Назад | Перейти на главную страницу

Высокая доступность NTP за виртуальным IP

Размещение NTP-сервера за виртуальным IP-адресом - плохая практика? (VRRP)

Насколько было бы лучше, если клиенты просто общаются напрямую с двумя экземплярами?

Поскольку клиенты NTP сохраняют переопределение сервера, я полагаю, он будет различать, когда сервер, стоящий за IP, меняется местами, но я не уверен, как это повлияет на его поведение в противном случае.

После моего первоначального комментария чуть более длинный ответ.

Как показывает опыт, когда сам протокол или общие реализации указанного протокола уже изначально поддерживают отказоустойчивость, высокую доступность и аварийное переключение, вам не нужно предоставлять их на уровне инфраструктуры.

(За исключением случаев, когда вы используете делать требуют их ...)

Балансировка нагрузки и кластеризация - полезные методы, но они также требуют экспертного обслуживания, и я видел гораздо больше катастрофических сбоев кластеров высокой доступности, чем я видел, как администраторы ломали два разных сервера одновременно.


Что касается NTP, вы либо предоставляете своим клиентам один NTP-сервер, либо оптимально вы настраиваете 4 или больше...

Ntpd требует, чтобы большинство серверов согласовали время перед синхронизацией.

Если у вас есть только один сервер, этот сервер воля можно поверить. Это имеет то преимущество, что по крайней мере все ваши системы будут настроены на одно и то же (хотя, возможно, и неправильное) время, и вы все равно сможете коррелировать события безопасности и полагаться на зависящие от времени протоколы, такие как Kerberos.

Если у вас есть два сервера за балансировщиком нагрузки ваши клиенты ведут себя так, как будто есть только один сервер NTP. Если время на этих двух внутренних серверах различается (в зависимости от вашего алгоритма балансировки нагрузки), либо половина ваших серверов будет использовать совершенно другую дату по сравнению с другими, либо вы можете увидеть случайные скачки времени, когда происходит переключение на другой ресурс.

Если вы настроили несколько серверов NTP, большинство (если не все) реализации клиентов NTP способны (если вы настроили достаточное количество серверов) различать «ложный тикер» и проигнорируйте это, набрав большинство голосов.