Server NTP locali o pubblici?

Per una rete relativamente grande (migliaia di host) - quali sono gli argomenti a favore e contro l'esecuzione di un (i) server (i) NTP gestito localmente (forse impostato periodicamente tramite un server NTP pubblico) e con l'utilizzo di tutti gli altri host sulla rete che (pool di) server NTP rispetto a tutti gli host utilizzino semplicemente i server NTP pubblici direttamente, diciamo tramite ntp.pool.org?

A parte i pro e i contro, quali sono le migliori pratiche tipiche oggi?

La migliore pratica è eseguire il proprio pool di server NTP impostato per la sincronizzazione dai server NTP pubblici. Nel caso in cui la tua organizzazione dovesse perdere l'accesso a Internet, non vorrai che i tuoi orologi si inclinino. Inoltre, è scortese impostare migliaia di host su server pubblici quando è possibile (e si dovrebbe) gestire un mirror.

Infine, se si dispone di un requisito di elaborazione sicura, è necessario gestire i propri host NTP indipendenti. Avresti bisogno di hardware speciale per far funzionare questi sistemi.

EDIT: Dal momento che ne è stato discusso, ecco un po 'di hardware:

Qualsiasi hardware che supporti PPS sembra funzionare su un moderno ntpd . Ciò include alcune unità GPS, anche se questo sembra essere raro, almeno quanto le unità GPS seriali sono in questi giorni. Esistono dispositivi hardware venduti esplicitamente per questa funzione, incluso un prodotto chiamato TSync-PCIe. Secondo il sito del produttore:

TSync-PCIe offre diverse configurazioni di un pacchetto lettore / generatore di timecode sincronizzato che offre flessibilità e una facile integrazione di tempi precisi in un'applicazione di elaborazione integrata. Scegli tra sincronizzazione a IRIG (e altri codici di tempo simili), GPS (ricevitori interni o esterni) o Precise Time Protocol (PTP / IEEE-1588v2). - Link al sito: http://i564f.6o.to

Anche su una piccola rete utilizzo un servizio NTP locale, che a sua volta si aggiorna da uno esterno. Una ragione è puramente storica, risalente a quando l'unica connessione a Internet era tramite modem dial-up. L'altro è che se il servizio NTP è errato per qualsiasi motivo, preferirei che tutte le macchine rimangano coerenti, il che è più probabile che accada se si aggiornano tutte da un'unica fonte.

Best practice, configurare 2 (o più) host NTP nella propria posizione, scrutarli. Fallo sincronizzare con almeno 4 (preferibilmente, fino a 8) server esterni da 0.pool.ntp.org a 3.pool.ntp.org. Se si utilizzano più di 4, è necessario regolare la frequenza di polling dei membri del pool.

Ecco una versione modificata del mio ntp.conf:

server 0.us.pool.ntp.org minpoll 8 maxpoll 14
server 1.us.pool.ntp.org minpoll 8 maxpoll 14
server 2.us.pool.ntp.org minpoll 8 maxpoll 14
server 3.us.pool.ntp.org minpoll 8 maxpoll 14

peer ntp2.example.com

driftfile /var/db/drift.ntp
logfile /var/log/ntp.log
logconfig +sysall +syncall

Puoi omettere gli argomenti minpoll e maxpoll, li aggiungo quindi sono un po 'più leggero su quei server. I valori sono 2 ^ n secondi, dove n è l'argomento; questi valori sono superiori ai valori predefiniti (6 e 10) perché ho già eseguito il polling di 12 server diversi tra i miei tre host NTP.

Se sei molto preoccupato per l'accuratezza, potresti aggiungere anche:

server tick.usno.navy.mil prefer minpoll 10 maxpoll 16

Questo sonderà l'orologio atomico della marina. Nota i tempi di polling elevati in quanto sono abbastanza caricati e hanno richiesto alle persone di prendersela comoda sul loro server (in realtà un cluster a 3 nodi).

Come altri hanno già detto, per migliaia di host interni, fornire il proprio time server è la strada da percorrere. Per motivi come (come altri già menzionati):

• struttura: configura la configurazione dell'ora come preferisci; con il massimo di 1 fonti di strato possibile
• robustezza: configurare il sistema ntp in modo che sia robusto, se necessario; utilizzando le proprie sorgenti di clock (GPS) e / o NTP con percorsi diversi
• cortesia: gentile considerazione per l'organizzazione di risorse temporali esterne; meno carico per loro
• prestazioni: limitazione del traffico di rete NTP esterno a pochi host (problema minore)
• sicurezza: limitare il traffico di rete NTP esternamente a pochi host rinforzati

Per quanto riguarda le migliori pratiche:

Da http://www.ntp.org/ntpfaq/NTP-s-config-adv.htm , ecco una struttura consigliata per solo fonti NTP.

 1a  1b     1c  1d     1e  1f      outside
. \ / ...... \ / ...... \ / ..............
   2a ---p--- 2b ---p--- 2c        inside
  /|\        /|\        /|\
 / | \      / | \      / | \
3a 3b 3c   3e 3f 3g   3h 3i 3j

Key: 1 = stratum-1, 2 = stratum-2, 3 = stratum-3, p = peer

Ulteriori informazioni per l'impostazione di un server NTP sono disponibili all'indirizzo http://www.pool.ntp.org/join/configuration.html . Esempi che sono:

• Installazione su 5 server
• Usa lo standard ntpd
• Non utilizzare il driver dell'orologio LOCAL
• utilizzare le fonti temporali NTP che sono geograficamente / rete più vicine a te e numeri a basso strato

Penso che la maggior parte delle reti di grandi dimensioni utilizzino un piccolo pool di server ntp interni dedicati. il traffico ntp è piuttosto leggero, quindi probabilmente non hai bisogno di molti server per servire una grande organizzazione.

Come per tutti i servizi di rete, il vantaggio di eseguire i propri server ntp è ottenere un maggiore controllo e prendere più decisioni. Ad esempio, se perdi la connettività di rete con il mondo esterno, le tue macchine possono continuare a parlare con il tuo server ntp interno e non devi preoccuparti che tutte debbano riconnettersi a server esterni.

Se hai migliaia di server dovresti anche considerare di eseguire il tuo time server dedicato, ad esempio da un dispositivo gps o tramite un orologio atomico dedicato . Non sono sicuro di quanto costi in questi giorni ma non può essere costoso rispetto alle migliaia di sistemi che stai già supportando .. Quindi hai un servizio orario accurato completamente indipendente dalla tua connessione con il mondo esterno.

Un altro punto da considerare è che eseguire i propri server ntp è più educato. In questo modo hai solo poche macchine che fanno richieste esterne invece di migliaia. Sono sicuro che gli amministratori dei server ntp accessibili al pubblico là fuori lo apprezzerebbero. Inoltre ridurrà leggermente (molto leggermente) il traffico della tua rete esterna, il che è probabilmente una buona cosa.

Inoltre, se esegui i tuoi server ntp, puoi rafforzare un po 'il firewall poiché solo alcune macchine si collegano all'esterno sulla porta 123 anziché su molte macchine. Questo potrebbe essere utile.

ntp è facile da configurare e una volta che è in esecuzione richiede pochissima manutenzione. Ogni azienda con cui sono mai stato coinvolto ha creato i propri server ntp e ha funzionato perfettamente.

In questo caso, la migliore pratica sarebbe quella di eseguire il proprio server NTP - o un pool secondo necessità - e di estrarre dal pool NTP più vicino a voi geograficamente. Ciò riduce il carico che i server NTP che devono affrontare devono sostenere, ma garantisce comunque un'elevata precisione. Se si richiede una precisione ancora maggiore, è possibile estrarre dai server Stratum 1, ma aumentando il carico che il pool deve sopportare, è necessario farlo solo se si desidera contribuire con un server al pool.

Un buon motivo per eseguire i propri server NTP in una rete di grandi dimensioni è assicurarsi che tutte le macchine concordino l'ora corretta. Avere molti sistemi con le proprie impostazioni per i time server esterni (o tutti usando diversi membri pool.ntp.org) può portare a piccole differenze nel tempo sui sistemi che possono portare a problemi.

L'altra buona ragione è che avere i propri server NTP significa che il tempo sincronizzato rimarrà disponibile da alcuni server (monitorati!) Quando il collegamento esterno si interrompe o è saturo di traffico.

Tutta la mia opinione come timegeek.