執行公共 NTP 伺服器時要考慮的事項

所以，我最近意識到，由於我的網路中有 3 個 GPS 時鐘，從技術上講，我可以回饋一點，為世界其他地方提供時間。到目前為止，我還沒有看到這個想法有任何缺點，但我有以下問題；

1. 我可以虛擬化這個嗎？我不會為此花費金錢和時間來建立硬體，因此虛擬化是必須的。由於伺服器將可以訪問三個第 1 層源，如果 ntpd 配置正確，我看不出這會是什麼問題
2. 公共 NTP 伺服器（pool.ntp.org 的一部分）通常會看到什麼樣的流量？我需要多大的虛擬機？據我所知，ntpd 不應該佔用太多資源，但我寧願事先知道。
3. 這有哪些安全方面？我正在考慮只在 DMZ 中的兩個 VM 上安裝 ntpd，只允許 ntp 通過 FW 進入，並且只允許 ntp 從 DMZ 輸出到內部 ntp 伺服器。似乎也有一些根據 NTP 池頁面推薦的 ntp 設置，但它們是否足夠？https://www.ntppool.org/join/configuration.html
4. 他們建議不要配置本地時鐘驅動程序，這是否等同於從配置文件中刪除本地時間源配置？
5. 還有什麼要考慮的嗎？

首先，對你有好處；這是一件樂於助人且具有公益精神的事情。話雖如此，並且您澄清說您計劃創建一個或多個 DMZ 虛擬機，這些虛擬機將同步到您的三個支持 Meinberg GPS 的 Stratum-1（內部）伺服器並公開提供時間：

1. 編輯：虛擬化不時出現在池列表中進行討論；最近的一個是在 2015 年 7 月，可以從這封郵件開始關注。問 Bjørn Hansen，項目負責人，確實線上程中發帖，並沒有公開反對虛擬化。顯然，許多池伺服器運營商現在正在虛擬化，所以我認為沒有人會為它開槍，正如一張海報所表明的那樣，如果你的伺服器不可靠，池監控系統只會將它們從水池。KVM 似乎是首選的虛擬化技術；我沒有發現任何人專門使用 VMWare，因此無法評論虛擬化有多“誠實”。 也許關於這個主題的最好的總結說

我的池伺服器在我自己的 KVM 主機上使用 KVM 進行虛擬化。監控表示，伺服器非常準確，並提供了過去 2-3 年的穩定時間。但是我不會在從其他提供商處租用的虛擬伺服器上設置池伺服器。

2. 這是過去一年我在我的池伺服器（位於英國、歐洲和全球區域）上看到的每秒不同客戶端的日平均數：

這幾乎沒有可檢測到的系統負載（ntpd大多數時候似乎使用了 1% 到 2% 的 CPU）。請注意，在一年中的某個時間點，負載曾短暫達到每秒近 1000 個客戶端的峰值（最大值：849.27）；我確實監控過負載，但警報並沒有全部響起，所以我只能注意到即使是那個級別的負載也沒有引起問題，儘管是短暫的。 3. 項目推薦的配置是最佳實踐，對我有用。我還iptables習慣在一個滾動的 10 秒視窗中將客戶端速率限制為兩個入站數據包（令人驚訝的是那裡有多少粗魯的客戶端，他們認為他們應該可以自由爆發以便快速設置自己的時鐘）。 4. 或者刪除任何引用以 . 開頭的伺服器地址的行127.127。 5. 最佳實踐指南還建議使用三個以上的時鐘，因此除了三個第一層伺服器之外，您可能還需要選擇幾個其他公共伺服器或特定池伺服器。

我還要注意，如果您打算將這兩個虛擬機放在同一個主機硬體上，您可能應該只執行一個，但將聲明給池的頻寬增加一倍（即，接受兩倍於其他方式的查詢）。

引用自：https://serverfault.com/questions/812585