先日、nict.jpとのntpの同期が切れているという事象が発生した。
nictの公式HPを見ると、下記のように書いてある。
2016/04/26 14:50~4/28 14:40頃
上流ネットワークでNTP DoS攻撃対策のために
NTPパケットのポート123番同士の通信がブロックされましたが、
その後設定が解除され、現在は正常に通信できています。
ポートが閉じられてしまったため、同期が切れてしまったようだ。
現在、復旧しているようだが、急にntpと同期が切れてしまうと困る。
リスク回避のため、実施した策を下記に記載する。
■ ntpサーバの冗長化
同期先のntpサーバを増やして、1つが切れても、別のntpサーバと同期できるようにする。
/etc/ntp.confに下記のように書く。
server ntp.nict.jp
server ntp1.jst.mfeed.ad.jp
server ntp2.jst.mfeed.ad.jp
server ntp3.jst.mfeed.ad.jp
nictと同期が切れても3つのMFEEDと同期が取れるようになる。
http://wiki.nothing.sh/page/NTP/%BF%E4%BE%A9%B8%F8%B3%AB%A5%B5%A1%BC%A5%D0
■ ローカルクロックと同期
冗長化しても、外部サーバが全部落ちてしまっては意味が無い。
そこで、ローカルクロック(自分自身)と同期できるようにする。
server 127.127.1.0
fudge 127.127.1.0 stratum 5
NTPでは時刻をstratumと呼ばれる階層で管理する。
http://www.atmarkit.co.jp/ait/articles/0812/26/news120_2.html
fugeで指定したstratumは、同期先のサーバの優先順位となる。
これにより4つの外部ntpとの同期が切れても5番目のローカルクロックと同期するようになる。
http://www.oss-d.net/ntp
http://d.hatena.ne.jp/incarose86/20110505/1312522379