o kadar çok umursamıyorum un ulaşılabilir. burstAncak, ayar düpedüz antisosyaldir.
MadHatter,

1
Teşekkürler dostum, tam olarak bilmek istediklerimi! Netleştirmek için, bunların altında VMware kullanıyorum ve dağıtılmış bir küme. Dahili saatlerim Meinberg aletleri ve saf olarak NTP konuşuyorlar. Yük oldukça makul görünüyor, iç saatlerim bunu iki katına çıkardı (ancak cihazlarım istedikleri kadar antisosyal olabilmeleri için yine oradalar).
Stuggi

@Stuggi Havuz operatörlerinin listesini arayarak sanallaştırma sorusunu netleştirmeye çalıştım, umarım bu bir yardımcıdır. Tüm sorularınızla ilgilenildiğini düşünüyorsanız cevabımı kabul etmekten çekinmeyin! Bir havuz sunucusunu çalıştırdığınız için tekrar teşekkürler.
MadHatter, Monica

1
@MadHatter Şerefe dostum, bu biraz temizledi. Daha önce VMware'de birçok zaman sorunuyla uğraşmak zorunda kaldım ve bu sorunlarla nasıl başa çıkacağımı biliyorum, sadece her şeyi ayarladıktan sonra bile VM'nin NTP için zaman işleyişinde hala çok kötü olacağından endişelendim. VMware çıplak bir metal hipervizörüdür (diğer bir deyişle hipervizör OS'dur), KVM (doğru hatırlıyorsam) "normal" bir işletim sisteminin üstünde çalışmaktadır, bu yüzden VMware'de çalıştırılması gayet iyi olmalıdır. Bir deneyeceğim ve havuzdan atılıp atılmadığımı göreceğim! :)
Stuggi

12

İlk olarak, fasiyal olmayan materyal olan bir NTP sorusu için tebrikler. :-) Size bazı şeyler hissetmek için bu yazının altına bazı grafikler ekledim. Söz konusu VM, havuz kontrol panelinde 100 Mbps'ye ayarlanmıştır ve İngiltere, Avrupa ve küresel havuzlardadır.

  1. MadHatter'ın bu durumu iyi karşıladığını düşünüyorum - sanallaştırma iyi olmalı. Söylediğiniz gibi, GPS bağlantılı tabakalarınızdan besleniyorlarsa, oldukça sağlam olmaları gerekir. Tecrübelerime göre, VM'ler frekans bakımından çıplak metalden biraz daha ürkek olma eğilimindedir (aşağıdaki grafiğe bakın), ancak beklediğiniz şey budur - bir saat öykünme katmanıyla (umarım oldukça verimli) ve potansiyel olarak gürültülüdürler komşular. Bu tür bir zıplama görmek istemiyorsanız, bunun yerine eski sunucuları veya kullanılmayan masaüstlerini DMZ stratum 2'ler olarak kullanın.

  2. Bu VM, OpenStack'te (KVM hiper yönetici) sanallaştırılmış Ubuntu 16.04 LTS'yi çalıştıran 1 çekirdekli, 2 GB RAM'dir. Gördüğünüz gibi, RAM biraz üstte.

  3. Önerilen ayarlar - yerel sürücünün yapılandırılmaması dahil - Ubuntu 16.04’te varsayılan ayardır. Eş listesinden başka hisse senedi yapılandırmasına çok yaklaşıyorum.

  4. (yukarıyı görmek)

  5. Muhtemelen düşük tarafta bant genişliğini başlatır ve bir süre boyunca izledikten sonra bant genişliğini arttırırdım. VM'leriniz ağ gecikmesi açısından hepsi birbirine yakın ve stratum 1'lerin yakınındaysa, muhtemelen tüm VM'lerin tüm stratum 1'lerle konuşmasını ve muhtemelen birbirleriyle eşleşmesini ve artık yetim modunu açmasını istiyorum.

İşte grafikler - hepsi yedeklemeler nedeniyle birkaç çivili olan ağ hariç, kabaca 3 hafta boyunca aynı süreyi kapsıyor. Ağ yükseldiğinde normal NTP trafiğini bile göremedim, bu yüzden olağan arka planı göstermek için biraz yakınlaştırdım.

CPU İşlemci Belleği BellekAğ Frekans Sıklık Sistemi OfsetiSistem Ofseti


Ooooh, güzel cevap - benden +1!
MadHatter,

1
Teşekkürler dostum, bu gerçekten çok yardımcı oldu, VM'ler ve coğrafi olarak VM altyapısının 50 mil içinde dağıtılan fiziksel NTP cihazları arasında 3 ms'den az gecikme yaşıyorum, bu yüzden iyi olacağımı düşünüyorum!
Stuggi

3

NTP ile dikkate alınması gereken bazı şeyler

Burada zaten çok iyi cevaplar var. Kendi tecrübelerime dayanarak bütünlük uğruna birkaç düşünce ekliyorum.

NTP günlüğünü ve grafik saatinin çarpıklıklarını ve çıplak metale karşı VM'de düzeltmeler yapılmasını öneririm. Donanım ve konfigürasyon uygulamalar arasında değişiklik gösterdiğinden, bunun genelleştirilebileceğine inanmıyorum. Bu numaradan kendi numaralarınızı almak en iyisi olabilir.

Her zaman, sürekli sabit CPU zamanına sahip ve gıdıksız çekirdek olmayan veya güç tasarrufu modları etkinleştirilmiş olan sunucuların veya ağ aygıtlarının sistem rollerini seçmelerini önerdim. Özellikle, çiftlikte sadece stratum 2 olsalar bile, cpuspeed veya speed govenors hatlarını veya NTP sunucularında gelişmiş güç tasarrufunu önleyin. Asla C-State 1'den daha derine inmeyerek bir miktar istikrar elde edilebilir, ancak güç tüketiminiz artacaktır.

Ayrıca, kişilerin ağlarının kenarından 40ms'den daha az uzakta bulunan bir avuç dolusu stratum 1 sunucusunu seçtiklerinden emin olmaya çalışıyorum, ardından onları uç NTP sunucularınıza bölüştürüyorum ve ağınızdaki aynı SNAT'ın arkasındaki 2 sunucunun konuşmamasını sağlıyorum Aynı stratum 1 sunucusuna. Aynı hatlar boyunca burstaynı SNAT'ın arkasında, aynı yukarı akış sunucularını kullanan birden fazla sunucunun olması mümkün değildir, öyle görünmüyor ki, siz olmasanız bile, bu işlemi başlattınız bile.

kodPaketi daima yukarı akış sunucusundan onurlandırmalı ve zaman kayıplarını ve yukarı akış sunucularının erişilebilirliğini kontrol eden izleme araçlarına sahip olmalısınız .

Sen edebilir ile eş için veri merkezleri birkaç kendi doğru Saat kaynaklarını içermesine dikkat edin veya GPS SA askeri olarak etkindir olası durumda geri düşmek istiyorum. Özellikle bunun için uygun maliyetli cihazlar vardır. Bir "kafes" ortamında olsanız ve kendi veri merkezinize sahip olmasanız bile, bazı barındırma tesisleri bunu karşılayabilir.


Stuggi, söz konusu şebekenin 3 GPS saati olduğunu belirtti.
Paul Gear,

Evet. Özellikle GPS'in devre dışı kalması muhtemel olmayan bir durumda kaymayacak yerel sezyum saatleri kullanmaktan bahsediyorum. Bu sadece büyük çaplı bir askeri olay sırasında gerçekleşmeli, ama asla bilemezsiniz.
Aaron,

2

Http://www.vmware.com/pdf/vmware_timekeeping.pdf adresindeki vmware zaman tutma belgesine bakın.

Bir VM'de NTP arka plan programı çalıştırmak, özellikle de güvenilir zamana ihtiyacınız varsa, iyi bir fikir değildir.


3
Kesin bir cevap olmasa da, bu, "TL; DR: evet, sanallaştırma ile ilgili ele alınması gereken meseleler" şeklinde geçerli bir endişeye yol açıyor.
rackandboneman

Başa çıkılması gereken sorunların farkındayım, mümkün olup olmadığını düşünüyorum.
Stuggi

1
Re: "Bir VM'de NTP arka plan programı çalıştırmak, özellikle de güvenilir zamana ihtiyacınız varsa, muhtemelen iyi bir fikir değildir." - Modern hiper yönetici için bunun doğru olduğunu sanmıyorum. Bağlandığınız belge, özellikle bir VM'de NTP kullanmanın bir seçenek olduğunu söylüyor. Cevabımın içerdiği grafikler bir VM'nin KVM'de iyi vakit geçirebileceğini ve daha yeni ESXi sistemlerinin de aynısını yapmasını beklediğimi gösteriyor.
Paul Gear,

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.