Jadi, baru-baru ini saya sadar bahwa karena saya memiliki 3 jam GPS di jaringan saya, saya bisa, secara teknis, memberikan sedikit kembali dan melayani waktu ke seluruh dunia. Sejauh ini saya belum cukup melihat kelemahan dari ide-ide ini, tetapi saya memiliki pertanyaan-pertanyaan berikut;
Bisakah saya memvirtualkan ini? Saya tidak akan menghabiskan uang dan waktu untuk membuat perangkat keras untuk ini, jadi virtualisasi adalah suatu keharusan. Karena server akan memiliki akses ke tiga strata 1 sumber, saya tidak bisa melihat bagaimana ini bisa menjadi masalah asalkan ntpd config sudah benar
Lalu lintas seperti apa yang biasanya dilihat oleh server NTP publik (bagian dari pool.ntp.org)? Dan seberapa besar VM yang saya butuhkan untuk ini? ntpd seharusnya tidak terlalu banyak sumber daya sejauh yang saya bisa kumpulkan, tapi saya lebih baik tahu sebelumnya.
Aspek keamanan apa yang ada untuk ini? Saya berpikir untuk menginstal ntpd pada dua VM di DMZ, hanya mengizinkan ntp melalui FW, dan hanya ntp keluar dari DMZ ke server ntp internal. Tampaknya juga ada beberapa pengaturan ntp yang direkomendasikan sesuai dengan halaman NTP pool, tetapi apakah mereka cukup? https://www.ntppool.org/join/configuration.html
Mereka merekomendasikan untuk tidak mengonfigurasi driver clock LOCAL, apakah ini setara dengan menghapus konfigurasi sumber waktu LOCAL dari file konfigurasi?
Ada hal lain yang perlu dipertimbangkan?
iburst
secara default ...iburst
Saya tidak keberatan, karena ini hanya berlaku ketika server tidak dapat dijangkau. Pengaturanburst
, bagaimanapun, adalah benar-benar antisosial.Pertama, selamat atas pertanyaan NTP yang merupakan materi non-facepalm. :-) Saya sudah memasukkan beberapa grafik di bagian bawah posting ini untuk memberi Anda rasa untuk hal-hal. VM yang dimaksud diatur ke 100 Mbps di panel kontrol pool, dan berada di UK, Eropa, dan pool global.
Saya pikir MadHatter membahas hal ini dengan baik - virtualisasi seharusnya baik-baik saja. Seperti yang Anda katakan, jika mereka diberi makan dari strata 1 yang terhubung dengan GPS Anda, mereka seharusnya cukup solid. Dalam pengalaman saya, VM cenderung sedikit lebih gelisah daripada bare metal dalam hal frekuensi (lihat grafik di bawah), tetapi itulah yang Anda harapkan - mereka berurusan dengan lapisan emulasi jam (mudah-mudahan cukup efisien) dan berpotensi berisik tetangga. Jika Anda lebih suka tidak melihat kegelisahan semacam itu, mungkin gunakan server yang lebih tua atau desktop yang tidak digunakan sebagai stratum 2 DMZ Anda.
VM ini adalah 1 core, 2 GB RAM, menjalankan Ubuntu 16.04 LTS, tervirtualisasi dalam OpenStack (KVM hypervisor). Seperti yang Anda lihat, RAM sedikit di atas.
Pengaturan yang disarankan - termasuk tidak memiliki driver lokal yang dikonfigurasi - adalah default di Ubuntu 16.04. Saya menjalankan sangat dekat dengan konfigurasi stok, selain dari daftar rekan.
(Lihat di atas)
Saya mungkin akan mulai bandwidth di sisi rendah dan meningkatkan bandwidth setelah Anda memonitornya sebentar. Jika semua VM Anda berdekatan satu sama lain dan dekat strata 1 Anda dalam hal latensi jaringan, saya mungkin akan meminta semua VM berbicara dengan semua strata 1, dan mungkin mengintip mereka satu sama lain dan mengaktifkan mode yatim juga.
Berikut adalah grafik - semuanya mencakup periode yang sama sekitar 3 minggu, kecuali untuk jaringan, yang memiliki beberapa lonjakan karena cadangan. Ketika jaringan melonjak di sana saya bahkan tidak bisa melihat lalu lintas NTP normal, jadi saya memperbesar sedikit untuk menunjukkan latar belakang yang biasa.
CPU Memory Network Sistem Frekuensi Offset
sumber
Beberapa hal yang perlu dipertimbangkan dengan NTP
Sudah ada jawaban bagus di sini. Saya hanya menambahkan beberapa pemikiran demi kelengkapan berdasarkan pengalaman saya sendiri.
Saya akan menyarankan mengaktifkan NTP logging dan grafik jam miring dan koreksi pada bare metal vs VM karena berkaitan dengan diskusi itu jika itu menjadi perhatian. Saya tidak percaya ini dapat digeneralisasikan dengan mudah karena perangkat keras dan konfigurasi bervariasi di antara implementasi. Mungkin yang terbaik untuk mendapatkan nomor Anda sendiri untuk yang itu.
Saya selalu menyarankan kepada orang-orang untuk memilih peran sistem dari server atau perangkat jaringan yang memiliki waktu CPU yang cukup konstan dan yang bukan kernel yang tidak berdetak atau yang memiliki mode hemat daya yang diaktifkan. Terutama hindari daemon garis cpuspeed atau speed govenor atau penghematan daya tingkat lanjut pada server NTP, bahkan jika mereka hanya strata 2 di peternakan Anda. Beberapa stabilitas dapat diperoleh dengan tidak pernah lebih dalam dari C-State 1, tetapi konsumsi daya Anda akan meningkat.
Saya juga mencoba memastikan bahwa orang-orang memilih beberapa server strata 1 yang berada di bawah 40 mil jauhnya dari tepi jaringan mereka, kemudian membaginya di server NTP tepi Anda dan memastikan bahwa tidak ada 2 server di belakang SNAT yang sama di jaringan Anda sedang berbicara ke server strata 1 yang sama. Sepanjang baris yang sama dengan
burst
itu, tidak bijaksana untuk memiliki beberapa server di belakang SNAT yang sama menggunakan server hulu yang sama, karena akan muncul bagi mereka bahwa Anda telah mengaktifkan burst bahkan ketika Anda belum.Anda harus selalu menghormati
kod
paket dari server hulu dan memiliki alat pemantauan yang memeriksa offset waktu dan jangkauan server hulu.Anda mungkin ingin mempertimbangkan untuk memiliki sumber waktu akurat Anda sendiri di beberapa pusat data untuk diajak berteman atau mundur jika GPS SA diaktifkan oleh militer. Ada peralatan yang efektif biaya khusus untuk ini. Bahkan jika Anda berada di lingkungan "kandang" dan tidak memiliki pusat data sendiri, beberapa fasilitas hosting dapat mengakomodasi hal ini.
sumber
Lihat dokumen ketepatan waktu vmware di http://www.vmware.com/pdf/vmware_timekeeping.pdf
Menjalankan daemon NTP dalam VM mungkin bukan ide yang baik, terutama jika Anda membutuhkan waktu yang dapat diandalkan.
sumber
Inilah KB yang baik dari VMware dengan parameter konfigurasi aktual untuk distribusi Linux yang berbeda
https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1006427
sumber