web-dev-qa-db-fra.com

Existe-t-il un serveur NTP que je devrais utiliser lors de l'utilisation du service EC2 d'Amazon pour lutter contre la dérive de l'horloge?

J'utilise AWS et je suis sur un serveur EC2 ...

[dalvarado@mymachine ~]$ uname -a
Linux mydomain.org 3.14.33-26.47.amzn1.x86_64 #1 SMP Wed Feb 11 22:39:25 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

Mon horloge est éteinte d'une minute, donc malgré le fait que NTPD soit déjà installé et fonctionne

[dalvarado@mymachine ~]$ Sudo service ntpd status
ntpd (pid  22963) is running...

Il semblerait que les paquets ntp soient bloqués ou il y a un autre problème car j'obtiens cette erreur…

[dalvarado@mymachine ~]$ Sudo ntpdate pool.ntp.org
 2 Apr 16:43:50 ntpdate[23748]: no server suitable for synchronization found

Est-ce que quelqu'un sait avec AWS s'il y a un autre serveur que je dois contacter pour NTP info ou s'il y a d'autres configurations supplémentaires dont j'ai besoin?

Merci, - Dave

Éditer: Y compris la sortie du commentaire ...

[dalvarado@mymachine ~]$ Sudo ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 173.44.32.10    .INIT.          16 u    - 1024    0    0.000    0.000   0.000
 deekayen.net    .INIT.          16 u    - 1024    0    0.000    0.000   0.000
 dhcp-147-115-21 .INIT.          16 u    - 1024    0    0.000    0.000   0.000
 time-b.timefreq .INIT.          16 u    - 1024    0    0.000    0.000   0.000

Deuxième montage:

Voici le contenu du fichier /etc/ntp.conf

# For more information about this file, see the man pages
# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).

driftfile /var/lib/ntp/drift

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default nomodify notrap nopeer noquery

# Permit all access over the loopback interface.  This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1 
restrict ::1

# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.Amazon.pool.ntp.org iburst
server 1.Amazon.pool.ntp.org iburst
server 2.Amazon.pool.ntp.org iburst
server 3.Amazon.pool.ntp.org iburst

#broadcast 192.168.1.255 autokey    # broadcast server
#broadcastclient            # broadcast client
#broadcast 224.0.1.1 autokey        # multicast server
#multicastclient 224.0.1.1      # multicast client
#manycastserver 239.255.254.254     # manycast server
#manycastclient 239.255.254.254 autokey # manycast client

# Enable public key cryptography.
#crypto

includefile /etc/ntp/crypto/pw

# Key file containing the keys and key identifiers used when operating
# with symmetric key cryptography. 
keys /etc/ntp/keys

# Specify the key identifiers which are trusted.
#trustedkey 4 8 42

# Specify the key identifier to use with the ntpdc utility.
#requestkey 8

# Specify the key identifier to use with the ntpq utility.
#controlkey 8

# Enable writing of statistics records.
#statistics clockstats cryptostats loopstats peerstats

# Enable additional logging.
logconfig =clockall =peerall =sysall =syncall

# Listen only on the primary network interface.
interface listen eth0
interface ignore ipv6

# Disable the monitoring facility to prevent amplification attacks using ntpdc
# monlist command when default restrict does not include the noquery flag. See
# CVE-2013-5211 for more details.
# Note: Monitoring will not be disabled with the limited restriction flag.
disable monitor

et ci-dessous est la sortie de "ntpq -p"

Sudo ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 173.44.32.10    .INIT.          16 u    - 1024    0    0.000    0.000   0.000
 deekayen.net    .INIT.          16 u    - 1024    0    0.000    0.000   0.000
 dhcp-147-115-21 .INIT.          16 u    - 1024    0    0.000    0.000   0.000
 time-b.timefreq .INIT.          16 u    - 1024    0    0.000    0.000   0.000
18
Dave A

Oui, vous devez utiliser au moins 3 et idéalement 5 serveurs ou plus qui sont une strate faible et proche (temps d'aller-retour) de votre instance.

Amazon fournit quelques documents qui détaillent comment configurer ntp. Il convient de noter que vous n'avez pas besoin d'utiliser les serveurs de pool répertoriés - ils constituent une façade pour le pool ntp public vers lequel Amazon charge l'équilibre; vous pouvez choisir les serveurs que vous aimez, n'oubliez pas de mettre à jour vos paramètres de sécurité/ACL pour toutes les nouvelles adresses.

La sortie que vous avez fournie

[dalvarado@mymachine ~]$ Sudo ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 173.44.32.10    .INIT.          16 u    - 1024    0    0.000    0.000   0.000
 deekayen.net    .INIT.          16 u    - 1024    0    0.000    0.000   0.000
 dhcp-147-115-21 .INIT.          16 u    - 1024    0    0.000    0.000   0.000
 time-b.timefreq .INIT.          16 u    - 1024    0    0.000    0.000   0.000

Indique que les serveurs que vous avez configurés ne sont pas accessibles.

Refid=.INIT. Signifie que vous n'avez pas encore initialisé les communications avec le serveur référencé. Vous les interrogez toutes les 1024 secondes, mais ils ont tous reach=0, Vous ne pouvez donc pas les atteindre et ne recevez l'heure d'aucun serveur. C'est pourquoi votre horloge ne fonctionne toujours pas.

Il se peut que votre configuration de pare-feu/sécurité réseau soit trop sévère et que vous bloquez l'accès à ces hôtes, ou plus probablement au port.

Faites un diagnostic au niveau du réseau car il semble que c'est là que réside votre problème - veuillez également inclure votre ntp.conf Et la sortie de ntpq -pcrv Si vous avez besoin d'aide.

Une fois que vous avez résolu le problème d'accessibilité, vérifiez que les chiffres dans ntpq -p Affichent des données valides et vous devriez trouver votre problème trié et l'horloge est maintenue en échec comme prévu.

Juste un avertissement aux gens sur l'utilisation du service de temps AWS à 169.254.169.12 ; Ce serveur n'est pas un vrai serveur ntp car il ne gère pas correctement les secondes intercalaires. Au lieu de cela, le serveur AWS fait un "bond en avant".

Cela peut ou peut ne pas convenir à votre configuration, et vous ne devez jamais mélanger ensemble des serveurs normaux NTP et sautés NTP dans la même configuration ou le même domaine de synchronisation. Vous devez choisir une norme et vous y tenir pour éviter tout problème.

12
user3788685

(2018) Amazon recommande désormais "juste" d'utiliser leur 169.254.169.123 NTP serveur car

Votre instance ne nécessite pas d'accès à Internet et vous n'avez pas à configurer vos règles de groupe de sécurité ou vos règles ACL réseau pour autoriser l'accès.

(Il semble que le lien "Amazon Time Sync Service" local a été introduit fin 2017 )

Remarque : le 169.254.169.123 le serveur fait " maculage de saut " et NE DEVRAIT PAS être mélangé avec d'autres serveurs (non Amazon) NTP serveurs provenant d'Internet qui ne font pas le maculage) exactement de la même manière. Amazon recommande également d'utiliser chrony au lieu de ntpd sauf si vous êtes coincé dans une situation héritée où chrony n'est pas disponible en tant que - par rapport à ntpd, chrony est plus rapide à réaliser la synchronisation, plus précis et plus robuste .

11
Anon

Amazon documents NTP ici . Ils incluent NTP avec leurs distributions Amazon linux. Une instance Amazon que j'ai actuellement en cours d'exécution répertorie ces serveurs dans /etc/ntp.conf, ce que recommande également leur documentation:

server 0.Amazon.pool.ntp.org iburst 
server 1.Amazon.pool.ntp.org iburst
server 2.Amazon.pool.ntp.org iburst 
server 3.Amazon.pool.ntp.org iburst
9
Bruce P