ESXi VM NTP Server

O tempo pode ser um problema dentro das VMs, mas pelo mesmo token, se feito corretamente, pode ser tão preciso quanto uma máquina física. Pode parecer estranho, mas eu sou um grande fã de usar meus switches (sempre Cisco no meu mundo) como minhas fontes de NTP - não só eles são fáceis de configurar como tal, mas eles também têm o prático benefício de ser seu DG - veja se seus switches também podem fazer isso.

(Esta questão pode se encaixar melhor no site irmão do StackOverflow, ServerFault.com.)

Sim, o desvio do relógio pode ser mais drástico em máquinas virtuais hospedadas quando comparado com o hardware físico. (Normalmente, você configuraria o servidor host VMware para sincronizar com o servidor NTP de sua preferência e, em seguida, faria com que o VMware Tools em cada uma das máquinas virtuais fosse sincronizado com seu host pai.) Mas não tenho certeza se é um motivo para evitar um NTP virtual servidor ...

Por outro lado, você já considerou outras opções? Por exemplo, o NTP é um serviço tão leve que pode ser adicionado a praticamente qualquer outro servidor de produção sem aumento de carga. (Heck, se você tiver um domínio do Windows, um dos seus controladores do Active Directory já está atuando como um servidor NTP para os membros do domínio.) Ou, é possível usar um servidor NTP existente da Internet (veja link para uma lista enorme)?

Em geral, a execução de um servidor NTP autoritativo em uma VM é uma idéia ruim muito . Pode ser difícil o bastante apenas fazer com que uma VM tenha um tempo consistentemente preciso, dentro de um segundo.

Você realmente precisa executá-lo em algum tipo de metal, mas como ewall disse que geralmente é um serviço leve (se for apenas para uso interno). Geralmente, combinamos com outro tipo de servidor já em execução no hardware, como, por exemplo, servidores DHCP ou DNS.

Configure pelo menos dois, torne-os iguais uns aos outros e sincronize-os com um conjunto conhecido de bons servidores. O que isso pode ser depende de onde você está; verifique com seu ISP (s), autoridades nacionais a tempo, etc. Pool.ntp.org pode estar OK ou pode não ser bom o suficiente, dependendo de suas necessidades.

Por que não utilizar o ntpd em execução no próprio ESXi como seu servidor ntp local?

Primeiramente, configure sua sincronização de horário conforme o normal no host ESXi, apontando para um ou mais servidores ntp externos (consulte pool.ntp.org).

Para permitir que outros hosts façam uso do ntpd em execução no ESXi, você precisará adicionar uma regra de firewall personalizada para permitir que ela seja usada como um servidor. A maneira mais fácil de adicionar as regras de firewall é executando o seguinte em um shell do ESXi:

esxcli software acceptance set --level CommunitySupported
esxcli software vib install -v http://files.v-front.de/fwenable-ntpd-1.2.0.x86_64.vib

Após concluir, basta marcar a caixa ao lado de "NTP Daemon" nos seus servidores ESXi. Agora você pode ter seu bolo e comê-lo também!

Fonte: link

Que? Você está tentando gerar evidências de gerenciamento de tempo adequado ou apenas para calibrar um conjunto de máquinas? É um processo muito diferente para a geração de evidências, e nenhum dos sistemas existentes, incluindo o NTP, é executado como um daemon sozinho.

Quanto às plataformas virtualizadas, elas são abstraídas da realidade por seus gerentes de virtualização e sua estrutura de tempo de execução, portanto, esperar que elas passem informações em tempo real para seus processos de chamada é tolo. Além disso, se o ambiente virtualizado for projetado adequadamente, os dados de tempo serão irrelevantes, pois o sistema virtualizado registrará em um sistema de registro do mundo real fixo como sua infraestrutura, portanto, o problema real é quando as entradas de registro são inseridas no sistema. o logger. É o que gera a seqüência provável de eventos.

Uma solução Você poderia fazer o que eu recomendei a um cliente hoje - programar as instâncias de VM para fazer a configuração de tempo baseado em puxar de uma fonte predefinida, codificando o endereço de origem nos campos de chave do servidor NTP no registro e alterando os valores de pesquisa no registro para fazer o cliente atualizar sua hora do dia a cada minuto. O efeito disso é criar uma entrada de Log de Eventos em duas instâncias de log separadas uma vez por minuto, garantindo que haja um rastreamento culpado. Então quem se importa com o que o AD ou o processo de despertar do estado para a VM faz

Você precisa de um parceiro para fazer o NTP funcionar. Quanto à questão da evidência - o NTP deve ter uma parceria com fontes conhecidas para ser confiável. É um protocolo baseado em UDP / IP com recursos limitados para proteger os dados no transporte. Também está sujeito a muitos ataques simples, como os ataques do tipo MAN IN THE MIDDLE ou REPLAY. Como tal, se você usá-lo como prova, ele realmente precisa de um parceiro e de alguém que tenha modelos pré-aprovados para operações.

Eu poderia falar sobre o NTP e seu mau uso e incompreensão hoje sobre o que ele produz como evidência. Mas isso significa que o NTP tem a capacidade de ser usado como uma fonte confiável de evidências, com alguns aparafusamentos e parcerias com os provedores do NTP.

Eu tive problemas enormes ao usar o VMWare Server e uma VM executando o NTP. O VMWare ESXi funciona muito bem.

Geralmente os fornecedores de software de virtualização têm ferramentas de convidado (Vmware e Virtualbox) para corrigir esse problema, experimentei desvios antes de instalar as ferramentas guest do vmware em nosso ESX. Embora o tempo não caia drasticamente (alguns segundos de desvio máximo), no entanto, ele definitivamente terá um impacto se você hospedar um servidor de horário.

O tempo geralmente é baseado na contagem de ciclos do processador, talvez algumas plataformas de virtualização suportem a garantia da freqüência de CPUs atribuídas a uma VM, o que poderia ajudar.