本文介绍了如何使用chrony进行系统时钟同步,包括作为NTP服务器和客户端的配置,并详细讲述了firewalld的动态防⽕墙功能,如创建zone和自定义服务,以确保时间服务在安全的网络环境中正常工作。
一、介绍Chrony:
chrony 是 ⽹络时间协议(NTP) 的⼀种实现。您可以使⽤ chrony:
- 将系统时钟与 NTP 服务器同步
- 将系统时钟与参考时钟同步,如 GPS 接收器
- 将系统时钟与⼿动时间输⼊同步
- 作为 NTPv4(RFC 5905) 服务器或对等服务器,为⽹络中的其他计算机提供时间服务
chrony 包括
chronyd
(⼀个在⽤⼾空间运⾏的守护进程)和
chronyc
(可⽤来监控 chronyd 性
能并在运⾏时更改各种操作参数的命令⾏程序)。chrony 守护进程(chronyd) 可以由命令⾏⼯具 chronyc 监控和控制。
对于chrony的命令:
运⾏以下命令检查 chronyd 的状态:systemctl status chronyd
运⾏以下ing零检查 chrony 跟踪:chronyc tracking
source 命令显⽰ chronyd 正在访问的当前时间源的信息:chronyc sources(-v可显示更多信息)
sourcestats 命令显⽰⽬前被 chronyd 检查的每个源的偏移率和误差估算过程的信息:chronyc sourcestats同时配置chrony时间源服务器以及chrony时间客户端我们在vim /etc/chrony.conf中配置。
二、介绍firewalld:
firewalld 是⼀个防⽕墙服务守护进程,其提供⼀个带有 D-Bus 接⼝的、动态可定制的、基于主机的防⽕墙。如果是动态的,它可在每次修改规则时启⽤、修改和删除规则,⽽不需要在 每次修改规则时重启防⽕墙守护进程。fi rewalld 使⽤区和服务的概念来简化流量管理。zones 是预定义的规则集。⽹络接⼝和源可以分配给区。允许的流量取决于您计算机连接到的⽹络,并分配了这个⽹络的安全级别。防⽕ 墙服务是预定义的规则,覆盖了允许特定服务进⼊流量的所有必要设置,并在区中应⽤。
本次实例我们将从时间服务器的、客户端配置,预定义的服务(/usr/lib/fi rewalld/services/)、预定义的规则集(/usr/lib/fi rewalld/zones/)等方面来讲解firewall以及chrony:
定义两个虚拟主机 node1, node2
1、在 node1 主机上配置 chrony 时间服务器,将该主机作为时间服务器。
2、在 node1 主机上创建防火墙区域 testzone, 将 node1 主机网络接口接入该区域,创建新防火墙服务为 timeservice
3、在 node1 将该防火墙服务 timeservice 定义为允许 chrony 服务通过。
4、在 node2 主机上配置 chrony 时间客户端,该主机将 node1 主机作为时间源服务器
5、配置完防火墙服务之后,node1 和 node2 主机的时间服务器可以正常工作。
1.我们在chrony.conf配置文件上配置时间服务器:
2. 创建区域testzone、创建新防火墙服务timeservice,将node1主机网络接口接入该区域:
[root@localhost ~]# firewall-cmd --new-zone=testzone [root@localhost ~]# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/timeservices.xml [root@localhost ~]# firewall-cmd --add-service=timeservices --zone=testzone [root@localhost ~]# firewall-cmd --zone=testzone --change-interface=ens160
3.
4.在node2上配置客户端时间服务器以及指定node1位源时间服务器:
最后都能在防火墙开启情况下正常工作:
扫一扫
1064
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
