利用internetNTP服务器同步Linux虚拟机-NTP服务器，然后再使用Linux虚拟机-NTP服务器同步物理主机-NTP客户端。Linux虚拟机既充当internet-NTP的客户端，又充当物理主机-NTP的服务端。

环境概述：Vmworkstation12

Linux虚拟机

# cat /etc/redhat-release

Red Hat Enterprise Linux Server release 7.2 (Maipo)

# uname -a

Linux localhost.localdomain 3.10.0-327.el7.x86_64 #1 SMP Thu Oct 29 17:29:29 EDT 2015 x86_64 x86_64 x86_64 GNU/Linux

操作步骤：

(1)确保Linux虚拟机可以连接上internet。

# ping www.baidu.com

PING www.baidu.com (61.135.169.121) 56(84) bytes of data.

64 bytes from 61.135.169.121: icmp_seq=1 ttl=54 time=33.2 ms

64 bytes from 61.135.169.121: icmp_seq=2 ttl=54 time=15.2 ms

(2)安装NTP包，并且编辑/etc/ntp.conf文件。

# rpm -qa | grep ntp    //检查是否安装了ntp相关包。

# yum install -y ntp//如果没有安装ntp相关包，使用rpm或yum安装。

# vim /etc/ntp.conf

restrict 192.168.202.0 mask 255.255.255.0 nomodify notrap

添加控管权限：

设置允许访问该ntp服务器的IP地址(这里指的是物理主机的IP段)。在上例中，掩码地址扩展为255，表示192.168.202.1-192.168.202.254都可以使用Linux虚拟机上的NTP服务器来同步时间。

Nomodify notrap表示不允许客户端配置为时间服务器或者作为时间的节点，这样可以有效控制服务器的性能。

server cn.pool.ntp.org prefer

指定上层NTP服务器(上层NTP服务器地址，因为是通过interne-NTP同步Linux虚拟机，所以需要填写internet上的NTP服务器)，在上例中，cn.pool.ntp.org是internet上的公共时间服务器池中的NTP服务器，China----cn.pool.ntp.org

prefer代表优先主机。

(2)添加防火墙规则

由于NTP服务需要使用到UDP端口号123，所以在系统的防火墙启动的情况下，必须开放UDP端口号123。

# firewall-cmd --add--service=ntp --permanent

# firewall-cmd --reload

(4)启动NTP服务，并且配置NTP开机自启

#systemctl start ntpd  启动NTP服务

#systemctl enable ntpd 配置NTP开机自启

#systemctl status ntpd  查看NTP服务的状态

● ntpd.service - Network Time Service

Loaded: loaded (/usr/lib/systemd/system/ntpd.service; enabled; vendor preset: disabled)

Active: active (running)since Mon 2019-01-07 09:28:41 CST; 4s ago

Process: 3250 ExecStart=/usr/sbin/ntpd -u ntp:ntp $OPTIONS (code=exited, status=0/SUCCESS)

Main PID: 3252 (ntpd)

CGroup: /system.slice/ntpd.service

└─3252 /usr/sbin/ntpd -u ntp:ntp -g

Jan 07 09:28:42 localhost.localdomain ntpd[3252]: Listen normally on 5 eth3 192.168.100.113 UDP 123

Jan 07 09:28:42 localhost.localdomain ntpd[3252]: Listen normally on 6 virbr0 192.168.122.1 UDP 123

Jan 07 09:28:42 localhost.localdomain ntpd[3252]: Listen normally on 7 eth2 fe80::20c:29ff:fe1d:8d5f UDP 123

Jan 07 09:28:42 localhost.localdomain ntpd[3252]: Listen normally on 8 eth1 fe80::20c:29ff:fe1d:8d55 UDP 123

Jan 07 09:28:42 localhost.localdomain ntpd[3252]: Listen normally on 9 lo ::1 UDP 123

Jan 07 09:28:42 localhost.localdomain ntpd[3252]: Listen normally on 10 eth3 fe80::20c:29ff:fe1d:8d69 UDP 123

Jan 07 09:28:42 localhost.localdomain ntpd[3252]: Listening on routing socket on fd #27 for interface updates

Jan 07 09:28:44 localhost.localdomain ntpd[3252]: 0.0.0.0 c016 06 restart

Jan 07 09:28:44 localhost.localdomain ntpd[3252]: 0.0.0.0 c012 02 freq_set kernel 14.230 PPM

Jan 07 09:28:44 localhost.localdomain ntpd[3252]: 0.0.0.0 c615 05 clock_sync

注意:必须开启ntp功能

#timedatectl set-ntp yes

(5)检查是否同步

在Linux虚拟机上检查,时钟是否和internet-NTP同步。

# ntpstat -p    查看NTP服务器有无和上层NTP连通

synchronised to NTP server (193.228.143.12) at stratum 3

time correct to within 246 ms

polling server every 256 s

# ntpq -p       查看NTP服务器与上层NTP的状态

remote           refid      st t when poll reach   delay   offset  jitter

==============================================================================

+cn.ntp.faelix.n 185.134.196.169  2 u   73   64    2  267.589   -0.818   8.186

+ntp.wdc1.us.lea 130.133.1.10     2 u   15   64    3  236.361    4.704  18.434

+ntp2.flashdance 192.36.143.150   2 u   72   64    2  199.253   -1.115   2.915

+li461-162.membe 103.1.106.69     2 u   13   64    3   83.849    6.663   4.146

*ntp8.flashdance 194.58.202.148   2 u   81   64    2  220.509   -2.216   0.000

remote 本机和上层NTP的IP或主机名，“+”代表优先，“*”嗲表次优先

refid 参考上一层的NTP主机地址

st stratum阶层

when 多少秒前曾经同步过时间

pool 下次更新在多少秒之后

reach已经向上层NTP服务器要求更新的次数

delay 网络延迟

jitter 源时钟和本地时钟的时间差

# timedatectl   查看时钟是否和上层NTP服务器同步

Local time: Sun 2019-01-06 13:05:52 CST

Universal time: Sun 2019-01-06 05:05:52 UTC

RTC time: Sun 2019-01-06 05:05:52

Time zone: Asia/Shanghai (CST, +0800)

NTP enabled: yes

NTP synchronized: yes

RTC in local TZ: no

DST active: n/a

在物理机上检查，时钟是否和Linux虚拟机同步(服务器ip为Linux虚拟机的ip地址)

使用MD5来验证ntp时间同步

ntp server   192.168.202.128   Linux虚拟机RHEL7.2

ntp client    192.168.202.131   Linux虚拟机RHEL7.2

server

(1)在ntpserver端修改/etc/ntp.conf

#允许192.168.202.1-192.168.202.254同步并需要验证MD5

restrict 192.168.202.0 mask 255.255.255.0 notrust vim /etc/ntp.conf

123是keyid,设置123是信任的

keys /etc/ntp/keys

trustedkey 123

enable auth

(2)编辑/etc/ntp/keys文件

123 是keyid, M是MD5, china就是密钥key

# vim /etc/ntp/keys

123 M china

(3)启动ntp服务

# systemctl start ntpd

注意：防火墙的设置以及开启NTP功能

做为ntp server的192.168.202.128将无法使用ntpdate命令来校对时间，因为ntpdate和ntp server都绑定udp port 123

client

(1)在ntp client端修改/etc/ntp.conf

#vim /etc/ntp.conf

server 192.168.202.128 iburst   指定ntp server

(2)编辑/etc/ntp/keys

client端的/etcntp/keys文件格式和ntp serve上/etc/ntp/keys文件是一样的。

123 是keyid, M是MD5, china就是密钥key

# cat /etc/ntp/keys

123 M china

(3)启动ntp服务

# systemctl  start ntpd

验证

-a 123表示发送验证，密钥序号为123。

-k /etc/ntp/keys表示序号123的密钥在/etc/ntp/keys文件里。

# ntpdate -a 123 -k /etc/ntp/keys 192.168.202.128       测试环境使用，生产环境慎用

7 Jan 10:48:26 ntpdate[6679]: adjust time server 192.168.202.128 offset 0.004077 sec

注意：192.168.202.128的keyid,key(server)，要和192.168.202.131(client)的keyid,key相同，否则会同步失败。

ntpd、ntpdate的区别

ntpdate : 用来同步ntp server服务器上的时间。

ntp server : 提供ntp服务，同时也向上级ntp server去同步自己的时间。

下面是网上关于ntpd与ntpdate区别的相关资料。如下所示所示：

使用之前得弄清楚一个问题，ntpd与ntpdate在更新时间时有什么区别。ntpd不仅仅是时间同步服务器，它还可以做客户端与标准时间服务器进行同步时间，而且是平滑同步，并非ntpdate立即同步，在生产环境中慎用ntpdate，也正如此两者不可同时运行。

时钟的跃变，对于某些程序会导致很严重的问题。许多应用程序依赖连续的时钟——毕竟，这是一项常见的假定，即，取得的时间是线性的，一些操作，例如数据库事务，通常会地依赖这样的事实：时间不会往回跳跃。不幸的是，ntpdate调整时间的方式就是我们所说的”跃变“：在获得一个时间之后，ntpdate使用settimeofday(2)设置系统时间，这有几个非常明显的问题：

第一，这样做不安全。ntpdate的设置依赖于ntp服务器的安全性，***者可以利用一些软件设计上的缺陷，拿下ntp服务器并令与其同步的服务器执行某些消耗性的任务。由于ntpdate采用的方式是跳变，跟随它的服务器无法知道是否发生了异常(时间不一样的时候，唯一的办法是以服务器为准)。

第二，这样做不精确。一旦ntp服务器宕机，跟随它的服务器也就会无法同步时间。与此不同，ntpd不仅能够校准计算机的时间，而且能够校准计算机的时钟。

第三，这样做不够优雅。由于是跳变，而不是使时间变快或变慢，依赖时序的程序会出错(例如，如果ntpdate发现你的时间快了，则可能会经历两个相同的时刻，对某些应用而言，这是致命的)。因而，唯一一个可以令时间发生跳变的点，是计算机刚刚启动，但还没有启动很多服务的那个时候。其余的时候，理想的做法是使用ntpd来校准时钟，而不是调整计算机时钟上的时间。

NTPD 在和时间服务器的同步过程中，会把BIOS计时器的振荡频率偏差——或者说Local Clock的自然漂移(drift)——记录下来。这样即使网络有问题，本机仍然能维持一个相当精确的走时。

参考资料：