Linux

NTP 伺服器架構

  • August 30, 2017

我有一個執行多個 Linux 機器的虛擬環境,我正在計劃如何管理所有 ntp 架構。

據我所知,在“ntp.conf”文件中有兩台伺服器是沒有用的,客戶端應該只有一個或三個以上的 ntp 伺服器,所以我的第一種方法是讓一個伺服器“server1”指向4 個公共伺服器,特別是 RHEL 的伺服器,然後有其他框“server2”指向 server1,在我所有其他 Linux 伺服器下方指向 server2,但我觀察到這種架構的奇怪行為。我已經看到一些伺服器在 server2 和它們之間不同步,甚至有時 server1 和 server2 沒有完全同步。

我的第一個問題是,為什麼會這樣?

然後我想出了另一個架構,它有相同的 server1 指向公共 ntp 伺服器,然後有三個伺服器,‘server2’,‘server3’和’server4’指向 server1,在我所有其他機器下面指向 server2-4。

這種架構是否有可能改善我所有網路中的同步?

還是同步之間的性能相同?

建構這個的最佳方法是什麼?

已編輯

這是ntpq -pserver1 的輸出:

remote          refid      st t when poll reach   delay   offset  jitter
=========================================================================
*Time100.Stupi. .PPS.       1 u  317 1024  377  182.786    5.327   3.022
LOCAL(0)        .LOCL.     10 l  46h   64    0    0.000    0.000   0.000

這裡是ntp.conf

# For more information about this file, see the man pages
# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).

driftfile /var/lib/ntp/drift

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery

# Permit all access over the loopback interface.  This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1
restrict -6 ::1

# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.rhel.pool.ntp.org iburst
server 1.rhel.pool.ntp.org iburst
server 2.rhel.pool.ntp.org iburst
server 3.rhel.pool.ntp.org iburst
#broadcast 192.168.1.255 autokey        # broadcast server
#broadcastclient                        # broadcast client
#broadcast 224.0.1.1 autokey            # multicast server
#multicastclient 224.0.1.1              # multicast client
#manycastserver 239.255.254.254         # manycast server
#manycastclient 239.255.254.254 autokey # manycast client

# Enable public key cryptography.
#crypto

includefile /etc/ntp/crypto/pw

# Key file containing the keys and key identifiers used when operating
# with symmetric key cryptography.
keys /etc/ntp/keys

# Specify the key identifiers which are trusted.
#trustedkey 4 8 42

# Specify the key identifier to use with the ntpdc utility.
#requestkey 8

# Specify the key identifier to use with the ntpq utility.
#controlkey 8

# Enable writing of statistics records.
statistics clockstats cryptostats loopstats peerstats sysstats rawstats

### Added by IPA Installer ###
server 127.127.1.0
fudge 127.127.1.0 stratum 10

這是三個客戶端的輸出:

    remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*server1         172.16.29.21     3 u    1   64    1    1.090   -0.138   0.036


    remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*server1         172.16.29.21     3 u 1035 1024  377    1.117   -1.943   0.530


    remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*server1         172.16.29.21     3 u   32   64    1    0.902    1.788   0.140

根據您的環境中時間保持的關鍵程度,您可能不希望 server1 成為單點故障。如果您必須長時間離線進行維護或維修,其對等方將停止同步。從那裡開始走下坡路。

為什麼不讓 server1、server2、server3、server4 全部同步到 4 或 5 個 Internet 對等點。那麼,你的內部網路可以引用這些系統嗎?

傳統觀點認為 3 是法定人數所需要的,但您需要容忍至少有一個被確定為虛假提示或離線。

請參見; 5.3.3. 上游時間伺服器數量

此外,您提到了目前配置的怪異和問題。這將有助於查看ntpq -p相關主機的輸出。

引用自:https://serverfault.com/questions/870919