本章主要介紹網絡時間的服務器

• 使用chrony配置時間服務器
• 配置chrony客戶端服務器同步時間

1.1 時間同步的重要性

一些服務對時間要求非常嚴格，例如如圖所示的由三臺服務器搭建的ceph集群

這三臺服務器的時間必須保持一致，如果不一致，就會顯示警告信息。那么。如何能讓這三臺服務器的時間保持一致呢？手動調整時間的方式肯定不行，因為手動調整時間最多只能精確到分，很難精確到秒。而且即使現在時間調整一致了，過一段時間之后,時間可能又不一樣了

所以,需要通過設置讓這些服務器的時間能夠自動同步,如圖

這里假設我們有一個時間服務器時間為7:00,設置 server1和 server2向此時間服務器進行時間同步。 假設serverl 當前時間為6;59，它與時間服務器一對 比,“我的時間比時間服務器慢了一分鐘”,然后它主板上的晶體芯片就會跳動得快一些,很快 就“追”上了時間服務器的時間

假設server2當前時間是7:01，它與時間服務器一對比，“我竟然比時間服務器快了一分鐘”，然后它主板上的晶體芯片就會跳動得慢一些,“等著”時間服務器

下面就開始使用chrony來配置時間服務器

1.2 配置時間服務器

實驗需求

兩臺Linux主機（redhat8、node1）這里把redhat8配置成時間服務器，node1作為客戶端向redhat8進行時間同步

在安裝系統時,如果已經選擇了圖形化界面，則默認已經把 chrony這個軟件安裝上了（如果沒有安裝，請先看后面的軟件 包管理章節，然后自行安裝上去）

使用vim編輯器打開/etc/chrony.conf，只修改我們能用的幾行

（1）指定所使用的上層時間服務器

把pool 2.rhel.pool.ntp.org iburst修改成pool 127.127.1.0 iburst

pool后面跟的是時間服務器，因為這里把redhat8作為chrony服務器，沒有上一層的服務 器,所以上層服務器設置為本地時鐘的IP:127.127.1.0

這里iburst的意思是，如果chrony服務器出問題，客戶端會發送一系列的包給chrony服務器，對服務器進行檢測

（2）指定允許訪問的客戶端

修改allow所在行，把注釋符#去掉，并把后面的網段改為192.168.161.0/24

把#allow 192.168.0.0/16修改為allow 192.168.161.0/24

redhat8配置成時間服務器之后，只允許192.168.161.0/24網段的客戶端進行時間同步。如果要允許所有客戶端都能向此時間服務器進行時間同步，可以寫成allow 0/0或allow all

（3）把local stratum 前的注釋符#去掉

這行的意思是，即使服務器本身沒有和時間服務器保持時間同步，也可以對外提供時間服務，這行注釋要取消

保存退出，去除空白行和注釋行之后，最后修改完成的代碼如下

[root@redhat8 ~]# egrep -v "^#|^$" /etc/chrony.conf 
pool 127.127.1.0 iburst
driftfile /var/lib/chrony/drift
makestep 1.0 3
rtcsync
allow 192.168.161.0/24
local stratum 10
keyfile /etc/chrony.keys
leapsectz right/UTC
logdir /var/log/chrony
[root@redhat8 ~]#

然后重啟chronyd這個服務（注意,這里是chronyd而不是chrony),并設置開機自動啟動

[root@redhat8 ~]# systemctl restart chronyd
[root@redhat8 ~]# systemctl enable chronyd
Created symlink /etc/systemd/system/multi-user.target.wants/chronyd.service → /usr/lib/systemd/system/chronyd.service.
[root@redhat8 ~]#

chrony用的是UDP的123和323

[root@redhat8 ~]# netstat -nutlp | grep chronyd
udp        0      0 0.0.0.0:123             0.0.0.0:*                           2622/chronyd        
udp        0      0 127.0.0.1:323           0.0.0.0:*                           2622/chronyd        
udp6       0      0 ::1:323                 :::*                                2622/chronyd        
[root@redhat8 ~]#

在防火墻中把這兩個端口開放

[root@redhat8 ~]# firewall-cmd --add-port=123/udp --permanent 
success
[root@redhat8 ~]# firewall-cmd --add-port=323/udp --permanent 
success
[root@redhat8 ~]# firewall-cmd --reload 
success
[root@redhat8 ~]# 

這里加上 --permanent選項的目的是讓其永久生效,然后通過reload重新加載防火墻規則, 讓其也立即生效

至此，用chrony搭建的時間服務器完成

1.3 配置chrony客戶端

把node1配置成時間服務器的客戶端，也就是chrony客戶端

在node1（IP地址為192.168.161.12）上用vim編輯器修改/etc/chrony.conf，修改下面的幾行

（1）修改pool那行，指定要從哪臺時間服務器同步時間

 由原來的pool 2.rhel.pool.ntp.org iburst改為pool 192.168.161.16 iburst

這里指定時間服務器為192.168.161.16，即向192.168.161.16進行時間同步

（2）修改makestep那行，格式如下

 makestep 閾值 limit

客戶端向服務器同步時間有兩種方式：step和 slew

step：跳躍著更新時間，如時間由1點直接跳到7點

slew：平滑著移動時間，晶體芯片跳動得快一些，就好比秒針的轉速“快進”了一樣

如果客戶端和服務器的時間相差較多，則通過step的方式更新時間；如果客戶端和服務器的時間相差不多，則通過slew的方式更新時間。那么，時間相差多或不多的標準是什么呢? 就要看時間差是否超過makestep后面的住值了

舉一個例子,makestep 10 3的意思是，如果客戶端和服務器的時間相差10秒以上，就認為客戶端和服務器的時間相差較多，則前三次通過step 的方式更新時間。客戶端通過這種方式會更新得很快，有些應用程序因為時間的突然跳動會帶來問題

如果客戶端和服務器的時間相差10秒以內，就認為二者時間相差不多，則通過slew的方式更新時間。這種方式更新的速度會比較慢，但比較平穩

 把原來的makestep 1.0 3改成makestep 200 3

如果客戶端和服務器的時間相差200秒以上，就認為二者時間相差較多，則通過step的方式更新時間

保存退出并重啟 chronyd服務

[root@node1 ~]# systemctl restart chronyd.service 
[root@node1 ~]# systemctl enable chronyd.service 
[root@node1 ~]#

為了更細致地看到兩臺機器的時間差，先配置ssh使得node1可以無密碼登錄到redhat8。 先生成密鑰對

[root@node1 ~]# ssh-keygen -N "" -f /root/.ssh/id_rsa
Generating public/private rsa key pair.
Created directory '/root/.ssh'.

配置到redhat8的密鑰登錄

[root@node1 ~]# ssh-copy-id 192.168.161.16

給node1上通過date命令設置時間，使得node1和redhat8的時間相差200秒

[root@node1 ~]# date -s "2023-12-07 12:30:00" ; hwclock -w
2023年 12月 07日 星期四 12:30:00 CST
[root@node1 ~]# 

然后同時顯示兩臺機器的時間

[root@node1 ~]# date ; ssh 192.168.161.16 date
2023年 12月 07日 星期四 12:30:03 CST
2023年 12月 07日 星期四 12:16:39 CST
[root@node1 ~]#

可以看到，時間相差了約13分鐘，即780秒

然后重啟node1的chronyd服務，等待幾秒之后再次查看

[root@node1 ~]# systemctl restart chronyd.service 
[root@node1 ~]# date ; ssh 192.168.161.16 date
2023年 12月 07日 星期四 12:18:59 CST
2023年 12月 07日 星期四 12:18:59 CST
[root@node1 ~]#

可以看到,時間很快就同步了，因為這是通過step的方式同步的

再次修改時間

[root@node1 ~]# date -s "2023-12-07 12:22:00" ; hwclock -w
2023年 12月 07日 星期四 12:22:00 CST
[root@node1 ~]# date ; ssh 192.168.161.16 date
2023年 12月 07日 星期四 12:22:06 CST
2023年 12月 07日 星期四 12:20:26 CST
[root@node1 ~]# 

兩臺機器的時間相差1分40秒，即100秒，這個值低于200秒，即在makestep的闕值范圍 之內，此時客戶端向服務器進行時間同步時只能通過slew的方式同步

此時重啟 chronyd服務，也不會保持時間同步

[root@node1 ~]# systemctl restart chronyd.service 
[root@node1 ~]# date ; ssh 192.168.161.16 date
2023年 12月 07日 星期四 12:23:14 CST
2023年 12月 07日 星期四 12:21:34 CST
[root@node1 ~]#

可以看到，并沒有同步,因為slew同步的速度比較慢

此時如果通過執行chronyc makestep命令手動step同步，則會立即同步時間

[root@node1 ~]# chronyc makestep
200 OK
[root@node1 ~]# date ; ssh 192.168.161.16 date
2023年 12月 07日 星期四 12:22:20 CST
2023年 12月 07日 星期四 12:22:20 CST
[root@node1 ~]#

這樣就可以看到立即同步成功了

通過chronye -n sources -v查看現在的同步狀況，如圖

可以看到，node1是向192.168.161.16進行時間同步的