分类目录归档:Uncategorized

优化开源NTP Pool监控节点:基于RISC-V平台的实践

发表评论

开源 NTP Pool 现状:严峻的服务缺口

当前开源 NTP Pool(pool.ntp.org)在中国区面临显著的服务缺口(Under-Served)
以下就简称开源的公共 NTP Pool 为 NTP Pool。

  • 服务节点/人口比例失衡:全球 NTP Pool 约90%的服务节点位于等欧美发达国家,中国仅占不足3%(数据来源:NTP Pool Project 2024报告),却承载全球21%的互联网流量。
  • 服务延迟差异:境内用户访问境外NTP节点延迟普遍≥150ms,而本土节点因数量不足导致部分区域延迟波动超300ms
  • 监控盲区:原有监控节点多部署于海外,无法真实反映国内网络环境质量(如防火墙策略、骨干网路由抖动),进一步放大服务不稳定性。

如图所示,NTP pool中国区5千万人才拥有一个NTP Pool服务节点,这一地理与网络拓扑的错配,使国内用户难以享受低延迟、高可靠的公共授时服务。

服务缺口的核心问题:本土监控节点缺失

NTP Pool的服务节点调度机制依赖监控节点(Monitor) 实时评估节点健康度。然而:
监控节点国内为0个:2025年前健康检测数据均来自境外,这导致了

  1. 误判率高:网络波动被标记为“节点故障”
  2. 调度失衡:健康节点因跨境延迟被降权
  3. 扩容停滞:缺乏数据支撑中国区服务器准入,服务节点数常年处于50个以下

没有本土监控,NTP Pool的中国服务优化如同“无源之水”。


如图是针对腾讯 NTP 服务器的监控结果,最右边的一列就是监控节点到服务节点的延迟(RTT),越低越好。
大家可以注意到没有中国大陆的监控节点(CN开头的)。
其中的cncan1就是本博客添加的监控节点,可见如果没有cncan1,所有节点都是超过200ms以上的延迟,对于 NTP 准确性会有严重影响。

破局:基于RISC-V监控终端

这次,我选用OrangePi RV2 构建低成本、低功耗监控节点,售价才200出头,加上天线等其他硬件总成本控制在300元左右,还可以通过GPIO添加PPS功能。

相对的,某宝上一般 NTP 服务器都要600以上,还没有算天线等其他设备。

硬件架构

开发板:OrangePi RV2
GNSS模块:Wheeltech GNSS模块 + PPS输出
GNSS天线:北斗+GPS 双模蘑菇头 + 8米 SMA 馈线

开发板添加对应的DTS overlay

/dts-v1/;
/plugin/;
/ {
        compatible = "ky,orangepi-rv2\0ky,x1";
        fragment@0 {
                target-path = "/";
                __overlay__ {
                        pps_gpio: pps {
                                compatible = "pps-gpio";
                                gpios = <&gpio 91 0>;
                                assert-rising-edge;
                        };
                };
        };
};

软件栈

  1. Chrony:维护PPS同步,NTP时间服务
  2. GPSD:接收北斗卫星信号→PPS硬件时钟同步(精度±200ns)
  3. ntppool-agent: 负责监控进程(重新编译,Go语言已支持RISC-V)

效果如图,这样就可以获得一个精度在±500ns以下的Stratum 1 NTP 服务器

获得NTP Pool官方破例支持

向NTP Pool上游持续贡献代码

  1. add riscv64 binary release https://github.com/ntppool/monitor/pull/6
  2. https://github.com/abh/ntppool/pull/255
  3. https://github.com/abh/ntppool/pull/262

1年来,在跟上游管理团队来来回回好十几封邮件后,这块RISC-V开发板,获得了豁免监控节点准入限制:常规要求NTP服务节点稳定运行18个月方可成为监控节点,这次为中国区首开绿色通道。

结语:从服务缺口到技术领先

国产RISC-V开发板+北斗GNSS的组合,不仅填补了中国区NTP Pool监控节点空白,更证明了:RISC-V可承担关键基础设施角色

本博客运行平台迁移至RISC-V

发表评论

RISC-V powered!

好消息:迁移非常顺利,跟x86平台迁移一样,原平台就叫server,rv板子就叫board吧:
在自己的机器上:

  1. mysqldump database > db.sql 备份mysql数据库
  2. rsync -azv -R server:/home/mzh ./ 转移家目录
  3. rsync -azv -R mzh board:/home
  4. scp db.sql board:/home/mzh

在rv板子上

  1. apt install php-fpm caddy mariadb-server
  2. 配置好caddy (其实就官方文档就好)
  3. 导入数据库 mysql -u mzh < db.sql
  4. 最关键的一步,把板子的80、443暴露给服务器

设置反向代理,添加以下文件/lib/systemd/system/reverse-tunnel\@.service

[Unit]
Description=Reverse SSH Tunnel
After=network-online.target
[Service]
EnvironmentFile=/etc/default/remote-tunnel@%i
ExecStart=/usr/bin/ssh -i ${ID_KEY} -o ServerAliveInterval=60 -o ExitOnForwardFailure=yes -nNT -R 0.0.0.0
:${REMOTE_PORT}:localhost:${LOCAL_PORT} ${REMOTE_SERVER}
RestartSec=5
Restart=always
KillMode=mixed
[Install]
WantedBy=multi-user.target

每个端口一个进程

systemctl daemon-reload && systemctl start reverse-tunnel@https

搞定,这速度杠杠的。

mzh@muse-card-1:/etc/default$ wp --info                                                                  
OS:     Linux 6.6.63 #2.2.4.2 SMP PREEMPT Thu Jun 26 05:06:32 UTC 2025 riscv64                           
Shell:  /bin/sh                                                                                          
PHP binary:     /usr/bin/php8.3                                                                          
PHP version:    8.3.6                                                                                    
php.ini used:   /etc/php/8.3/cli/php.ini                                                                 
MySQL binary:   /usr/bin/mariadb                                                                         
MySQL version:  mariadb  Ver 15.1 Distrib 10.11.8-MariaDB, for debian-linux-gnu (riscv64) using  EditLine
 wrapper                                                                                                 
SQL modes:                                                                                               
WP-CLI root dir:        phar://wp-cli.phar/vendor/wp-cli/wp-cli                                          
WP-CLI vendor dir:      phar://wp-cli.phar/vendor                                                        
WP_CLI phar path:       phar:///usr/local/bin/wp                                                         
WP-CLI packages dir:                                                                                     
WP-CLI cache dir:       /home/mzh/.wp-cli/cache                                                          
WP-CLI global config:                                                                                    
WP-CLI project config:                                                                                   
WP-CLI version: 2.12.0

OpenWRT 防火墙开启IPv6 端口转发的方法

发表评论

前言

OpenWRT当启用IPv6时,默认情况下流量会经过主路由防火墙。在外部网络环境中,若想访问家庭局域网内的服务(如SSH、Proxy、NAS等),默认请求将被防火墙拦截,因此需在主路由防火墙中添加允许规则。
这里并不推荐禁用IPv6防火墙:虽然IPv6地址和端口扫描难度较大,但仍存在被扫描风险。所有局域网服务可能暴露于外网,即使未受攻击,家庭宽带提供公网服务也可能被ISP警告。

LUCI网页界面配置

打开OpenWRT路由管理页面,进入 网络 - 防火墙 - 流量规则。

点击 添加 创建新规则。流量规则区的规则优先级高于默认规则,无需担心与默认规则冲突,但需注意同页其他规则的优先级。可通过拖拽调整规则顺序。

规则配置示例:

  • 名称:清晰标识规则用途(例如如 NAS IPv6)。
  • 协议:按需选择协议,不确定时可同时选TCP和UDP。
  • 源区域:选择 WAN(外网流量入口)。
  • 源地址/源端口:留空。
  • 目标区域:选择 LAN(内网目标区域)。
  • 目标地址: 链路本地IPv6地址(通常以 fe80:: 开头)。

移除链路本地前缀(如 fe80::20c:29ff:fed7:fbf 改为 ::20c:29ff:fed7:fbf)。

追加掩码 /::ffff:ffff:ffff:ffff,最终填入 ::20c:29ff:fed7:fbf/::ffff:ffff:ffff:ffff。此配置确保客户端即使因ISP分配的前缀变化仍能被匹配。

目标端口:指定允许的端口(如 80-443)。留空将放行所有端口,存在重大安全风险,不建议。

动作:选择 接受(Accept)。

高级设置:地址族改为 IPv6,其他保持默认。

保存后,可测试外网访问内网服务。若在 状态 - 防火墙 的 forward_wan 链中看到规则及计数器,则规则已生效。

凑了台DL20Gen9

发表评论

最近攒了台DL20Gen9垃圾服务器,准备做成All-in-one(路由、NAS、监控)。
为了节省磁盘的电,就买了2块硬盘的版本。

DL20gen9

配置清单:

  • 某宝淘的准系统 (¥700)
  • Intel(R) Xeon(R) CPU E3-1270 v5 @ 3.60GHz (¥113)
  • 4 x 16GB 2133 ECC Unbuffered 三星内存 (¥600)
  • 2 x 12 TB 氦气盘 (¥1180)
  • 256G 长城nvme (¥113)
  • HP Ethernet 10Gb 2-port 560SFP+ Adapter (¥99)

总记:¥2777

  • DL20gen9 支持最大64G 2133/2400 ECC内存(Unbuffered,某宝上一般叫纯ECC,别买错了)。
  • 想用最大的内存,2133只能配v5的CPU,2400只能配v6,如果混着了,就只能识别一半出来。
  • 如果你买到了坏的CPU,可能会出现DIMM cann't train的错误提示(我就因此换了所有硬件,最后只能是归到CPU上了)
  • 各种固件需要自己更新,要不然一些v5的CPU是无法识别的。

方便链接

iLo4 更新,主要是为了HTML5 的remote console
https://pingtool.org/latest-hp-ilo-firmwares/

System ROM(BIOS)
https://www.chiphell.com/forum.php?mod=viewthread&tid=2643119&extra=page%3D1&ordertype=2&mobile=no

HP这iLo还要许可证,坑爹到家了,贴一个在这了。
iLO 4 高级许可证密钥:
35DPH-SVSXJ-HGBJN-C7N5R-2SS4W
35SCR-RYLML-CBK7N-TD3B9-GGBW2

FreeBSD ports初体验

发表评论

在开源操作系统的世界里,FreeBSD凭借其稳定性和强大的功能,赢得了不少技术爱好者的青睐。
而FreeBSD中的Ports系统,更是为这款操作系统增添了不少色彩。今天我就分享下我的初次ports体验。

Ports的背景和优势

Ports是FreeBSD中的一个软件包管理系统,它类似于其他操作系统中的包管理器(如Linux中的apt、yum等)。apt,yum更类似FreeBSD中的pkg程序,分发的是二进制包,而Ports系统是为用户提供了一个集中的地方来存储、分发和更新各种开源软件源码编译方式

Ports系统具有以下几个显著优势:

  • 统一管理:Ports提供了一个集中的地方来管理所有的软件包,软件的安装和维护更加方便。
  • 易于更新:Ports会自动处理依赖关系,确保软件包之间的兼容性,提供自动或手动更新选项。
  • 可定制性:用户可以根据自己的需求对软件包进行定制,例如添加额外的功能或修改配置,针对宿主机的CPU类型和使用方法优化。

构建使用的命令行

下面来实战一下,使用Ports系统构建和安装软件包主要依赖于命令行工具。以下是一些常用的命令及其功能,Ports有意思的点就是,全部功能都是用Makefile实现的:

  1. 如果你安装的时候就选择了Ports,就跳过第1步,如果没有就更新Ports 
    cd /usr/ports && make fetchindex
  2. 克隆Ports Tree: 
    git clone --depth=1 --branch <你的版本号> https://github.com/freebsd/freebsd-ports /usr/ports
  3. 安装软件,例如vim 
    cd /usr/ports/editor/vim && make BATCH=yes install clean
  4. 如果需要搜索可用的软件包,可以用search 
    make search key=^vim- | grep -E "Port:|Path:|Info:|^$"
  5. 卸载软件包的话,例如,要卸载vim,可以执行以下命令 
    cd /usr/ports/editor/vim
make deinstall
  6. 使用make clean命令可以清理编译过程中产生的临时文件。
  7. 使用make distclean命令可以清理软件包及其临时文件

参考文章: