AmazonのEC2サービスを使用してクロックドリフトと戦うときに使用する必要があるNTPサーバーはありますか?
私はAWSを使用していて、EC2サーバー上にいます…
[dalvarado@mymachine ~]$ uname -a
Linux mydomain.org 3.14.33-26.47.amzn1.x86_64 #1 SMP Wed Feb 11 22:39:25 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
すでにNTPDがインストールされて実行されているにもかかわらず、私の時計は1分遅れています
[dalvarado@mymachine ~]$ Sudo service ntpd status
ntpd (pid 22963) is running...
このエラーが発生するため、ntpパケットがブロックされているか、他の問題があるようです…
[dalvarado@mymachine ~]$ Sudo ntpdate pool.ntp.org
2 Apr 16:43:50 ntpdate[23748]: no server suitable for synchronization found
NTP infoのために連絡する必要がある別のサーバーがある場合、または必要な他の追加の構成がある場合、AWSを知っている人はいますか?
おかげで、-デイブ
編集: コメントからの出力を含める...
[dalvarado@mymachine ~]$ Sudo ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
173.44.32.10 .INIT. 16 u - 1024 0 0.000 0.000 0.000
deekayen.net .INIT. 16 u - 1024 0 0.000 0.000 0.000
dhcp-147-115-21 .INIT. 16 u - 1024 0 0.000 0.000 0.000
time-b.timefreq .INIT. 16 u - 1024 0 0.000 0.000 0.000
2番目の編集:
以下は/etc/ntp.confファイルの内容です
# For more information about this file, see the man pages
# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).
driftfile /var/lib/ntp/drift
# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default nomodify notrap nopeer noquery
# Permit all access over the loopback interface. This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1
restrict ::1
# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.Amazon.pool.ntp.org iburst
server 1.Amazon.pool.ntp.org iburst
server 2.Amazon.pool.ntp.org iburst
server 3.Amazon.pool.ntp.org iburst
#broadcast 192.168.1.255 autokey # broadcast server
#broadcastclient # broadcast client
#broadcast 224.0.1.1 autokey # multicast server
#multicastclient 224.0.1.1 # multicast client
#manycastserver 239.255.254.254 # manycast server
#manycastclient 239.255.254.254 autokey # manycast client
# Enable public key cryptography.
#crypto
includefile /etc/ntp/crypto/pw
# Key file containing the keys and key identifiers used when operating
# with symmetric key cryptography.
keys /etc/ntp/keys
# Specify the key identifiers which are trusted.
#trustedkey 4 8 42
# Specify the key identifier to use with the ntpdc utility.
#requestkey 8
# Specify the key identifier to use with the ntpq utility.
#controlkey 8
# Enable writing of statistics records.
#statistics clockstats cryptostats loopstats peerstats
# Enable additional logging.
logconfig =clockall =peerall =sysall =syncall
# Listen only on the primary network interface.
interface listen eth0
interface ignore ipv6
# Disable the monitoring facility to prevent amplification attacks using ntpdc
# monlist command when default restrict does not include the noquery flag. See
# CVE-2013-5211 for more details.
# Note: Monitoring will not be disabled with the limited restriction flag.
disable monitor
以下は「ntpq -p」からの出力です
Sudo ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
173.44.32.10 .INIT. 16 u - 1024 0 0.000 0.000 0.000
deekayen.net .INIT. 16 u - 1024 0 0.000 0.000 0.000
dhcp-147-115-21 .INIT. 16 u - 1024 0 0.000 0.000 0.000
time-b.timefreq .INIT. 16 u - 1024 0 0.000 0.000 0.000
はい、少なくとも3つ、ideally5つ以上のサーバーを使用する必要があります。これらのサーバーは、低層でインスタンスに近い(ラウンドトリップタイム)です。
Amazonはいくつかの documents を提供しています。これはntpの設定方法を詳しく説明しています。リストされているプールサーバーを使用する必要はないことに注意してください。これらは、Amazonが負荷分散するパブリックntpプールのフロントです。任意のサーバーを選択できます。新しいアドレスのセキュリティ/ ACL設定を更新することを忘れないでください。
あなたが提供した出力
[dalvarado@mymachine ~]$ Sudo ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
173.44.32.10 .INIT. 16 u - 1024 0 0.000 0.000 0.000
deekayen.net .INIT. 16 u - 1024 0 0.000 0.000 0.000
dhcp-147-115-21 .INIT. 16 u - 1024 0 0.000 0.000 0.000
time-b.timefreq .INIT. 16 u - 1024 0 0.000 0.000 0.000
構成したサーバーに到達できないことを示します。
Refid=.INIT.は、参照先サーバーへの通信をまだ初期化していないことを意味します。 1024秒ごとにポーリングしますが、それらはすべてreach=0を持っているため、それらにアクセスできず、どのサーバーからも時間を受信していません。それがあなたの時計がまだ間違っている理由です。
ファイアウォール/ネットワークセキュリティのセットアップが厳しすぎて、それらのホストまたはおそらくポートへのアクセスをブロックしている可能性があります。
問題が発生していると思われるネットワークレベルの診断を行います。さらにサポートが必要な場合は、ntp.confとntpq -pcrvからの出力も含めてください。
到達可能性の問題を修正したら、ntpq -pの数値が有効なデータを示していることを確認してください。問題がソートされ、期待どおりにクロックがチェックされます。
169.254.169.12 ;でAWSタイムサービスを使用することについての警告です。このサーバーは、うるう秒を正しく処理しないため、truentpサーバーではありません。代わりに、AWSサーバーは「スピアリングの跳躍」を行います。
これはセットアップに適している場合とそうでない場合があり、never通常のNTPサーバーとリープスミアNTPサーバーを混在させる必要があります。同じ構成、または同じタイミングドメイン。問題を回避するために、1つの標準を選択し、それに準拠する必要があります。
(2018) Amazonは169.254.169.123 NTP server なぜなら
インスタンスはインターネットへのアクセスを必要としません。また、アクセスを許可するためにセキュリティグループルールまたはネットワークACLルールを設定する必要はありません。
( link-local "Amazon Time Sync Service"は2017年後半に導入されたようです )
注:169.254.169.123サーバーは " leap smearing "を実行し、他の(Amazon以外)と混合しないでください。NTPインターネット上でスミアリングを実行していないサーバーAmazonは、chronyが-として使用できないという従来の状況に陥っていない限り、ntpdの代わりに chrony を使用することもお勧めします。 ntpdと比較して、chronyは同期の達成が速く、より正確で堅牢です 。
Amazon documents NTP here 。これらには、Amazon LinuxディストリビューションでのNTP設定が含まれます。現在実行しているAmazonインスタンスは、これらをリストします/etc/ntp.confのサーバー。これも、ドキュメントで推奨されているものです。
server 0.Amazon.pool.ntp.org iburst
server 1.Amazon.pool.ntp.org iburst
server 2.Amazon.pool.ntp.org iburst
server 3.Amazon.pool.ntp.org iburst