Фикс NTP 2.3.0

Костюков Владимир

Команда форума
Админ
Регистрация
04.03.23
Сообщения
401
Реакции
62
Скопировать с заменой на КД в папку /srv/salt/standalone/roots/states/policies/host-policies/rbta_ldap_date_time_h. Рекомендовано сделать копию файлов. После замены выполнить systemctl restart-salt-minion-standalone или
salt-call state.apply rbta_ldap_date_time_h -c /srv/salt/standalone/config pillar="{'user': 'admin'}"
Если все выполнено правильно конфиг должен быть полным.
 

Вложения

  • Архив.zip
    3.2 KB · Просмотры: 97
Последнее редактирование:
В init.sls есть
append_ntp_roots:
file.append:
- name: /etc/chrony/chrony.conf
- text:
{%- for ntp in ntp_to_assign %}
- server {{ ntp }} iburst
{% endfor %}
- pool 2.debian.pool.ntp.org iburst
{#
Дописываем 2.debian.pool.ntp.org как fallback
#}
то есть, если политика применяется на любом хосте, не выполняющем роль КД, ему принудительно будет прописан - pool 2.debian.pool.ntp.org iburst
а если у меня в настройках ntp в ald pro прописан свой pool, зачем мне этот да ещё и принудительно туда засунутый?
Ведь правильнее было бы просто ограничится списком серверов и(или) пулов из настроек домена для внутренних источников.
Вероятность того, кто хост просто не имеет выхода в интернет, достаточно велика, а наличие pool вообще сделает его приоритетным при выборе источника и в итоге получим неработающую синхронизацию времени на хосте
Аналогичная история по резервным КД
{#
Если скрипт срабатывает не на первом КД
Записываем в chrony.conf первый КД и 2.debian.pool.ntp.org
#}
append_first_dc_to_ntp_roots:
file.append:
- name: /etc/chrony/chrony.conf
- text:
- server {{ master_ntp }} iburst
- pool 2.debian.pool.ntp.org iburst
Снова видим принудительное прописывание - pool 2.debian.pool.ntp.org iburst
Мне кажется тут возможны два варианта:
1. Раз уж это резервный КД, пусть синхронизируется по главному и точка
2. Если мы хотим на всякий случай fallback pool, то взять его из настроек внешних ntp источников, но тогда получится, что главный КД синхронизируется по внешним источникам, и другие КД по сути тоже, по внешним источникам, не выстраивается правильной цепочки синхронизации времени

Все вышеописанные изменения на своём домене я внёс, и тогда нормально заработала вся цепочка синхронизации времени от головного КД до конечного хоста

А с учётом импортозамещения, возможно пора переходить на российские пулы? :)
0.ru.pool.ntp.org 1.ru.pool.ntp.org 2.ru.pool.ntp.org 3.ru.pool.ntp.org

PS:
забыл ещё про chrony.conf.j2
{%- if ns.no_servers is sameas true %}
pool 2.debian.pool.ntp.org iburst
{%- endif %}
не лучше ли оставить в покое ненастроенный сервер синхронизации времени? :)
 
  • Like
Реакции: mdo
Назад
Сверху Снизу