使用锁定的ACL在AWS EC2中运行NIST NTP

Question

我们在EC2实例上看到了大量的时钟漂移，以至于各种服务都受到了影响。Elastic Beanstalk最终以时钟漂移和缺乏NTP同步为由，将长时间运行的实例判定为不健康。为什么会发生这种情况？

Answer 1

相关阅读：

1

2“确保您的私有网络安全组和网络ACL允许端口123上的出站UDP流量，以避免这些问题。”

不管文档怎么说，如果你要锁定你的入站ACL，还有一个步骤。虽然AWS安全组是有状态的(即，给定端口上允许的出站连接也将被允许返回，但不会在入站规则上明确允许该端口)，但ACL不是有状态的。这意味着，如果您锁定入站ACL，则还必须允许端口123上的入站UDP连接。

您可以编辑/etc/ntp.conf文件，并使用来自http://tf.nist.gov/tf-cgi/servers.cgi的NIST IP地址，而不是DNS名称。然后，在您的ACL中，您可以将入站UDP规则锁定到这些IP地址(例如：216.229.0.179/32)。

这应该就行了。