对于相对较大的网络(数千台主机)——运行本地管理的(池)NTP 服务器(可能通过某些公共 NTP 服务器定期设置)并让网络上的所有其他主机使用该(池)NTP 服务器,与让所有主机直接使用公共 NTP 服务器(例如通过 ntp.pool.org)相比,支持和反对的论点是什么?
除了优点和缺点之外,当今典型的最佳实践是什么?
答案1
最佳做法是运行您自己的 NTP 服务器池,并将其设置为与公共 NTP 服务器同步。如果您的组织失去互联网访问,您肯定不希望您的时钟出现偏差。此外,当您可以(并且应该)操作镜像时,将数千台主机设置为公共服务器是不礼貌的。
最后,如果您有安全计算需求,那么您应该运行自己的独立 NTP 主机。您需要特殊硬件才能运行这些系统。
编辑:既然已经讨论过了,这里有一些硬件:
任何支持 PPS 的硬件似乎都可以在现代ntpd。这包括一些 GPS 设备,尽管这似乎很少见,至少与当今的串行 GPS 设备一样少见。但是,有专门为此功能出售的硬件设备,包括一款名为 TSync-PCIe 的产品。根据制造商的网站:
TSync-PCIe 提供多种同步时间码读取器/生成器包配置,可灵活轻松地将精确计时集成到嵌入式计算应用中。您可以选择同步到 IRIG(和其他类似的时间码)、GPS(内部或外部接收器)或精确时间协议 (PTP/IEEE-1588v2)。- 网站链接:http://i564f.6o.to
答案2
即使是在小型网络上,我也使用本地 NTP 服务,该服务本身会从外部服务进行更新。一个原因纯粹是历史原因,可以追溯到当时唯一与互联网的连接是通过拨号调制解调器。另一个原因是,如果 NTP 服务因任何原因出现错误,我希望所有机器仍然保持一致,如果它们都从单一来源进行更新,则更有可能出现这种情况。
答案3
最佳实践是,在您的位置设置 2 个(或更多)NTP 主机,并将它们对等。让它们与至少 4 个(最好是最多 8 个)外部服务器(从 0.pool.ntp.org 到 3.pool.ntp.org)同步。如果您使用超过 4 个,则应调整它们轮询池成员的频率。
这是我的 ntp.conf 的编辑版本:
server 0.us.pool.ntp.org minpoll 8 maxpoll 14
server 1.us.pool.ntp.org minpoll 8 maxpoll 14
server 2.us.pool.ntp.org minpoll 8 maxpoll 14
server 3.us.pool.ntp.org minpoll 8 maxpoll 14
peer ntp2.example.com
driftfile /var/db/drift.ntp
logfile /var/log/ntp.log
logconfig +sysall +syncall
您可以省略 minpoll 和 maxpoll 参数,我添加了它们,这样我对这些服务器的依赖就会小一些。这些值为 2^n 秒,其中 n 是参数;这些值高于默认值(6 和 10),因为我已经在三个 NTP 主机之间轮询了 12 个不同的服务器。
如果您非常关心准确性,您也可以添加以下内容:
server tick.usno.navy.mil prefer minpoll 10 maxpoll 16
这将轮询海军的原子钟。请注意轮询时间较长,因为它们的负载相当重,并已要求人们放松对其服务器的管理(实际上是一个 3 节点集群)。
答案4
我认为大多数大型网络都使用一小组专用的内部 ntp 服务器。ntp 流量非常少,因此您可能不需要很多服务器来为大型组织提供服务。
与所有网络服务一样,运行自己的 ntp 服务器的优势在于您可以获得更多控制权并做出更多决策。例如,如果您与外界失去网络连接,您的机器可以继续与内部 ntp 服务器通信,您不必担心它们都必须重新连接到外部服务器。
如果你有数千台服务器,你还应该考虑运行你自己的专用时间服务器,例如通过 GPS 设备或专用原子钟。我不确定现在要花多少钱,但相对于您已经支持的数千个系统来说,这应该不算昂贵。。然后您就拥有了完全独立于与外界连接的准确时间服务。
另一个需要考虑的问题是,运行自己的 ntp 服务器更为礼貌。这样,您只需要几台机器发出外部请求,而不是数千台。我相信那些可公开访问的 ntp 服务器的管理员会喜欢这一点。此外,它会稍微(非常稍微)减少您的外部网络流量,这可能是一件好事。
此外,如果您运行自己的 ntp 服务器,则可以稍微加强防火墙,因为只有少数机器通过端口 123 连接到外部,而不是很多机器。这可能会很有用。
ntp 易于设置,一旦运行,几乎不需要维护。我接触过的每家公司都设置了自己的 ntp 服务器,而且运行良好。