NTP 是 Network Time Protocol 的縮寫，也即 網(wǎng)絡時間協(xié)議，一種在 Linux 上保持準確時間的協(xié)議，它和網(wǎng)絡上可用的 NTP 服務器保持著時鐘同步

在 Linux 中，保持準確的日期和時間至關重要，因為許多服務(如 cron 作業(yè)和腳本)依賴于準確的時間才能得到預期的結果

用于同步日期和時間的 ntpd 服務，在新的Linux發(fā)行版 ( centos8、Ubuntu 20.04、Fedora 30 ) 中已經(jīng)廢棄了，取而代之的是 chrony

當然，選擇 chrony 是有原因的，相比 ntpd , 它有如下的優(yōu)點：

1、時間同步的速度比 ntpd 更快

2、chrony 很好的處理了同步延遲以及網(wǎng)絡延遲

3、即使出現(xiàn)網(wǎng)絡降級，chrony 仍然能正常工作

4、本地機器可以作為時間服務器，其他機器從這臺服務器上同步時間

安裝

在新的 Linux 發(fā)行版(centos8、Ubuntu 20.04、Fedora 30)及以后的版本中，系統(tǒng)默認已經(jīng)安裝了 chrony，在這之前的版本是沒有安裝的，可以使用下面的命令進行安裝

yum install chrony

安裝完成后，chrony 服務默認會自動加到 systemctl 中管理，下面列出了一些常用的命令

#查詢 chronyd 服務狀態(tài)
systemctl status chronyd     

#啟動 chronyd 服務
systemctl start chronyd   

#關閉 chronyd 服務
systemctl stop chronyd   

#重啟 chronyd 服務
systemctl restart chronyd   

#設置 chronyd 服務開機自啟
systemctl enable chronyd
systemctl daemon-reload

另外，啟動 chronyd 服務的時候如果出現(xiàn)下面截圖中的錯誤，需要安裝或者升級 libsepol、policycoreutils-python

具體的問題說明詳見 https://bugzilla.redhat.com/show_bug.cgi?id=1592775

# 安裝 libsepol 和 policycoreutils-python
yum install libsepol policycoreutils-python

chrony 的組成

chrony 是由 守護進程 chronyd 以及 命令行工具 chronyc 組成的，具體如下圖

chronyd 在后臺靜默運行并通過 123 端口與時間服務器定時同步時間，默認的配置文件是 /etc/chrony.conf

chronyc 通過 323 端口與 chronyd 交互，可監(jiān)控 chronyd 的性能并在運行時更改各種操作參數(shù)

chronyc 通過下面的方式訪問 chronyd

通過 IPv4 或 IPv6 訪問

2、通過 Unix 域 socket, 但只能訪問到本地的 chronyd，而且需要 root 用戶或者 chrony 用戶才能訪問

默認情況下，chronyc 先通過 Unix 域 socket 訪問 chronyd，默認的 socket 文件是 /var/run/chrony/chronyd.sock, 如果失敗(常見的原因是使用非 root 用戶運行 chronyc )，將嘗試通過 127.0.0.1 訪問 chronyd

chrony 配置

守護進程 chronyd 的默認配置文件是 /etc/chrony.conf，其中可配置項很多，這里介紹一些常用的

配置時間同步

守護進程 chronyd 既可作為客戶端 與 服務器同步時間，又可作為一個服務器，接受其他客戶端同步時間的請求

下面以配置局域網(wǎng)時間服務器為例來說明 chronyd 的客戶端和服務器的配置，相關的參數(shù)如下：

客戶端IP: 192.168.70.22服務器IP: 192.168.70.21

下面是具體的配置步驟

1. 安裝客戶端服務器

分別在客戶端機器和服務器機器安裝 chrony，安裝方法前面有講述，這里不贅述了

2. 編輯 /etc/chrony.conf

安裝好 chrony 之后，編輯 /etc/chrony.conf 配置文

客戶端配置

# 同步時間的服務器 IP 或 域名
server 192.168.70.21 iburst

# 系統(tǒng)時鐘的預估漂移保存到指定的文件中，是為了在下次啟動時能穩(wěn)定的同步
driftfile /var/lib/chrony/drift

# 如果系統(tǒng)時鐘由于某種原因與啟動后的服務器時間相差甚遠，允許 chronyd 
# 通過步進而不是回轉來快速糾正它
makestep 1 3

# 為了使客戶端實時時鐘接近服務器的時鐘，以便下次時鐘啟動時更接近真實的時間
# 增加了一種 rtcsync 模式，該模式下，系統(tǒng)時間會定期的拷貝到實時時鐘里
rtcsync

# 日志
logdir /var/log/chrony

服務器配置

安裝 chrony 之后，默認的配置是客戶端的啟動配置的，要想作為一個時間服務器來運行的話， 需要在配置中增加 allow 配置項，它表示允許客戶端通過該地址和服務器同步時間

另外，時間服務器的時間也需要從網(wǎng)絡上其他的時間服務器進行同步，這里直接用默認的即可，具體的配置如下

# 同步時間的服務器 IP 或 域名
pool 0.centos.pool.ntp.org iburst
pool 1.centos.pool.ntp.org iburst
pool 2.centos.pool.ntp.org iburst
pool 3.centos.pool.ntp.org iburst

# 為了在下次啟動時穩(wěn)定的同步，系統(tǒng)時鐘的預估漂移需要保存到指定的文件中
driftfile /var/lib/chrony/drift

# 如果系統(tǒng)時鐘由于某種原因與啟動后的服務器時間相差甚遠，允許 chronyd 
# 通過步進而不是回轉來快速糾正它，這個過程將花費很長時間
makestep 1 3

# 為了使客戶端實時時鐘接近服務器的時鐘，以便下次時鐘啟動時更接近真實的時間
# 增加了一種 rtcsync 模式，該模式下，系統(tǒng)時間會定期的拷貝到實時時鐘里
rtcsync

# 允許客戶端通過該地址和服務器同步時間，其實這里配置的就是時間服務器的地址
allow 192.168.70.21

pool 配置項

客戶端需要去時間服務器獲取時間，配置文件中 server 和 pool 配置項表示時間服務器的地址，支持域名或者IP

建議配置多個時間服務器的地址，優(yōu)先選擇同步良好，網(wǎng)絡穩(wěn)定且靠近客戶端的地址

pool 與 allow 的區(qū)別

pool指的是進行時間同步的服務器IP地址或域名，作為服務器來說，其機器時間也需要從其他時間服務器同步，此時，服務器是作為一個客戶端從網(wǎng)絡服務器上獲取時間

而 allow 字段表示的是作為服務器，允許客戶端從該地址獲取時間，此地址其實就是服務器的內網(wǎng)地址

3. 處理防火墻

時間服務器如果有開啟防火墻的話，需要開啟 UDP 協(xié)議 的 123 端口，以允許客戶端向服務器發(fā)送獲取時間的請求

[root@cghost22 ~]# firewall-cmd --permanent --add-port=123/udp
success
[root@cghost22 ~]# firewall-cmd --reload
success

如果想要關閉防火墻的 123 端口，在服務器機器上執(zhí)行下面的命令

[root@cghost22 ~]# firewall-cmd --permanent --remove-port=123/udp
success
[root@cghost22 ~]# firewall-cmd --reload
success

4. 重啟 chrony

配置好客戶端和服務器之后，為使配置生效，需要重啟 chronyd 服務

 systemctl restart chronyd   

5. 查詢信息

在服務器端輸入 chronyc clients 命令查看同步的客戶端信息

在客戶端輸入 chronyc sources 命令查查看時間服務器的信息

問題

在配置時間服務器的過程中，可能遇到各種問題，下面記錄了一些常見的問題以及解決思路

客戶端無法進行時間同步

第一個想到的應該是 服務器之上存在防火墻，這時客戶端向服務器請求時間不會有任何的響應，在客戶端機器輸入 chronyc sources 命令可以看到 Reach 字段的值為 0 ，表示客戶端無法收到服務器的響應了，具體請看下圖

如果排除了防火墻的問題的話，可能需要使用一些工具(tcpdump、wireshark)檢查下客戶端是否有收到服務器的數(shù)據(jù)包

客戶端和服務器時間差得太多，如何快速修正

通常 chrony 會逐步的修正和服務器之間的時間差，根據(jù)需要加快或者減慢時鐘，如果客戶端和服務器時間差得太多了的話，這個過程會持續(xù)很長時間

這種情況可以使用 chronyc makestep 命令快速修復客戶端時間，makestep 后面不帶任何參數(shù)時，表示 chronyd 取消正在修正時間的動作，將當前客戶端時間直接修改成服務器的時間

不過，需要注意的是，這種方法直接越過了一段系統(tǒng)時間，有可能會對應用程序造成嚴重的問題，所以，推薦按照 chronyd 逐步修正的方式來同步時間

小結

本文介紹了 Linux 中，時間同步的配置方法，提供常見的問題的解決思路或者方案，更多關于 chrony 的介紹請參考下方的網(wǎng)站

https://chrony.tuxfamily.org/documentation.html