Articles

Az NTP konfigurálása az NTP Pool projektben való használatra a CentOS rendszeren 7

admin

Bevezetés

a pontos időmegtartás kritikus fontosságú szinte minden szolgáltatás vagy szoftver számára. Az e-mailek, a naplózók, az eseményrendszerek és az ütemezők, a felhasználói hitelesítési mechanizmusok és az elosztott platformokon futó szolgáltatások mindegyike pontos időbélyegeket igényel az események időrendi sorrendben történő rögzítéséhez. Ezek a szolgáltatások A Network Time Protocol vagy NTP segítségével szinkronizálják a rendszerórát egy megbízható külső forrással. Ez a forrás lehet atomóra, GPS-vevő vagy más időkiszolgáló, amely már használja az NTP-t.

itt jön létre az NTP Pool Project projekt. Ez egy hatalmas világméretű időszerver-klaszter, amely világszerte több tízmillió ügyfél számára könnyű hozzáférést biztosít az ismert “jó időhöz”. Ez az alapértelmezett időkiszolgáló az Ubuntu és a legtöbb más nagyobb Linux disztribúció, valamint számos hálózati eszköz és szoftveralkalmazás számára.

ebben az útmutatóban beállítja az NTP-t a kiszolgálón, és úgy konfigurálja, hogy az az NTP-Készletprojekt része legyen, így pontos időt biztosít az NTP-Készletprojekt többi felhasználójának. A tartalék CPU-ciklusok és a fel nem használt sávszélesség biztosítása tökéletes módja annak, hogy valamit visszaadjunk a közösségnek.

a szükséges sávszélesség viszonylag alacsony, és a megadott mennyiségtől és a kiszolgáló tartózkodási helyétől függően módosítható. Minden ügyfél csak néhány UDP csomagot küld 20 percenként, így a legtöbb szerver másodpercenként csak körülbelül egy tucat NTP csomagot kap, napi párszor tüskékkel, másodpercenként akár száz csomaggal. Ez 10-15kb/sec sávszélesség-felhasználást jelent, 50-120kb/sec tüskékkel.

három alapvető követelménynek kell megfelelnie, mielőtt csatlakozna az NTP Pool projekthez:

  1. a szervernek statikus IP-címmel kell rendelkeznie.
  2. a szervernek állandó és stabil internetkapcsolattal kell rendelkeznie.
  3. az IP-cím többnyire nem változik, vagy csak ritkán változik (évente egyszer vagy kevesebb).

a legtöbb felhőalapú szerver esetében az első két követelmény általában automatikusan teljesül. A harmadik követelmény hangsúlyozza, hogy az NTP Pool projekthez való csatlakozás hosszú távú elkötelezettséget jelent. Természetesen, ha a körülmények megváltoznak, rendben van, ha egy szervert kiveszünk a medencéből, de hosszú időbe telik (többnyire hetekbe, de néha hónapokba vagy akár évekbe), mire a forgalom teljesen eltűnik.

előfeltételek

az oktatóanyag befejezéséhez a következőkre lesz szüksége:

  • egy Centos 7 szerver IPv6 hálózattal konfigurálva. Ha be kell állítania az IPv6 hálózatot egy létező Cseppecskén, kövesse ezt az oktatóanyagot.
  • egy sudo nem root felhasználó és egy tűzfal, amelyet úgy állíthat be, hogy követi a kezdeti Kiszolgálóbeállítást a CentOS 7 oktatóanyaggal és az “alapszintű tűzfal konfigurálása” részt az új CentOS 7 kiszolgálókhoz javasolt további lépésekben.

1.lépés — az NTP telepítése

az NTP csomag alapértelmezés szerint nincs telepítve, ezért a csomagkezelőt használja a telepítéshez. Először frissítse a csomagokat:

  • sudo yum update

Ezután telepítse az NTP-t:

  • sudo yum install ntp

a telepítés befejezése után indítsa el a szolgáltatást, és állítsa be úgy, hogy a kiszolgáló minden indításakor automatikusan elinduljon:

     
  • sudo systemctl start ntpd
    •  
  • sudo systemctl enable ntpd
    •

ha az előfeltételekben megadott módon konfigurálta a tűzfalat, engedélyeznie kell az UDP-forgalmat az NTP-szolgáltatás számára az NTP-tárral való kommunikációhoz:

     
  • sudo firewall-cmd --permanent --add-service=ntp
    •  
  • sudo firewall-cmd --reload
    •

a FirewallD-ról bővebben lásd: tűzfal beállítása a FirewallD használatával a CentOS 7-en.

az NTP telepítve van, de úgy van beállítva, hogy az alapértelmezett NTP-készletidőkiszolgálókat használja. Lehetővé teszi, hogy válasszon néhány konkrét idő szerverek helyett.

2. lépés-megfelelő Upstream kiszolgáló kiválasztása

az NTP-Készletprojekt arra kéri a készlethez csatlakozni kívánó operátorokat, hogy az alapértelmezett pool.ntp.org szerverek használata helyett válasszanak jó hálózati helyi időszervereket. Ez biztosítja, hogy az NTP Pool projekt megbízható, gyors és egészséges maradjon. Az időforrás kiválasztásakor stabil hálózati kapcsolatot szeretne, csomagvesztés nélkül, és a lehető legkevesebb ugrást a szerverek között.

a többszintű és hierarchikus NTP protokoll az érintett feleket elsődleges szerverekre, másodlagos szerverekre és kliensekre osztja. Az elsődleges szervereket Stratum 1-nek hívják, és közvetlenül kapcsolódnak az idő forrásához, amelyet Stratum 0-nak hívnak. Ez a forrás lehet atomóra, GPS-vevő vagy rádiónavigációs rendszer. A lánc másodlagos szervereit Stratum 2, Stratum 3 stb.

minden szerver egyben kliens is. A Stratum 2 kliens időt kap egy upstream Stratum 1 kiszolgálótól, és időt biztosít a downstream Stratum 3 kiszolgálóknak vagy más ügyfeleknek. Az NTP-Készletprojekt-tagok megfelelő működéséhez az NTP-démonnak legalább három konfigurált kiszolgálóra van szüksége. A projekt legalább négy, de legfeljebb hét forrást javasol.

az NTP Pool projekt a nyilvános Stratum 1 és Startum 2 időszerverek listáját tartalmazza. A listák kijelölik a nyilvános hozzáférésre rendelkezésre álló NTP-időszervereket a megadott korlátozások szerint. Három típust találsz:

  • OpenAccess: ez az időszerver nyitva áll minden olyan ügyfél számára, amely megfelel az NTP-készlet használati ajánlásainak.
  • RestrictedAccess: ez az időkiszolgáló rendelkezik bizonyos hozzáférési korlátozásokkal az NTP-készlet használati ajánlásai mellett.
  • Zárotthozzáférés: Ez az időszerver zárva van, vagy előzetes egyeztetést igényel.

figyelem: ne használjon olyan kiszolgálókat, amelyek nem szerepelnek OpenAccess-ként, hacsak nem kapott erre engedélyt.

látogasson el a stratum 1 Időszerverek listájára. A következő listát fogja látni:

Stratum 1 szerverek

rendezze a listát az ISO-kód oszlop szerint, és keressen egy vagy két kiszolgálót, amelyek földrajzilag közel vannak a kiszolgáló adatközpontjához. Amikor a kiszolgáló hozzáférési házirend oszlopa OpenAccess-t állít fel, probléma nélkül használhatja. Ha azt mondja: “RestrictedAccess”, kattintson a bejegyzés megnyitásához, és olvassa el az AccessDetails mezőben található utasításokat. Gyakran előfordul, hogy a NotificationMessage beállítása Igen, ami azt jelenti, hogy informális e-mailt kell készítenie a ServerContact-ban megadott címre, tájékoztatva a szerver üzemeltetőjét arról, hogy szeretné-e ezt az időkiszolgálót időforrásként használni az NTP Pool projekt tagjának.

miután azonosította a használni kívánt kiszolgálókat, kattintson az egyes kiszolgálók hivatkozására az ISO oszlopban, és másolja a gazdagép nevét vagy IP-címét. Ezeket a címeket a 3.lépésben fogja használni.

Ezután válasszon ki három vagy négy kiszolgálót a Stratum 2 listából, ugyanazt a folyamatot követve.

miután kiválasztotta az időkiszolgálókat, itt az ideje, hogy konfigurálja az NTP-klienst azok használatára.

3.lépés — az NTP konfigurálása a készlethez való csatlakozáshoz

ahhoz, hogy a kiszolgálót az NTP-készlethez használja, és konfigurálja az új időkiszolgálókat, módosítania kell az NTP-démon konfigurációját. Ehhez szerkessze a /etc/ntp.conf fájlt: 

  • sudo vi /etc/ntp.conf

először ellenőrizze, hogy a driftfile be van-e állítva. A driftfile tárolja a frekvenciaeltolást a névleges frekvencián futó rendszeróra és a megfelelő idővel szinkronban maradáshoz szükséges frekvencia között. Segít a stabil és pontos idő elérésében. Ezt az alapértelmezett telepítés konfigurációs fájljának tetején kell megtalálnia:

/etc/ntp.conf
# For more information about this file, see the man pages# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).driftfile /var/lib/ntp/drift...

Ezután távolítsa el az alapértelmezett időforrás bejegyzéseket a konfigurációból. Minden olyan vonalat keres, amely server 0.centos.pool.ntp.org iburst mintával rendelkezik. Ha alapértelmezett konfigurációt használ, távolítsa el a kiemelt sorokat az alábbi példa szerint:

/etc/ntp.conf
...# Use public servers from the pool.ntp.org project.# Please consider joining the pool (http://www.pool.ntp.org/join.html).server 0.centos.pool.ntp.org iburstserver 1.centos.pool.ntp.org iburstserver 2.centos.pool.ntp.org iburstserver 3.centos.pool.ntp.org iburst

cserélje ki az eltávolított sorokat az előző lépésben kiválasztott kézzel kiválasztott kiszolgálókra.

/etc/ntp.conf
...server ntp_server_hostname_1 iburstserver ntp_server_hostname_2 iburstserver ntp_server_hostname_3 iburstserver ntp_server_hostname_4 iburstserver ntp_server_hostname_5 iburst...

minden szerverhez a iburst opciót használjuk, az NTP-készlet ajánlásai szerint. Ilyen módon, ha a szerver nem érhető el, ez nyolc csomagot küld a szokásos egy csomag helyett. A burst opció használata az NTP Pool projektben visszaélésnek minősül, mivel ezt a nyolc csomagot minden lekérdezési intervallumban elküldi, míg a iburst a nyolc csomagot csak az első alkalommal küldi el.

Ezután ellenőrizze, hogy az alapértelmezett konfiguráció nem engedélyezi-e a felügyeleti lekérdezéseket. Ha ezt nem teszi meg, a kiszolgáló NTP reflexiós támadásokban használható, vagy sérülékeny lehet a ntpq és ntpdc lekérdezésekkel szemben, amelyek megpróbálják módosítani a kiszolgáló állapotát. Ellenőrizze, hogy a noquery opció hozzáadódik-e az alapértelmezett restrict sorokhoz. Ügyeljen arra is, hogy hozzáadja a kod és a limited opciókat, mivel ezek túlságosan korlátozzák az ügyfelek kérését és a sebességkorlátozást.

/etc/ntp.conf
...# Permit time synchronization with our time source, but do not# permit the source to query or modify the service on this system.restrict default nomodify notrap nopeer noquery kod limited# Permit all access over the loopback interface. This could# be tightened as well, but to do so would effect some of# the administrative functions.restrict 127.0.0.1restrict ::1

további információkat a többi lehetőségről a hivatalos dokumentációban talál.

az NTP démon konfigurációs fájljának most a következőképpen kell kinéznie, bár a fájlnak további megjegyzései lehetnek, amelyeket biztonságosan figyelmen kívül hagyhat:

/etc/ntp.conf
driftfile /var/lib/ntp/ntp.driftrestrict default nomodify notrap nopeer noquery kod limitedrestrict 127.0.0.1restrict ::1server ntp_server_hostname_1 iburstserver ntp_server_hostname_2 iburstserver ntp_server_hostname_3 iburstserver ntp_server_hostname_4 iburstserver ntp_server_hostname_5 iburst

mentse el a fájlt, majd lépjen ki a szerkesztőből.

most indítsa újra az NTP szolgáltatást, és hagyja, hogy az időszerver szinkronizálja az óráját az upstream szerverekkel.

  • sudo systemctl restart ntpd

néhány perc múlva ellenőrizze az időszerver állapotát a ntpq paranccsal:

  • ntpq -p

a kimenetnek ehhez hasonlónak kell lennie:

Output
 remote refid st t when poll reach delay offset jitter============================================================================== mizbeaver.udel. .INIT. 16 u - 64 0 0.000 0.000 0.000 montpelier.ilan .GPS. 1 u 25 64 7 55.190 2.121 130.492+nist1-lnk.binar .ACTS. 1 u 28 64 7 52.728 23.860 3.247*ntp.okstate.edu .GPS. 1 u 31 64 7 19.708 -8.344 6.853+ntp.colby.edu .GPS. 1 u 34 64 7 51.518 -5.914 6.669

a távoli oszlop megmondja az NTP-démon által használt szerverek hosztnevét, a refid oszlop pedig a szerverek által használt forrást. Tehát a Stratum 1 szerverek esetében a refid mezőnek GPS, PPS, ACTS vagy PTB-t kell mutatnia, a Stratum 2 és magasabb szerverek pedig az upstream szerver IP-címét mutatják. Az st oszlop a réteget mutatja, és a késleltetés, az eltolás és a jitter az időforrás minőségéről szól. Az alacsonyabb értékek jobbak erre a három mezőre.

az időszerver most már képes kiszolgálni az időt a nyilvánosság számára. Ezt ellenőrizheti a ntpdate hívásával egy másik gazdagépről:

  • ntpdate -q your_server_ip

a kimenetnek ehhez hasonlónak kell lennie, és azt mondja, hogy beállította az időszervert és az eltolást:

Output
server your_server_ip, stratum 2, offset 0.001172, delay 0.16428 2 Mar 23:06:44 ntpdate: adjust time server your_server_ip offset 0.001172 sec

most már készen áll arra, hogy regisztrálja az NTP-kiszolgálót az NTP Pool projektben, hogy mások is használhassák.

4. lépés-a kiszolgáló hozzáadása az NTP-készlethez

a kiszolgáló hozzáadásához, hogy mások is használhassák, látogasson el manage.ntppool.org és regisztrálj egy fiókot. E-mailt fog kapni az NTP Pool-tól [email protected] kéri, hogy ellenőrizze fiókját. Erősítse meg fiókját az e-mailben található utasítások követésével, majd jelentkezzen be manage.ntppool.org.

miután bejelentkezett, megjelenik az egyszerű felület a szerverek hozzáadásához:

szerver hozzáadása

írja be a szerver IP-címét, majd kattintson a Küldés gombra.

a következő képernyő kéri, hogy ellenőrizze, hogy azonosította-e a szerver régióját. Ha a kiszolgálót egy másik régióban jeleníti meg, mint amire számít, használja a megjegyzés mezőt, hogy tudassa velük.

az ellenőrző képernyő

ha boldog vagy, erősítse meg a bejegyzést az Igen gombra kattintva, ez az én szerverem, add hozzá!

a szerver mostantól az NTP Pool projekt része. Látogasson el a http://www.pool.ntp.org/scores/your_server_ip oldalra, ahol megtekintheti az NTP-készlet felügyeleti rendszere által a szerverről gyűjtött információkat. Óránként néhányszor ellenőrzi a szervert, és megjeleníti az offset adatokat, a rendszer pontszámával együtt. Mindaddig, amíg a szerver tartja a jó idő, és elérhető, a pontszám emelkedik, amíg el nem éri a 20 pontot. Csak a 10-nél magasabb pontszámmal rendelkező kiszolgálókat használják a medencében.

kapcsolódási problémák hibaelhárítása

ha problémái vannak a szerver szinkronizálásával, akkor lehet, hogy egy csomag tűzfal van a helyén, amely a kimenő csomagokat a 123 portra dobja. Vessen egy pillantást arra, hogyan állíthat be tűzfalat a FirewallD használatával a CentOS 7-en, hogy megtudja, hogyan ellenőrizheti a tűzfal állapotát.

ha az NTP-Készletprojekt felügyeleti állomása nem éri el az NTP-kiszolgálót, és a szerver pontszáma csökken, vagy nem tudja a kiszolgálót más óra szinkronizálására használni, akkor lehet, hogy van egy csomag tűzfal a helyén, amely csökkenti a bejövő forgalmat a 123 porton. Ellenőrizze a tűzfal állapotát.

ha biztos benne, hogy nincs tűzfal a helyén, vagy megnyitotta a 123 portot mind a bejövő, mind a kimenő forgalom számára, akkor a kiszolgáló szolgáltatója vagy egy másik tranzitszolgáltató útközben eldobhatja a csomagokat. Ha nincs meg a tudás, hogy megoldja ezeket a problémákat a saját, a legjobb, hogy forduljon a közösséghez, és segítséget kérni. Az NTP Pool projektek fóruma jó kiindulópont. Csatlakozhat a levelezőlistához, vagy küldhet emaill-t az NTP Pool projekt üzemeltetőjének. Csak győződjön meg róla, hogy meg tudja mutatni az összes lépést, amelyet már megpróbált megoldani a problémát, mielőtt segítséget kérne.

következtetés

ebben az oktatóanyagban sikeresen beállította saját időkiszolgálóját, és az NTP Pool projekt tagjává tette, időt szolgálva a közösség számára. Tartsa a kapcsolatot az időmérő közösséggel. csatlakozzon az NTP Pool projektek fórumához vagy a levelezőlistához. Ügyeljen arra, hogy figyelemmel kíséri a szerver pontszámát, és végezze el a szükséges módosításokat.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

Previous post Arnold Palmer korábbi meghívásos Nyertesek
Next post Nemzeti munkához való jog Alapítvány munkához való jog Államok: Florida