Ir al contenido 
NTP Chrony Hosting detiene la desviación temporal que ralentiza el servidor, sincronizando rápidamente los relojes, ordenando los tiempos de registro y manteniendo la fiabilidad de las autenticaciones. Te muestro cómo hacerlo. Chrony, NTP y systemd-timesyncd interactúan, por qué se produce la deriva y qué ajustes evitan fallos y riesgos de seguridad en entornos de alojamiento.
Puntos centrales
- Desviación temporal: causas, consecuencias y por qué los milisegundos cuentan
- Jerarquía NTP: Diseño Stratum para fuentes de tiempo internas
- Chrony vs. ntpd vs. systemd-timesyncd en centros de datos
- NTS & Marcas de tiempo de hardware: seguridad y precisión
- Monitoreo & Resolución de problemas para una consistencia duradera
Cómo se produce y cómo afecta la deriva del tiempo del servidor
La deriva temporal se produce porque la RTC de un host funciona demasiado rápido o demasiado lento y el error se acumula cada día. Incluso pequeñas desviaciones generan contradicciones. Marca de tiempo, lo que interfiere en las transacciones, las cachés y la replicación. Los certificados pueden aparecer de repente „demasiado pronto“ o „demasiado tarde“ y las autenticaciones pueden fallar. En los sistemas distribuidos se pierde el orden de los eventos y la depuración resulta difícil o imposible. En entornos de alojamiento, veo con frecuencia que la falta de sincronización provoca fallos que se pueden evitar con un diseño temporal sólido.
Breve explicación del estrato NTP
El estratoEl modelo Stratum clasifica las fuentes de tiempo de forma jerárquica y reduce la dependencia de Internet. Stratum‑0 son Relojes de referencia como GPS o radio; los servidores Stratum-1 se conectan directamente a ellos; Stratum-2 obtiene información de Stratum-1. En entornos de alojamiento, vale la pena tener un servidor Stratum-3 interno que abastezca a todos los nodos y reduzca la carga externa. De este modo, distribuyo una hora uniforme a los hosts y contenedores sin enviar ningún nodo a Internet. Esta arquitectura permite registros coherentes, ventanas de certificados adecuadas y bases de datos replicadas con un orden limpio.
¿NTP, Chrony o systemd-timesyncd? La comparación
He puesto Chrony en configuraciones productivas, ya que se adapta más rápidamente y se ajusta con precisión en redes inestables. El clásico ntpd Funciona bien, pero tarda más tiempo en „ajustarse“. systemd-timesyncd es ligero y suficiente para hosts sencillos, pero no sirve como servidor. Para clústeres o alojamiento, recomiendo una implementación uniforme en todos los nodos para evitar el funcionamiento mixto y los efectos secundarios. La siguiente tabla resume las diferencias más importantes.
| implementación | Puntos fuertes | Puntos débiles | Adecuado para |
|---|---|---|---|
| Chrony | Sincronización rápida, tolerante a la pérdida de paquetes, modo servidor y cliente, buen manejo sin conexión. | Más opciones requieren una configuración limpia | Servidores productivos, nubes, máquinas virtuales, contenedores |
| ntpd | Probado durante muchos años, amplia disponibilidad | Lento al arrancar, menos flexible con hosts móviles. | Entornos heredados, configuraciones conservadoras |
| systemd-timesyncd | Delgado, cliente SNTP, prácticamente „sin configuración“ | Sin modo servidor, funciones limitadas | Servidores pequeños, dispositivos, máquinas virtuales sencillas |
Modelo de roles: separar claramente los clientes temporales y los servidores internos
En la práctica, hago una distinción estricta entre Solo para clientes-Hosts e internos Servidores NTP. Los clientes solo consultan fuentes definidas y no ofrecen ningún puerto NTP. Los servidores internos agregan varias fuentes, comprueban la calidad y distribuyen la hora en el entorno. De este modo, reduzco la superficie de ataque y mantengo corta la cadena de dependencia.
Es importante establecer correctamente los intervalos de sondeo y las preferencias. Marqué una fuente interna fiable con preferir y mantengo proveedores externos como respaldo. En redes con fluctuaciones de latencia, ocasionalmente reduzco minpoll, para medir las correcciones más rápidamente, pero aumenta maxpoll de nuevo, una vez alcanzada la estabilidad, para mantener baja la carga de la red.
Chrony en la práctica: configuración para alojamiento web
Empiezo con una clara chrony.conf, que define la deriva, el estrato y los accesos. Una base mínima incluye:
archivo de deriva /var/lib/chrony/drift
estrato local 8
manual
allow 192.168.0.0/16
El archivo de deriva memoriza el error de sincronización y acelera la corrección tras el reinicio. Con „local stratum 8“, el servidor interno mantiene una prioridad baja si hay fuentes externas disponibles. „allow“ regula qué redes pueden obtener la hora y evita abusos. Activo el servicio con systemctl start chronyd y systemctl enable chronyd y, a continuación, comprueba el estado y las fuentes.
Perfiles solo para clientes y servidores
En los clientes puros, desactivo el puerto del servidor y mantengo la configuración sencilla:
Perfil solo para clientes #
servidor ntp-interno.ejemplo iburst prefer
servidor ntp-externo-1.ejemplo iburst
servidor ntp-externo-2.ejemplo iburst
puerto 0
makestep 1.0 3
rtcsync
leapsectz derecha/UTC
puerto 0 impide que el propio host ofrezca tiempo. makestep 1.0 3 permite una corrección dura >1 s en las tres primeras mediciones, después solo se permite geslewt (ligeramente adaptado). rtcsync mantiene el RTC sincronizado a intervalos razonables para que los reinicios se inicien sin grandes saltos.
En los servidores NTP internos, consolido las fuentes y regulo el acceso con precisión:
# Servidor NTP interno
pool 0.pool.example iburst maxsources 4
servidor ref1.ejemplo iburst prefer nts
servidor ref2.ejemplo iburst nts
permitir 10.0.0.0/8
allow 192.168.0.0/16
dirección vinculada 0.0.0.0
bindcmdaddress 127.0.0.1
cmdallow 127.0.0.1
archivo de deriva /var/lib/chrony/drift
makestep 0,5 5
estrato local 8
leapsectz derecha/UTC
Conecto el socket de comando a 127.0.0.1 y permítelo solo a nivel local. piscina mantiene varias fuentes actualizadas automáticamente. preferir establece la fuente primaria deseada. En configuraciones más grandes, establezco dirección vinculada dirigido específicamente a una VLAN de gestión.
Encuestas, calidad de las fuentes y estabilidad
En redes inestables, al principio aumento la densidad de medición y, una vez estabilizada, la reduzco:
servidor ntp-externo-1.ejemplo iburst minpoll 6 maxpoll 10
Con minsamples, muestras máximas y distancia máxima Elimino las fuentes defectuosas en una fase temprana. En el caso de rutas asíncronas o enrutamiento asimétrico, ayuda marca de tiempo de hardware Reducir la fluctuación en las NIC adecuadas:
hwtimestamp eth0
Seguridad y precisión: NTS, marcas de tiempo de hardware, segundos intercalares
Protejo las conexiones NTP con NTS, para que un atacante no introduzca una hora incorrecta. Una entrada como tiempo del servidor.cloudflare.com iburst nts proporciona un inicio rápido a través de iburst y protección criptográfica. Cuando la tarjeta de red lo permite, activo el sellado de tiempo por hardware para evitar fluctuaciones de latencia en el núcleo. Para los segundos intercalares, utilizo „leapsectz right/UTC“ para que los servicios no experimenten saltos de tiempo bruscos. Esta combinación mantiene la fiabilidad de los servicios y evita errores en aplicaciones sensibles.
Endurecimiento y diseño de redes
Me limito a UDP/123 estrictamente a las redes previstas, tanto en dirección detalladamente (Clientes → servidor interno) y partiendo de (Servidor → fuentes externas). En los clientes, utilizo puerto 0, para que no puedan ser utilizadas indebidamente como fuente. permitir/negar Chrony filtra adicionalmente. En redes segmentadas, coloco los servidores internos en una red con baja latencia hacia los trabajadores y mantengo la ruta determinista (sin rutas asimétricas, sin modelado excesivo).
NTS requiere un acuerdo inicial de clave a través de un puerto dedicado. Solo permito este puerto de destino a proveedores de confianza. Si NTS falla, defino un comportamiento de respaldo consciente (alarma estricta en lugar de un cambio silencioso a fuentes no seguras). De esta manera evito el „deterioro silencioso“ de la seguridad.
Estrategias para el segundo intercalarado y difuminado
Decido según el entorno: manejo clásico del salto (UTC con segundo intercalar) o Salpicadura de salto, en el que el segundo se suaviza a través de una ventana. Importante: no mezclar. Si algunas fuentes se difuminan y otras no, se producen desviaciones permanentes. En clústeres críticos, mantengo toda la flota en línea y documento la elección. Chrony permite un manejo limpio de los saltos a través de leapsectz; quien suaviza debe planificarlo de forma coherente para todos los nodos.
Supervisión y resolución de problemas: hacer visible la deriva
Compruebo el estado y las compensaciones con timedatectl así como las herramientas Chrony, como Fuentes crónicas y seguimiento. Las desviaciones entre el RTC y la hora del sistema son normales al principio, pero deberían reducirse rápidamente. Para el control a largo plazo, integro métricas y alarmas en un Pila de supervisión. Así puedo detectar tendencias, picos y valores atípicos antes de que los usuarios se den cuenta. Las alertas se activan automáticamente cuando las desviaciones superan los umbrales definidos.
Índices y umbrales de alarma
- Desviación del sistema (Seguimiento de último/desviación media): advertencia a partir de 5 ms, crítico a partir de 25 ms en pilas web/DB.
- Dispersión de raíces: Indica la incertidumbre de la fuente. Si aumenta de forma permanente, reacciono cambiando de fuente.
- Accesibilidad y Jitter Según la fuente: Detectar a tiempo la pérdida de paquetes y la inestabilidad.
- estrato: Los aumentos inesperados del estrato indican aislamiento o pérdida de fuentes.
Para diagnósticos ad hoc, utilizo además:
chronyc sourcestats -v
chronyc ntpdata
chronyc rtcdata
actividad crónica
Muestra actividad Muchas fuentes no válidas, compruebo el cortafuegos, MTU/fragmentación y rutas asimétricas. En el caso de grandes saltos tras reiniciar, makestep A menudo no se coloca o se bloquea debido a umbrales demasiado estrechos.
Prácticas recomendadas para mantener la coherencia temporal en clústeres
Considero que la fuente de tiempo es redundante, normalmente con al menos tres. Servidores, para que uno pueda fallar. Un servidor interno Stratum 3 abastece a la flota y se abastece a su vez de varias fuentes Stratum 2. Evito el funcionamiento mixto con ntpd y Chrony, ya que los diferentes algoritmos pueden provocar compensaciones . Guardo el RTC en UTC con timedatectl set-local-rtc 0, para que el cambio horario de verano no traiga sorpresas. Documento cada cambio para poder comprender rápidamente el historial en caso de avería.
Kubernetes y orquestación
En Kubernetes y orquestaciones similares, solo utilizo Chrony en el Nodos, no en pods individuales. Los contenedores heredan la hora del host; las correcciones duplicadas provocan desviaciones. Componentes como etcd son sensibles a los errores de tiempo: incluso unos pocos milisegundos pueden afectar a los tiempos de espera de selección. Me aseguro de que el plano de control y los trabajadores utilicen la misma fuente interna y de que no haya ningún pod/nodo con leapsmear-Mix en funcionamiento.
Características especiales de la nube
Muchos proveedores de servicios en la nube ofrecen servidor de tiempo interno listo. Me gusta utilizarlas como fuente principal (baja latencia) y complementarlas con fuentes NTS externas como respaldo. En casos de hibernación o paradas Permito pasos iniciales mediante makestep. Desactivo la sincronización horaria de host a invitado a través de agentes cuando Chrony está activo para evitar correcciones duplicadas.
Escenarios especiales: máquinas virtuales, contenedores y nube
En las máquinas virtuales, presto atención al tiempo de host a invitado, ya que los duplicados Correcciones (hipervisor e invitado) generan caos. Los contenedores obtienen tiempo del host, por lo que el mantenimiento se centra en la infraestructura. En entornos elásticos, en los que las instancias se inician con frecuencia, la rápida convergencia de Chrony. En ubicaciones periféricas con mala conexión, se beneficia del comportamiento de Chrony en caso de pérdida de paquetes y fases temporales sin conexión. Para los análisis de rendimiento relacionados con el tiempo y la latencia, me ayuda esta Análisis del tiempo de respuesta.
Efectos sobre el rendimiento: bases de datos, registros y certificados
El tiempo limpio reduce lo extraño. Bloqueos en bases de datos, porque las secuencias de transacciones siguen siendo coherentes. Las cachés se invalidan correctamente, las CRL y las OCSP actúan en ventanas de tiempo reales. En la práctica, muchos „errores fantasma“ desaparecen cuando se controlan los desplazamientos. Para una correlación correcta de los eventos, apuesto por Análisis de registros con una fuente de tiempo idéntica. Los certificados son más fiables porque los intervalos de validez coinciden con la hora del sistema.
Ruta de migración a Chrony sin interrupciones
Planeo la transición por etapas, para que Servicios Obtener la hora en cualquier momento. Primero construyo un servidor Chrony interno y hago que algunos hosts de staging apunten a él. Una vez que las fuentes funcionan de forma estable, cambio los nodos productivos gradualmente. Durante la migración, mido los desfases y los tiempos de espera para detectar cualquier desviación lo antes posible. Si todo es coherente, desactivo las antiguas instancias de ntpd y elimino los residuos.
Rollback y plan de emergencia
Sostengo un Rollback Listo: actualizo las configuraciones antiguas y documento el orden para volver a ntpd o systemd-timesyncd, si es necesario. Para casos de emergencia, anoto un breve manual de instrucciones: pausar servicios, chronyd Detener, ajustar la hora manualmente (solo si es imprescindible), reiniciar el servicio, comprobar las fuentes, supervisar las compensaciones. Es fundamental limitar al máximo las intervenciones manuales para evitar saltos en las aplicaciones.
Lista de comprobación para la implementación
Al principio defino claramente Fuentes temporales y la jerarquía de objetivos con un servidor interno de estrato 3. A continuación, creo una configuración uniforme para todos los hosts, la pruebo en el entorno de pruebas y la documento. Activo NTS donde sea necesario y compruebo el sellado de tiempo del hardware en la tarjeta de red adecuada. A continuación, integro métricas en las alarmas y establezco umbrales de compensación. Por último, planifico revisiones periódicas para evitar que los errores de tiempo se agraven.
Runbook: comprobación del estado en 10 minutos
Cuando algo me parece „raro“, procedo de la siguiente manera:
- estado del sistema:
timedatectl(¿NTP activo? ¿RTC en UTC?) - Fuentes:
fuentes cronyc -v(Alcance, estrato, fluctuación) - Seguimiento:
seguimiento cronic(Desviación, inclinación, dispersión de raíz) - Red: Comprobar los cortafuegos/ACL para UDP/123, medir la latencia/pérdida.
- Deriva:
chronyc sourcestatsobservar durante varios minutos - RTC:
chronyc rtcdata, si procede.rtcsyncActivar - Seguridad: Comprobar el estado NTS, sin degradación silenciosa.
Costes y beneficios expresados en euros
Una incorrecta reloj cuesta rápidamente tiempo y dinero: las implementaciones fallidas, los casos de asistencia técnica y las deducciones del SLA se acumulan. La configuración de un servidor Chrony interno y la supervisión son económicas, a menudo el coste se mantiene en el rango de los tres dígitos en euros. Por otro lado, se evitan fallos que fácilmente pueden suponer cantidades de cuatro o cinco dígitos en Euro ponen en peligro. Especialmente en clústeres con muchas transacciones, la sincronización da sus frutos día tras día. Por lo tanto, considero que NTP/NTS y Chrony son obligatorios, en lugar de opcionales.
Resumen
Desviación temporal Ralentiza los servidores, confunde los registros y desincroniza los certificados. Con Chrony, NTP y un diseño interno Stratum, mantengo los relojes sincronizados y los servicios fiables. NTS protege la fuente, el sellado de tiempo del hardware suaviza la latencia y el manejo correcto de los segundos intercalares evita los saltos. La supervisión con métricas y alarmas muestra las desviaciones antes de que los usuarios las noten. Quien configure correctamente NTP Chrony Hosting obtendrá intervalos de tiempo consistentes, menos interferencias y beneficios medibles en euros.
