パブリックNTPサーバーを実行する際の考慮事項

ネットワークに3つのGPSクロックが搭載されているため、技術的には少し時間をかけて他の地域に時間を提供できることが最近わかりました。これまでのところ、このアイデアの欠点はまったく見ていませんが、次の質問があります。

1. これを仮想化できますか？このためにハードウェアを立ち上げるためにお金と時間を費やすつもりはないので、仮想化は必須です。サーバーは3つのstratum 1ソースにアクセスできるため、ntpdの構成が正しい場合、これがどのように問題になるかわかりません。

2. パブリックNTPサーバー（pool.ntp.orgの一部）は通常どのようなトラフィックを見るのですか？また、これにはどのくらいのVMが必要ですか？ntpdは、できる限りリソースを集中的に使用するべきではありませんが、事前に知っておく必要があります。

3. これにはどのようなセキュリティ面がありますか？DMZの2つのVMにntpdをインストールするだけで、FWを介したntpのみを許可し、DMZから内部ntpサーバーへのntpのみを許可することを考えています。NTPプールページに従って推奨されるntp設定もあるようですが、それで十分ですか？https://www.ntppool.org/join/configuration.html

4. ローカルクロックドライバーを構成しないことをお勧めします。これは、構成ファイルからLOCALタイムソース構成を削除することと同等ですか？

5. 他に考慮すべきことはありますか？

まず、あなたに良いです。それは役立つ、公然としたことです。とはいえ、3つのMeinberg GPS対応stratum-1（内部）サーバーと同期して時間を公開する1つ以上のDMZ VMを作成することを計画しているという明確な説明があります。

1. 編集：仮想化は、プールリストで時々議論するために登場します。最近のメールは2015年7月で、このメールからフォローできます。プロジェクトリーダーのBjørnHansenにスレッドに投稿してもらい、仮想化に反対しなかったと尋ねてください。明らかに、現在多くのプールサーバーオペレーターが仮想化されているので、だれかがあなたのためにあなたを撃つとは思いません。プール。KVMは、推奨される仮想化テクノロジーのようです。VMWareを特に使用している人はいなかったので、仮想化の「正直さ」についてはコメントできません。 おそらくこのテーマに関する最高の要約は言った

   私のプールサーバーは、独自のKVMホスト上のKVMで仮想化されています。監視によると、サーバーはかなり正確で、過去2〜3年間安定した時間が提供されます。しかし、別のプロバイダーからリースされた仮想サーバーにプールサーバーをセットアップしません。

2. これは、過去1年間にプールサーバー（イギリス、ヨーロッパ、およびグローバルゾーンにある）に表示される1秒あたりの個別のクライアントの1日あたりの平均数です。

   

   これにより、システム負荷はほとんど検出されません（ntpdほとんどの場合、CPUの1％〜2％を使用しているようです）。1年のある時点で、負荷が一時的に1秒あたり約1,000クライアントでピークに達したことに注意してください（最大：849.27）。私は過度の負荷を監視していますが、アラームはすべて鳴りませんでした。そのため、その負荷レベルであっても問題はありませんでした。

3. プロジェクトが推奨する構成はベストプラクティスであり、私にとっては有効です。またiptables、10秒のローリングウィンドウでクライアントを2つのインバウンドパケットにレート制限するために使用します（自分のクロックをすばやく設定するために自由にバーストする必要があると考えている失礼なクライアントの数は驚くべきことです）。

4. または、で始まるサーバーアドレスを参照する行を削除します127.127。

5. また、ベストプラクティスガイドラインでは3つ以上のクロックを推奨しているため、3つのstratum-1サーバーに加えて、他のいくつかのパブリックサーバーまたは特定のプールサーバーを選択することをお勧めします。

   また、これらの両方のVMを同じホストハードウェアに配置する予定の場合は、1つを実行するだけで、プールに宣言された帯域幅を2倍にする必要があります。 ）。

まず、フェイスパームではないNTPの質問におめでとうございます。:-)物事の感触をつかむために、この投稿の下部にいくつかのグラフを含めました。問題のVMは、プールコントロールパネルで100 Mbpsに設定されており、英国、ヨーロッパ、およびグローバルプールにあります。

1. MadHatterはこれをうまくカバーしていると思います-仮想化はうまくいくはずです。あなたが言うように、彼らがあなたのGPS接続された地層1から供給しているならば、それらは適度に堅くなければなりません。私の経験では、VMは周波数に関してはベアメタルよりも少しジャンプしやすい傾向があります（下のグラフを参照）。隣人。そのような急上昇を避けたい場合は、代わりに古いサーバーまたは未使用のデスクトップをDMZ stratum 2として使用してください。

2. このVMは、OpenStack（KVM hypervisor）で仮想化されたUbuntu 16.04 LTSを実行する1コア、2 GB RAMです。ご覧のとおり、RAMは少し上にあります。

3. 推奨設定-ローカルドライバーが構成されていないことを含む-は、Ubuntu 16.04のデフォルトです。ピアリスト以外のストック構成に非常に近い状態で実行しています。

4. （上記を参照）

5. 私はおそらく、ローサイドで帯域幅を開始し、少し監視してから帯域幅を増やします。VMがすべてネットワークレイテンシの点で互いに近く、ストラタム1の近くにある場合、おそらくすべてのVMがすべてのストラタム1と通信し、おそらく相互にピアリングして、孤立モードもオンにします。

ここにグラフがあります-それらはすべて、バックアップのためにいくつかのスパイクがあったネットワーク1を除いて、およそ3週間の同じ期間をカバーします。ネットワークが急上昇すると、通常のNTPトラフィックも表示できなかったため、少し拡大して通常の背景を表示しました。

CPU メモリ ネットワーク 周波数 システムオフセット

NTPで考慮すべき事項

ここにはすでに良い答えがあります。私は自分自身の経験に基づいて、完全性のためにいくつかの考えを追加しています。

懸念がある場合は、その議論に関係するため、ベアメタルとVMでNTPロギングとグラフクロックスキューと補正を有効にすることをお勧めします。ハードウェアと構成は実装ごとに異なるため、これは簡単に一般化できるとは思いません。その番号で自分の番号を取得するのが最善かもしれません。

CPU時間はかなり一定で、ティックレスカーネルではないか、省電力モードが有効になっていないサーバーまたはネットワークデバイスのシステムロールを選択することを常に提案しました。特に、デーモンがファーム内の階層2のみであっても、NTPサーバーでデーモンのcpuspeedやspeed govenors、または高度な省電力機能を使用しないでください。Cステート1よりも深くなることはなくてもある程度の安定性は得られますが、消費電力は増加します。

また、ネットワークの端から40ミリ秒以内の少数のstratum 1サーバーを選択し、それらをエッジNTPサーバーに分割して、ネットワーク内の同じSNATの背後にある2つのサーバーが通信しないようにします。同じstratum 1サーバーに。と同じ線に沿っburstて、同じアップストリームサーバーを使用して同じSNATの背後に複数のサーバーを配置することは賢明ではありません。

kodアップストリームサーバーからのパケットを常に尊重し、アップストリームサーバーの時間オフセットと到達可能性をチェックする監視ツールを使用する必要があります。

GPS SAが軍によって有効になっているというまれなケースでは、いくつかのデータセンターに独自の正確な時間ソースをピアリングまたはフォールバックすることを検討できます。これ専用の費用対効果の高いアプライアンスがあります。「ケージ」環境にいて、独自のデータセンターを持っていない場合でも、ホスティング施設によってはこれに対応する場合があります。

http://www.vmware.com/pdf/vmware_timekeeping.pdfの vmware timekeepingドキュメントを参照してください。

VMでNTPデーモンを実行することは、特に信頼できる時間を必要とする場合には、おそらく良い考えではありません。

Linuxのさまざまなディストリビューションの実際の構成パラメーターを含むVMwareの優れたKBを次に示します。

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1006427