网络时间服务器

最新推荐文章于 2024-04-01 16:51:23 发布

黄润程

最新推荐文章于 2024-04-01 16:51:23 发布

阅读量147

点赞数 2

分类专栏： Red hat红帽操作系统文章标签：服务器运维 linux 网络

本文链接：https://blog.csdn.net/2301_76975583/article/details/134874979

版权

Red hat红帽操作系统专栏收录该内容

14 篇文章 0 订阅

订阅专栏

本章主要介绍网络时间服务器。

使用chrony配置时间服务器

配置chrony客户端向服务器同步时间

时间同步的必要性

一些服务对时间要求非常严格，如下图所示的由三台服务器搭建的ceph集群。

这三台服务器的时间必须保持一致，如果不一致，就会显示警告信息。那么。如何能让这三台服务器的时间保持一致呢？手动调整时间的方式肯定不行，因为手动调整时间最多只能精确到分，很难精确到秒。而且即使现在时间调整一致了，过一段时间之后,时间可能又不一样了

所以,需要通过设置让这些服务器的时间能够自动同步,如图所示。

这里假设我们有一个时间服务器时间为7:00,设置server1和 server2向此时间服务器进行时间同步。假设serverl 当前时间为6;59，它与时间服务器一对比,“我的时间比时间服务器慢了一分钟”,然后它主板上的晶体芯片就会跳动得快一些,很快就“追”上了时间服务器的时间。假设server2当前时间是7:01，它与时间服务器一对比，“我竟然比时间服务器快了一分钟”，然后它主板上的晶体芯片就会跳动得慢一些,“等着”时间服务器。下面就开始使用chrony来配置时间服务器

配置时间服务器

实验拓扑图如图所示

这里把server配置成时间服务器，server2作为客户端向server进行时间同步

在安装系统时,如果已经选择了图形化界面，则默认已经把 chrony这个软件安装上了（如果没有安装，请先看后面的软件包管理章节，然后自行安装上去）。使用vim编辑器打开/etc/chrony.conf，只修改我们能用的几行。

（1）指定所使用的上层时间服务器

把pool 2.rhel.pool.ntp.org iburst修改成pool 127.127.1.0 iburst

pool后面跟的是时间服务器，因为这里把server作为chrony服务器，没有上一层的服务器,所以上层服务器设置为本地时钟的IP:127.127.1.0。

这里iburst的意思是，如果chrony服务器出问题，客户端会发送一系列的包给chrony服务器，对服务器进行检测。

(2）指定允许访问的客户端。

修改allow所在行，把注释符#去掉，并把后面的网段改为192.168.56.0/24

把#allow 192.168.0.0/16修改为allow 192.168.56.0/24

redhat8配置成时间服务器之后，只允许192.168.161.0/24网段的客户端进行时间同步。如果要允许所有客户端都能向此时间服务器进行时间同步，可以写成allow 0/0或allow all

这行的意思是，即使服务器本身没有和时间服务器保持时间同步，也可以对外提供时间服务，这行注释要取消

保存退出，去除空白行和注释行之后，最后修改完成的代码如下

[root@Hal55 ~]# egrep -v "^#|^$" /etc/chrony.conf 
pool 127.127.1.0 iburst
driftfile /var/lib/chrony/drift
makestep 1.0 3
rtcsync
allow 192.168.56.0/24
local stratum 10
keyfile /etc/chrony.keys
leapsectz right/UTC
logdir /var/log/chrony
[root@Hal55 ~]#

然后重启chronyd这个服务（注意这里是chronyd而不是chrony）并设置开机启动

[root@Hal55 ~]# systemctl restart chronyd
[root@Hal55 ~]# systemctl enable chronyd
Created symlink /etc/systemd/system/multi-user.target.wants/chronyd.service → /usr/lib/systemd/system/chronyd.service.
[root@Hal55 ~]#

[root@Hal55 ~]# netstat -nutlp | grep chronyd
udp        0      0 0.0.0.0:123             0.0.0.0:*                           2373/chronyd        
udp        0      0 127.0.0.1:323           0.0.0.0:*                           2373/chronyd        
udp6       0      0 ::1:323                 :::*                                2373/chronyd        
[root@Hal55 ~]#

chrony用的是UDP的123和323端口号

在防火墙中把这两个端口开放

[root@Hal55 ~]# firewall-cmd --add-port=123/udp --permanent
success
[root@Hal55 ~]# firewall-cmd --add-port=323/udp --permanent
success
[root@Hal55 ~]# firewall-cmd --reload
success
[root@Hal55 ~]#

这里加上 --permanent选项的目的是让其永久生效,然后通过reload重新加载防火墙规则, 让其也立即生效

至此，用chrony搭建的时间服务器完成

1.3 配置chrony客户端

把node1配置成时间服务器的客户端，也就是chrony客户端

在node1（IP地址为192.168.161.12）上用vim编辑器修改/etc/chrony.conf，修改下面的几行

（1）修改pool那行，指定要从哪台时间服务器同步时间

由原来的pool 2.rhel.pool.ntp.org iburst改为pool 192.168.56.60 iburst

这里指定时间服务器为192.168.56.60，即向192.168.56.60进行时间同步

（2）修改makestep那行，格式如下

 makestep 阈值 limit

客户端向服务器同步时间有两种方式：step和 slew

step：跳跃着更新时间，如时间由1点直接跳到7点

slew：平滑着移动时间，晶体芯片跳动得快一些，就好比秒针的转速“快进”了一样

如果客户端和服务器的时间相差较多，则通过step的方式更新时间；如果客户端和服务器的时间相差不多，则通过slew的方式更新时间。那么，时间相差多或不多的标准是什么呢? 就要看时间差是否超过makestep后面的住值了

举一个例子,makestep 10 3的意思是，如果客户端和服务器的时间相差10秒以上，就认为客户端和服务器的时间相差较多，则前三次通过step 的方式更新时间。客户端通过这种方式会更新得很快，有些应用程序因为时间的突然跳动会带来问题

如果客户端和服务器的时间相差10秒以内，就认为二者时间相差不多，则通过slew的方式更新时间。这种方式更新的速度会比较慢，但比较平稳

把原来的makestep 1.0 3改成makestep 200 3

如果客户端和服务器的时间相差200秒以上，就认为二者时间相差较多，则通过step的方式更新时间

保存退出并重启 chronyd服务

[root@Hal55 ~]# systemctl restart chronyd.service
[root@Hal55 ~]# systemctl enable chronyd.service
[root@Hal55 ~]#

为了更细致地看到两台机器的时间差，

[root@Hal55 ~]# ssh-keygen -N "" -f /root/.ssh/id_rsa
Generating public/private rsa key pair.
Created directory '/root/.ssh'.
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:Ef7ykrojBrZtQOdE3ek/c9Adc5yuwMpeIFnFGooOUDY root@Hal55
The key's randomart image is:
+---[RSA 3072]----+
|  .E . ...o.   ..|
| .. o ..o+ .  o.o|
|  ..  ..* +. ..+ |
|  ..o. +.=.o. .. |
| . +o   S.+.. .  |
|  + ..   *+...   |
| . =    + o+     |
|  . = .. o       |
|   o .oo         |
+----[SHA256]-----+

先配置ssh使得node1可以无密码登录到redhat8。先生成密钥对

[root@Hal55 ~]# ssh-copy-id 192.168.56.60
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '192.168.56.60 (192.168.56.60)' can't be established.
ECDSA key fingerprint is SHA256:fEvF8Urd0L6NKnS3f4sgVdxnF5vnxePxEKl6DQt0MqA.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.56.60's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '192.168.56.60'"
and check to make sure that only the key(s) you wanted were added.

给node1上通过date命令设置时间，使得node1和redhat8的时间相差200秒

然后同时显示时间

[root@Hal55 ~]# date -s "2023-12-8 12:30:00" ; hwclock -w
2023年 12月 08日 星期五 12:30:00 CST
[root@Hal55 ~]# date ; ssh 192.168.56.60 date
2023年 12月 08日 星期五 12:30:17 CST
2023年 12月 08日 星期五 12:20:53 CST
[root@Hal55 ~]#

可以看到，时间相差了约10分钟，即600秒左右

然后重启node1的chronyd服务，等待几秒之后再次查看

[root@Hal55 ~]# systemctl restart chronyd.service
[root@Hal55 ~]# date ; ssh 192.168.56.60 date
2023年 12月 08日 星期五 12:26:02 CST
2023年 12月 08日 星期五 12:25:49 CST
[root@Hal55 ~]#

可以看到,时间很快就同步了，因为这是通过step的方式同步的

再次修改时间

[root@Hal55 ~]# date -s "2023-12-8 12:29:00" ; hwclock -w
2023年 12月 08日 星期五 12:29:00 CST
[root@Hal55 ~]# date ; ssh 192.168.56.60 date
2023年 12月 08日 星期五 12:29:03 CST
2023年 12月 08日 星期五 12:27:16 CST
[root@Hal55 ~]#

两台机器的时间相差1分多秒，即100多秒，这个值低于200秒，即在makestep的阙值范围之内，此时客户端向服务器进行时间同步时只能通过slew的方式同步

此时重启 chronyd服务，也不会保持时间同步

[root@Hal55 ~]# systemctl restart chronyd.service
[root@Hal55 ~]# date ; ssh 192.168.56.60 date
2023年 12月 08日 星期五 12:30:01 CST
2023年 12月 08日 星期五 12:28:14 CST
[root@Hal55 ~]#

可以看到，并没有同步,因为slew同步的速度比较慢

此时如果通过执行chronyc makestep命令手动step同步，则会立即同步时间

chronyc makestep

[root@Hal55 ~]# date ; ssh 192.168.56.60 date
2023年 12月 08日 星期五 12:30:03 CST
2023年 12月 08日 星期五 12:29:56 CST
[root@Hal55 ~]#

这样就可以看到立即同步成功了

通过chronye -n sources -v查看现在的同步状况，如下

[root@Hal55 ~]# chronyc -n sources -v

  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current best, '+' = combined, '-' = not combined,
| /             'x' = may be in error, '~' = too variable, '?' = unusable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||      Reachability register (octal) -.           |  xxxx = adjusted offset,
||      Log2(Polling interval) --.      |          |  yyyy = measured offset,
||                                \     |          |  zzzz = estimated error.
||                                 |    |           \
MS Name/IP address         Stratum Poll Reach LastRx Last sample               
===============================================================================
^? 192.168.56.60                 0   6     0     -     +0ns[   +0ns] +/-    0ns
[root@Hal55 ~]#

可以看到，node1是向192.168.56.60进行时间同步的