Нам нужно настроить внутренний NTP-сервер. Поскольку этот сервер будет в значительной степени ТОЛЬКО сервером времени, я думал просто создать для него виртуальную машину. Однако поиск в Google показывает, что могут быть серьезные проблемы с дрейфом часов на серверах виртуальных машин. Итак, запуск нашего NTP-сервера на виртуальной машине - это совершенно глупая идея?
Спасибо, Джон
Время жестяная банка быть проблемой внутри виртуальных машин, но к тому же, если все сделано правильно, может быть таким же точным, как и физическая машина. Это может показаться странным, но я большой поклонник использования своих коммутаторов (всегда Cisco в моем мире) в качестве источников NTP - они не только легко настраиваются как таковые, но и имеют удобное преимущество, поскольку обычно тоже являются вашим генеральным директором - посмотрите, могут ли ваши переключатели сделать это тоже.
(Этот вопрос лучше подходит для дочернего сайта StackOverflow, ServerFault.com.)
Да, дрейф часов на размещенных виртуальных машинах может быть более значительным по сравнению с физическим оборудованием. (Обычно вы настраиваете хост-сервер VMware для синхронизации с выбранным вами NTP-сервером, а затем синхронизируете VMware Tools на каждой из виртуальных машин с их родительским хостом.) Но я не уверен, что это причина избегать виртуального NTP. сервер ...
С другой стороны, рассматривали ли вы другие варианты? Например, NTP - настолько легкий сервис, что его можно добавить практически к любому другому производственному серверу без увеличения нагрузки. (Черт возьми, если у вас есть домен Windows, один из ваших контроллеров Active Directory уже действует как сервер NTP для членов домена.) Или можно использовать существующий сервер NTP из Интернета (см. http://www.pool.ntp.org/en/ за огромный список)?
В общем, запуск полномочного сервера NTP на виртуальной машине очень плохая идея. Может быть достаточно сложно просто заставить виртуальную машину постоянно показывать точное время с точностью до секунды.
Вам действительно нужно запустить его на каком-то металле, но, как сказал ewall, это обычно легкий сервис (если он только для внутреннего использования). Обычно мы комбинируем его с каким-либо другим сервером, уже работающим на оборудовании, например, с DHCP или DNS-серверами.
Установите по крайней мере два, сделайте их равноправными друг другу и синхронизируйте их с известным набором хороших серверов. Что это может быть, зависит от того, где вы находитесь; своевременно уточняйте у своего интернет-провайдера, национальных властей и т. д. Pool.ntp.org может быть в порядке или может быть недостаточно хорошим, в зависимости от ваших требований.
Почему бы не использовать ntpd, работающий на самом ESXi, в качестве локального ntp-сервера?
Сначала настройте синхронизацию времени как обычно на хосте ESXi, указывающем на один или несколько внешних серверов ntp (см. Pool.ntp.org).
Чтобы разрешить другим хостам использовать ntpd, работающий на ESXi, вам нужно будет добавить настраиваемое правило брандмауэра, чтобы разрешить его использование в качестве сервера. Самый простой способ добавить правила брандмауэра - запустить в оболочке ESXi следующее:
esxcli software acceptance set --level CommunitySupported
esxcli software vib install -v http://files.v-front.de/fwenable-ntpd-1.2.0.x86_64.vib
После завершения просто установите флажок рядом с «NTP Daemon» в свойствах брандмауэра ваших серверов ESXi. Теперь вы можете съесть свой торт и съесть его!
Источник: http://www.v-front.de/2012/01/howto-use-esxi-5-as-ntp-server-or-howto.html
Que? Вы пытаетесь собрать доказательства правильного управления временем или просто откалибруете набор машин? Это совершенно другой процесс генерации свидетельств, и ни одна из существующих систем, включая NTP, не работает как демон.
Что касается виртуализированных платформ, они абстрагируются от реальности своими диспетчерами виртуализации и средой выполнения, поэтому глупо ожидать, что они будут передавать информацию в реальном времени своим вызывающим процессам. Кроме того, если виртуализированная среда спроектирована правильно, временные данные в ней, ну, не имеют значения, потому что виртуализированная система будет регистрироваться в фиксированной реальной системе ведения журнала в качестве своей инфраструктуры, поэтому реальная проблема заключается в том, когда записи журнала были введены в систему регистратор. Это то, что порождает доказуемую последовательность событий.
Одно решение Вы могли бы сделать то, что я рекомендовал клиенту сегодня - запрограммировать экземпляры виртуальных машин на установку времени на основе извлечения из предварительно определенного источника, закодировав адрес источника в ключевые поля NTP-сервера в реестре, а затем изменив значения опроса в реестре. чтобы клиент обновлял свое время суток каждую минуту. Результатом этого является создание записи журнала событий в двух отдельных экземплярах журнала один раз в минуту, гарантируя наличие виновного отслеживания. Тогда кого волнует, что делает AD или процесс пробуждения состояния для виртуальной машины?
Вам нужен партнер, чтобы NTP работал. Что касается вопроса доказательств - NTP должен иметь партнерство с известными источниками, чтобы быть надежным. Это протокол на основе UDP / IP с ограниченными возможностями для фактической защиты данных при транспортировке. Он также подвержен множеству простых атак, таких как атаки типа MAN IN THE MIDDLE или REPLAY. Таким образом, если вы используете его в качестве доказательства, ему действительно нужен партнер и кто-то, у кого есть предварительно утвержденные шаблоны для операций.
Я мог бы рассказать о NTP и его неправильном использовании и неправильном понимании того, что он дает в качестве доказательства. Но при этом NTP может использоваться в качестве надежного источника доказательств с некоторыми ограничениями и партнерскими отношениями с поставщиками NTP.
У меня были огромные проблемы при использовании VMWare Server и виртуальной машины с NTP. Хотя VMWare ESXi работает прекрасно.
Обычно у поставщиков программного обеспечения для виртуализации есть гостевые инструменты (у Vmware и Virtualbox есть) для решения этой проблемы, я испытал дрейф перед установкой гостевых инструментов vmware на наш ESX. Хотя время не сильно дрейфует (несколько секунд максимального отклонения), но это определенно повлияет, если вы разместите на нем сервер времени.
Время, как правило, основано на подсчете циклов процессора, возможно, некоторые платформы виртуализации поддерживают гарантию частоты процессоров, предоставленных виртуальной машине, что могло бы помочь.