Hoe souverein kun je zijn?

0
43
Hoe souverein kun je zijn?

Dit bericht verscheen eerder bij Tuxis

Hoe souverein kun je zijn?

Hoe ver kun je eigenlijk gaan, qua onafhankelijkheid en souvereiniteit? Behoorlijk, wel!

Zoals de meeste lezers wel weten houden we bij Tuxis van dingen zelf doen en onafhankelijk zijn. Zo kunnen we, bijvoorbeeld, het aantal apparaten van leveranciers waar data van onze klanten op staat zonder handen tellen. En selecteren we software waarbij we niet afhankelijk zijn van de grillen van de leverancier. Maar het kon beter.

Tijd is een belangrijk ding voor een cloud-omgeving. Ceph, waar wij veelvuldig gebruik van maken, begint bijvoorbeeld al te klagen bij een verschil van 0.05 seconden tussen de verschillende servers. En als je meerdere servers hebt die tegen een database praten, is het wel zo handig als ze het eens zijn over hoe laat het eigenlijk is.

Tot vorige week maakten we bij Tuxis gebruik van NTP servers in de ntppool.org-pool. Dat is een verzameling servers over de hele wereld verspreid van bedrijven en hobbyisten die hun eigen NTP-server beschikbaar stellen aan het internet. Voor heel veel toepassingen is dat prima, en behoorlijk betrouwbaar. Maar ja…. Je kunt verder gaan.

Dus dat deden we!

We hebben een eigen NTP-server in ons datacenter gehangen, met een GPS-ontvanger op het dak. 18 satelieten in de ruimte (ok, dat is een afhankelijkheid), vertellen aan die NTP-server hoe laat het precies is. Doordat de NTP-server van zoveel bronnen de tijd krijgt, kan hij zelf berekenen hoe laat het precies is. En dus hebben wij in ons eigen netwerk een ‘Stratum-1’ NTP-server. Dat wil zeggen, een server die van een ‘Stratum-0’ bron (GPS, en/of een atoomklok) informatie krijgt over de tijd. 

Deze Stratum-1 server ‘ntp.tuxis.nl’, dient vervolgens als (primaire, niet de enige) bron voor onze NTP-servers waar we met de rest van de servers tegenaan praten; ntp1.tuxis.nl, ntp2.tuxis.nl en ntp3.tuxis.nl.

NTS

NTP is gebaseerd op UDP, en is (dus) gevoelig voor Man-In-The-Middle-attacks. Daar hebben we het niet zo op, dus hebben we er ook voor gekozen om ook NTS aan te bieden. Met NTS krijgt NTP een encryptielaag, en gaat de verbinding niet meer over UDP, maar over TCP. Als je dus met NTS tegen ntp{1,2,3}.tuxis.nl aan praat, weet je zeker dat je ook van ons te horen krijgt hoe laat het is.

Dit bericht verscheen eerder bij Tuxis

Vorig artikelUser-centric security should be core to cloud IAM practice
Volgend artikelResearch: UK residents demonstrate ‘low-level’ understanding of what datacentres do