Linux集群系统时间同步

环境准备：

要做到服务器集群的时间同步，集群中各台机器的时区必须相同的，我们在国内就使用中国时区，如果你的机器的时区不是"Asia/Shanghai"，需要修改时区

CentOS 中时区是以文件形式存在，当前正在使用的时区文件位于

/etc/localtime ，其他时区文件则位于 /usr/share/zoneinfo 下，中国时区的文件全路径是 /usr/share/zoneinfo/Asia/Shanghai

要更改时区，直接使用如下命令就OK

需要使用 tzselect 命令去生成时区文件，生成好的时区文件就在/usr/share/zoneinfo 目录下，具体步骤去下：

使用 date -s 命令来修改系统时间

让集群所有的服务器的时间同步，就用远程连接工具连接所有服务器，然后在所有的服务器中同时执行 date -s 命令设置时间，然后在所有的服务器中执行 hwclock -w 命令即可

美国标准技术院时间服务器：time.nist.gov（192.43.244.18）

上海交通大学网络中心NTP服务器地址：ntp.sjtu.edu.cn（202.120.2.101）

中国国家授时中心服务器地址：cn.pool.ntp.org（210.72.145.44）

若以上提供的网络时间服务器不可用，请自行上网寻找可用的网络时间服务器

<1>使用命令： crontab -e

<2> 然后往里加入一行内容

上面的配置表示，每隔十分钟从 202.120.2.101 该时间服务器同步一次时间。

<3> 保存退出

以上两步操作可以让node01这个服务器每隔10分钟去指定的服务器同步时间，如果需要让集群中的所有服务器(hadoop01-hadoop04)时间同步，那么每台服务器都要做以上两步操作。

node01的IP为192.168.21.101，让它作为时间服务器，192.168.21.0局域网内的所有服务器都向它同步时间，而node01这台时间服务器本身，向外网时间服务器同步时间(比如中国国家授时中心服务器)

我用node01

我去掉了所有的默认注释，对其中的修改写了自己的注释，没有写注释的是默认配置

因为ntpd服务开启之后，就不能手动同步时间了，那么为什么要先手动同步时间呢？

当server(中国国家授时中心服务器)与client(node01)之间的时间误差过大时（可能是1000秒），node01去同步时间可能对系统和应用带来不可预知的问题，node01将停止时间同步！所以如果发现node01启动之后时间并不进行同步时，应该考虑到可能是时间差过大引起的，此时需要先手动进行时间同步！

看到红色框中的内容，表示连接和监听已正确

这里的前4行就是我们配置的4个中国国家授时中心的服务器的信息

最后一行就是本地时间服务的信息

下面对每个列的意义进行说明：

同样，服务启动后需要等待5-10分钟才能看到这个正常的信息

到这里，我们局域网内的时间服务器node01就已经配置完毕了

文件内容如下：

同样，没有写注释的都是默认的配置

原因同(5)

到这里，利用局域网内一台时间服务器来同步整个集群时间的全部配置就已经完成

说明：若以上提供的网络时间服务器不可用，请自行上网寻找可用的网络时间服务器，另外需要关闭各服务器的防火墙，才能进行时间同步

参考文章：

内网环境NTP服务及时间同步(CentOS6.x)配置和部署

配置NTP服务ntpd/ntp.conf（搭建Hadoop集群可参考）

集群通信系统是一种计算机系统，

它通过一组松散集成的计算机软件和/或硬件连接起来高度紧密地协作完成计算工作。简单地说，集群(cluster)就是一组计算机，它们作为一个整体向用户提供一组网络资源。这些单个的计算机系统就是集群的节点(node)。一个理想的集群，用户是不会意识到集群系统底层的节点的。在他们看来，集群是一个系统，而非多个计算机系统。并且集群系统的管理员可以随意增加和删改集群系统的节点。

集群已不是一个全新的概念，早在七十年代计算机厂商和研究机构就对集群系统进行了研究和开发。这些系统不为大家熟知，是因为它主要用于科学工程计算。直到Linux集群的出现，集群的概念才得以广泛传播。集群系统主要分为高可用(High

Availability)集群，简称HA集群，和高性能计算(High Perfermance Computing)集群，简称HPC集群。

在Linux出现前，集群系统采用的操作系统主要有VMS、UNIX和WindowsNT。到九十年代末期，linux操作系统不断走向成熟，它的健壮性不断增强，并且提供了GNU软件和标准化的PVM、MPI消息传递机制，最重要的是Linux在普通PC机上提供了对高性能网络的支持，这样就大大推动了基于Linux的集群系统的普及和发展。

    在局域网中的Linux服务器集群，为了保障运维安全，只能从堡垒机登录到各个Linux服务器。那么需要对Linux服务器集群进行安全加固，限制访问权限。在堡垒机上可以部署脚本来记录用户操作的审计日志（详情参考笔者的文章），那么整个局域网的Linux服务器集群的安全性就可以大大提高。

    堡垒机作用明显，其提供运维统一入口和安全审计功能，切断直接访问和事后审计定责，解决“运维混乱”变得“运维有序” 。

   下面是三种方法总结。分别从服务端，系统端、防火墙端来完成只允许堡垒机SSH登录的功能。

1、/etc/ssh/sshd_config

    修改添加AllowUsers到ssh配置文件/etc/ssh/sshd_config  ：

    AllowUsers myuser@20.132.4.*

    然后重启 sshd服务：systemctl restart sshd

2、hosts.allow与hosts.deny

    修改/etc/hosts.deny中添加设置 sshd : ALL ，拒绝所有的访问；

    修改/etc/hosts.allow，添加设置sshd : 20.132.4.* ，单独开启某个IP地址 。

    这两个文件优先级为先检查hosts.deny，再检查hosts.allow。

    更加详细信息参考笔者的文章-Linux中hosts.allow与hosts.deny  。

3、iptables防火墙

    tcp协议中，禁止所有的ip访问本机的22端口。

    iptables -I INPUT -p tcp--dport 22 -j DROP

    只允许20.132.4.* 访问本机的22端口

    iptables  -I  INPUT  -s  20.132.4.*   -ptcp  --dport  22  -j   ACCEPT

    另外/etc/pam.d/sshd也可以提供访问控制功能，调用的pam_access.so模块是根据主机名、IP地址和用户实现全面的访问控制，pam_access.so模块的具体工作行为根据配置文件/etc/security/access.conf来决定。但是囿于资料过少，待以后遇到再解决把。

---