Use NTP o systemd-timesyncd para mantener servidores sincronizados. La deriva puede romper TLS, causar confusión en logs y afectar transacciones distribuidas. Prefiera múltiples fuentes NTP; en DCs use NTP del proveedor o interno.
Por qué importa el tiempo
- TLS: Los certificados tienen períodos de validez; si el reloj del servidor está mal, los certs pueden rechazarse o caducar incorrectamente.
- Logs: La correlación y respuesta a incidentes dependen de timestamps. Servidores desincronizados impiden ordenar eventos entre hosts.
- Sistemas distribuidos: BDs, colas y consenso (ej. etcd) dependen de tiempo consistente. Una deriva grande puede causar split-brain u ordenación incorrecta.
NTP y systemd-timesyncd
- NTP: Daemon clásico (ntpd, chronyd) sincroniza con servidores NTP. Use varias fuentes (ej. 3–4 pool o NTP del proveedor) para redundancia.
- systemd-timesyncd: Opción más ligera en sistemas systemd; buena para la mayoría de servidores. Configure servidores NTP en /etc/systemd/timesyncd.conf.
- Stratum: Prefiera fuentes stratum 1 o 2 cuando pueda. En data center use NTP del proveedor o servidor NTP interno.
Buenas prácticas
- Múltiples fuentes: Para que un NTP malo o inalcanzable no deje el sistema desincronizado.
- Firewall: Permita NTP de salida (UDP 123) si sincroniza con servidores externos.
- Monitorear: Alerte si la deriva de tiempo supera un umbral (ej. 1–5 segundos).
Resumen
Mantenga servidores sincronizados con NTP o systemd-timesyncd. Use múltiples fuentes; en DCs prefiera NTP del proveedor o interno. Monitoree deriva; el tiempo preciso es crítico para TLS, logs y sistemas distribuidos.
