Servidores NTP locais ou públicos?

11

Para uma rede relativamente grande (milhares de hosts) - quais são os argumentos a favor e contra a execução de um (s) servidor (es) NTP gerenciado localmente (talvez periodicamente configurado por meio de algum servidor NTP público) e de todos os outros hosts? a rede usa esse (pool de) servidor (es) NTP contra ter todos os hosts simplesmente usando servidores NTP públicos diretamente, digamos via ntp.pool.org?

Além dos prós e contras, qual é a melhor prática típica hoje em dia?

    
por BeeOnRope 13.01.2011 / 02:08

7 respostas

12

A melhor prática é executar o seu próprio pool de servidores NTP configurados para sincronizar a partir de servidores NTP públicos. No caso de sua organização perder o acesso à Internet, você não deseja que seus relógios fiquem distorcidos. Além disso, é rude configurar milhares de hosts em servidores públicos quando você poderia (e deveria) operar um espelho.

Finalmente, se você tiver um requisito de computação segura, deverá operar seus próprios hosts NTP independentes. Você precisaria de hardware especial para esses sistemas operarem.

EDIT: Já que houve discussão sobre isso, aqui está algum hardware:

Qualquer hardware que suporte o PPS parece funcionar em um ntpd moderno. Isso inclui algumas unidades de GPS, embora isso pareça ser raro, pelo menos tão raro quanto as unidades de GPS em série atualmente. Existem dispositivos de hardware vendidos explicitamente para essa função, incluindo um produto chamado TSync-PCIe. De acordo com o site do fabricante:

The TSync-PCIe offers several configurations of a synchronized timecode reader/generator package offering flexibility and easy integration of precise timing into an embedded computing application. Choose from synchronization to IRIG (and other similar timecodes), GPS (internal or external receivers), or Precise Time Protocol (PTP/IEEE-1588v2). - Site Link: http://i564f.6o.to

    
por 13.01.2011 / 02:21
8

Mesmo em uma rede pequena, eu uso um serviço NTP local, que se atualiza de um externo. Um motivo é puramente histórico, desde quando a única conexão com a Internet era via modems dial-up. A outra é que, se por algum motivo o serviço NTP estiver errado, eu preferiria que todas as máquinas ainda fossem consistentes, o que é mais provável que seja o caso se todas elas forem atualizadas a partir de uma única fonte.

    
por 13.01.2011 / 03:15
7

Prática recomendada, configure 2 (ou mais) hosts NTP em seu local, observe-os. Tê-los sincronizar contra pelo menos 4 (preferencialmente, até 8) servidores externos de 0.pool.ntp.org para 3.pool.ntp.org. Se você usar mais de 4, deverá ajustar a frequência em que eles fazem o polling dos membros do pool.

Aqui está uma versão editada do meu ntp.conf:

server 0.us.pool.ntp.org minpoll 8 maxpoll 14
server 1.us.pool.ntp.org minpoll 8 maxpoll 14
server 2.us.pool.ntp.org minpoll 8 maxpoll 14
server 3.us.pool.ntp.org minpoll 8 maxpoll 14

peer ntp2.example.com

driftfile /var/db/drift.ntp
logfile /var/log/ntp.log
logconfig +sysall +syncall

Você pode omitir os argumentos minpoll e maxpoll, eu os adiciono, então estou um pouco mais leve nesses servidores. Os valores são 2 ^ n segundos, em que n é o argumento; esses valores são mais altos que os padrões (6 e 10) porque eu já pesquisei 12 servidores diferentes entre meus três hosts NTP.

Se você estiver muito preocupado com a precisão, adicione também os seguintes itens:

server tick.usno.navy.mil prefer minpoll 10 maxpoll 16

Isto irá pesquisar o relógio atômico da marinha. Observe os tempos de pesquisa altos, pois eles são bastante carregados e solicitamos que as pessoas relaxem em seus servidores (na verdade, um cluster de 3 nós).

    
por 13.01.2011 / 02:17
3

Como outros já mencionaram, para milhares de hosts internos, fornecer seus próprios servidores de horário é o caminho a percorrer. Por motivos como (como outros já mencionados):

  • estrutura: configure a configuração da hora como você escolher; com o máximo de 1 fonte de estratos possível
  • robustez: configure o sistema ntp para ser robusto conforme necessário; usando fontes de relógio próprias (GPS) e / ou fontes NTP com rotas diferentes
  • cortesia: gentil consideração por organizar a organização de fontes de tempo externas; menos carga para eles
  • desempenho: limitar o tráfego de rede NTP externo a alguns hosts (edição menor)
  • segurança: limitando o tráfego de rede NTP externamente a alguns hosts endurecidos

Em relação às práticas recomendadas:

A partir do link , aqui está uma estrutura recomendada para fontes somente de NTP.

 1a  1b     1c  1d     1e  1f      outside
. \ / ...... \ / ...... \ / ..............
   2a ---p--- 2b ---p--- 2c        inside
  /|\        /|\        /|\
 / | \      / | \      / | \
3a 3b 3c   3e 3f 3g   3h 3i 3j

Key: 1 = stratum-1, 2 = stratum-2, 3 = stratum-3, p = peer

Informações adicionais para configurar um servidor NTP são de link . Exemplos sendo:

  • Configurar cerca de 5 servidores
  • Use o ntpd padrão
  • Não use o driver do relógio LOCAL
  • use fontes de horário do NTP que estejam geograficamente / próximas da rede e números de baixo estrato
por 01.05.2013 / 15:12
1

Acho que a maioria das grandes redes usa um pequeno pool de servidores ntp internos dedicados. O tráfego do ntp é bastante leve, então você provavelmente não precisa de muitos servidores para atender a uma grande organização.

Assim como em todos os serviços de rede, a vantagem de executar seus próprios servidores ntp é obter mais controle e tomar mais decisões. Por exemplo, se você perder a conectividade de rede com o mundo externo, suas máquinas poderão continuar a conversar com seu servidor ntp interno e você não precisará se preocupar com a necessidade de reconectar-se a servidores externos.

Se você tiver milhares de servidores, considere também executar seu próprio servidor de horário dedicado, por exemplo, com um dispositivo GPS ou por meio de um relógio atômico dedicado . Eu não tenho certeza do quanto isso custa hoje em dia, mas não pode ser caro em relação aos milhares de sistemas que você já está suportando. Então você tem um serviço de tempo preciso completamente independente de sua conexão com o mundo exterior.

Outro ponto a considerar é que executar seus próprios servidores ntp é mais educado. Dessa forma, você tem apenas algumas máquinas fazendo solicitações externas em vez de milhares. Tenho certeza de que os administradores dos servidores ntp publicamente acessíveis por aí apreciarão isso. Além disso, reduzirá o tráfego da sua rede externa um pouco (muito ligeiramente), o que provavelmente é uma coisa boa.

Além disso, se você executar seus próprios servidores ntp, poderá reforçar um pouco o seu firewall, já que apenas algumas máquinas estão se conectando ao exterior na porta 123, em vez de muitas máquinas. Isso pode ser útil.

O ntp é fácil de configurar e, uma vez executado, requer pouca manutenção. Todas as empresas com as quais me envolvi instalaram seus próprios servidores ntp e isso funcionou muito bem.

    
por 13.01.2011 / 02:25
0

A melhor prática nesse caso seria executar o seu próprio servidor NTP - ou um pool, conforme necessário - e extrair do pool NTP mais próximo geograficamente. Isso reduz a carga que os servidores NTP voltados ao público precisam suportar, mas ainda lhe dará uma alta precisão. Se você precisar de ainda mais precisão, poderá extrair dos servidores Stratum 1, mas isso aumenta a carga que o pool precisa suportar, portanto, você deve fazer isso apenas se estiver disposto a contribuir com um servidor para o pool.

    
por 13.01.2011 / 02:21
0

Um bom motivo para executar seus próprios servidores NTP em uma rede grande é garantir que todas as suas máquinas concordem com o horário correto. Ter muitos sistemas com suas próprias configurações para servidores de horário externos (ou todos usando diferentes membros de pool.ntp.org) pode levar a pequenas diferenças de tempo em sistemas que podem levar a problemas.

O outro bom motivo é que ter seu próprio servidor NTP significa que o tempo sincronizado ficará disponível a partir de alguns servidores (monitorados!) quando o link externo ficar inativo ou estiver saturado com tráfego.

Toda minha opinião como um timegeek.

    
por 17.01.2011 / 12:11