设置 Amazon EC2 实例的时间
对于许多服务器任务和进程来说,Amazon EC2 实例上准确一致的时间参考是非常重要的。系统日志中的时间戳在识别问题发生的时间和事件的时间顺序方面起着至关重要的作用。使用 Amazon CLI 或 Amazon SDK 从您的实例发送请求时,这些工具会以您的名义签署请求。如果实例的日期和时间设置不准确,可能会导致签名中的日期和请求的日期之间存在差异,进而导致 Amazon 拒绝请求。
为解决这一重要问题,Amazon 提供了 Amazon Time Sync Service,该服务可从所有 EC2 实例访问,并由各种 Amazon Web Services 使用。该服务在每个 Amazon Web Services 区域 中使用一组与卫星连接的原子参考时钟,以提供准确的协调世界时(UTC)全球标准的当前时间读数。
Amazon Time Sync Service 要么使用网络时间协议(NTP),要么在支持的实例上提供本地精确时间协议(PTP)硬件时钟。PTP 硬件时钟支持 NTP 连接或直接 PTP 连接。NTP 连接和直接 PTP 连接使用相同的高精度时间源,但直接 PTP 连接比 NTP 连接更准确。与 Amazon Time Sync Service 的 NTP 连接支持闰秒涂抹,而与 PTP 硬件时钟的 PTP 连接不涂抹时间。有关更多信息,请参阅 闰秒。
为了获得最佳性能,建议在 EC2 实例上使用本地 Amazon Time Sync Service。要备份到实例上的本地 Amazon Time Sync Service,以及将 Amazon EC2 之外的资源连接到 Amazon Time Sync Service,您可以使用位于 time.aws.com 的公共 Amazon Time Sync Service。与本地 Amazon Time Sync Service 一样,公共 Amazon Time Sync Service 会自动涂抹添加到 UTC 中的任何闰秒。公共 Amazon Time Sync Service 由每个 Amazon Web Services 区域 中一组与卫星连接的原子参考时钟在全球范围内提供支持。
主题
将您的实例设置为使用本地 Amazon Time Sync Service
您的实例可以访问本地 Amazon Time Sync Service,如下所示:
-
通过 NTP 在以下 IP 地址端点进行访问:
-
IPv4:
169.254.169.123 -
IPv6:
fd00:ec2::123(只有基于 Amazon Nitro System 而构建的实例才能访问。)
-
-
(仅限 Linux)通过直接 PTP 连接连接到本地 PTP 硬件时钟进行访问:
-
PHC0
-
Amazon Linux AMI、Windows AMI 和大多数合作伙伴 AMI 都将您的实例配置为默认使用 NTP IPv4 端点。这是大多数客户工作负载的建议设置。除非您希望使用 IPv6 端点或直接连接到 PTP 硬件时钟,否则从这些 AMI 启动的实例无需进行进一步配置。
NTP 连接和 PTP 连接不需要更改任何 VPC 配置,您的实例也不需要访问互联网。
注意
只有 Linux 实例可以使用直接 PTP 连接来连接到本地 PTP 硬件时钟。Windows 实例使用 NTP 连接到本地 PTP 硬件时钟。
连接到 Amazon Time Sync Service 的 IPv4 端点
本节介绍如何配置实例以通过 IPv4 端点使用本地 Amazon Time Sync Service。
请使用适用于您实例操作系统的说明。
默认情况下,AL2023 以及最新版本的 Amazon Linux 2 和 Amazon Linux AMI 配置为使用 Amazon Time Sync Service IPv4 端点。从这些 AMI 启动的实例无需进一步配置,您可以跳过以下过程。
如果您使用的 AMI 默认情况下未配置 Amazon Time Sync Service,请参照以下过程之一使用 chrony 客户端在实例上配置 Amazon Time Sync Service。需要向 chrony 配置文件添加 Amazon Time Sync Service 的服务器条目。
请使用适用于您实例操作系统的说明。
从 2018 年 8 月的发行版开始,Windows AMI 默认情况下使用 Amazon Time Sync Service。从这些 AMI 启动的实例无需进一步配置,您可以跳过以下过程。
如果您使用的 AMI 默认未配置 Amazon Time Sync Service,则请先验证您当前的 NTP 配置。如果您的实例已经在使用 Amazon Time Sync Service的 IPv4 端点,则无需进行进一步配置。如果您的实例未使用 Amazon Time Sync Service,则请完成将 NTP 服务器更改为使用 Amazon Time Sync Service 的过程。
验证 NTP 配置
-
从实例打开命令提示符窗口。
-
通过键入以下命令获取当前 NTP 配置:
w32tm /query /configuration该命令返回 Windows 实例的当前配置设置,并将显示您是否已连接到 Amazon Time Sync Service。
-
(可选) 通过键入以下命令获取当前配置的状态:
w32tm /query /status该命令返回实例与 NTP 服务器同步的最后时间和轮询间隔等信息。
更改 NTP 服务器以使用 Amazon Time Sync Service
-
从命令提示符窗口运行以下命令:
w32tm /config /manualpeerlist:169.254.169.123 /syncfromflags:manual /update -
使用以下命令验证新设置:
w32tm /query /configuration在返回的输出中,请确认
NtpServer显示169.254.169.123IPv4 端点。
Amazon Windows AMI 的默认网络时间协议 (NTP) 设置
亚马逊机器映像(AMI)通常符合现成的默认值,但在需要更改以便在 EC2 基础设施上正常工作的情况除外。以下设置已确定可在虚拟环境中正常工作,此外,还可将任何时间偏差保持在一秒的准确率内:
-
更新间隔 – 控制时间服务调整系统时间准确性的频率。Amazon 将更新间隔配置为每两分钟发生一次。
-
NTP 服务器 – 从 2018 年 8 月版本开始,AMI 默认使用 Amazon Time Sync Service。此时间服务可通过位于 169.254.169.123 IPv4 端点的任何 Amazon Web Services 区域 访问。此外,0x9 标记指示时间服务充当客户端,并使用
SpecialPollInterval来确定与所配置的时间服务器核查时间的频率。 -
类型 –“NTP”指示服务将充当独立的 NTP 客户端而不是作为域的一部分。
-
已启用和 InputProvider – 时间服务已启用并向操作系统提供时间。
-
特殊轮询间隔:对照所配置的 NTP 服务器,每 900 秒(即 15 分钟)检查一次。
| 注册表路径 | 键名称 | 数据 |
|---|---|---|
|
HKLM:\System\CurrentControlSet\services\w32time\Config |
UpdateInterval |
120 |
HKLM:\System\CurrentControlSet\services\w32time\Parameters |
NtpServer |
169.254.169.123,0x9 |
HKLM:\System\CurrentControlSet\services\w32time\Parameters |
类型 |
NTP |
HKLM:\System\CurrentControlSet\services\w32time\TimeProviders\NtpClient |
启用 |
1 |
HKLM:\System\CurrentControlSet\services\w32time\TimeProviders\NtpClient |
InputProvider |
1 |
HKLM:\System\CurrentControlSet\services\w32time\TimeProviders\NtpClient |
SpecialPollInterval |
900 |
连接到 Amazon Time Sync Service 的 IPv6 端点
本节介绍如果您将实例配置为通过 IPv6 端点使用本地 Amazon Time Sync Service,在 连接到 Amazon Time Sync Service 的 IPv4 端点 中所述的步骤有何不同。它没有解释整个 Amazon Time Sync Service 配置流程。
IPv6 端点只能在基于 Amazon Nitro System 构建的实例上访问。
注意
不建议同时使用 IPv4 和 IPv6 端点条目。IPv4 和 IPv6 NTP 数据包来自您的实例的同一个本地服务器。没有必要同时配置 IPv4 和 IPv6 端点,这样做也不会提高实例上时间的准确性。
请使用适用于您实例操作系统的说明。
根据您使用的 Linux 发行版,当您到达编辑 chrony.conf 文件的步骤时,您将使用 Amazon Time Sync Service 的 IPv6 端点(fd00:ec2::123)而不是 IPv4 端点(169.254.169.123):
server fd00:ec2::123 prefer iburst minpoll 4 maxpoll 4
保存文件并确认 chrony 使用 fd00:ec2::123 IPv6 端点来同步时间:
[ec2-user ~]$chronyc sources -v
在输出中,如果您看到 fd00:ec2::123 IPv6 端点,则配置完成。
当您到达将 NTP 服务器更改为使用 Amazon Time Sync Service 的步骤时,您将使用 Amazon Time Sync Service 的 IPv6 端点(fd00:ec2::123),而不是 IPv4 端点(169.254.169.123):
w32tm /config /manualpeerlist:fd00:ec2::123 /syncfromflags:manual /update
验证您的新设置是否使用 fd00:ec2::123 IPv6 端点同步时间:
w32tm /query /configuration
在输出中,请确认 NtpServer 显示 fd00:ec2::123 IPv6 端点。
连接到 PTP 硬件时钟
PTP 硬件时钟是 Amazon Nitro System 的一部分,因此无需使用任何客户资源即可在支持的裸机和虚拟化 EC2 实例上直接访问。
PTP 硬件时钟的 NTP 端点与通过 IPv4 或 IPv6 进行的常规 Amazon Time Sync Service 连接相同。如果您的软件配置为 NTP 端点,并且在带有 PTP 硬件时钟的实例上运行,则其将通过 NTP 自动连接到 PTP 硬件时钟。
要求
当满足以下要求时,PTP 硬件时钟在实例上可用:
-
支持的 Amazon Web Services 区域:美国东部(弗吉尼亚州北部)和亚太地区(东京)
-
支持的实例系列:
通用型:M7a、M7g、M7gd、M7i
计算优化型:C7a、C7gd、C7i
内存优化型:R7a、R7g、R7gd、R7i
-
(仅限 Linux)支持的操作系统上已安装 ENA 驱动程序版本 2.10.0 或更高版本。有关支持的操作系统的更多信息,请参阅 GitHub 上的驱动程序先决条件
。
请使用适用于您实例操作系统的说明。
本节介绍如何使用直接 PTP 连接通过 PTP 硬件时钟将您的实例配置为使用本地 Amazon Time Sync Service。需要向 chrony 配置文件添加 PTP 硬件时钟的服务器条目。
如果您的实例具有 PTP 硬件时钟并且配置了 NTP 连接(到 IPv4 或 IPv6 端点),则您的实例时间将自动从 PTP 硬件时钟获取。以下步骤配置直接 PTP 连接,这将为您提供比 NTP 连接更准确的时间。
连接到 PTP 硬件时钟
-
连接到您的实例并安装弹性网络适配器(ENA)版本 2.10.0 或更高版本的 Linux kernel driver。有关安装说明,请参阅 GitHub 上的 Linux kernel driver for Elastic Network Adapter (ENA) family
。 -
验证
/dev/ptp0设备是否显示在您的实例上。[ec2-user ~]$ls /dev/ptp0预期的输出如下所示:如果输出中没有
/dev/ptp0,则说明未正确安装 ENA 驱动程序。查看此安装驱动程序过程中的步骤 1。/dev/ptp0 -
使用文本编辑器编辑
/etc/chrony.conf,并将以下行添加到文件中的任何位置。refclock PHC /dev/ptp0 poll 0 delay 0.000010 prefer -
使用以下命令重启 chrony。
[ec2-user ~]$sudo systemctl restart chronyd -
验证 chrony 是否使用 PTP 硬件时钟来同步此实例上的时间。
[ec2-user ~]$chronyc sources预期输出
MS Name/IP address Stratum Poll Reach LastRx Last sample =============================================================================== #* PHC0 0 0 377 1 +2ns[ +1ns] +/- 5031ns在返回的输出中,
*表示首选时间源。PHC0对应于 PTP 硬件时钟。重启 chrony 后,您可能需要等待几秒钟才能显示星号。
Windows 实例仅支持与本地 PTP 硬件时钟的 NTP 连接。
PTP 硬件时钟的 NTP 端点与通过 IPv4 或 IPv6 进行的常规 Amazon Time Sync Service 连接相同。如果您的软件配置为连接到 NTP 端点,并且在带有 PTP 硬件时钟的实例上运行,则其将通过 NTP 自动连接到 PTP 硬件时钟。
将您的实例或任何联网设备设置为使用公共 Amazon Time Sync Service
您可以将您的实例或任何连网设备(例如您的本地计算机或本地服务器)设置为使用公共 Amazon Time Sync Service,该服务可通过 time.aws.com 在互联网上进行访问。您可以使用公共 Amazon Time Sync Service 作为本地 Amazon Time Sync Service 的备份,并将 Amazon 以外的资源连接到 Amazon Time Sync Service。
注意
为了获得最佳性能,建议在您的实例上使用本地 Amazon Time Sync Service,并且仅使用公共 Amazon Time Sync Service 作为备份。
使用适用于您的实例或设备操作系统的说明。
使用 chrony 或 ntpd 将您的 Linux 实例或设备设置为使用公共 Amazon Time Sync Service
-
使用文本编辑器编辑
/etc/chrony.conf(如您使用 chrony)或/etc/ntp.conf(如您使用 ntpd),如下所示:-
为防止您的实例或设备尝试混用已涂抹和未涂抹的服务器,请移除或注释掉以
server开头的行,但与本地 Amazon Time Sync Service 的任何现有连接除外。重要
如果您要将 EC2 实例设置为连接到公共 Amazon Time Sync Service,请勿删除以下将您的实例设置为连接到本地 Amazon Time Sync Service 的行。本地 Amazon Time Sync Service 是一种更直接的连接,可以提供更好的时钟准确度。公共 Amazon Time Sync Service 只能用作备份。
server 169.254.169.123 prefer iburst minpoll 4 maxpoll 4 -
添加以下行以连接到公共 Amazon Time Sync Service。
pool time.aws.com iburst
-
-
使用以下命令之一重启进程守护程序。
-
chrony
sudo service chronyd force-reload -
ntpd
sudo service ntp reload
-
将您的 macOS 实例或设备设置为使用公共 Amazon Time Sync Service
-
打开 System Preferences (系统首选项)。
-
选择 Date & Time(日期和时间),然后选择 Date & Time(日期和时间)选项卡。
-
要进行更改,请选择锁定图标,并在出现提示时输入密码。
-
对于 Set date and time automatically(自动设置日期和时间),请输入
time.aws.com。
将您的 Windows 实例或设备设置为使用公共 Amazon Time Sync Service
-
打开 Control Panel(控制面板)。
-
选择 Date and Time(日期和时间)图标。
-
选择 Internet Time(互联网时间)选项卡。如果您的 PC 是域的一部分,此选项卡将不可用。在这种情况下,您的 PC 将与域控制器同步时间。您可以将控制器配置为使用公共 Amazon Time Sync Service。
-
选择 Change settings(更改设置)。
-
选择 Synchronize with an Internet time server(与互联网时间服务器同步)复选框。
-
在 Server(服务器)旁边输入
time.aws.com。
将您的 Windows Server 实例或设备设置为使用公共 Amazon Time Sync Service
-
按照 Microsoft 的说明
更新注册表。
比较您 Linux 实例的时间戳
如果您使用的是 Amazon Time Sync Service,就可以将 Amazon EC2 Linux 实例上的时间戳与 ClockBound 进行比较,以确定事件的真实时间。ClockBound 可以测定 EC2 实例的时钟的准确性,并允许您检查一个给定的时间戳是早于还是晚于实例的当前时钟。在确定整个 EC2 实例中的事件与事务的顺序和一致性方面,这些信息十分重要,并且不会收到各个实例的地理位置的影响。
ClockBound 是一个开源守护进程和开源库。要了解关于 ClockBound 的详情,包括安装说明,请参阅 GitHub
ClockBound 仅支持 Linux 实例。
如果您使用与 PTP 硬件时钟的直接 PTP 连接,则您的时间进程守护程序(例如 chrony)将低估时钟误差范围。这是因为 PTP 硬件时钟不会像 NTP 那样将正确的误差范围信息传递给 chrony。因此,您的时钟同步进程守护程序假定时钟精确到 UTC,因此误差范围为 0。为了测量完整的误差范围,Nitro 系统会计算 PTP 硬件时钟的误差范围,并通过 ENA 驱动程序 sysfs 文件系统将其提供给您的 EC2 实例。您可以将其直接读取为以纳秒为单位的值。
检索 PTP 硬件时钟错误绑定
-
首先使用以下命令之一获取 PTP 硬件时钟设备的正确位置。命令中的路径因用于启动实例的 AMI 而异。
-
对于 Amazon Linux 2:
cat /sys/class/net/eth0/device/uevent | grep PCI_SLOT_NAME -
对于 Amazon Linux 2023:
cat /sys/class/net/ens5/device/uevent | grep PCI_SLOT_NAME
输出是 PCI 插槽名称,也就是 PTP 硬件时钟设备的位置。在此例中,该位置为
0000:00:03.0。PCI_SLOT_NAME=0000:00:03.0 -
-
要检索 PTP 硬件时钟错误绑定,请运行以下命令。请包括上一步中的 PCI 插槽名称。
cat /sys/bus/pci/devices/0000:00:03.0/phc_error_bound输出是 PTP 硬件时钟的时钟误差范围(以纳秒为单位)。
在使用直接 PTP 连接到 PTP 硬件时钟时,要计算特定时间点的正确时钟误差范围,必须在 chrony 轮询 PTP 硬件时钟时添加来自 chrony 或 ClockBound 的时钟误差范围。有关测量和监控时钟准确度的更多信息,请参阅 Manage Amazon EC2 instance clock accuracy using Amazon Time Sync Service and Amazon CloudWatch – Part 1
更改实例的时区
Amazon EC2 实例默认设置为 UTC(协调世界时)时区。您可以将实例上的时间更改为本地时区或网络中的其他时区。
请使用适用于您实例操作系统的说明。
重要
此信息适用于 Amazon Linux。有关其他发布版本的信息,请参阅特定于该版本的文档。
更改 AL2023 或 Amazon Linux 2 实例上的时区
-
查看系统的当前时区设置。
[ec2-user ~]$timedatectl -
列出可用的时区。
[ec2-user ~]$timedatectl list-timezones -
设置选定的时区。
[ec2-user ~]$sudo timedatectl set-timezoneAmerica/Vancouver -
(可选)通过运行 timedatectl 命令,确认当前时区已更新为新时区。
[ec2-user ~]$timedatectl
要更改 Amazon Linux 实例上的时区
-
确定将在实例上使用的时区。
/usr/share/zoneinfo目录包含时区数据文件的层次结构。浏览该位置的目录结构,查找针对您的时区的文件。[ec2-user ~]$ls /usr/share/zoneinfoAfrica Chile GB Indian Mideast posixrules US America CST6CDT GB-Eire Iran MST PRC UTC Antarctica Cuba GMT iso3166.tab MST7MDT PST8PDT WET Arctic EET GMT0 Israel Navajo right W-SU ...该位置的部分条目是目录 (如
America),这些目录包含针对特定城市的时区文件。查找要用于实例的城市 (或时区中的一个城市)。 -
使用新时区更新
/etc/sysconfig/clock文件。在此示例中,我们使用洛杉矶的时区数据文件/usr/share/zoneinfo/America/Los_Angeles。-
使用文本编辑器(如 vim 或 nano)打开
/etc/sysconfig/clock文件。您需要在编辑器命令中使用 sudo,因为/etc/sysconfig/clock归root所有。[ec2-user ~]$sudonano/etc/sysconfig/clock -
查找
ZONE条目,将其更改为时区文件 (忽略路径的/usr/share/zoneinfo部分)。例如,要更改为洛杉矶时区,请将ZONE条目更改为以下内容:ZONE="America/Los_Angeles"注意
请勿将
UTC=true条目更改为其他值。此条目用于硬件时钟;如果您在实例上设置了其他时区,则无需调整此条目。 -
保存文件,退出文本编辑器。
-
-
在
/etc/localtime与时区文件之间创建一个符号链接,以便实例在引用本地时间信息时找到此时区文件。[ec2-user ~]$sudo ln -sf /usr/share/zoneinfo/America/Los_Angeles/etc/localtime -
重启系统,以便所有服务和应用程序接受新时区信息。
[ec2-user ~]$sudo reboot -
(可选)使用 date 命令确认当前时区已更新为新时区。当前时区将显示在输出中。在下面的示例中,当前时区是 PDT,它指的是洛杉矶时区。
[ec2-user ~]$dateSun Aug 16 05:45:16 PDT 2020
更改 Windows 实例上的时区
-
从实例打开命令提示符窗口。
-
确定将在实例上使用的时区。要获取时区的列表,请使用以下命令:
tzutil /l该命令采用以下格式返回所有可用时区的列表:
display nametime zone ID -
查找要分配给该实例的时区 ID。
-
使用以下命令分配到其他时区:
tzutil /s"Pacific Standard Time"新时区应立即生效。
注意
您可以使用以下命令分配 UTC 时区:
tzutil /s "UTC"
为 Windows Server 设置时区后,防止时区发生更改
在更改 Windows 实例上的时间时,必须确保该时区在系统重启后仍然保留。否则,当实例重新启动时,它会恢复使用 UTC 时间。可通过添加 RealTimeIsUniversal 注册表项来保留时区设置。默认情况下,会在所有当前一代实例上设置此注册表项。若要验证是否设置了 RealTimeIsUniversal 注册表项,请参阅以下过程中的步骤 4。如果未设置该注册表项,请从头开始执行以下步骤。
设置 RealTimeIsUniversal 注册表项
-
从实例打开命令提示符窗口。
-
使用以下命令添加注册表项:
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation" /v RealTimeIsUniversal /d 1 /t REG_DWORD /f -
如果您使用的是在 2013 年 2 月 22 日之前创建的 Windows Server 2008 AMI(不是 Windows Server 2008 R2),我们建议更新到最新的 Amazon Windows AMI。如果使用的是运行 Windows Server 2008 R2(不是 Windows Server 2008)的 AMI,则必须验证是否安装了 Microsoft 修补程序 KB2922223
。如果未安装此修补程序,建议您更新到最新的 Amazon Windows AMI。 -
(可选) 验证该实例是否使用以下命令成功保存了该注册表项:
reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation" /s此命令返回 TimeZoneInformation 注册表项的子项。您应在列表底部看到 RealTimeIsUniversal 项,类似于下文:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation Bias REG_DWORD 0x1e0 DaylightBias REG_DWORD 0xffffffc4 DaylightName REG_SZ @tzres.dll,-211 DaylightStart REG_BINARY 00000300020002000000000000000000 StandardBias REG_DWORD 0x0 StandardName REG_SZ @tzres.dll,-212 StandardStart REG_BINARY 00000B00010002000000000000000000 TimeZoneKeyName REG_SZ Pacific Standard Time DynamicDaylightTimeDisabled REG_DWORD 0x0 ActiveTimeBias REG_DWORD 0x1a4 RealTimeIsUniversal REG_DWORD 0x1
闰秒
闰秒的概念于 1972 年引入,是偶尔对 UTC 时间进行一秒钟的调整,将地球自转中的不规则性考虑在内,以适应国际原子时间(TAI)和太阳时(Ut1)之间的差异。为了代表客户管理闰秒,我们在 Amazon Time Sync Service 中设计了闰秒涂抹。有关更多信息,请参阅 Look Before You Leap – The Coming Leap Second and Amazon
闰秒即将消失,我们完全支持在第 27 届国际计量大会上做出的在 2035 年或之前取消闰秒
为了支持这种过渡,当通过本地 NTP 连接或我们的公共 NTP 池(time.aws.com)访问 Amazon Time Sync Service 时,我们仍计划在闰秒事件期间涂抹时间。但是,PTP 硬件时钟不提供涂抹时间选项。如果出现闰秒,PTP 硬件时钟将按照 UTC 标准添加闰秒。在大多数情况下,闰秒涂抹和闰秒时间源是相同的。但是,由于其在闰秒事件中有所不同,因此我们不建议在闰秒事件期间在时间客户端配置中同时使用已涂抹和未涂抹的时间源。
相关资源
-
Amazon 计算博客:It’s About Time: Microsecond-Accurate Clocks on Amazon EC2 Instances
-
(Linux)https://chrony-project.org/
-
(Windows)Windows 时间服务的工作原理
(Microsoft) -
(Windows)W32tm
(Microsoft) -
(Windows)Windows 时间服务如何处理闰秒
(Microsoft) -
(Windows)有关闰秒和 Windows 的案例:可能不是千年虫问题
(Microsoft)