Entonces, recientemente me di cuenta de que, dado que tengo 3 relojes GPS en mi red, técnicamente podría devolver un poco y servir tiempo al resto del mundo. Hasta ahora no he visto ningún inconveniente con estas ideas, pero tengo las siguientes preguntas;
¿Puedo virtualizar esto? No voy a gastar dinero y tiempo en hardware de pie para esto, por lo que la virtualización es imprescindible. Dado que los servidores tendrán acceso a tres fuentes del estrato 1, no puedo ver cómo esto puede ser un problema siempre que la configuración de ntpd sea correcta
¿Qué tipo de tráfico ve normalmente un servidor NTP público (parte de pool.ntp.org)? ¿Y cuán grandes máquinas virtuales necesito para esto? ntpd no debería consumir demasiados recursos, por lo que puedo reunir, pero prefiero saber de antemano.
¿Qué aspectos de seguridad hay en esto? Estoy pensando en instalar ntpd en dos máquinas virtuales en la DMZ, permitir solo ntp a través del FW y solo ntp salir de la DMZ a los servidores ntp internos. También parece haber algunas configuraciones ntp que se recomiendan de acuerdo con la página del grupo NTP, pero ¿son suficientes? https://www.ntppool.org/join/configuration.html
Recomiendan no tener configurado el controlador de reloj LOCAL, ¿es esto equivalente a eliminar la configuración de fuente de tiempo LOCAL de los archivos de configuración?
¿Algo más a tener en cuenta?
iburst
por defecto ...iburst
No me importa mucho, ya que solo se aplica cuando no se puede acceder al servidor . La configuraciónburst
, sin embargo, es francamente antisocial.En primer lugar, felicidades por una pregunta de NTP que no es material de facepalm. :-) He incluido algunos gráficos en la parte inferior de esta publicación para darle una idea de las cosas. La VM en cuestión está configurada a 100 Mbps en el panel de control del grupo, y está en el Reino Unido, Europa y grupos globales.
Creo que MadHatter cubrió esto bien: la virtualización debería estar bien. Como usted dice, si se alimentan de sus estratos 1 conectados a GPS, deberían ser razonablemente sólidos. En mi experiencia, las máquinas virtuales tienden a ser un poco más nerviosas que el metal desnudo en términos de frecuencia (vea el gráfico a continuación), pero eso es lo que esperaría: se trata de una capa de emulación de reloj (con suerte bastante eficiente) y potencialmente ruidosa vecinos. Si prefiere no ver ese tipo de inquietud, tal vez use servidores más antiguos o escritorios no utilizados como su DMZ stratum 2s.
Esta VM es de 1 núcleo, 2 GB de RAM, ejecuta Ubuntu 16.04 LTS, virtualizado en OpenStack (hipervisor KVM). Como puede ver, la RAM está un poco por encima.
La configuración recomendada, incluida la no configuración del controlador local, es la predeterminada en Ubuntu 16.04. Me estoy ejecutando muy cerca de la configuración de stock, aparte de la lista de pares.
(véase más arriba)
Probablemente comience el ancho de banda en el lado bajo y aumente el ancho de banda después de que lo haya monitoreado un poco. Si todas sus máquinas virtuales están cerca unas de otras y cerca de sus estratos 1 en términos de latencia de red, probablemente tendría todas las máquinas virtuales hablando con todos los estratos 1, y probablemente las empareje entre sí y active el modo huérfano también.
Aquí están los gráficos: todos cubren el mismo período de aproximadamente 3 semanas, excepto el de red, que tuvo un par de picos debido a las copias de seguridad. Cuando los picos de la red estaban allí, ni siquiera podía ver el tráfico NTP normal, así que me acerqué un poco para mostrar el fondo habitual.
CPU Memoria Red Frecuencia Compensación del sistema
fuente
Algunas cosas a considerar con NTP
Ya hay buenas respuestas aquí. Solo estoy agregando algunos pensamientos para completar en base a mis propias experiencias.
Sugeriría habilitar el registro NTP y las asimetrías y correcciones del reloj de gráficos en metal desnudo frente a VM en lo que respecta a esa discusión si eso es una preocupación. No creo que esto pueda generalizarse fácilmente ya que el hardware y la configuración varían entre implementaciones. Podría ser mejor obtener sus propios números en ese.
Siempre he sugerido a la gente que elija roles de sistemas de servidores o dispositivos de red que tengan un tiempo de CPU bastante constante y que no sean núcleos sin tic o que tengan habilitados los modos de ahorro de energía. Evite especialmente la línea de daemons cpuspeed o los govenors de velocidad o el ahorro de energía avanzado en servidores NTP, incluso si son solo el estrato 2 en su granja. Se puede obtener cierta estabilidad al nunca ir más profundo que C-State 1, pero su consumo de energía aumentará.
También trato de asegurarme de que la gente elija un puñado de servidores del estrato 1 que estén a menos de 40 ms del borde de su red, luego los divida entre sus servidores NTP de borde y me asegure de que no haya 2 servidores detrás del mismo SNAT en su red. al mismo servidor del estrato 1. En la misma línea que
burst
, no es aconsejable tener varios servidores detrás del mismo SNAT utilizando los mismos servidores ascendentes, ya que les parecerá que ha habilitado la ráfaga incluso cuando no lo haya hecho.Siempre debe respetar el
kod
paquete del servidor ascendente y tener herramientas de monitoreo que verifiquen las compensaciones de tiempo y la accesibilidad de los servidores ascendentes.Es posible que desee considerar tener sus propias fuentes de tiempo precisas en algunos de sus centros de datos para analizar o recurrir en el improbable caso de que GPS SA esté habilitado por los militares. Hay dispositivos rentables específicamente para esto. Incluso si se encuentra en un entorno de "jaula" y no tiene su propio centro de datos, algunas instalaciones de alojamiento pueden acomodar esto.
fuente
Consulte el documento de cronometraje de vmware en http://www.vmware.com/pdf/vmware_timekeeping.pdf
Ejecutar un demonio NTP en una máquina virtual probablemente no sea una buena idea, especialmente si necesita un tiempo confiable.
fuente
Aquí hay una buena KB de VMware con parámetros de configuración reales para diferentes distribuciones de Linux
https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1006427
fuente