一、Docker容器时间与宿主机不一致
前言
如果在启动Docker容器的过程中没有单独配置localtime,很可能造成Docker容器时间与主机时间不一致的情况,比如UTC和CST相差8小时,换句话来说就是容器时间与北京时间相差8个小时。
问题描述
问题:容器时间与北京时间相差8个小时
# 查看主机时间
[root@localhost ~]# date
2020年07月27日 星期三 22:42:44 CST
# 查看容器时间
# docker exec -it <containerid> /bin/sh
root@b43340ecf5ef:/# date
Wed Jul 27 14:43:31 UTC 2020
原因:宿主机设置了时区,而Docker容器并没有设置,导致两者相差8小时
CST应该是指(China Shanghai Time,东八区时间)
UTC应该是指(Coordinated Universal Time,标准时间)
所以,这2个时间实际上应该相差8个小时
所以,必须统一两者的时区
解决方案
方法一:初始化容器时,容器时间与宿主机同步,docker run 添加时间参数
docker run -itd --privileged=true -v /etc/localtime:/etc/localtime:ro #实例 docker run -itd \ -e MYSQL_ROOT_PASSWORD=123456 \ -v /home/mysql/data:/var/lib/mysql \ -v /home/mysql/log:/var/log/mysql \ -v /home/mysql/etc/my.cnf:/etc/mysql/mysql.conf.d/mysqld.cnf \ -v /etc/localtime:/etc/localtime:ro \ --name mysql-server \ --network host \ --restart=always \ --privileged=true \ mysql:5.7.37
方法二:Dockerfile解决方案
# 方法1 # 添加时区环境变量,亚洲,上海 ENV TimeZone=Asia/Shanghai # 使用软连接,并且将时区配置覆盖/etc/timezone RUN ln -snf /usr/share/zoneinfo/$TimeZone /etc/localtime && echo $TimeZone > /etc/timezone # 方法2 # CentOS RUN echo "Asia/shanghai" > /etc/timezone # Ubuntu RUN cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
方法三:docker-compose解决方案
#第一种方式(推荐): environment: TZ: Asia/Shanghai #第二种方式: environment: SET_CONTAINER_TIMEZONE=true CONTAINER_TIMEZONE=Asia/Shanghai #第三种方式: volumes: - /etc/timezone:/etc/timezone - /etc/localtime:/etc/localtime
方法四:正在运行的容器,可以宿主机直接执行命令给某个容器同步时间
#方法1 直接在宿主机操作 docker cp /etc/localtime 【容器ID或者NAME】:/etc/localtime docker cp -L /usr/share/zoneinfo/Asia/Shanghai 【容器ID或者NAME】:/etc/localtime #方法2 登录容器同步时区timezone,一般是因为时区不同导致时间差 ln -sf /usr/share/zoneinfo/Asia/Singapore /etc/localtime
在完成后,再通过date命令进行查看当前时间
但是,在容器中运行的程序的时间不一定能更新过来,比如在容器运行的mysql服务,在更新时间后,通过sql查看mysql的时间
select now() from dual;
可以发现,时间并没有更改过来
这时候必须要重启mysql服务或者重启docker容器,mysql才能读取到更改过后的时间
二、宿主机时间不同步
ntp时间服务器——时间同步
具体两种模式:
1、服务器数量比较少,可以直接与时间服务器同步
2、本地服务器较多,在本地自建时间同步服务器
时间同步的两个命令:
ntpd : 校准时间,一点点的校准过来时间的,最终把时间慢慢的校正对。ntpd服务可以在修正时间的同时,修正cpu tick。ntpd有一个自我保护设置: 如果本机与上源时间相差太大, ntpd不运行
ntpdate : 不会考虑其他程序是否会阵痛,直接调整时间,有可能会对程序造成影响
ntpdate [-nv] [ IP/hostname]
# ntpdate -u 192.168.0.2
# ntpdate -u time.ntp.org
# ntpdate -u ntp.sjtu.edu.cn >>/var/log/ntp.log 2>&1;hwclock -w
注释:-u:指定使用无特权的端口发送数据包,可以越过防火墙与主机同步,这个参数可用可不用,看你自己
理想的做法是:
使用ntpd来校准时钟,而不是调整计算机时钟上的时间。
在计算机刚刚启动,但还没有启动很多服务的那个时候可以使用ntpdate同步时间
一、直接用命令与时间服务器进行同步
实例:使用ntpdate 进行同步:
ntpdate -u x.x.x.x #这里的x.x.x.x可以是公网时间服务器IP地址,也可以是下面两种我们自建的ntp服务器地址
#公网时间服务器IP地址
#阿里云时间服务器
http://time1.aliyun.com
http://time2.aliyun.com
http://time3.aliyun.com
http://time4.aliyun.com
http://time5.aliyun.com
http://time6.aliyun.com
http://time7.aliyun.com
time.pool.aliyun.com
#centos也有几个时间服务器(最好还是用国内的吧)
0.centos.pool.ntp.org
1.centos.pool.ntp.org
2.centos.pool.ntp.org
可以加一个定时计划,定时同步
注释:在有时间同步服务器的情况下,直接使用该命令就可以让宿主机实现时间同步
crontab -e
*/1 * * * * /usr/sbin/ntpdate -u x.x.x.x > /dev/null 2&1
二、 自建ntpd 时间同步服务器
NTP通信协议原理:
首先主机启动NTP。
客户端会向NTP服务器发送调整时间的message。
然后NTP server会送出当前的标准时间给client
client接受来自server的时间后,会根据这个信息来调整自己的时间。这样就实现了网络对时。
#NTP这个deamon采用了UDP 123端口
远程服务器的层级(stratum):
由于NTP是层型结构,有顶端的服务器,多层的Relay Server再到客户端.
所以服务器从高到低级别可以设定为1-16.
为了减缓负荷和网络堵塞,原则上应该避免直接连接到级别为1的服务器的
1、配置ntp服务器
1)安装
# yum -y install ntp
2)开机自启动
# systemctl start ntpd
# systemctl enable ntpd
3)修改配置文件:(详解)
[root@localhost ~]# less /etc/ntp.conf # For more information about this file, see the man pages # ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5). driftfile /var/lib/ntp/drift #系统时间与BIOS事件的偏差记录
配置与本机同步的机器权限↓
# Permit time synchronization with our time source, but do not # permit the source to query or modify the service on this system. restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery
默认拒绝任何操作,任何ip4地址、ip6地址 不能修改、不能trap远程登录、不能尝试对等、不能校对时间,
restrict 控制相关权限。
语法为: restrict [ 客户端IP ] mask [ IP掩码 ] [参数]
其中IP地址也可以是default ,default 就是指所有的IP
————————————————
参数有以下几个: nomodify:客户端不能更改服务端的时间参数,但是客户端可以通过服务端进行网络校时。 notrust :拒絕沒有認證的用戶端 noquery :客户端不能使用ntpq,ntpc来查询ntp服务器,等于不提供校对时间服务 notrap :不提供trap远程登录功能,trap服务是一种远程时间日志服务 拒绝为匹配的主机提供模式 6 控制消息陷阱服务。陷阱服务是 ntpdq 控制消息协议的子系统,用于远程事件日志记录程序。 nopeer :用于阻止主机尝试与服务器对等 kod : 访问违规时发送 KoD 包,向不安全的访问者发送Kiss-Of-Death报文。 restrict -6 表示IPV6地址的权限设置。
如何控制客户的范围 # Permit all access over the loopback interface. This could #下面的配置 允许运行任何权限的访问在本地接口, # be tightened as well, but to do so would effect some of #这里最好收紧权限,但是会影响一些管理功能 # the administrative functions. restrict 127.0.0.1 restrict ::1 # Hosts on local network are less restricted. #配置 给本地局域网络配置小一些的权限 #restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap 本机与公共时间服务器同步选项 设定NTP主机来源(其中prefer表示优先主机) # Use public servers from the pool.ntp.org project. 使用公共服务器从 时间池工程中 # Please consider joining the pool (http://www.pool.ntp.org/join.html). 请考虑加入这个 时间池 项目 server 0.centos.pool.ntp.org iburst server 1.centos.pool.ntp.org iburst server 2.centos.pool.ntp.org iburst server 3.centos.pool.ntp.org iburst
server host [ key n ] [ version n ] [ prefer ] [ mode n ] [ minpoll n ] [ maxpoll n ] [ iburst ] 其中host是上层NTP服务器的IP地址或域名,随后所跟的参数解释如下所示: ◆ key: 表示所有发往服务器的报文包含有秘钥加密的认证信息,n是32位的整数,表示秘钥号。 ◆ version: 表示发往上层服务器的报文使用的版本号,n默认是3,可以是1或者2。 ◆ prefer: 优先使用。 ◆ mode: 指定数据报文mode字段的值。 ◆ minpoll: 指定与查询该服务器的最小时间间隔为2的n次方秒,n默认为6,范围为4-14。 ◆ maxpoll: 指定与查询该服务器的最大时间间隔为2的n次方秒,n默认为10,范围为4-14。 ◆ iburst: 当初始同步请求时,采用突发方式接连发送8个报文,时间间隔为2秒。
#broadcast 192.168.1.255 autokey # broadcast server #broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # manycast client 当外部时间不可用时,以本地(本机)时间作为服务时间,本地时间以 127.127.1.0 表示 级别为10 # Undisciplined Local Clock. This is a fake driver intended for backup # and when no outside source of synchronized time is available. #server 127.127.1.0 # local clock #fudge 127.127.1.0 stratum 10 下面是一些加密认证的配置 # Enable public key cryptography. #crypto includefile /etc/ntp/crypto/pw # Key file containing the keys and key identifiers used when operating # with symmetric key cryptography. keys /etc/ntp/keys # Specify the key identifiers which are trusted. #trustedkey 4 8 42 # Specify the key identifier to use with the ntpdc utility. #requestkey 8 # Specify the key identifier to use with the ntpq utility. #controlkey 8 # Enable writing of statistics records. #statistics clockstats cryptostats loopstats peerstats
一个简单实例如下:
restrict default kod nomodify notrap nopeer noquery #拒绝所有ip4 的请求 # restrict -6 default kod nomodify notrap nopeer noquery #针对ipv6设置 # 允许本地所有操作 restrict 127.0.0.1 #restrict -6 ::1 # 允许的局域网络段或单独ip 某些权限 restrict 10.0.0.0 mask 255.0.0.0 nomodify motrap restrict 192.168.0.0 mask 255.255.255.0 nomodify motrap restrict 192.168.1.123 mask 255.255.255.255 nomodify motrap # 使用上层的internet ntp服务器 restrict cn.pool.ntp.org restrict 1.cn.poo.ntp.org restrict 0.asia.pool.ntp.org restrict 3.asia.pool.ntp.org server cn.pool.ntp.org prefer server 1.cn.poo.ntp.org server 0.asia.pool.ntp.org server 3.asia.pool.ntp.org # 如果无法与上层ntp server通信以本地时间为标准时间 server 127.127.1.0 # local clock fudge 127.127.1.0 stratum 10 driftfile /var/lib/ntp/drift # 计算本ntp server 与上层ntpserver的频率误差 # Key file containing the keys and key identifiers used when operating # with symmetric key cryptography. keys /etc/ntp/keys logfile /var/log/ntp.log #日志文件
配置/etc/sysconfig/ntpd文件
ntp服务,默认只会同步系统时间。如果想要让ntp同时同步硬件时间,可以设置/etc/sysconfig/ntpd文件,在/etc/sysconfig/ntpd文件中,添加 SYNC_HWCLOCK=yes 这样,就可以让硬件时间与系统时间一起同步。
# 允许BIOS与系统时间同步,也可以通过hwclock -w 命令
# vim /etc/sysconfig/ntpd # 添加 SYNC_HWCLOCK=yes
4)启动ntpd 服务
# systemctl start ntpd
查看ntp的端口,可以看到123端口
# netstat -unlnp
查看ntp服务器有无和上层连通
# ntpstat synchronised to NTP server (84.16.73.33) at stratum 2 time correct to within 184 ms polling server every 128 s
刚启动的时候,一般是:
# ntpstat unsynchronised time server re-starting polling server every 64 s ntptrace -n 127.0.0.1 127.0.0.1: stratum 3, offset -0.001095, synch distance 0.532610 116.193.83.174: timed out, nothing received
查看ntp服务器与上层ntp服务器的状态:ntpq
# ntpq -p # 其中: # remote - 本机和上层ntp的ip或主机名,“+”有连线可做候选,“*”正在使用的 # refid - 更上一层的ntp地址 # st - stratum的 级别 # when - 多少秒前曾经同步过时间 # poll - 下次更新在多少秒后 # reach - 已经向上层ntp服务器要求更新的次数 # delay - 网络延迟 # offset - 时间补偿 # jitter - 系统时间与bios时间差 # ntpq -p remote refid st t when poll reach delay offset jitter ============================================================================== *time4.aliyun.co 10.137.38.86 2 u 111 128 377 27.480 -5.995 1.852
2、配置NTP客户端:
在所有客户端上vim /etc/ntp.conf,添加:
server x.x.x.x #x.x.x.x 为上面配置的ntp服务器地址
注意:当server与client之间的时间误差过大时(可能是1000秒),处于对修改时间可能对系统和应用带来不可预知的问题,NTP将停止时间同步!
所以如果发现NTP启动之后时间并不进行同步时,应该考虑到可能是时间差过大引起的,此时需要先手动进行时间同步 ntpdate !