我的学习空间

---

一、快速部署（一分钟搞定）

客户端配置

# CentOS/RHEL 8+
dnf install -y chrony
cat > /etc/chrony.conf << EOF
pool ntp.aliyun.com iburst
pool ntp.tencent.com iburst
pool cn.pool.ntp.org iburst
pool 0.pool.ntp.org iburst

# 允许本地客户端查询
allow 127.0.0.1

# 本地时钟（当所有服务器不可用时）
local stratum 10

driftfile /var/lib/chrony/drift
logdir /var/log/chrony
EOF

systemctl enable --now chronyd
chronyc sources -v

Ubuntu/Debian

apt install -y chrony
# 同上配置
systemctl enable --now chrony

---

二、生产环境架构（分层同步）

┌─────────────────┐
│  一级时间源     │  stratum 1
│  nist.gov      │  阿里云NTP
│  ntp.org       │  腾讯云NTP
└────────┬────────┘
         ↓
┌─────────────────┐
│  二级内网服务器  │  stratum 2
│  ntp.internal   │  公司级NTP
└────────┬────────┘
    ↓     ↓     ↓
┌─────┐ ┌─────┐ ┌─────┐
│ Web │ │ DB  │ │ 应用 │  stratum 3
└─────┘ └─────┘ └─────┘

---

三、内网NTP服务器搭建（生产核心）

3.1 服务端配置

# /etc/chrony.conf
# 上游时间源（多个冗余）
server ntp.aliyun.com iburst
server ntp.tencent.com iburst
server 0.cn.pool.ntp.org iburst
server 1.cn.pool.ntp.org iburst
server 2.cn.pool.ntp.org iburst

# 允许内网网段访问
allow 10.0.0.0/8      # 私有A类
allow 172.16.0.0/12   # 私有B类
allow 192.168.0.0/16  # 私有C类

# 允许本机
allow 127.0.0.1

# 本地时钟（当外网断时）
local stratum 10

# 漂移文件
driftfile /var/lib/chrony/drift

# 日志
logdir /var/log/chrony
log measurements statistics tracking

# 监听所有接口
bindaddress 0.0.0.0
bindcmdaddress 0.0.0.0

3.2 防火墙配置

# NTP使用123端口（UDP）
firewall-cmd --permanent --add-service=ntp
firewall-cmd --reload

# 或手动添加
firewall-cmd --permanent --add-port=123/udp
firewall-cmd --reload

# 验证
netstat -ulnp | grep 123

---

四、客户端配置（生产标准）

4.1 内网客户端

# /etc/chrony.conf
# 指向公司内网NTP服务器（主备）
server ntp01.internal.company.com iburst
server ntp02.internal.company.com iburst
server ntp03.internal.company.com iburst

# 备用公网NTP（当内网全挂）
pool ntp.aliyun.com iburst
pool cn.pool.ntp.org iburst

# 其他配置...
driftfile /var/lib/chrony/drift
logdir /var/log/chrony

4.2 云服务器特殊配置

# 阿里云（使用内网NTP，不占公网带宽）
server ntp.aliyuncs.com iburst
server ntp1.aliyun.com iburst
server ntp2.aliyun.com iburst

# 腾讯云
server ntp.tencent.com iburst
server ntp1.tencent.com iburst
server ntp2.tencent.com iburst

# 华为云
server ntp.myhuaweicloud.com iburst

---

五、常用NTP服务器列表

国内推荐（速度快）

服务商	NTP服务器	特点
阿里云	ntp.aliyun.com	国内最快，云内网免费
腾讯云	ntp.tencent.com	稳定可靠
华为云	ntp.myhuaweicloud.com	双栈支持
中国NTP	cn.pool.ntp.org	国内轮询
教育网	ntp.neu.edu.cn	东北大学
	ntp.sjtu.edu.cn	上海交大

国际标准（精度高）

类型	NTP服务器	说明
全球池	0.pool.ntp.org	一级池
	1.pool.ntp.org	二级池
	2.pool.ntp.org	三级池
NIST	time.nist.gov	美国标准
Google	time.google.com	高精度
Cloudflare	time.cloudflare.com	隐私保护

---

六、监控与运维命令

6.1 日常检查

# 查看同步源
chronyc sources -v

# 查看详细状态
chronyc sourcestats -v

# 查看当前时间偏移
chronyc tracking

# 查看NTP活动
chronyc activity

# 手动同步
chronyc -a makestep

6.2 健康检查脚本

#!/bin/bash
# /usr/local/bin/check_ntp.sh

# 检查NTP服务是否运行
if ! systemctl is-active chronyd >/dev/null; then
    echo "CRITICAL: NTP service is not running"
    exit 2
fi

# 检查时间偏差（超过100ms告警）
OFFSET=$(chronyc tracking | grep "System time" | awk -F': ' '{print $2}' | sed 's/ seconds//' | sed 's/ //g')
OFFSET_MS=$(echo "$OFFSET * 1000" | bc | awk -F. '{print $1}')

if [ ${OFFSET_MS#-} -gt 100 ]; then
    echo "WARNING: Time offset ${OFFSET_MS}ms > 100ms"
    exit 1
else
    echo "OK: Time offset ${OFFSET_MS}ms"
    exit 0
fi

6.3 监控集成（Prometheus）

# node_exporter 默认暴露NTP指标
curl http://localhost:9100/metrics | grep node_ntp

# 关键指标
node_ntp_offset_seconds          # 时间偏移
node_ntp_stratum                # stratum层级
node_ntp_sanity                 # 健康状态

---

七、故障处理大全

7.1 常见问题与解决

现象	原因	解决方案
Name resolution of NTP servers failed	DNS解析失败	改用IP或检查DNS
No suitable source for synchronization	防火墙拦截	开放UDP 123
Offset 太大（>1秒）	初始同步	chronyc -a makestep 1000
Stratum 16	不可用状态	检查网络连通性
Connection refused	NTP服务没启动	systemctl restart chronyd

7.2 强制同步（修复严重偏差）

# 停止服务，强制同步
systemctl stop chronyd
ntpdate -b ntp.aliyun.com    # 一次性强制同步
systemctl start chronyd

# 或使用chronyc立即步进
chronyc -a makestep 1000

7.3 日志排查

# 查看NTP日志
tail -f /var/log/chrony/measurements.log
tail -f /var/log/messages | grep chrony

# 调试模式
chronyd -d -f /etc/chrony.conf

---

八、容器化环境特殊配置

Docker/K8s 时间同步

# Docker-compose.yml
services:
  app:
    image: nginx
    volumes:
      - /etc/localtime:/etc/localtime:ro
      - /etc/timezone:/etc/timezone:ro

K8s Pod 策略

apiVersion: v1
kind: Pod
spec:
  hostNetwork: true  # 使用宿主机网络（自动同步宿主机时间）
  containers:
  - name: app
    image: nginx
    volumeMounts:
    - name: localtime
      mountPath: /etc/localtime
      readOnly: true
  volumes:
  - name: localtime
    hostPath:
      path: /etc/localtime

---

九、不同发行版配置要点

CentOS/RHEL

# CentOS 6: ntpdate/ntpd
yum install -y ntp
ntpdate -b ntp.aliyun.com
chkconfig ntpd on

# CentOS 7+: chrony（推荐）
yum install -y chrony
systemctl enable --now chronyd

Ubuntu/Debian

# 可选 ntp 或 chrony
apt install -y chrony  # 推荐
# 或
apt install -y ntp     # 传统

# 时间区配置
timedatectl set-timezone Asia/Shanghai
timedatectl status

Windows Server

# 命令行配置
w32tm /config /manualpeerlist:"ntp.aliyun.com ntp.tencent.com" /syncfromflags:manual /reliable:yes /update
net stop w32time && net start w32time
w32tm /resync

# 注册表路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

---

十、生产环境最佳实践清单

✅ 分层架构：内网NTP服务器 → 业务服务器
✅ 冗余设计：至少2台上游，3台下游
✅ 监控告警：偏移 > 50ms 报警，> 1s 紧急
✅ 安全加固：防火墙只允许内网访问123端口
✅ 时钟选型：chrony（现代） > ntp（传统）
✅ 同步策略：iburst加速首次同步
✅ 本地备灾：local stratum 10（断网自救）
✅ 时间区统一：全部 Asia/Shanghai
✅ 容器同步：挂载宿主机 /etc/localtime
✅ 定期演练：每月强制同步测试

---

一句话总结

内网架NTP，客户端配冗余，监控加报警，偏移不过百
时间不同步，证书会过期，日志乱时序，业务全完蛋！