Cerca nel blog

lunedì 17 dicembre 2007

Siete sincronizzati?


Una delle cose più importanti per un'infrastruttura enterprise è essere sincronizzata con il resto del globo. Per fare ciò si utilizzano i server ntp (Network Time Protocol). Con ESX si può procedere con la sincronizzazione degli host fisici e, in seguito, mettere il flag di sincronizzazione delle macchine virtuali nella finestra dei VmTools.
Vediamo come fare a configurare un host ESX per sincronizzarsi con una fonte NTP esterna. Utilizziamo come fonti esterne quelle fornite da vmware, che hanno la particolarità di puntare ad un pool di server differenti ogni ora: questo garantisce l'accuratezza dell'orario.

I tre server NTP sono i seguenti (conviene editare /etc/hosts ed inserire le entry):
194.185.27.180 0.vmware.pool.ntp.org
88.33.54.219 1.vmware.pool.ntp.org

212.97.63.99 2.vmware.pool.ntp.org

Come spesso accade (e come è auspicabile) gli host ESX sono dietro firewall; mettiamo come esempio i comandi iptables, per aprire la porta 123 UDP in ingresso ed uscita verso il pool di server ntp forniti da vmware:

iptables -A lan-to-internet -s Nostro_Host -d 212.97.63.99 -p UDP --dport 123 --sport 123 -j allowed
iptables -A lan-to-internet -s Nostro_Host -d 88.33.54.219 -p UDP --dport 123 --sport 123 -j allowed

iptables -A lan-to-internet -s Nostro_Host -d 194.185.27.180 -p UDP --dport 123 --sport 123 -j allowed
iptables -A internet-to-lan -d Nostro_Host -s 212.97.63.99 -p UDP --dport 123 --sport 123 -j allowed
iptables -A internet-to-lan -d Nostro_Host -s 88.33.54.219 -p UDP --dport 123 --sport 123 -j allowed
iptables -A internet-to-lan -d Nostro_Host -s 194.185.27.180 -p UDP --dport 123 --sport 123 -j allowed

A questo punto modifichiamo il file /etc/ntp.conf in modo che presenti il seguente contenuto:

restrict 127.0.0.1
restrict default kod nomodify notrap

server 0.vmware.pool.ntp.org

server 1.vmware.pool.ntp.org
server 2.vmware.pool.ntp.org

driftfile /var/lib/ntp/drift

Come abbiamo precedentemente detto, i pool 0, 1 e 2.vmware.pool.ntp.org puntano ad un insieme di server random che vengono modificati ogni ora alla sorgente.

Rimane solamente da startare il servizio ntp (service ntpd start) e perfezionare la configurazione impostando la partenza automatica di ntpd ai runlevel 234 con chkconfig.

Non è obbligatorio utilizzare i server forniti da vmware e ci sono correnti di pensiero differenti circa la sincronizzazione di particolari macchine virtuali con gli host: ad esempio c'è chi preferisce sincronizzare i domain controllers con la sorgente esterna direttamente.

cheers
\mf

english version of this post

Nessun commento: