ローカルまたはパブリックNTPサーバー?

11

比較的大規模なネットワーク(数千のホスト)の場合-ローカルで管理された(プールの)NTPサーバーを実行する(または定期的にいくつかのパブリックNTPサーバーを介して設定する)ための、そしてネットワーク上の他のすべてのホストが使用するための引数は何ですか?その(プールの)NTPサーバーと、すべてのホストに、たとえばntp.pool.orgを介して単純にパブリックNTPサーバーを直接使用させるということですか?

長所と短所は別として、今日の典型的なベストプラクティスは何ですか?

networking  time  ntp  ntpd 
BeeOnRope
ソース
宿題の質問?何千ものホストがあるネットワークのネットワーク管理者がすでにNTPを使用しているようです。
ジェームズバーネット
2
問題は、NTPを使用するかどうかではなく、独自のNTPを立ち上げるか、パブリックNTPを使用するかです。
イアンバーリー
ああ、宿題をしてから久しぶりです:)私は個人的に何千ものホストを持つネットワーク管理者ではありません-しかし、質問が出てきて、既存のベストプラクティスに興味があります。
BeeOnRope

回答:

12

ベストプラクティスは、パブリックNTPサーバーから同期するように設定された独自のNTPサーバーのプールを実行することです。組織がインターネットにアクセスできなくなった場合、時計が歪むことは望ましくありません。さらに、ミラーを操作できる(および操​​作する必要がある)ときに、何千ものホストをパブリックサーバーに設定するのは無礼です。

最後に、安全なコンピューティング要件がある場合は、独自の独立したNTPホストを操作する必要があります。これらのシステムを動作させるには、特別なハードウェアが必要です。

編集:それについて議論したので、ここにいくつかのハードウェアがあります:

PPSをサポートするハードウェアは、最新のntpdで動作するようです。これにはいくつかのGPSユニットが含まれますが、これはまれであるように見えますが、少なくともシリアルGPSユニットと同じくらいまれです。ただし、TSync-PCIeと呼ばれる1つの製品を含む、この機能用に明示的に販売されているハードウェアデバイスがあります。メーカーのサイトによると:

TSync-PCIeは、同期化されたタイムコードリーダー/ジェネレータパッケージのいくつかの構成を提供し、柔軟性と組み込みコンピューティングアプリケーションへの正確なタイミングの容易な統合を提供します。IRIG(および他の同様のタイムコード)、GPS(内部または外部受信機)、または正確な時間プロトコル(PTP / IEEE-1588v2)への同期から選択します。-サイトリンク:http : //i564f.6o.to

エウィンディッシュ
ソース
1
ハードウェアクロックについて言及する場合は+1。独自のStratum 0ソースを作成するために、安価なGarmin 18 LVCをLinuxボックスに接続するためのネット上の指示があります。
クリスS
これらの指示はすべて、独自のハードウェアハッキングを行ってインターフェイスを構築することを伴うように見えますが。
フィルホレンバック
@Phil、安価なGPS stratum 0ソースを探している人は、おそらく少しのハードウェアハッキングを喜んで行うでしょう。簡単なものが必要な場合は、他の人と同じように現金を分けてください。
クリスS
うん、GPSデバイスからタイムコードを取得するのは非常に簡単な作業のように思えるので、単純な接続であると単純に仮定します。
フィルホレンバック
8

小規模なネットワークでも、ローカルNTPサービスを使用しますが、それ自体は外部のNTPサービスから更新されます。1つの理由は純粋に歴史的なもので、インターネットへの唯一の接続がダイヤルアップモデムを介して行われていた時代に遡ります。もう1つは、何らかの理由でNTPサービスが間違っている場合、すべてのマシンがまだ一貫していることを望んでいるということです。

ジョン・ガーデニアーズ
ソース
これが私見です。「正しい」時間を持つことは間違いなく良いことですが、実際にはLAN上のデバイスが正しい時間と異なっていても、デバイス間で一定の時間をとることがより重要になる場合があります。時間はサーバーとクライアント間で同期していない場合は、Kerberos認証のようなものが失敗し、一貫性のある時間は、など、ログ監視、CCTVレコード(両方ともタイムスタンプを追加するなど、カメラとPVR)、のようなもののために重要であるかもしれない
ロブ・モイア
7

ベストプラクティスは、2つ(またはそれ以上)のNTPホストをあなたの場所にセットアップし、ピアリングします。0.pool.ntp.orgから3.pool.ntp.orgまでの少なくとも4つ(できれば8つまで)の外部サーバーと同期させます。4つ以上を使用する場合は、プールメンバーをポーリングする頻度を調整する必要があります。

これは、ntp.confの編集バージョンです。

server 0.us.pool.ntp.org minpoll 8 maxpoll 14
server 1.us.pool.ntp.org minpoll 8 maxpoll 14
server 2.us.pool.ntp.org minpoll 8 maxpoll 14
server 3.us.pool.ntp.org minpoll 8 maxpoll 14

peer ntp2.example.com

driftfile /var/db/drift.ntp
logfile /var/log/ntp.log
logconfig +sysall +syncall

minpoll引数とmaxpoll引数は省略できますが、これらのサーバーを少し軽くするために追加します。値は2 ^ n秒です。nは引数です。3つのNTPホスト間で12の異なるサーバーを既にポーリングしているため、これらの値はデフォルト(6および10)よりも高くなっています。

精度に非常に関心がある場合は、以下も追加できます。

server tick.usno.navy.mil prefer minpoll 10 maxpoll 16

これにより、海軍の原子時計がポーリングされます。ポーリング時間がかなり長く、サーバー(実際には3ノードクラスター)で簡単に実行できるように要求しているため、注意してください。

クリス・S
ソース
外部NTPサーバーが同期していない場合、これはどうなりますか?
ウォーレンデュー14
1.それは起こらないか、少なくとも重要な規模ではありません。2.正確に「同期していない」ものとその量によって異なります。単一の外部サーバーが外れている場合は使用されません。4つすべてが異常な量だけオフになる可能性は天文学的には小さいです。精度に関心がある場合は、USNOサーバークラスターを使用してください。ジッターが低いため、時間がかかります。
クリスS 14
3

他の人が言及したように、数千の内部ホストにとって、独自のタイムサーバーを提供することが道です。次のような理由で(すでに述べたように):

  • 構造:選択した時間設定を構成します。可能な限り1つの階層ソースで
  • 堅牢性:必要に応じて堅牢になるようにntpシステムを構成します。異なるルートで独自のクロックソース(GPS)および/またはNTPソースを使用する
  • 礼儀正しさ:外部の時間ソースのホスティング組織に対する親切な配慮。それらの負荷が少ない
  • パフォーマンス:外部NTPネットワークトラフィックを少数のホストに制限(軽度の問題)
  • セキュリティ:NTPネットワークトラフィックを外部のいくつかの強化されたホストに制限する

ベストプラクティスに関する限り:

http://www.ntp.org/ntpfaq/NTP-s-config-adv.htmから、NTPのみのソースの推奨構造を以下に示します。

 1a  1b     1c  1d     1e  1f      outside
. \ / ...... \ / ...... \ / ..............
   2a ---p--- 2b ---p--- 2c        inside
  /|\        /|\        /|\
 / | \      / | \      / | \
3a 3b 3c   3e 3f 3g   3h 3i 3j

Key: 1 = stratum-1, 2 = stratum-2, 3 = stratum-3, p = peer

NTPサーバーをセットアップするための追加情報は、http: //www.pool.ntp.org/join/configuration.htmlから 入手できます。例:

  • 5台のサーバーについてのセットアップ
  • 標準のntpdを使用する
  • LOCALクロックドライバーを使用しないでください
  • 地理的に/ネットワークに最も近いNTPタイムソースを使用し、層数が少ない
ラース・ノルディン
ソース
FAQのそのエントリの後のコメントに注意してください。単一のstratum 2サーバーに依存するstratum 3サーバーを持つことは望ましくありません。したがって、上の図を正確にたどるのではなく、各stratum 3サーバーから各stratum 2サーバーへの行が必要です。
ポール・ギア
1

ほとんどの大規模ネットワークでは、専用の内部ntpサーバーの小さなプールを使用していると思います。ntpトラフィックはかなり軽いので、大規模な組織にサービスを提供するために多くのサーバーを必要としないでしょう。

すべてのネットワークサービスと同様に、独自のntpサーバーを実行することの利点は、より多くの制御を獲得し、より多くの決定を下せるようになることです。たとえば、外部とのネットワーク接続が失われた場合、マシンは引き続き内部ntpサーバーと通信でき、外部サーバーに再接続する必要があることを心配する必要はありません。

数千のサーバーがある場合は、たとえばGPSデバイスから、または専用の原子時計を介して、独自の専用タイムサーバーを実行することも検討する必要があります。最近どのくらいかかるかはわかりませんが、すでにサポートしている数千のシステムに比べて高価になることはありません。そうすれば、外界との接続とは完全に独立した正確なタイムサービスが得られます。

考慮すべきもう1つの点は、独自のntpサーバーを実行するほうが礼儀正しいということです。そのようにして、数千台ではなく、わずかな数のマシンが外部リクエストを作成します。私はそこに公的にアクセス可能なntpサーバーの管理者がそれを感謝するだろうと確信しています。さらに、外部ネットワークのトラフィックがわずかに(非常にわずかに)減少しますが、これはおそらく良いことです。

また、独自のntpサーバーを実行している場合は、多くのマシンではなくポート123で外部に接続しているマシンが少数であるため、ファイアウォールを少し強化することができます。それは役に立つかもしれません。

ntpのセットアップは簡単で、一度実行するとメンテナンスはほとんど必要ありません。私がこれまで関わったすべての会社は、独自のntpサーバーを設定しており、それはうまく機能しています。

フィル・ホレンバック
ソース
0

その場合のベストプラクティスは、独自のNTPサーバー(または必要に応じてプール)を実行し、地理的に最も近いNTPプールからプルすることです。これにより、公共のNTPサーバーが負担しなければならない負荷は軽減されますが、依然として高い精度が得られます。さらに高い精度が必要な場合は、Stratum 1サーバーから引き出すことができますが、そうするとプールが負担しなければならない負荷が増えるため、サーバーをプールに提供する意思がある場合にのみこれを行う必要があります。

スクリブナー
ソース
0

大規模なネットワークで独自のNTPサーバーを実行する正当な理由は、すべてのマシンが正しい時間に同意していることを確認することです。外部タイムサーバー(またはすべてが異なるpool.ntp.orgメンバーを使用)に独自の設定を持つ多くのシステムがあると、システムの時間にわずかな差が生じ、問題が発生する可能性があります。

もう1つの正当な理由は、独自のNTPサーバーがあると、外部リンクがダウンしたり、トラフィックで飽和状態になったときに、いくつかの(監視された!)サーバーから同期時間が利用可能になることです。

タイムギークとしての私の意見。

クース・ファン・デン・ハウト
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.