Use NTP ou systemd-timesyncd para manter servidores sincronizados. Deriva pode quebrar TLS, causar confusão em logs e afetar transações distribuídas. Prefira múltiplas fontes NTP; em DCs use NTP do provedor ou interno.
Por que o tempo importa
- TLS: Certificados têm períodos de validade; se o relógio do servidor estiver errado, certs podem ser rejeitados ou expirados incorretamente.
- Logs: Correlação e resposta a incidentes dependem de timestamps. Servidores dessincronizados impedem ordenar eventos entre hosts.
- Sistemas distribuídos: Bancos, filas e consenso (ex.: etcd) dependem de tempo consistente. Deriva grande pode causar split-brain ou ordenação errada.
NTP e systemd-timesyncd
- NTP: Daemon clássico (ntpd, chronyd) sincroniza com servidores NTP. Use várias fontes (ex.: 3–4 pool ou NTP do provedor) para redundância.
- systemd-timesyncd: Opção mais leve em sistemas systemd; boa para a maioria dos servidores. Configure servidores NTP em /etc/systemd/timesyncd.conf.
- Stratum: Prefira fontes stratum 1 ou 2 quando possível. Em data center use NTP do provedor ou servidor NTP interno.
Boas práticas
- Múltiplas fontes: Para um NTP ruim ou inalcançável não deixar você dessincronizado.
- Firewall: Permita NTP de saída (UDP 123) se sincronizar com servidores externos.
- Monitorar: Alerte se a deriva de tempo passar de um limite (ex.: 1–5 segundos).
Resumo
Mantenha servidores sincronizados com NTP ou systemd-timesyncd. Use múltiplas fontes; em DCs prefira NTP do provedor ou interno. Monitore deriva; tempo preciso é crítico para TLS, logs e sistemas distribuídos.
