CentOS6u9 内网ntp时钟同步服务器搭建配置

简单说明：

CentOS的系统时钟同步方法有两种：
1，使用ntpdate命令从另一个时钟同步服务器进行同步
   这个时钟同步服务器不能是使用ntpdate命令的服务器本身
   ntpd和ntpdate两者互斥
2，使用ntpd时钟同步服务从上一级的时钟同步服务器自动同步

如果服务器可以连通公网，可以很简单的使用ntpdate从公共的时钟同步服务器进行校正
比如阿里云的时钟同步服务器：time1.aliyun.com 到 time7.aliyun.com 均是可用的
但是正规的生产环境能够连通公网的主机有限，而基本上所有的服务器都需要做时钟校正
这就需要在DMZ区搭建私有的时钟同步服务器对内提供时钟校正服务

搭建部署：

1° 依据《CentOS6实验机模板搭建部署》克隆一台实验机，删除已经部署的ntpdate时间同步任务：

sed -i '/^.*ntpdate.*$/d' /etc/rc.local
crontab -l>/tmp/crontab.tmp
sed -i '/^#OS Time Sync/d' /tmp/crontab.tmp
sed -i '/^.*ntpdate.*$/d' /tmp/crontab.tmp
cat /tmp/crontab.tmp |crontab
rm -rf /tmp/crontab.tmp

2° 首先做一次时钟同步，如果时钟差异较大，则整个校正过程会很长：

ntpdate time1.aliyun.com
# 当使用ntpdate命令同步失败时，使用-d参数查看debug信息
ntpdate -d time1.aliyun.com

3° 安装服务，配置启动：

yum -y install ntp
chkconfig ntpd on

# 修改配置文件，注释掉默认的上一层ntpd服务器
sed -i 's/^server /# &/g' /etc/ntp.conf

# 配置文件修改配置
cat >>/etc/ntp.conf<<EOF
# 配置指定某个网段的客户机使用权限
# 也可以不进行设置，使用配置文件默认的restrict
# restrict 192.168.77.0 mask 255.255.255.0 nomodify notrap

# 配置可用的上一级时钟同步服务器URL
# http://www.pool.ntp.org/zone/cn
# 可以在该网页找到官方的ntpd服务器地址
# 我们同时使用阿里云和官方的ntpd服务器
server time1.aliyun.com
server time2.aliyun.com
server time3.aliyun.com
server time4.aliyun.com
server time5.aliyun.com
server time6.aliyun.com
server time7.aliyun.com
server 0.pool.ntp.org
server 1.pool.ntp.org
server 2.pool.ntp.org
server 3.pool.ntp.org

# 将本地的硬件时间也作为同步的时间源之一
# 在不联网的时候可以把本机时间作为同步时间源
# stratum 设置时间服务器的级别
server 127.127.1.0
fudge 127.127.1.0 stratum 10

# 打开硬件时钟的ntpd同步功能
SYNC_HWCLOCK=yes

# 打开设置日志
logfile /var/log/ntp
EOF

# 启动
/etc/init.d/ntpd start

4° 状态监控：

# 使用watch命令一直刷新监控 ntpq -p 命令结果
watch ntpq -p

简单解释：

第一行，每隔两秒就会执行ntpq -p命令，当次执行命令的时间戳

remote 远程ntpd服务器URL或IP，该字段前会有一个修饰符，如*、+、-、x
       当该远程ntpd服务器被*修饰时，代表该服务器是本机主要用来做时间校正的服务器
       当该远程ntpd服务器被+修饰时，代表该服务器是本机辅助用来做时间校正的服务器
       当该远程ntpd服务器被-修饰时，代表该服务器目前不会被用作时间校正
       当该远程ntpd服务器被x修饰时，代表该服务器目前不可达

refid  远程ntpd服务器的上层ntpd服务器IP

st     远程ntpd服务器等级，即stratum
       NTP服务器有顶级服务器和中继服务器
       ntpd会去寻找等级比较高的或者同级别的服务器做时间同步
       如果我们需要配置一个私有的NTP服务器，可以将其设置为2之后的等级，比如10

t      类型 u: unicast b: broadcast l: local 本地，即是127.0.0.1

when   距离最后接收到包的时间间隔

poll   和远程ntpd服务器通讯的时间间隔，会在ntpd服务重启后逐步增加
       也就是说刚重启时和远程ntpd服务器通讯频繁，其后越来越慢

reach  这是一个八进制的数值，当when达到poll间隔时间之后，会再次向远程服务器注册
       注册成功时该值就会增加，可以将数值转换成10进制，可以看出一些规律，具体意义猜不到

delay  本机到远程服务器的往返延迟 roundtrip delay，从本机发出指令到收到服务器指令的延迟

offset 本机和远程服务器之间的时间差，越接近0表示和远程服务器时间差越小

jitter 这是一个根据近期的offset计算出的分布情况，该值绝对值越小表示本机到服务器之间的差距越小
       是一个在多个远程服务器中选举服务器的参数之一

5° 权限配置：

可以配置指定客户端所在IP或者网段的使用权限
restrict IP/网段 mask掩码 权限[1 权限2 权限3 ...]
权限包括：
    ignore 拒绝所有类型的ntp连接
    nomodify 客户端不能修改服务器的时间参数
    noquery 客户端不能查询服务器时间，也就是客户端无法使用该ntpd做时间校正
    notrap 不提供trap远程时间登录的功能
    notrust 拒绝没有认证的客户端
    nopeer 不与其他同等级的ntp服务器进行时间同步

客户端配置：

客户端需要打通访问该ntpd服务器的123端口的udp权限
如果是依据《CentOS6实验机模板搭建部署》搭建部署的客户端机器
则需要修改： /etc/rc.local 中的ntpd服务器地址，将阿里云的ntp替换为该ntpd
同时需要修改：root用户的crontab，同样将阿里云的ntp替换掉

[TOC]