Вчера познакомился с необычной темой, связанной с кластером серверов точного времени pool.ntp.org, который я часто использую сам. Сразу приведу ссылку а потом своими словами расскажу, о чём там речь:
⇨ Катастрофа в российской зоне проекта NTPPool.org
Суть тут вот в чём. NTPPool.org - некоммерческая организация, которая объединяет в себе сервера времени со всего мира. Когда вы устанавливаете себе в качестве сервера времени pool.ntp.org, вы на самом деле получаете время не от него, а от подключенных к этому кластеру серверов.
Подключить такой сервер может каждый желающий. Для этого надо зарегистрироваться. Добавить через панель управления свой сервер, где работает публичная служба NTP и подтвердить права на этот сервер. На основе IP адреса этот сервер будет добавлен в свой сегмент, например в ru.pool.ntp.org. Все запросы пользователей из России будут направляться в сегмент серверов из ru.pool.ntp.org.
Проблема в том, что в октябре внезапно сильно вырос NTP трафик в сегменте RU. Из-за этого почти все сервера этой зоны отвалились. Кто-то из-за перегрузки перестал нормально отвечать и его выкинули из пула, а кто-то сам отключил свои сервера, так как не вывозил огромный трафик. У автора статьи он составлял 500 Мбит/с.
Автор предложил всем неравнодушным поднять свои сервера времени, чтобы оживить сегмент, размазать трафик по всем серверам и таким образом стабилизировать ситуацию. У меня есть такая возможность. Поднял пару небольших VPS. Для этого взял Debian 12. Поставил туда Chrony:
Нарисовал конфиг
Перезапустил сулжбу:
Убедился, что файрвол открыт и запросы на 123 порт к службе NTP проходят.
После этого зарегистрировался в ntppool.org и добавил свои сервера в панель управления. После добавление нужно подтвердить права на этот сервер. Надо нажать на кнопку Unverified и пройти подтверждение. Я через curl это сделал, было предложено на сайте:
В ответ получил url. Прошёл по нему и сервер в панели управления получил ✓, что означает подтверждение. После этого примерно 4 часа я получал только тестовые запросы к серверу, чтобы получить рейтинг. Так как он корректно работал, то быстро набрал рейтинг 10 и на него посыпались реальные запросы.
Какого-то шторма и огромного трафика я не получил. VPS имеют характеристики 1CPU/2GB, трафик в настройках сервера в веб панели ntppool указал 12 Mbit. В итоге на сервере имею трафик NTP запросов в районе 5 Mbit. Если есть желающие, можете присоединиться к активности.
❗️Только не запускайте NTP на домашних или рабочих серверах. Кто знает, может опять трафик сильно возрастёт. Положите входной канал. Используйте внешние, независимые VPS.
За трафиком можете следить с помощью bmon или nethogs:
А проверить, реально ли там NTP трафик можно через tcpdump:
Раньше не знал вообще, что в этот сервис можно самому добавляться. Выделю где-нибудь небольшой сервер, чтобы постоянно участвовать в этом. Надо будет только мониторинг сделать, чтобы отключать его, если трафик сильно вырастает.
#ntp
⇨ Катастрофа в российской зоне проекта NTPPool.org
Суть тут вот в чём. NTPPool.org - некоммерческая организация, которая объединяет в себе сервера времени со всего мира. Когда вы устанавливаете себе в качестве сервера времени pool.ntp.org, вы на самом деле получаете время не от него, а от подключенных к этому кластеру серверов.
Подключить такой сервер может каждый желающий. Для этого надо зарегистрироваться. Добавить через панель управления свой сервер, где работает публичная служба NTP и подтвердить права на этот сервер. На основе IP адреса этот сервер будет добавлен в свой сегмент, например в ru.pool.ntp.org. Все запросы пользователей из России будут направляться в сегмент серверов из ru.pool.ntp.org.
Проблема в том, что в октябре внезапно сильно вырос NTP трафик в сегменте RU. Из-за этого почти все сервера этой зоны отвалились. Кто-то из-за перегрузки перестал нормально отвечать и его выкинули из пула, а кто-то сам отключил свои сервера, так как не вывозил огромный трафик. У автора статьи он составлял 500 Мбит/с.
Автор предложил всем неравнодушным поднять свои сервера времени, чтобы оживить сегмент, размазать трафик по всем серверам и таким образом стабилизировать ситуацию. У меня есть такая возможность. Поднял пару небольших VPS. Для этого взял Debian 12. Поставил туда Chrony:
# apt install chronyНарисовал конфиг
/etc/chrony/conf.d/settings.conf: pool ntp.msk-ix.ru iburst pool ntp4.vniiftri.ru iburst pool ntp5.vniiftri.ru iburst allow all ratelimit interval 3 burst 8 leak 4Перезапустил сулжбу:
# systemctl restart chronyУбедился, что файрвол открыт и запросы на 123 порт к службе NTP проходят.
После этого зарегистрировался в ntppool.org и добавил свои сервера в панель управления. После добавление нужно подтвердить права на этот сервер. Надо нажать на кнопку Unverified и пройти подтверждение. Я через curl это сделал, было предложено на сайте:
# curl --interface 74.137.192.103 https://validate4.ntppool.dev/p/В ответ получил url. Прошёл по нему и сервер в панели управления получил ✓, что означает подтверждение. После этого примерно 4 часа я получал только тестовые запросы к серверу, чтобы получить рейтинг. Так как он корректно работал, то быстро набрал рейтинг 10 и на него посыпались реальные запросы.
Какого-то шторма и огромного трафика я не получил. VPS имеют характеристики 1CPU/2GB, трафик в настройках сервера в веб панели ntppool указал 12 Mbit. В итоге на сервере имею трафик NTP запросов в районе 5 Mbit. Если есть желающие, можете присоединиться к активности.
❗️Только не запускайте NTP на домашних или рабочих серверах. Кто знает, может опять трафик сильно возрастёт. Положите входной канал. Используйте внешние, независимые VPS.
За трафиком можете следить с помощью bmon или nethogs:
# apt install bmon nethogsА проверить, реально ли там NTP трафик можно через tcpdump:
# tcpdump -nn -i ens3 port not sshРаньше не знал вообще, что в этот сервис можно самому добавляться. Выделю где-нибудь небольшой сервер, чтобы постоянно участвовать в этом. Надо будет только мониторинг сделать, чтобы отключать его, если трафик сильно вырастает.
#ntp
Хабр
Катастрофа в российской зоне проекта NTPPool.org
Привет, Хабр! Своим первым постом на площадке я хочу привлечь внимание к катастрофе, сложившейся на данный момент в RU-зоне проекта NTPPool.org . Я думаю, что проект в представлении не нуждается, тем...
4👍198👎2
Давно думал, что надо бы переходить на какие-то отечественные публичные серверы NTP и DNS. Идёт размежевание с западными странами и только вопрос времени, когда занавес окончательно опустится. Решение, судя по всему, уже принято и сейчас шаг за шагом прорабатывают технические моменты.
Я обычно для NTP использую сервера из pool.ntp.org, а для DNS - сервера Яндекса - 77.88.8.1 и 77.88.8.8. Откровенно говоря, я компанию Яндекс недолюбливаю по многим причинам. Сейчас не хочется это обсуждать, но по возможности стараюсь не использовать их сервисы, если есть альтернативы не хуже.
Вчера в комментариях один подписчик подсказал, что в крупных отечественных организациях идёт рекомендация на использование публичных сервисов от известной компании MSK-IX. Это компания - крупнейшая в стране точка обмена трафиком со своими дата-центрами и каналами связи. Думаю, это разумно и обоснованно. Вот их NTP сервер:
MSK-IX NTP server относится к высшему уровню точности (Stratum One Time Servers) в иерархической системе часовых уровней. В качестве эталонного сигнала времени используется сигнал глобальных спутниковых систем навигации ГЛОНАСС.
MSK-IX NTP Server реализован в виде группировки серверов, размещенных в Москве, Санкт-Петербурге, Екатеринбурге и Новосибирске. Применение сетевой технологии anycast обеспечивает высокую надежность и быстрый отклик системы на всей территории страны.
Я бы к нему в список добавил ещё один от ВНИИФТРИ:
Вот список DNS серверов:
Реплики сервера установлены в Москве и Санкт-Петербурге. Благодаря использованию технологий IP-anycast и кэширования пользовательских запросов, DNS-запросы пользователей направляются к ближайшей реплике по кратчайшему сетевому маршруту и обрабатываются с максимальной скоростью. Кроме того, применение технологии IP-anycast обеспечивает резервирование службы, повышает устойчивость к сетевым атакам и локальным авариям в сети Интернет.
Я себе сохранил эти сервера и теперь буду в настраиваемых системах использовать их.
#dns #ntp
Я обычно для NTP использую сервера из pool.ntp.org, а для DNS - сервера Яндекса - 77.88.8.1 и 77.88.8.8. Откровенно говоря, я компанию Яндекс недолюбливаю по многим причинам. Сейчас не хочется это обсуждать, но по возможности стараюсь не использовать их сервисы, если есть альтернативы не хуже.
Вчера в комментариях один подписчик подсказал, что в крупных отечественных организациях идёт рекомендация на использование публичных сервисов от известной компании MSK-IX. Это компания - крупнейшая в стране точка обмена трафиком со своими дата-центрами и каналами связи. Думаю, это разумно и обоснованно. Вот их NTP сервер:
ntp.msk-ix.ruMSK-IX NTP server относится к высшему уровню точности (Stratum One Time Servers) в иерархической системе часовых уровней. В качестве эталонного сигнала времени используется сигнал глобальных спутниковых систем навигации ГЛОНАСС.
MSK-IX NTP Server реализован в виде группировки серверов, размещенных в Москве, Санкт-Петербурге, Екатеринбурге и Новосибирске. Применение сетевой технологии anycast обеспечивает высокую надежность и быстрый отклик системы на всей территории страны.
Я бы к нему в список добавил ещё один от ВНИИФТРИ:
ntp1.vniiftri.ruВот список DNS серверов:
dns.msk-ix.ru 62.76.76.62dns2.msk-ix.ru 62.76.62.76Реплики сервера установлены в Москве и Санкт-Петербурге. Благодаря использованию технологий IP-anycast и кэширования пользовательских запросов, DNS-запросы пользователей направляются к ближайшей реплике по кратчайшему сетевому маршруту и обрабатываются с максимальной скоростью. Кроме того, применение технологии IP-anycast обеспечивает резервирование службы, повышает устойчивость к сетевым атакам и локальным авариям в сети Интернет.
Я себе сохранил эти сервера и теперь буду в настраиваемых системах использовать их.
#dns #ntp
👍250👎25