AWS - ELB - NTP - Не могущий передать трафик UDP?
Я пытаюсь установить два микроэкземпляра позади внутреннего ELB, который справится с приземленными задачами, такими как центральный вход и запросы NTP, но приходит к пониманию, что ELB не поддерживает передачу UDP. После некоторого поиска я столкнулся с этой статьей и изучил его, но согласно документам AWS, Вы не можете установить проверки состояния на узлах в частной зоне.
Таким образом, мой вопрос, как я включаю способности разместить единственный сервер NTP с отказоустойчивостью (ELB или Маршрут 53, или?), таким образом, локальные узлы могут сослаться на него, по сравнению с загрязнением интернет-каналов с запросами? Я должен управлять своим собственным механизмом отказоустойчивости через VIP и keepalived?
Не пытайтесь балансировать нагрузку или иным образом "HA" ваши серверы времени. Это противоречит принципу работы NTP - путем сравнения серверов друг с другом. Отказоустойчивость на основе DNS тоже не запускается. Также нет смысла в наивной проверке работоспособности ntpd, потому что демон может работать и быть счастливым, несмотря на то, что потерял рассудок и выдавал неверные сигналы времени.
Обратите внимание, что ntpd преобразует имя назначенного сервера времени в IP-адрес при запуске и не будет пытаться повторно разрешить эту информацию после его запуска (если / пока вы не скажете ему перечитать / перезагрузить файл конфигурации).
Это означает, что если вы думаете, что получаете более высокую надежность, имея только одно имя сервера, но несколько IP-адресов (которые могут указывать на несколько машин), вам следует подумать еще раз. Когда вы управляете очень большой группой серверов NTP (например, pool.ntp.org), это дает преимущества, но для чего-то меньшего вы почти наверняка не добьетесь того поведения, о котором, вероятно, думаете.
Также не пытайтесь дать нескольким машинам одинаковый IP-адрес или спрятать их за устройством балансировки нагрузки - это действительно запутает ntpd и сделает ситуацию намного хуже.
Гораздо лучше иметь определенный набор серверов, каждый со своим собственным уникальным IP-адресом, и настроить клиентов для подключения к нескольким серверам в этом наборе, а затем позволить клиентам решать проблемы, связанные с тем, что происходит, когда один или несколько их серверов становятся недоступными или ненадежными.
http://support.ntp.org/bin/view/Support/SelectingOffsiteNTPServers#Section_5.3.6 .
Сконфигурируйте серверы по отдельности и настройте клиентов на использование всех ... все 4 из их, поскольку 4 считается нижней границей для соответствующего количества серверов, так как это оставляет вам то, что s до высококачественного сигнала времени с трех серверов, если один из серверов потеряет рассудок. Один плохой из трех не позволяет эффективно игнорировать один плохой сервер.
http://support.ntp.org/bin/view/Support/SelectingOffsiteNTPServers#Section_5.3.3 .
From С моей точки зрения, экземпляры NAT, используемые в VPC, являются подходящими кандидатами для запуска ваших серверов времени.
Или ... учтите, что как только ntpd стабилизируется, он генерирует все меньше и меньше трафика, и не беспокойтесь слишком об относительно незначительном количестве интернет-трафика (но, конечно, не настраивайте все серверы для прямого подключения к источникам уровня 1).