Question

Я пытаюсь заставить демона NTP работать на моих виртуальных машинах в Azure, которые находятся за общедоступным балансировщиком нагрузки для исходящего доступа в Интернет.

Служба NTP настроена в режиме клиента (по умолчанию), и я разрешил исходящий доступ UDP 123 в группе безопасности.

Теперь служба ntp не работает, если я не настраиваю входящее правило UDP 123 в моем внешнем балансировщике нагрузки для виртуальных машин.

Выполнение ntpdate -dq 0.centos.pool.ntp.org показывает, что пакеты передаются, но не принимаются, если нет входящего правила LB.

Добавление правила устраняет проблему, но я обеспокоен тем, что оно вообще не требуется, поскольку в режиме клиента служба ntp не требует входящих подключений. Почему сервис не работает без этого правила?

Bin Xia · Answer 1 · 10 июля 2018

Я полагаю, вы используете стандартный SKU LB. Стандартное программирование SKU SNAT осуществляется по транспортному протоколу IP и основано на правиле балансировки нагрузки. Если существует только правило балансировки нагрузки TCP, SNAT доступен только для TCP. Если у вас есть только правило балансировки нагрузки TCP и вам нужен исходящий SNAT для UDP, создайте правило балансировки нагрузки UDP от одного и того же внешнего интерфейса к одному и тому же внутреннему пулу. Это запустит программирование SNAT для UDP.

Насколько я понимаю, любое правило балансировки нагрузки порта UDP должно работать.

https://docs.microsoft.com/en-us/azure/load-balancer/load-balancer-outbound-connections#preallocatedports

Конфигурация общедоступного LB для службы NTP в Azure

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Конфигурация общедоступного LB для службы NTP в Azure

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы