19.1 时间同步的必要性
对于一些服务来说对时间要求非常严格,例如,图19-1所示由三台服务器搭建的ceph集群。
图19-1 三台机器搭建的集群对时间要求比较高
这三台服务器的时间必须要保持一样,如果不一样,就会显示报警信息。那么,如何能让这三台机器的时间保持一致?手动调整时间的方式肯定不行,因为手动调整时间最多只能精确到分,很难精确到秒。而且即使现在时间调整一致了,过一段时间之后,时间又可能又不一样了。
所以,需要设置这些服务器的时间能够自动去同步,如图19-2所示。
图19-2 通过时间服务器进行时间同步
这里假设我们有一个时间服务器时间为7:00,server1和server2设置好向此时间服务器进行时间的同步。
假设server1当前时间为6:59,它跟时间服务器一对比,“我的时间比时间服务器慢了一分钟”,然后它主板上的晶体芯片就会跳动得快一些,很快就“追”上了时间服务器的时间。
假设server2当前时间是7:01,它跟时间服务器一对比,“我竟然比时间服务器快了一分钟”,然后它主板上的晶体芯片就会跳动的慢一些,“等着”时间服务器。
下面就开始使用chrony来配置时间服务器。
19.2 配置时间服务器
拓扑图如图19-3所示。
图19-3 本章实验拓扑图
这里把server配置成时间服务器,server2作为客户端向server1进行时间同步。
在安装系统时,如果已经选择了图形化界面,默认已经把chrony这个软件安装上了(如果没有安装,请先看后面软件包管理章节之后,然后自行安装上去)。
使用vim编辑打开/etc/chrony.conf,只修改我们能用的几行。
(1)指定所使用的上层时间服务器
pool 2.rhel.pool.ntp.org iburst修改为pool 127.127.1.0 iburst
pool后面跟的是时间服务器,因为这里把server作为chrony服务器,没有上一层的服务器,所以上层服务器设置为本地时钟的IP:127.127.1.0。
这里iburst的意思是如果chrony服务器出问题时,客户端会发送一系列的包给 chrony服务器对服务器进行检测。
(2)指定允许访问的客户端
修改allow所在行,把注释符#去掉,并把后面的网段改为192.168.26.0/24。
把
#allow 192.168.0.0/16
改成
allow 192.168.26.0/24
server配置成时间服务器之后,只允许192.168.26.0/24网段的客户端进行时间同步。如果要允许所有客户端都能向此时间服务器进行时间同步,可以写成allow 0/0 或allow all。
(3)把local stratum前的注释符#去掉。
把#local stratum 10 变为local stratum 10
这行的意思是即使服务器本身没有和时间服务器保持时间同步,那么也可以对外提供时间服务,这行注释要取消。
保存退出,去除空白行和注释行之后,最后修改之后的代码如下,黑体字是修改的内容。
[root@server ~]# egrep -v '#|^$' /etc/chrony.conf
pool 127.127.1.0 iburst
driftfile /var/lib/chrony/drift
makestep 1.0 3
rtcsync
allow 192.168.26.0/24
local stratum 10
keyfile /etc/chrony.keys
leapsectz right/UTC
logdir /var/log/chrony
[root@server ~]#
然后重启chronyd这个服务(注,这里是chronyd不是chrony),并设置开机自动启动,命令如下。
[root@server ~]# systemctl restart chronyd
[root@server ~]# systemctl enable chronyd
[root@server ~]#
chrony用的是UDP的123和323,命令如下。
[root@server ~]# netstat -nutlp | grep chronyd
udp 0 0 0.0.0.0:123 0.0.0.0:* 408855/chronyd
udp 0 0 127.0.0.1:323 0.0.0.0:* 408855/chronyd
udp6 0 0 ::1:323 :::* 408855/chronyd
[root@server ~]#
在防火墙中把这两个端口开放,命令如下。
[root@server ~]# firewall-cmd --add-port=123/udp --permanent
success
[root@server ~]# firewall-cmd --add-port=323/udp --permanent
success
[root@server ~]# firewall-cmd --reload
success
[root@server ~]#
这里加上选项–permanent的目的是让其永久生效,然后通过reload重新加载防火墙规则,让其立马也生效。具体防火墙的设置后面有专门章节讲解。
至此,用chrony搭建的时间服务器完成。
19.3 配置chrony客户端
把server2配置成时间服务器的客户端,也就是chrony客户端。
在server2(IP为192.168.26.102)上用vim编辑器修改/etc/chrony.conf ,修改下面的几行。
(1)修改pool那行,指定要从哪台时间服务器同步时间。
由原来的pool 2.rhel.pool.ntp.org iburst
改为 pool 192.168.26.101 iburst
这里指定时间服务器为192.168.26.101,即向192.168.26.101进行同步时间
(2)修改makestep那行,格式如下。
makestep 阈值 limit
客户端向服务器同步时间有两种方式:step和slew。
step:跳跃着更新时间,如时间由1点直接跳到7点。
slew:平滑着移动时间,晶体芯片跳动的快一些,就好比秒针的转速"快镜头"一般。
如果客户端和服务器时间相差较多,则通过step的方式更新,如果客户端和服务器相时间差不多,则通过slew平滑的方式更新时间。那么,时间相差多或不多的标准是什么呢?就要看时间差是否超过makestep后面的阈值了。
举个例子,makestep 10 3的意思是如果本机和时间服务器的时间相差10s以上,就认为客户端和服务器的时间相差较多,则前三次更新用step的方式来更新。客户端通过这种方式会更新地很快,有些应用程序因为时间的突然跳动,会带来问题。
如果客户端和服务器的时间相差低于10s以内,就认为两者时间相差不多,就通过slew的方式,这种方式更新的速度会比较慢,但比较平稳。
把原来的makestep 1.0 3 改成:makestep 200 3
如果客户端和时间服务器的时间相差200s以上,则认为时间相差较多,此时会通过step的方式进行调整时间。
保存退出,并重启chronyd服务,命令如下。
[root@server2 ~]# systemctl restart chronyd
[root@server2 ~]# systemctl enable chronyd
[root@server2 ~]#
为了更细致地看到两台机器的时间差,先配置从server2可以无密码ssh到server上。先生成密钥对,命令如下。
[root@server2 ~]# ssh-keygen -N "" -f /root/.ssh/id_rsa
Generating public/private rsa key pair.
Your identification has been saved in /root/.ssh/id_rsa....输出...
[root@server2 ~]#
配置到server的密钥登录,命令如下。
[root@server2 ~]# ssh-copy-id 192.168.26.101...输出...
root@192.168.26.101's password: 此处输入192.168.26.101的root密码...输出...
[root@server2 ~]#
给server2上通过date命令设置时间,使得server2和server的时间相差200s,命令如下。
[root@server2 ~]# date -s "2023-12-19 23:50:00" ; hwclock -w
2023年 12月 19日 星期二 23:50:00 CST
[root@server2 ~]#
然后同时显示两台机器的时间,命令如下。
[root@server2 ~]# date ; ssh 192.168.26.101 date
2023年 12月 19日 星期二 23:50:08 CST
2023年 12月 19日 星期二 23:56:34 CST
[root@server2 ~]#
这里可以看到,时间相差了6分钟,即360s多。
然后重启server2的chronyd服务,等待几秒之后再次查看
[root@server2 ~]# date ; ssh 192.168.26.101 date
2023年 12月 19日 星期二 23:57:17 CST
2023年 12月 19日 星期二 23:57:17 CST
[root@server2 ~]#
可以看到,时间很快就同步了,因为这是通过step的同步方式,会很快。
再次修改时间,命令如下。
[root@server2 ~]# date -s "2023-12-19 00:00:00" ; hwclock -w
2023年 12月 19日 星期二 00:00:00 CST
[root@server2 ~]#
[root@server2 ~]# date ; ssh 192.168.26.101 date
2023年 12月 19日 星期二 00:00:03 CST
2023年 12月 19日 星期二 00:01:13 CST
[root@server2 ~]#
两台机器的时间相差在1分10s,大概是70s,这个值低于200s,即在makestep的阈值范围之内,此时客户端向服务器进行时间同步时只能使用slew的方式同步。
此时重启chronyd服务,也不会保持时间同步,命令如下。
[root@server2 ~]# date ; ssh 192.168.26.101 date
2023年 12月 19日 星期二 00:01:54 CST
2023年 12月 19日 星期二 00:03:03 CST
[root@server2 ~]#
此时可以看到,并没有同步,因为slew同步的速度比较慢。
此时如果通过执行chronyc makestep手动step同步,则会立即同步时间,命令如下。
[root@server2 ~]# chronyc makestep
200 OK
[root@server2 ~]# date ; ssh 192.168.26.101 date
2023年 12月 19日 星期二 00:05:55 CST
2023年 12月 19日 星期二 00:05:55 CST
[root@server2 ~]#
这样就可以看到立即同步成功了。
通过chronyc -n sources -v查看现在同步状况,如图20-4所示。
图20-4 查看同步状况
这里可以看到,server2是向192.168.26.101进行同步时间的。
作业
配置server2,使其向阿里云的时间服务器同步时间,阿里云时间服务器地址是ntp.aliyun.com。