Articles

Hoe NTP configureren voor gebruik in het NTP Pool Project op CentOS 7

admin

Inleiding

nauwkeurige tijdregistratie is cruciaal voor bijna elke service of software. E-mails, loggers, gebeurtenissystemen en planners, gebruikersauthenticatiemechanismen en diensten die op gedistribueerde platforms worden uitgevoerd, hebben allemaal nauwkeurige tijdstempels nodig om gebeurtenissen in chronologische volgorde op te nemen. Deze services gebruiken het Network Time Protocol, of NTP, om de systeemklok te synchroniseren met een vertrouwde externe bron. Deze bron kan een atoomklok, een GPS-ontvanger of een andere tijdserver zijn die al NTP gebruikt.

Dit is waar het NTP Pool Project project in het spel komt. Het is een enorme wereldwijde cluster van tijdservers die gemakkelijk toegang biedt tot bekende “goede tijd” voor tientallen miljoenen klanten over de hele wereld. Het is de standaard tijdserver voor Ubuntu en de meeste andere belangrijke Linux-distributies, evenals vele netwerkapplicaties en softwaretoepassingen.

in deze gids stelt u NTP op uw server in en configureert u het als onderdeel van het NTP Pool Project, zodat het nauwkeurige tijd geeft aan andere gebruikers van het NTP Pool Project. Het verstrekken van uw reserve CPU cycli en ongebruikte bandbreedte is een perfecte manier om iets terug te geven aan de gemeenschap.

de vereiste bandbreedte is relatief laag en kan worden aangepast afhankelijk van de hoeveelheid die u kunt leveren en waar uw server zich bevindt. Elke client zal slechts een paar UDP pakketten per 20 minuten versturen, dus de meeste servers ontvangen slechts ongeveer een dozijn NTP pakketten per seconde, met spikes een paar keer per dag van maximaal honderd pakketten per seconde. Dit vertaalt zich in bandbreedte gebruik van 10-15Kb / sec met spikes van 50-120Kb / sec.

er zijn drie basisvereisten waaraan u moet voldoen voordat u deelneemt aan het NTP-Poolproject:

  1. uw server moet een statisch IP-adres hebben.
  2. uw server moet een permanente en stabiele internetverbinding hebben.
  3. uw IP-adres verandert meestal niet, of verandert slechts zelden (een keer per jaar of minder).

voor de meeste cloudgebaseerde servers wordt meestal automatisch voldaan aan de eerste twee vereisten. De derde vereiste benadrukt dat deelname aan het NTP-Poolproject een verbintenis op lange termijn vormt. Natuurlijk, als uw omstandigheden veranderen, is het prima om een server uit de pool te nemen, maar het zal een lange tijd duren (meestal weken, maar soms maanden of zelfs jaren) voordat het verkeer volledig verdwijnt.

vereisten

om deze tutorial te voltooien, hebt u:

  • een Centos 7 server met IPv6 netwerk geconfigureerd. Als u IPv6-netwerken moet configureren op een exising druppeltje, kunt u deze tutorial volgen.
  • een sudo niet-root gebruiker en een firewall, die u kunt instellen door de initiële Server Setup met CentOS 7 tutorial en de “Configuring a Basic Firewall” sectie te volgen in de extra aanbevolen stappen voor nieuwe CentOS 7 Servers tutorial.

Stap 1 – NTP installeren

het NTP-pakket is standaard niet geïnstalleerd, dus u gebruikt de pakketbeheerder om het te installeren. Update eerst uw pakketten:

  • sudo yum update

installeer vervolgens NTP:

  • sudo yum install ntp

zodra de installatie is voltooid, start u de service en configureert u deze zodat deze automatisch wordt gestart elke keer dat de server opstart:

     
  • sudo systemctl start ntpd
    •  
  • sudo systemctl enable ntpd
    •

Als u de firewall hebt geconfigureerd zoals gespecificeerd in de vereisten, moet u UDP-verkeer toestaan voor de NTP-service om te kunnen communiceren met de NTP-pool:

     
  • sudo firewall-cmd --permanent --add-service=ntp
    •  
  • sudo firewall-cmd --reload
    •

voor meer informatie over FirewallD, refereer je naar het opzetten van een Firewall met FirewallD op CentOS 7.

NTP is nu geïnstalleerd, maar het is geconfigureerd om de standaard NTP pool time servers te gebruiken. Laten we in plaats daarvan een aantal specifieke tijdservers kiezen.

Stap 2-het kiezen van een geschikte Upstream Server

het NTP Pool project vraagt operators die willen toetreden tot de pool om goede netwerk-lokale tijdservers te kiezen in plaats van de standaard pool.ntp.org servers. Dit zorgt ervoor dat het NTP Pool Project betrouwbaar, snel en gezond blijft. Wanneer u uw tijdbron kiest, wilt u een stabiele netwerkverbinding zonder pakketverlies en zo weinig mogelijk hops tussen de servers.

het meerlagige en hiërarchische NTP-protocol scheidt de betrokken partijen in primaire servers, secundaire servers en clients. De primaire servers worden Stratum 1 genoemd en zijn direct verbonden met de bron van de tijd, die Stratum 0 wordt genoemd. Deze bron kan een atoomklok, een GPS-ontvanger of een radionavigatiesysteem zijn. Secundaire servers in de keten worden Stratum 2, Stratum 3 enzovoort genoemd.

elke server is ook een client. Een Stratum 2 client ontvangt tijd van een upstream Stratum 1 server, en geeft tijd aan downstream Stratum 3 servers of andere clients. Om NTP Pool Project leden correct te laten werken, heeft de NTP daemon tenminste drie servers geconfigureerd nodig. Het project beveelt een minimum van vier, en niet meer dan zeven bronnen.

het NTP-Poolproject biedt een lijst van publieke Stratum 1-en Startum 2-tijdservers. De lijsten wijzen de NTP-tijdservers aan die beschikbaar zijn voor publieke toegang onder bepaalde beperkingen. Je vindt er drie types:

  • OpenAccess: deze tijdserver staat open voor elke client die voldoet aan de aanbevelingen voor het gebruik van de NTP-Pool.
  • RestrictedAccess: deze tijdserver heeft een aantal toegangsbeperkingen naast de aanbevelingen voor het gebruik van de NTP-Pool.
  • gesloten toegang: Deze tijdserver is gesloten of vereist voorafgaande regeling.

waarschuwing: gebruik geen servers die niet staan vermeld als OpenAccess tenzij u toestemming hebt gekregen om dit te doen.

bezoek de lijst Stratum 1 Time Servers. Je ziet een lijst als de volgende:

Stratum 1 servers

Sorteer de lijst op de kolom ISO-code en zoek een of twee servers die geografisch dicht bij het datacenter van uw server liggen. Wanneer in de kolom Toegangsbeleid van de server OpenAccess staat, kunt u deze zonder problemen gebruiken. Als er “RestrictedAccess” staat, klik dan om het item te openen en lees de instructies in het veld AccessDetails. Vaak zul je merken dat NotificationMessage is ingesteld op Ja, wat betekent dat je een informele e-mail moet maken die is gericht naar het adres dat is opgegeven in ServerContact, waarbij je de serveroperator informeert over je wens om deze time server te gebruiken als tijdbron voor je NTP Pool projectlid.

zodra u de servers hebt geïdentificeerd die u wilt gebruiken, klikt u op de link voor elke server in de ISO-kolom en kopieert u de hostnaam of het IP-adres. U zult deze adressen gebruiken in Stap 3.

selecteer vervolgens drie of vier servers uit de lijst Stratum 2, volgens hetzelfde proces.

zodra u uw tijdservers hebt geselecteerd, is het tijd om uw NTP-client in te stellen om ze te gebruiken.

Stap 3-NTP Instellen om deel te nemen aan de Pool

om uw server met de NTP-pool te gebruiken en uw nieuwe tijdservers te configureren, moet u enkele wijzigingen aanbrengen in de configuratie van uw NTP-daemon. Om dit te doen, bewerk je het /etc/ntp.conf bestand: 

  • sudo vi /etc/ntp.conf

zorg er eerst voor dat een driftfile is geconfigureerd. Een driftfile slaat de frequentieverschuiving op tussen de systeemklok die draait op zijn nominale frequentie en de frequentie die nodig is om synchroon te blijven met de juiste tijd. Het helpt om een stabiele en nauwkeurige tijd te bereiken. Je zou dit bovenaan je instellingenbestand moeten vinden op een standaard installatie:

/etc / ntp.conf

# For more information about this file, see the man pages# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).driftfile /var/lib/ntp/drift...

verwijder vervolgens de standaard tijdbroningangen uit de configuratie. Je zoekt naar alle lijnen met het patroon server 0.centos.pool.ntp.org iburst. Als u een standaardconfiguratie gebruikt, verwijdert u de gemarkeerde regels zoals weergegeven in het volgende voorbeeld:

/ etc / ntp.conf
...# Use public servers from the pool.ntp.org project.# Please consider joining the pool (http://www.pool.ntp.org/join.html).server 0.centos.pool.ntp.org iburstserver 1.centos.pool.ntp.org iburstserver 2.centos.pool.ntp.org iburstserver 3.centos.pool.ntp.org iburst

Vervang de regels die u hebt verwijderd door de handgekozen servers die u in de vorige stap hebt geselecteerd.

/ etc / ntp.conf
...server ntp_server_hostname_1 iburstserver ntp_server_hostname_2 iburstserver ntp_server_hostname_3 iburstserver ntp_server_hostname_4 iburstserver ntp_server_hostname_5 iburst...

we gebruiken de optie iburst voor elke server, volgens de aanbevelingen van de NTP-Pool. Op die manier, als de server onbereikbaar is, zal dit een burst van acht pakketten sturen in plaats van het gebruikelijke één pakket. Het gebruik van de burst optie in het NTP Pool Project wordt als misbruik beschouwd omdat het deze acht pakketten elke poll interval zal sturen, terwijl iburst de acht pakketten alleen de eerste keer verstuurt.

controleer vervolgens of de standaardconfiguratie geen beheerquery ‘ s toestaat. Als u dat niet doet, kan uw server worden gebruikt in NTP reflectie aanvallen, of kan het kwetsbaar zijn voor ntpq en ntpdc query ‘ s die proberen om de status van de server te wijzigen. Controleer of de optie noquery is toegevoegd aan de standaard restrict regels. Zorg er ook voor dat u de opties kod en limited toevoegt omdat ze te gretig vragen aan clients beperken en tariefbeperking afdwingen.

/ etc / ntp.conf
...# Permit time synchronization with our time source, but do not# permit the source to query or modify the service on this system.restrict default nomodify notrap nopeer noquery kod limited# Permit all access over the loopback interface. This could# be tightened as well, but to do so would effect some of# the administrative functions.restrict 127.0.0.1restrict ::1

meer informatie over de andere opties vindt u in de officiële documentatie.

uw NTP daemon configuratiebestand ziet er nu als volgt uit, hoewel uw bestand extra opmerkingen kan bevatten, die u veilig kunt negeren:

/etc / ntp.conf
driftfile /var/lib/ntp/ntp.driftrestrict default nomodify notrap nopeer noquery kod limitedrestrict 127.0.0.1restrict ::1server ntp_server_hostname_1 iburstserver ntp_server_hostname_2 iburstserver ntp_server_hostname_3 iburstserver ntp_server_hostname_4 iburstserver ntp_server_hostname_5 iburst

sla het bestand op en sluit de editor af.

herstart nu de NTP-service en laat uw tijdserver zijn klok synchroniseren met de upstream-servers.

  • sudo systemctl restart ntpd

controleer na enkele minuten de status van uw tijdserver met het commando ntpq :

  • ntpq -p

de uitvoer moet er ongeveer zo uitzien:

Output
 remote refid st t when poll reach delay offset jitter============================================================================== mizbeaver.udel. .INIT. 16 u - 64 0 0.000 0.000 0.000 montpelier.ilan .GPS. 1 u 25 64 7 55.190 2.121 130.492+nist1-lnk.binar .ACTS. 1 u 28 64 7 52.728 23.860 3.247*ntp.okstate.edu .GPS. 1 u 31 64 7 19.708 -8.344 6.853+ntp.colby.edu .GPS. 1 u 34 64 7 51.518 -5.914 6.669

de kolom op afstand vertelt u de hostnaam van de servers die de NTP-daemon gebruikt, en de kolom refid vertelt u de bron die de servers gebruiken. Dus voor Stratum 1 servers moet het refid veld GPS, PPS, ACTS of PTB tonen, en Stratum 2 en hogere servers zullen het IP adres van de upstream server tonen. De kolom st toont het stratum, en delay, offset en jitter vertellen u over de kwaliteit van de tijdbron. Lagere waarden zijn beter voor deze drie velden.

uw tijdserver is nu in staat om tijd aan het publiek te geven. U kunt dit verifiëren door ntpdate te bellen vanaf een andere host:

  • ntpdate -q your_server_ip

de uitvoer moet er ongeveer zo uitzien en het vertelt je dat het de tijdserver en de offset heeft aangepast:

Output
server your_server_ip, stratum 2, offset 0.001172, delay 0.16428 2 Mar 23:06:44 ntpdate: adjust time server your_server_ip offset 0.001172 sec

je bent nu klaar om je NTP server te registreren met het NTP Pool Project zodat anderen het kunnen gebruiken.

Stap 4-De Server toevoegen aan de NTP-Pool

om uw server toe te voegen zodat anderen deze kunnen gebruiken, gaat u naar manage.ntppool.org en meld je aan voor een account. U ontvangt een e-mail van NTP Pool [email protected] verzoek om uw account te verifiëren. Bevestig uw account door de instructies in de e-mail te volgen en log vervolgens in op manage.ntppool.org.

zodra u bent ingelogd, ziet u de eenvoudige interface voor het toevoegen van servers:

voeg een server

voer het IP-adres van uw server in en klik op Verzenden.

in het volgende scherm wordt u gevraagd te controleren of het de regio van uw server heeft geïdentificeerd. Als het uw server in een andere regio toont dan u verwacht, gebruik dan het opmerkingenveld om het hen te laten weten.

het verificatiescherm

als u tevreden bent, bevestig de vermelding door op Ja te klikken, Dit is mijn server, voeg het toe!

uw server is nu onderdeel van het NTP Pool Project. Bezoek http://www.pool.ntp.org/scores/your_server_ip om informatie te zien die het monitoring systeem van de NTP-Pool heeft verzameld over uw server. Het controleert uw server een paar keer per uur en toont offset gegevens, alog met de score van uw systeem. Zolang uw server is het houden van goede tijd en is bereikbaar, zal de score stijgen tot het 20 punten bereikt. Alleen servers met een score hoger dan 10 worden gebruikt in de pool.

problemen met de verbinding oplossen

Als u problemen ondervindt bij het synchroniseren van uw server, kunt u een pakketfirewall hebben die uw uitgaande pakketten op poort 123plaatst. Bekijk hoe je een Firewall kunt instellen met FirewallD op CentOS 7 om te leren hoe je de status van de firewall kunt controleren.

als het controlestation van het NTP-Poolproject uw NTP-server niet kan bereiken en uw serverscore daalt, of als u uw server niet kunt gebruiken om een andere klok te synchroniseren, kunt u een pakketfirewall hebben die uw inkomend verkeer op poort 123laat vallen. Controleer je firewall status.

Als u zeker weet dat u geen firewall hebt, of als u poort 123 hebt geopend voor zowel inkomend als uitgaand verkeer, kan het zijn dat uw serverprovider of een andere transitprovider onderweg uw pakketten laat vallen. Als je niet de kennis hebt om die problemen zelf op te lossen, is het het beste om je tot de gemeenschap te wenden en hulp te zoeken. Het NTP Pool Projects forum is een goede plek om te beginnen. Je kunt ook lid worden van de mailinglijst of een emaill sturen naar de NTP Pool Project operator. Zorg ervoor dat u alle stappen kunt weergeven die u al hebt geprobeerd om het probleem op te lossen voordat u om hulp vraagt.

conclusie

In deze tutorial hebt u met succes uw eigen tijdserver opgezet en deze Lid gemaakt van het NTP-Poolproject, dat de tijd naar de Gemeenschap dient. Om in contact te blijven met de time-keeping gemeenschap. Word lid van het NTP Pool Projects forum of de mailinglijst. Zorg ervoor dat u de score van uw server in de gaten houdt en eventuele aanpassingen doet.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Previous post Arnold Palmer Invitational Past winnaars
Next post Staten: Florida