2015-04-02 33 views
12

Sto utilizzando AWS e sono su un server EC2 ...C'è un server NTP dovrei usare quando si utilizza il servizio EC2 di Amazon per la lotta contro l'orologio deriva?

[[email protected] ~]$ uname -a 
Linux mydomain.org 3.14.33-26.47.amzn1.x86_64 #1 SMP Wed Feb 11 22:39:25 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux 

Il mio orologio è spento da un minuto ro così, nonostante il fatto che ho già installato e funzionante NTPD

[[email protected] ~]$ sudo service ntpd status 
ntpd (pid 22963) is running... 

Sarebbe compaiono i pacchetti NTP sono bloccati o c'è qualche altro problema perché ottengo questo errore ...

[[email protected] ~]$ sudo ntpdate pool.ntp.org 
2 Apr 16:43:50 ntpdate[23748]: no server suitable for synchronization found 

qualcuno sa con AWS se c'è un altro server che dovrei essere con Tacting per informazioni NTP o se ci sono altre configurazioni aggiuntive di cui ho bisogno?

Grazie, - Dave

Edit: Compreso l'uscita dal commento ...

[[email protected] ~]$ sudo ntpq -p 
    remote   refid  st t when poll reach delay offset jitter 
============================================================================== 
173.44.32.10 .INIT.   16 u - 1024 0 0.000 0.000 0.000 
deekayen.net .INIT.   16 u - 1024 0 0.000 0.000 0.000 
dhcp-147-115-21 .INIT.   16 u - 1024 0 0.000 0.000 0.000 
time-b.timefreq .INIT.   16 u - 1024 0 0.000 0.000 0.000 

Seconda modifica:

Qui di seguito sono i contenuti di/etc/ntp.conf file

# For more information about this file, see the man pages 
# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5). 

driftfile /var/lib/ntp/drift 

# Permit time synchronization with our time source, but do not 
# permit the source to query or modify the service on this system. 
restrict default nomodify notrap nopeer noquery 

# Permit all access over the loopback interface. This could 
# be tightened as well, but to do so would effect some of 
# the administrative functions. 
restrict 127.0.0.1 
restrict ::1 

# Hosts on local network are less restricted. 
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap 

# Use public servers from the pool.ntp.org project. 
# Please consider joining the pool (http://www.pool.ntp.org/join.html). 
server 0.amazon.pool.ntp.org iburst 
server 1.amazon.pool.ntp.org iburst 
server 2.amazon.pool.ntp.org iburst 
server 3.amazon.pool.ntp.org iburst 

#broadcast 192.168.1.255 autokey # broadcast server 
#broadcastclient   # broadcast client 
#broadcast 224.0.1.1 autokey  # multicast server 
#multicastclient 224.0.1.1  # multicast client 
#manycastserver 239.255.254.254  # manycast server 
#manycastclient 239.255.254.254 autokey # manycast client 

# Enable public key cryptography. 
#crypto 

includefile /etc/ntp/crypto/pw 

# Key file containing the keys and key identifiers used when operating 
# with symmetric key cryptography. 
keys /etc/ntp/keys 

# Specify the key identifiers which are trusted. 
#trustedkey 4 8 42 

# Specify the key identifier to use with the ntpdc utility. 
#requestkey 8 

# Specify the key identifier to use with the ntpq utility. 
#controlkey 8 

# Enable writing of statistics records. 
#statistics clockstats cryptostats loopstats peerstats 

# Enable additional logging. 
logconfig =clockall =peerall =sysall =syncall 

# Listen only on the primary network interface. 
interface listen eth0 
interface ignore ipv6 

# Disable the monitoring facility to prevent amplification attacks using ntpdc 
# monlist command when default restrict does not include the noquery flag. See 
# CVE-2013-5211 for more details. 
# Note: Monitoring will not be disabled with the limited restriction flag. 
disable monitor 

e sotto è l'uscita da "ntpq -p"

sudo ntpq -p 
    remote   refid  st t when poll reach delay offset jitter 
============================================================================== 
173.44.32.10 .INIT.   16 u - 1024 0 0.000 0.000 0.000 
deekayen.net .INIT.   16 u - 1024 0 0.000 0.000 0.000 
dhcp-147-115-21 .INIT.   16 u - 1024 0 0.000 0.000 0.000 
time-b.timefreq .INIT.   16 u - 1024 0 0.000 0.000 0.000 
+0

Sembra che tu possa essere stato troppo restrittivo con i tuoi gruppi di sicurezza o network acl. Non ho problemi con i server di default 'ntpd' nelle istanze EC2. –

risposta

8

Sì, si dovrebbe utilizzare almeno 3 e idealmente 5 o più server che sono uno strato basso e uno vicino (round trip time) alla tua istanza.

Amazon fornire qualche documents cui dettaglio come configurare NTP. Va notato che non è necessario utilizzare i server piscina elencati - sono un fronte per la piscina NTP pubblico che bilanciamento del carico di Amazon; puoi scegliere qualsiasi server che ti piace, ricorda di aggiornare le impostazioni di sicurezza/ACL per tutti i nuovi indirizzi.

L'output fornito

[[email protected] ~]$ sudo ntpq -p 
    remote   refid  st t when poll reach delay offset jitter 
============================================================================== 
173.44.32.10 .INIT.   16 u - 1024 0 0.000 0.000 0.000 
deekayen.net .INIT.   16 u - 1024 0 0.000 0.000 0.000 
dhcp-147-115-21 .INIT.   16 u - 1024 0 0.000 0.000 0.000 
time-b.timefreq .INIT.   16 u - 1024 0 0.000 0.000 0.000 

mostra che il server è stato configurato non sono raggiungibili.

Refid=.INIT. significa che non hai ancora comunicazioni al server di riferimento inizializzato. È il polling loro ogni 1.024 sec ma tutti hanno reach=0 quindi non è possibile raggiungerli e non ricevono il tempo da qualsiasi server. Ecco perché il tuo orologio è ancora sbagliato.

E forse hai la configurazione di sicurezza del firewall/di rete troppo duro e si blocca l'accesso a questi host, o più probabilmente la porta.

Fare un po 'di livello di rete diag come sembrerebbe che è dove si trova il tuo problema - anche per favore includi il tuo ntp.conf e l'output da ntpq -pcrv se hai bisogno di ulteriore aiuto.

Una volta risolto il problema di raggiungibilità, controllare i numeri in ntpq -p che mostrano dati validi e si dovrebbe trovare il problema risolto e l'orologio viene tenuto sotto controllo come previsto.

+0

Ho aggiunto il contenuto del file ntp.conf e l'output di "ntpq -pcrv" nella mia domanda. Per quanto riguarda i problemi di rete, cosa deve accadere per raggiungere gli host? Una porta deve essere sbloccata? Non conosco il modo in cui Amazon gestisce i problemi di rete. –

+0

Puoi eseguire il ping di questi host dal tuo vps? e la porta UDP123 deve essere aperta almeno per l'accesso in uscita. Spiacenti, non posso fornire un aiuto specifico ad Amazon :(forse qualcun altro può – user3788685

+0

Sì, posso eseguire il ping di questi host ok. Non sembra che UDP sia aperto per l'accesso in uscita, ma non sono sicuro che lo stia verificando correttamente. chiama "nc 0.amazon.pool.ntp.org 123

6

Amazon documents NTP here. Includono la configurazione NTP con le loro distribuzioni Amazon Linux. Un'istanza Amazon che ho attualmente in esecuzione liste questi server in /etc/ntp.conf, che è anche quello che la loro documentazione raccomanda:

server 0.amazon.pool.ntp.org iburst 
server 1.amazon.pool.ntp.org iburst 
server 2.amazon.pool.ntp.org iburst 
server 3.amazon.pool.ntp.org iburst 
+2

Ciao, Sì, il mio /etc/ntpd.conf ha anche i server elencati. Quindi, perché il mio tempo è ancora in ritardo di un paio di minuti da quello che è il tempo reale? –

+1

@DaveA hai risolto questo problema? Fammi sapere se hai trovato una soluzione. – Robert

+0

@DaveA ntpd non corregge gli enormi offset dell'orologio. Se vuoi farlo, dovresti interrompere ntpd, eseguire 'sudo ntpdate 0.amazon.pool.ntp.org' per chiudere l'orologio per correggere, e quindi avviare nuovamente ntpd. – mortehu