1. NTP olulisus Ubuntus
Mis on NTP?
NTP (Network Time Protocol) on protokoll, mis võimaldab arvutisüsteemidel võrgu kaudu täpselt kellaaja sünkroonida. Täpse aja hoidmine süsteemis on oluline logide järjepidevuse, tehingute töötlemise ja võrguside täpsuse jaoks. Kui kellaaeg erineb, võivad tekkida võrguvead või andmete ebakõlad, mistõttu on see eriti tähtis serverite haldamisel.
Ubuntus soovitatakse kasutada chrony-d, mis võimaldab täpset ajasünkroonimist ka ebastabiilse võrguühenduse korral. Chrony sobib hästi nii serveritele kui klientidele, kuna see pakub madalat latentsust ja kiiret sünkroonimist.
2. NTP seadistamine
Chrony paigaldamine ja seadistamine
Chrony on Ubuntu 18.04 ja uuemate versioonide vaikimisi NTP klient. Järgnevalt on toodud sammud paigaldamiseks ja NTP serveri kaudu ajasünkroonimise seadistamiseks.
Paigaldamise sammud
sudo apt update
sudo apt install chronyJärgmiseks käivitage Chrony teenus ja seadistage automaatne käivitumine.
sudo systemctl start chrony
sudo systemctl enable chronySeadistusfail asub aadressil /etc/chrony/chrony.conf. Kui soovite kasutada Jaapani lähedal asuvaid NTP servereid, lisage järgmised read:
server ntp.nict.jp iburst
server 0.jp.pool.ntp.org iburst
server 1.jp.pool.ntp.org iburst
server 2.jp.pool.ntp.org iburstiburst valik võimaldab kiiret sünkroonimist esimesel ühendusel.
3. NTP serverite optimeerimine ja valik
NTP Pool projekti kasutamine
NTP Pool projekt pakub parimaid servereid erinevate regioonide jaoks üle kogu maailma. Mitme NTP serveri seadistamine parandab töökindlust – kui üks server langeb rivist välja, töötavad teised asendajatena edasi.
Alltoodud näites kasutatakse Jaapani servereid.
server ntp.nict.jp iburst
server 0.jp.pool.ntp.org iburst
server 1.jp.pool.ntp.org iburst
server 2.jp.pool.ntp.org iburst4. Ajavööndi seadistamine
timedatectl käsu kasutamine
Ubuntu vaikimisi ajavöönd on UTC, kuid järgmise käsuga saate muuta selle Jaapani standardajaks (JST):
sudo timedatectl set-timezone Asia/TokyoPärast muutmist saate ajavööndi staatust kontrollida järgmise käsuga:
timedatectl5. Tõrkeotsing
Kui NTP ei sünkrooni
Tulemüüri kontroll
NTP kasutab UDP porti 123, kuid tulemüür võib selle portaali blokeerida. Avage port 123 järgmise käsuga:
sudo ufw allow 123/udpFalse-ticker’i kontroll
Kontrollige käsuga ntpq -p, kas NTP serverid töötavad korralikult. Vale aega pakkuvad serverid (False-ticker) on märgitud x-ga ning neid tuleks vältida või seadistust muuta.
Stratum 16 viga
Kui NTP server ei saa kõrgema taseme serveriga sünkroniseerida, tekib Stratum 16 viga. See näitab ühendus- või võrguprobleemi – kontrollige seadeid ja vajadusel muutke usaldusväärset serverit.
Käsitsi aja sünkroonimine
Käsitsi sünkroonimiseks Chrony abil kasutage järgmist käsku:
sudo ntpdate ntp.nict.jpSamuti saate kontrollida Chrony logisid, et tuvastada võimalikke sünkroonimisprobleeme.
sudo journalctl -u chrony
6. NTP optimeerimine suure koormusega keskkondades
minpoll ja maxpoll seadistamine
Kui on vaja väga täpset ajasünkroonimist, saab NTP päringute intervalli muuta, et ajavahesid võimalikult väikesena hoida. Allpool on näide, kuidas suurendada sünkroonimise sagedust:
server ntp.nict.jp iburst minpoll 4 maxpoll 10NTP haldus Juju abil
Suurtes pilvekeskkondades saab NTP teenust automatiseerida Juju abil. Juju jälgib serverite koormust ja valib automaatselt sobiva NTP serveri. Kasutage järgmist käsku NTP kasutuselevõtuks Juju kaudu:
juju deploy cs:ntp ntp
juju config ntp auto_peers=trueNii muutub NTP haldus automaatseks ning ajasünkroonimine ja koormuse jaotamine tõhusamaks.
7. Turvalisuse tugevdamine
Juurdepääsukontroll NTP serverile
Turvalisuse suurendamiseks saab NTP serveri ligipääsu piirata kindlate IP-aadressidega. Lisa järgmine rida faili /etc/chrony/chrony.conf, et lubada ainult kindlast võrgust või IP-aadressilt päringud:
allow 192.168.1.0/24Nii väldite lubamatuid NTP päringuid väljastpoolt ja parandate sisevõrgu turvalisust.
