В чем разница между After = и Requires = в systemd?
Я создаю файл systemd .service, и мне нужна помощь в понимании разницы между Requires = и After = . На странице руководства указано, что Requires = " Поскольку серверы будут иметь доступ к трем источникам уровня 1, я не понимаю, как это может быть проблемой при условии правильной конфигурации ntpd
Какой тип трафика выполняет общедоступный сервер NTP (часть pool.ntp.org) нормально видите? И какого размера виртуальные машины мне для этого нужны? Насколько я понимаю, ntpd не должен быть слишком ресурсоемким, но я бы предпочел знать заранее.
Какие существуют аспекты безопасности для этого? Я думаю просто установить ntpd на две виртуальные машины в DMZ, разрешить только ntp через FW и только ntp из DMZ на внутренние серверы ntp. Также, похоже, есть некоторые настройки ntp, которые рекомендуются в соответствии со страницей пула NTP, но достаточно ли их? https://www.ntppool.org/join/configuration.html
Они рекомендуют не настраивать ЛОКАЛЬНЫЙ драйвер часов, эквивалентно ли это удалению конфигурации ЛОКАЛЬНОГО источника времени из файлов конфигурации?
Что еще следует учесть?
Во-первых, вам хорошо; это полезный и общественный поступок. Тем не менее, и с учетом вашего пояснения, что вы планируете создать одну или несколько виртуальных машин DMZ, которые будут синхронизироваться и делать общедоступным время с ваших трех (внутренних) серверов уровня 1 (внутренних) Meinberg с поддержкой GPS:
Изменить : Виртуализация время от времени обсуждается в списке пулов ; последнее было в июле 2015 года, за ним можно следить, начиная с этого электронного письма . Спросите Бьёрна Хансена, руководителя проекта, разместил в ветке и не высказался против виртуализации. Очевидно, что ряд операторов серверов пула виртуализируют прямо сейчас, поэтому я не думаю, что кто-то застрелит вас за это, и, как ясно показывает один плакат, если ваш сервер (ы) ненадежен, система мониторинга пула просто удалит их из бассейн. KVM кажется предпочтительной технологией виртуализации; Я не нашел никого, кто бы использовал VMWare специально, поэтому не могу комментировать, насколько «честной» является виртуализация. Возможно, лучшее резюме по теме гласит:
Мои серверы пула виртуализированы с помощью KVM на моих собственных хостах KVM. Мониторинг говорит, что сервер довольно точен и обеспечивает стабильную работу раз за последние 2-3 года. Но я бы не стал устанавливать пул-сервер на арендованный виртуальный сервер у другого провайдера.
Это среднесуточное количество отдельных клиентов в секунду, которое я вижу на моем сервере пула (который находится в Великобритании, Европе и глобальных зонах) за последний год:
Это означает почти нет заметной нагрузки на систему (
ntpd, кажется, большую часть времени использует от 1% до 2% ЦП). Обратите внимание, что в какой-то момент в течение года нагрузка на короткое время достигла пика почти в тысячу клиентов в секунду (Макс: 849,27); Я отслеживаю чрезмерную нагрузку, и не все сигналы тревоги срабатывают, поэтому могу только отметить, что даже такой уровень нагрузки не вызывал проблем, хотя и ненадолго.Конфигурации, рекомендованные проектом, являются наилучшей практикой, и работай на меня. Я также использую
iptablesдля ограничения скорости клиентов двумя входящими пакетами в скользящем десятисекундном окне (это поразительно , сколько там грубых клиентов,Или удалите все строки, относящиеся к адресам серверов, начинающиеся с
127.127.В рекомендациях по передовой практике также рекомендуется больше чем три такта, поэтому вы можете выбрать пару других общедоступных серверов или определенных серверов пула в дополнение к вашим трем серверам stratum-1.
Я также отмечу, что если вы планируете установить оба этих Виртуальные машины на одном и том же оборудовании хоста, вам, вероятно, следует просто запустить одну, но удвоить пропускную способность, заявленную для пула (т. Е. Принимать вдвое больше запросов, чем в противном случае).
См. Документ о времени vmware по адресу http://www.vmware.com/pdf/vmware_timekeeping.pdf
Запуск демона NTP на виртуальной машине, вероятно, не очень хорошая идея. , особенно если вам нужно точное время.
Во-первых, поздравляю с вопросом NTP, который не относится к лицевым пальцам. :-) Я включил несколько графиков внизу этого поста, чтобы вы почувствовали, что происходит. Рассматриваемая виртуальная машина настроена на 100 Мбит / с в панели управления пулом и находится в Великобритании, Европе и глобальных пулах.
Я думаю, что MadHatter хорошо справился с этим - виртуализация должна быть в порядке. Как вы говорите, если они питаются от вашего подключенного к GPS уровня 1, они должны быть достаточно надежными. По моему опыту, виртуальные машины, как правило, немного более нервные, чем голый металл, с точки зрения частоты (см. График ниже), но это то, что вы ожидаете - они имеют дело со слоем эмуляции часов (надеюсь, довольно эффективным) и потенциально шумным. соседи. Если вы не хотите видеть такого рода скачки, возможно, вместо этого используйте старые серверы или неиспользуемые рабочие столы в качестве слоя 2 DMZ.
Эта виртуальная машина имеет 1 ядро, 2 ГБ ОЗУ, работает под управлением Ubuntu 16.04 LTS, виртуализирована в OpenStack (гипервизор KVM ). Как вы можете видеть, ОЗУ немного завышено.
Рекомендуемые настройки, включая отсутствие настройки локального драйвера, являются настройками по умолчанию в Ubuntu 16.04. Я работаю очень близко к стандартной конфигурации, кроме списка пиров.
(см. Выше)
Я бы, вероятно, запустил полосу пропускания с низкой стороны и увеличил ее после того, как вы немного понаблюдали за ней. Если все ваши виртуальные машины находятся рядом друг с другом и рядом с вашим слоем 1 с точки зрения задержки в сети, я бы, вероятно, попросил бы все виртуальные машины разговаривать со всеми слоями 1 и, вероятно, связать их друг с другом и также включить сиротский режим.
Вот графики - все они охватывают один и тот же период примерно в 3 недели, за исключением сетевого, у которого было несколько всплесков из-за резервного копирования. Когда были скачки сети, я не мог даже видеть нормальный трафик NTP, поэтому немного увеличил масштаб, чтобы показать обычный фон.
ЦП 
Память 
Сеть 
Частота 
Смещение системы 
Некоторые моменты, которые следует учитывать при использовании NTP
Здесь уже есть некоторые хорошие ответы. Я просто добавляю несколько мыслей для полноты, основанных на моем собственном опыте.
Я бы предложил включить ведение журнала NTP и отклонения и исправления часов графика на голом железе по сравнению с VM, поскольку это относится к тому обсуждению, если это вызывает беспокойство. Я не верю, что это можно легко обобщить, поскольку оборудование и конфигурация различаются в зависимости от реализации. Возможно, лучше будет получить ваши собственные цифры по этому вопросу.
Я всегда предлагал людям выбрать системные роли серверов или сетевых устройств, которые имеют довольно постоянное время ЦП и не являются ядрами без тиков или с включенными режимами энергосбережения. . Особенно избегайте демонов линии cpuspeed или регуляторов скорости или расширенного энергосбережения на серверах NTP, даже если они являются только слоем 2 в вашей ферме. Некоторая стабильность может быть достигнута, никогда не заходя глубже, чем C-State 1, но ваше энергопотребление увеличится.
Я также стараюсь, чтобы люди выбрали несколько серверов уровня 1, которые находятся на расстоянии менее 40 мс от границы их сети. , затем разделите их по своим граничным серверам NTP и убедитесь, что никакие 2 сервера за одним и тем же SNAT в вашей сети не разговаривают с одним и тем же сервером уровня 1. В том же духе, что и пакетная , неразумно иметь несколько серверов за одним и тем же SNAT с использованием одних и тех же восходящих серверов, поскольку им будет казаться, что вы включили пакетную передачу, даже если вы этого не сделали.
Вы должны всегда учитывать пакет kod от вышестоящего сервера и иметь инструменты мониторинга, проверяющие временные сдвиги и достижимость вышестоящих серверов.
Вы можете рассмотреть возможность наличия собственных источников точного времени в некоторых из ваших центров обработки данных, чтобы подключиться к ним или вернуться к ним в том маловероятном случае, когда GPS SA будет активирована военными.Специально для этого есть экономичная техника. Даже если вы находитесь в "клеточной" среде и не имеете собственного центра обработки данных, некоторые средства хостинга могут это приспособить.
Вот хорошая КБ от VMware с фактическими параметрами конфигурации для различных дистрибутивов Linux