内网虚拟化平台（VMware vSphere5.1）时间同步配置案例（经过网闸）

trzxycx

　　老管网络日志 | funpower's blog  Blog Archive  内网虚拟化平台（VMware vSphere5.1）时间同步配置案例（经过网闸）
　　http://guanjianfeng.com/archives/1160091
一套VMware vSphere5.1虚拟化平台，共有四台DELL R910主机组成，虚拟化平台以及虚拟机的时间每隔一段时间就会走慢，对需要时间准确的应用影响很大，该平台又在纯内网网络中运行，无法与互联网的时间服务器相连同步时间。
但内网与外网之间有网闸设备，最近趁着有空，终于完成配置，通过网闸实现内网虚拟化平台及虚拟机与互联网时间服务器的同步。具体如下：

• 　　实现总体概述
  

如下图所示，在互联网上寻找一台稳定的时间服务器，本例为110.75.190.198，再通过网闸将内网的192.168.100.200的UDP 123端口映射至互联网的时间服务器110.75.190.198的UDP 123端口，这样，当内网ESXi主机或虚拟机访问内网IP 192.168.100.200:123时，就能间接与互联网的110.75.190.198服务器通信，从而获得时间同步的信息。

详细实现及设置步骤如下：
一、确定时间服务器
搜索了一下，网上时间服务器一大堆，但测试下来很多都不能用，最后发现了NTP POOL PROJECT网站，是一个提供可靠易用的NTP服务的虚拟集群，如下图所示，目前该集群内已经有3600多台时间服务器。

进入亚洲（Asia）时间服务器界面，并点击页面中的”China-cn.pool.ntp.org(5)”，如下图

如下图，显示出了中国有三台时间服务器，分别为1.cn.pool.ntp.org、1.asia.pool.ntp.org、0.asia.pool.ntp.org三台，

以上都是以域名的方式访问时间服务器，但由于本次是要通过网闸进行端口的映射，网闸不支持域名方式的映射，只能通过IP地址来做映射。后来又发现了http://ntp.org.cn/这个站点，他列出了中国的常用NTP服务器，如下表：

区域[zone]	域名[Domain]	IP池[IP Pool]
中国[China]	cn.ntp.org.cn	[size=1.2em][202.108.6.95] [202.112.29.82] [110.75.190.198] [115.28.122.198] [182.92.12.11] [120.25.108.11] [110.75.186.249][110.75.186.248][110.75.186.247]
中国台湾[ChinaTaiwan]	tw.ntp.org.cn	[120.119.28.1]
美国[America]	us.ntp.org.cn	[24.56.178.140] [131.107.13.100]
新加坡[Singapore]	sgp.ntp.org.cn	[139.162.20.174] [103.11.143.248]
韩国[korea]	kr.ntp.org.cn	[218.234.23.44] [211.233.40.78]
德国[Germany]	de.ntp.org.cn	[131.188.3.220] [131.188.3.223]
日本[Japan]	jp.ntp.org.cn	[133.243.238.243] [157.7.152.213]
		注：多组IP则为多IP轮询[Group IP was using IP-list polling]。

可以通过访问cn.ntp.org.cn来更新时间，采购轮询的方式，但如上所说，经过网闸时只能使用IP地址，所以我就从中国的IP池中选了一个PING值最小的110.75.190.198，查询此IP为“浙江省杭州市 阿里云计算有限公司 阿里巴巴”。
确定时间服务器的IP后，接着开始配置网闸。
二、网闸配置
由于虚拟化平台在内网，而时间服务器110.75.190.198在互联网上，本次将通过网闸，将公网时间服务器110.75.190.198映射成内网地址，供内网使用，如下图所示：

首先进入网闸的外网区域配置（本例网闸品牌为网神，其它网闸产品配置界面可能不同，但功能相同），进入“定制模块”->“UDP访问”->“UDP服务器”，输入任务号、服务器地址（互联网时间服务器地址）、服务端口123，点击确定完成增加。

再进入内网网闸配置界面，如下图，配置“定制模块”->“UDP访问”->“UDP客户端”，在左边输入任务号（与刚才配置的任务号需一致）、监听地址，这里为192.168.100.200，监听的端为时间标准端口UDP 123，如下图，点击确定即可。

这样，就完成了网闸的配置，至此，内网已经可以通过访问192.168.100.200的UDP 123端口间接的访问公网的110.75.190.198来实现时间的同步了。
三、ESXi主机时间同步配置
进入任一ESXi主机，如下图，在“时间配置”选项栏中，选择属性按扭

如下图，将NTP客户端已启用的钩打上，点击确定。然后再点击属性按扭

并点击上图中的”选项“按扭，如下图，选择”NTP设置”，并点击“添加”

输入内网映射的地址：192.168.100.200，如下图，点击确定，完成添加。

完成如下图红框中的设置，确定状态为“正在运行”。

至此，图形界面的配置到此为止，下来需要在命令行中完成其他配置，首先打开ESXi的SSH功能，进入配置->安全配置文件，如下图，打开SSH：

然后通过SecureCRT软件连接ESXi主机，如下图：

接着开始完成以下5步（本例为ESXi 5.x，若是ESXi6.0，请稳步这里查看配置方法）：
（1）编辑ntp.conf文件
# vi /etc/ntp.conf
在最后添加一行：
tos maxdist 30
（2）使lsassd.conf可写
# chmod +w /etc/likewise/lsassd.conf
（3）编辑lsassd.conf文件
# vi /etc/like/wise/lsassd.conf
找到sync-system-time选项，取消其注释并将值设置为no，即：
sync-system-time = no
（4）运行/etc/auto-backup.sh
# /etc/auto-backup.sh
（5）重启ntpd和lsassd服务
# /etc/init.d/lsassd restart
# /etc/init.d/ntpd restart
四、虚拟机时间同步配置
虚拟机的时间同步配置与物理操作系统相同，只需打开右下角的时间配置窗口，在Internet时间处，输入网闸映射的地址192.168.100.200即可，如下图。