網(wǎng)絡(luò)時間協(xié)議(NTP)用來同步網(wǎng)絡(luò)上不同主機(jī)的系統(tǒng)時間。你管理的所有主機(jī)都可以和一個指定的被稱為 NTP 服務(wù)器的時間服務(wù)器同步它們的時間。而另一方面，一個 NTP 服務(wù)器會將它的時間和任意公共 NTP 服務(wù)器，或者你選定的服務(wù)器同步。由 NTP 管理的所有系統(tǒng)時鐘都會同步精確到毫秒級。

　　在公司環(huán)境中，如果他們不想為 NTP 傳輸打開防火墻，就有必要設(shè)置一個內(nèi)部 NTP 服務(wù)器，然后讓員工使用內(nèi)部服務(wù)器而不是公共 NTP 服務(wù)器。在這個指南中，我們會介紹如何將一個 CentOS 系統(tǒng)配置為 NTP 服務(wù)器。在介紹詳細(xì)內(nèi)容之前，讓我們先來簡單了解一下 NTP 的概念。

　　為什么我們需要 NTP?

　　由于制造工藝多種多樣，所有的(非原子)時鐘并不按照完全一致的速度行走。有一些時鐘走的比較快而有一些走的比較慢。因此經(jīng)過很長一段時間以后，一個時鐘的時間慢慢的和其它的發(fā)生偏移，這就是常說的 “時鐘漂移” 或 “時間漂移”。為了將時鐘漂移的影響最小化，使用 NTP 的主機(jī)應(yīng)該周期性地和指定的 NTP 服務(wù)器交互以保持它們的時鐘同步。

　　在不同的主機(jī)之間進(jìn)行時間同步對于計劃備份、入侵檢測記錄、分布式任務(wù)調(diào)度或者事務(wù)訂單管理來說是很重要的事情。它甚至應(yīng)該作為日常任務(wù)的一部分。

　　NTP 的層次結(jié)構(gòu)

　　NTP 時鐘以層次模型組織。層級中的每層被稱為一個 stratum(階層)。stratum 的概念說明了一臺機(jī)器到授權(quán)的時間源有多少 NTP 跳。

　　Stratum 0 由沒有時間漂移的時鐘組成，例如原子時鐘。這種時鐘不能在網(wǎng)絡(luò)上直接使用。Stratum N (N > 1) 層服務(wù)器從 Stratum N-1 層服務(wù)器同步時間。Stratum N 時鐘能通過網(wǎng)絡(luò)和彼此互聯(lián)。

　　NTP 支持多達(dá) 15 個 stratum 的層級。Stratum 16 被認(rèn)為是未同步的，不能使用的。

　　準(zhǔn)備 CentOS 服務(wù)器

　　現(xiàn)在讓我們來開始在 CentOS 上設(shè)置 NTP 服務(wù)器。

　　首先，我們需要保證正確設(shè)置了服務(wù)器的時區(qū)。在 CentOS 7 中，我們可以使用 timedatectl 命令查看和更改服務(wù)器的時區(qū)(比如，"Australia/Adelaide"，LCTT 譯注：中國可設(shè)置為 Asia/Shanghai )

　　代碼如下:

　　# timedatectl list-timezones | grep Australia

　　# timedatectl set-timezone Australia/Adelaide

　　# timedatectl

　　繼續(xù)并使用 yum 安裝需要的軟件

　　代碼如下:

　　# yum install ntp

　　然后我們會添加全球 NTP 服務(wù)器用于同步時間。

　　代碼如下:

　　# vim /etc/ntp.conf

server 0.oceania.pool.ntp.org

　　server 1.oceania.pool.ntp.org

　　server 2.oceania.pool.ntp.org

　　server 3.oceania.pool.ntp.org

　　默認(rèn)情況下，NTP 服務(wù)器的日志保存在 /var/log/messages。如果你希望使用自定義的日志文件，那也可以指定。

　　復(fù)制代碼

　　代碼如下:

　　logfile /var/log/ntpd.log

　　如果你選擇自定義日志文件，確保更改了它的屬主和 SELinux 環(huán)境。

　　復(fù)制代碼

　　代碼如下:

　　# chown ntp:ntp /var/log/ntpd.log

　　# chcon -t ntpd_log_t /var/log/ntpd.log

　　現(xiàn)在初始化 NTP 服務(wù)并確保把它添加到了開機(jī)啟動。

　　代碼如下:

　　# systemctl restart ntp

　　# systemctl enable ntp

　　驗證 NTP Server 時鐘

　　我們可以使用 ntpq 命令來檢查本地服務(wù)器的時鐘如何通過 NTP 同步。

　　下面的表格解釋了輸出列。

　　remote 源在 ntp.conf 中定義。‘*’ 表示當(dāng)前使用的，也是最好的源;‘+’ 表示這些源可作為 NTP 源;‘-’ 標(biāo)記的源是不可用的。

　　refid 用于和本地時鐘同步的遠(yuǎn)程服務(wù)器的 IP 地址。

　　st Stratum(階層)

　　t 類型。 u 表示單播(unicast)。其它值包括本地(local)、多播(multicast)、廣播(broadcast)。

　　when 自從上次和服務(wù)器交互后經(jīng)過的時間(以秒數(shù)計)。

　　poll 和服務(wù)器的輪詢間隔，以秒數(shù)計。

　　reach 表示和服務(wù)器交互是否有任何錯誤的八進(jìn)制數(shù)。值 337 表示 100% 成功(即十進(jìn)制的255)。

　　delay 服務(wù)器和遠(yuǎn)程服務(wù)器來回的時間。

　　offset 我們服務(wù)器和遠(yuǎn)程服務(wù)器的時間差異，以毫秒數(shù)計。

　　jitter 兩次取樣之間平均時差，以毫秒數(shù)計。

　　控制到 NTP 服務(wù)器的訪問

　　默認(rèn)情況下，NTP 服務(wù)器允許來自所有主機(jī)的查詢。如果你想過濾進(jìn)來的 NTP 同步連接，你可以在你的防火墻中添加規(guī)則過濾流量。

　　# iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 123 -j ACCEPT

　　# iptables -A INPUT -p udp --dport 123 -j DROP

　　該規(guī)則允許從 192.168.1.0/24 來的 NTP 流量(端口 UDP/123)，任何其它網(wǎng)絡(luò)的流量會被丟棄。你可以根據(jù)需要更改規(guī)則。

　　配置 NTP 客戶端

　　1. Linux

　　NTP 客戶端主機(jī)需要 ntpupdate 軟件包來和服務(wù)器同步時間。可以輕松地使用 yum 或 apt-get 安裝這個軟件包。安裝完軟件包之后，用服務(wù)器的 IP 地址運(yùn)行下面的命令。

　　代碼如下:

　　# ntpdate

　　基于 RHEL 和 Debian 的系統(tǒng)命令都相同。

　　2. Windows

　　如果你正在使用 Windows，在日期和時間設(shè)置(Date and Time settings)下查找網(wǎng)絡(luò)時間(Internet Time)。

　　3. Cisco 設(shè)備

　　如果你想要同步 Cisco 設(shè)備的時間，你可以在全局配置模式下使用下面的命令。

　　代碼如下:

　　# ntp server

　　來自其它廠家的支持 NTP 的設(shè)備有自己的用于網(wǎng)絡(luò)時間的參數(shù)。如果你想將設(shè)備和 NTP服務(wù)器同步時間，請查看設(shè)備的說明文檔。

　　結(jié)論

　　總而言之，NTP 是在你的所有主機(jī)上同步時鐘的一個協(xié)議。我們已經(jīng)介紹了如何設(shè)置 NTP 服務(wù)器并使支持 NTP 的設(shè)備和服務(wù)器同步時間。

　　希望能對你有所幫助。