Ntp
執行公共 NTP 伺服器時要考慮的事項
所以,我最近意識到,由於我的網路中有 3 個 GPS 時鐘,從技術上講,我可以回饋一點,為世界其他地方提供時間。到目前為止,我還沒有看到這個想法有任何缺點,但我有以下問題;
- 我可以虛擬化這個嗎?我不會為此花費金錢和時間來建立硬體,因此虛擬化是必須的。由於伺服器將可以訪問三個第 1 層源,如果 ntpd 配置正確,我看不出這會是什麼問題
- 公共 NTP 伺服器(pool.ntp.org 的一部分)通常會看到什麼樣的流量?我需要多大的虛擬機?據我所知,ntpd 不應該佔用太多資源,但我寧願事先知道。
- 這有哪些安全方面?我正在考慮只在 DMZ 中的兩個 VM 上安裝 ntpd,只允許 ntp 通過 FW 進入,並且只允許 ntp 從 DMZ 輸出到內部 ntp 伺服器。似乎也有一些根據 NTP 池頁面推薦的 ntp 設置,但它們是否足夠?https://www.ntppool.org/join/configuration.html
- 他們建議不要配置本地時鐘驅動程序,這是否等同於從配置文件中刪除本地時間源配置?
- 還有什麼要考慮的嗎?
首先,對你有好處;這是一件樂於助人且具有公益精神的事情。話雖如此,並且您澄清說您計劃創建一個或多個 DMZ 虛擬機,這些虛擬機將同步到您的三個支持 Meinberg GPS 的 Stratum-1(內部)伺服器並公開提供時間:
- 編輯:虛擬化不時出現在池列表中進行討論;最近的一個是在 2015 年 7 月,可以從這封郵件開始關注。問 Bjørn Hansen,項目負責人,確實線上程中發帖,並沒有公開反對虛擬化。顯然,許多池伺服器運營商現在正在虛擬化,所以我認為沒有人會為它開槍,正如一張海報所表明的那樣,如果你的伺服器不可靠,池監控系統只會將它們從水池。KVM 似乎是首選的虛擬化技術;我沒有發現任何人專門使用 VMWare,因此無法評論虛擬化有多“誠實”。 也許關於這個主題的最好的總結說
我的池伺服器在我自己的 KVM 主機上使用 KVM 進行虛擬化。監控表示,伺服器非常準確,並提供了過去 2-3 年的穩定時間。但是我不會在從其他提供商處租用的虛擬伺服器上設置池伺服器。
- 這是過去一年我在我的池伺服器(位於英國、歐洲和全球區域)上看到的每秒不同客戶端的日平均數:
這幾乎沒有可檢測到的系統負載(
ntpd
大多數時候似乎使用了 1% 到 2% 的 CPU)。請注意,在一年中的某個時間點,負載曾短暫達到每秒近 1000 個客戶端的峰值(最大值:849.27);我確實監控過負載,但警報並沒有全部響起,所以我只能注意到即使是那個級別的負載也沒有引起問題,儘管是短暫的。 3. 項目推薦的配置是最佳實踐,對我有用。我還iptables
習慣在一個滾動的 10 秒視窗中將客戶端速率限制為兩個入站數據包(令人驚訝的是那裡有多少粗魯的客戶端,他們認為他們應該可以自由爆發以便快速設置自己的時鐘)。 4. 或者刪除任何引用以 . 開頭的伺服器地址的行127.127
。 5. 最佳實踐指南還建議使用三個以上的時鐘,因此除了三個第一層伺服器之外,您可能還需要選擇幾個其他公共伺服器或特定池伺服器。我還要注意,如果您打算將這兩個虛擬機放在同一個主機硬體上,您可能應該只執行一個,但將聲明給池的頻寬增加一倍(即,接受兩倍於其他方式的查詢)。