группа безопасности для AWS сервера NTP

Question

Я просто пытаюсь синхронизировать время с NTP-сервером на EC2 случаях:

сервер 0.amazon.pool.ntp.org iburst
сервера 1.amazon.pool.ntp .org iburst
сервер 2.amazon.pool.ntp.org iburst
сервер 3.amazon.pool.ntp.org iburst

К сожалению, я не мог синхронизироваться с NTP-сервером. Мой вопрос:

1. Должны ли мы открывать порты в группе безопасности, чтобы позволить NTP-серверу подключаться к экземплярам EC2?
2. Если да, то как мы можем знать, какой IP является amazon.pool.ntp.org (он меняется с течением времени), и мы не можем открыть всех трафиков

Спасибо заранее,
Toan Dao

Answer 1

Вам необходимо разрешить исходящий трафик до 0.0.0.0/0 на порт 123 вашей группы безопасности для работы NTP.

Если ваш экземпляр EC2 находится в общедоступной подсети, вы должны разрешить это только в своей группе безопасности.

Но если ваш экземпляр EC2 находится в частной подсети, вам необходимо разрешить входящий и исходящий трафик на порту 123 для вашего NAT передавать запросы и ответы. Входящий требуется от вашего экземпляра EC2 (а не мира).

Answer 2

Не нужно открывать входящий трафик для NTP, необходим только исходящий доступ. Пока ваш экземпляр может попасть в Интернет, адрес пула ntp может быть разрешен.

Итак, откройте свой исходящий адрес/порты и убедитесь, что ваш экземпляр может попасть в Интернет напрямую или через NAT или другими способами.

Answer 3

Согласно документу AWS в

Network Time Protocol (NTP) настроенном по умолчанию в экземплярах Amazon Linux; однако экземпляр нуждается в доступе к Интернету, чтобы стандартная конфигурация NTP работала. Группа безопасности вашего экземпляра должны также разрешить исходящий UDP трафик на порт 123 (NTP)
источник: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-time.html

Таким образом, нам нужно разрешить исходящий трафик 0.0.0.0/0 порт 123 на группу безопасности для NTP работать