Я создаю файл systemd .service, и мне нужна помощь в понимании разницы между Requires =
и After =
. На странице руководства указано, что Requires =
" Поскольку серверы будут иметь доступ к трем источникам уровня 1, я не понимаю, как это может быть проблемой при условии правильной конфигурации ntpd
Какой тип трафика выполняет общедоступный сервер NTP (часть pool.ntp.org) нормально видите? И какого размера виртуальные машины мне для этого нужны? Насколько я понимаю, ntpd не должен быть слишком ресурсоемким, но я бы предпочел знать заранее.
Какие существуют аспекты безопасности для этого? Я думаю просто установить ntpd на две виртуальные машины в DMZ, разрешить только ntp через FW и только ntp из DMZ на внутренние серверы ntp. Также, похоже, есть некоторые настройки ntp, которые рекомендуются в соответствии со страницей пула NTP, но достаточно ли их? https://www.ntppool.org/join/configuration.html
Они рекомендуют не настраивать ЛОКАЛЬНЫЙ драйвер часов, эквивалентно ли это удалению конфигурации ЛОКАЛЬНОГО источника времени из файлов конфигурации?
Что еще следует учесть?
Во-первых, вам хорошо; это полезный и общественный поступок. Тем не менее, и с учетом вашего пояснения, что вы планируете создать одну или несколько виртуальных машин DMZ, которые будут синхронизироваться и делать общедоступным время с ваших трех (внутренних) серверов уровня 1 (внутренних) Meinberg с поддержкой GPS:
Изменить : Виртуализация время от времени обсуждается в списке пулов ; последнее было в июле 2015 года, за ним можно следить, начиная с этого электронного письма . Спросите Бьёрна Хансена, руководителя проекта, разместил в ветке и не высказался против виртуализации. Очевидно, что ряд операторов серверов пула виртуализируют прямо сейчас, поэтому я не думаю, что кто-то застрелит вас за это, и, как ясно показывает один плакат, если ваш сервер (ы) ненадежен, система мониторинга пула просто удалит их из бассейн. KVM кажется предпочтительной технологией виртуализации; Я не нашел никого, кто бы использовал VMWare специально, поэтому не могу комментировать, насколько «честной» является виртуализация. Возможно, лучшее резюме по теме гласит:
Мои серверы пула виртуализированы с помощью KVM на моих собственных хостах KVM. Мониторинг говорит, что сервер довольно точен и обеспечивает стабильную работу раз за последние 2-3 года. Но я бы не стал устанавливать пул-сервер на арендованный виртуальный сервер у другого провайдера.
Это среднесуточное количество отдельных клиентов в секунду, которое я вижу на моем сервере пула (который находится в Великобритании, Европе и глобальных зонах) за последний год:
Это означает почти нет заметной нагрузки на систему ( ntpd
, кажется, большую часть времени использует от 1% до 2% ЦП). Обратите внимание, что в какой-то момент в течение года нагрузка на короткое время достигла пика почти в тысячу клиентов в секунду (Макс: 849,27); Я отслеживаю чрезмерную нагрузку, и не все сигналы тревоги срабатывают, поэтому могу только отметить, что даже такой уровень нагрузки не вызывал проблем, хотя и ненадолго.
Конфигурации, рекомендованные проектом, являются наилучшей практикой, и работай на меня. Я также использую iptables
для ограничения скорости клиентов двумя входящими пакетами в скользящем десятисекундном окне (это поразительно , сколько там грубых клиентов,
Или удалите все строки, относящиеся к адресам серверов, начинающиеся с 127.127
.
В рекомендациях по передовой практике также рекомендуется больше чем три такта, поэтому вы можете выбрать пару других общедоступных серверов или определенных серверов пула в дополнение к вашим трем серверам stratum-1.
Я также отмечу, что если вы планируете установить оба этих Виртуальные машины на одном и том же оборудовании хоста, вам, вероятно, следует просто запустить одну, но удвоить пропускную способность, заявленную для пула (т. Е. Принимать вдвое больше запросов, чем в противном случае).
См. Документ о времени vmware по адресу http://www.vmware.com/pdf/vmware_timekeeping.pdf
Запуск демона NTP на виртуальной машине, вероятно, не очень хорошая идея. , особенно если вам нужно точное время.
Во-первых, поздравляю с вопросом NTP, который не относится к лицевым пальцам. :-) Я включил несколько графиков внизу этого поста, чтобы вы почувствовали, что происходит. Рассматриваемая виртуальная машина настроена на 100 Мбит / с в панели управления пулом и находится в Великобритании, Европе и глобальных пулах.
Я думаю, что MadHatter хорошо справился с этим - виртуализация должна быть в порядке. Как вы говорите, если они питаются от вашего подключенного к GPS уровня 1, они должны быть достаточно надежными. По моему опыту, виртуальные машины, как правило, немного более нервные, чем голый металл, с точки зрения частоты (см. График ниже), но это то, что вы ожидаете - они имеют дело со слоем эмуляции часов (надеюсь, довольно эффективным) и потенциально шумным. соседи. Если вы не хотите видеть такого рода скачки, возможно, вместо этого используйте старые серверы или неиспользуемые рабочие столы в качестве слоя 2 DMZ.
Эта виртуальная машина имеет 1 ядро, 2 ГБ ОЗУ, работает под управлением Ubuntu 16.04 LTS, виртуализирована в OpenStack (гипервизор KVM ). Как вы можете видеть, ОЗУ немного завышено.
Рекомендуемые настройки, включая отсутствие настройки локального драйвера, являются настройками по умолчанию в Ubuntu 16.04. Я работаю очень близко к стандартной конфигурации, кроме списка пиров.
(см. Выше)
Я бы, вероятно, запустил полосу пропускания с низкой стороны и увеличил ее после того, как вы немного понаблюдали за ней. Если все ваши виртуальные машины находятся рядом друг с другом и рядом с вашим слоем 1 с точки зрения задержки в сети, я бы, вероятно, попросил бы все виртуальные машины разговаривать со всеми слоями 1 и, вероятно, связать их друг с другом и также включить сиротский режим.
Вот графики - все они охватывают один и тот же период примерно в 3 недели, за исключением сетевого, у которого было несколько всплесков из-за резервного копирования. Когда были скачки сети, я не мог даже видеть нормальный трафик NTP, поэтому немного увеличил масштаб, чтобы показать обычный фон.
Некоторые моменты, которые следует учитывать при использовании NTP
Здесь уже есть некоторые хорошие ответы. Я просто добавляю несколько мыслей для полноты, основанных на моем собственном опыте.
Я бы предложил включить ведение журнала NTP и отклонения и исправления часов графика на голом железе по сравнению с VM, поскольку это относится к тому обсуждению, если это вызывает беспокойство. Я не верю, что это можно легко обобщить, поскольку оборудование и конфигурация различаются в зависимости от реализации. Возможно, лучше будет получить ваши собственные цифры по этому вопросу.
Я всегда предлагал людям выбрать системные роли серверов или сетевых устройств, которые имеют довольно постоянное время ЦП и не являются ядрами без тиков или с включенными режимами энергосбережения. . Особенно избегайте демонов линии cpuspeed или регуляторов скорости или расширенного энергосбережения на серверах NTP, даже если они являются только слоем 2 в вашей ферме. Некоторая стабильность может быть достигнута, никогда не заходя глубже, чем C-State 1, но ваше энергопотребление увеличится.
Я также стараюсь, чтобы люди выбрали несколько серверов уровня 1, которые находятся на расстоянии менее 40 мс от границы их сети. , затем разделите их по своим граничным серверам NTP и убедитесь, что никакие 2 сервера за одним и тем же SNAT в вашей сети не разговаривают с одним и тем же сервером уровня 1. В том же духе, что и пакетная
, неразумно иметь несколько серверов за одним и тем же SNAT с использованием одних и тех же восходящих серверов, поскольку им будет казаться, что вы включили пакетную передачу, даже если вы этого не сделали.
Вы должны всегда учитывать пакет kod
от вышестоящего сервера и иметь инструменты мониторинга, проверяющие временные сдвиги и достижимость вышестоящих серверов.
Вы можете рассмотреть возможность наличия собственных источников точного времени в некоторых из ваших центров обработки данных, чтобы подключиться к ним или вернуться к ним в том маловероятном случае, когда GPS SA будет активирована военными.Специально для этого есть экономичная техника. Даже если вы находитесь в "клеточной" среде и не имеете собственного центра обработки данных, некоторые средства хостинга могут это приспособить.
Вот хорошая КБ от VMware с фактическими параметрами конфигурации для различных дистрибутивов Linux