Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2023-11-20 GMT+08:00

Configuración de relaciones de confianza mutua entre clústeres

Escenario

Si el clúster A necesita acceder a los recursos del clúster B, se debe configurar la relación de confianza mutua entre estos dos clústeres.

Si no se configura ninguna relación de confianza, los recursos de un clúster sólo están disponibles para los usuarios de este clúster. MRS asigna automáticamente un domain name único para cada clúster para definir el alcance de los recursos para los usuarios.

Las operaciones descritas en esta sección solo se aplican a clústeres de versiones anteriores a MRS 3.x.

Para los clústeres de MRS 3.x o versiones posteriores, véase Configuración de la confianza mutua Cross-Manager entre clústeres.

Impacto en el sistema

  • Después de configurar la confianza mutua entre clústeres, los recursos de un clúster estarán disponibles para los usuarios de otro clúster. Los permisos de usuario en los clústeres deben comprobarse regularmente en función de los requisitos de servicio y seguridad.
  • Después de configurar la confianza mutua entre clústeres, es necesario reiniciar el servicio KrbServer y el clúster no estará disponible durante el reinicio.
  • Después de configurar la confianza mutua entre clústeres, los usuarios internos krbtgt/Local cluster domain name@External cluster domain name y krbtgt/External cluster domain name@Local cluster domain name se agregan a los dos clústeres. Los usuarios internos no se pueden eliminar. La contraseña predeterminada es Crossrealm@123.

Prerrequisitos

Ambos clústeres están en la misma VPC. Si no lo son, cree una conexión de pares de VPC entre ellos. Para obtener más información, consulte Interconexión de VPC.

Procedimiento

  1. En la consola de gestión de MRS, consulte todos los grupos de seguridad de los dos clústeres.

    • Si los grupos de seguridad de los dos clústeres son iguales, vaya a 3.
    • Si los grupos de seguridad de los dos clústeres son diferentes, vaya a 2.

  2. En la consola de gestión de VPC, elija Access Control > Security Groups. En la página Security Groups, busque la fila que contiene el grupo de seguridad de destino, haga clic en Manage Rule en la columna Operation.

    En la página de pestaña Inbound Rules, haga clic en Add Rule. En el cuadro de diálogo Add Inbound Rule que se muestra, configure los parámetros relacionados.

    • Priority: El valor oscila entre 1 y 100. El valor predeterminado es 1, que indica la prioridad más alta. Un valor más pequeño indica una prioridad más alta.
    • Action: Seleccione Allow.
    • Protocol & Port: Elija Protocols > All.
    • Type: seleccione IPv4 o IPv6.
    • Source: Seleccione Security group y el grupo de seguridad del clúster del mismo nivel.
      • Para agregar una regla entrante al grupo de seguridad del clúster A, establezca Source en Security group y el grupo de seguridad del clúster B (clúster de pares).
      • Para agregar una regla entrante al grupo de seguridad del clúster B, establezca Source en Security group y el grupo de seguridad del clúster A (clúster de pares).

    Para un clúster común con autenticación de Kerberos deshabilitada, realice el paso 1 a 2 para configurar la confianza mutua entre clústeres. Para un clúster de seguridad con autenticación de Kerberos activada, después de completar los pasos anteriores, siga los pasos siguientes para la configuración.

  3. Inicie sesión en MRS Manager de los dos clústeres por separado. Para obtener más información, consulte Acceso a MRS Manager (MRS 2.x o anterior). Haga clic en Service y compruebe si el Health Status de todos los componentes es Good.

    • En caso afirmativo, vaya a 4.
    • En caso negativo, póngase en contacto con el personal de soporte técnico para solucionar problemas.

  4. Consultar información de configuración.

    1. En MRS Manager de los dos clústeres, elija Services > KrbServer > Instance. Consultar el OM IP Address de los dos hosts de KerberosServer.
    2. Haga clic en Service Configuration. Ajuste Type a All. Elija KerberosServer > Port en el árbol de navegación de la izquierda. Consulte el valor de kdc_ports. El valor predeterminado es 21732.
    3. Haga clic en Realm y consulte el valor de default_realm.

  5. En MRS Manager de cualquier clúster, modifique el parámetro peer_realms.

    Tabla 1 Descripción de parámetros

    Parámetro

    Descripción

    realm_name

    Nombre de dominio del clúster de confianza mutua, es decir, el valor de default_realm obtenido en el paso 4.

    ip_port

    Dirección KDC del clúster de pares. Formato: IP address of a KerberosServer node in the peer cluster:kdc_port

    Las direcciones de los dos nodos KerberosServer están separadas por una coma. Por ejemplo, si las direcciones IP de los nodos KerberosServer son 10.0.0.1 y 10.0.0.2 respectivamente, el valor de este parámetro es 10.0.0.1:21732,10.0.0.2:21732.

    • Para desplegar relaciones de confianza con varios clústeres, haga clic en para agregar elementos y especificar parámetros relevantes. Para eliminar un elemento, haga clic en .
    • Un clúster puede tener relaciones de confianza con un máximo de 16 clústeres. De forma predeterminada, no existe ninguna relación de confianza entre los diferentes clústeres en los que confía un clúster local.

  6. Haga clic en Save Configuration. En el cuadro de diálogo que se muestra, seleccione Restart the affected services or instances y haga clic en OK. Si no selecciona Restart the affected services or instances, reinicie manualmente los servicios o instancias afectados.

    Una vez que se muestre Operation successful, haga clic en Finish.

  7. Salga de MRS Manager e inicie sesión de nuevo. Si el inicio de sesión es correcto, las configuraciones son válidas.
  8. Inicie sesión en MRS Manager del otro clúster y repita el paso 5 a 7.

Operaciones de seguimiento

Después de configurar la confianza mutua entre clústeres, los parámetros de configuración del servicio se modifican en MRS Manager y se reinicia el servicio. Por lo tanto, debe preparar el archivo de configuración del cliente de nuevo y actualizar el cliente.

Escenario 1:

El clúster A y el clúster B (cluster de pares y clúster de confianza mutua) son del mismo tipo, por ejemplo, clúster de análisis o clúster de streaming. Siga las instrucciones en Actualización de un cliente (Versiones anteriores a 3.x) para actualizar los archivos de configuración del cliente del clúster A y B respectivamente.

  • Actualice el archivo de configuración del cliente del clúster A.
  • Actualice el archivo de configuración del cliente del clúster B.

Escenario 2:

El clúster A y el clúster B (cluster de pares y clúster de confianza mutua) son de tipo diferente. Realice los siguientes pasos para actualizar los archivos de configuración.

  • Actualice el archivo de configuración del cliente del clúster A al clúster B.
  • Actualice el archivo de configuración del cliente del clúster B al clúster A.
  • Actualice el archivo de configuración del cliente del clúster A.
  • Actualice el archivo de configuración del cliente del clúster B.
  1. Inicie sesión en MRS Manager del clúster A.
  2. Haga clic en Services y, a continuación, en Download Client.

  3. Ajuste Client Type a Only configuration files.
  4. Ajuste Download to a Remote host.
  5. Establezca Host IP Address en la dirección IP del nodo maestro activo del clúster B, Host Port en 22 y Save Path en /tmp.

    • Si se cambia el puerto predeterminado 22 para iniciar sesión en el clúster B mediante SSH, establezca Host Port en un puerto nuevo.
    • El valor de Save Path contiene un máximo de 256 caracteres.

  6. Ajuste Login User a root.

    Si se utiliza otro usuario, asegúrese de que el usuario tiene permisos para leer, escribir y ejecutar la ruta de guardado.

  7. Seleccione Password o SSH Private Key para Login Mode.

    • Password: Ingrese la contraseña del usuario root establecida durante la creación del clúster.
    • SSH Private Key: Seleccione y cargue el archivo de clave utilizado para crear el clúster.

  8. Haga clic en OK para generar un archivo de cliente.

    Si se muestra la siguiente información, se guardará el archivo de cliente. Haga clic en Close.

    Client files downloaded to the remote host successfully.

    Si se muestra la siguiente información, compruebe las configuraciones de nombre de usuario, contraseña y grupo de seguridad del host remoto. Asegúrese de que el nombre de usuario y la contraseña sean correctos y de que se haya agregado una regla de entrada del puerto SSH (22) al grupo de seguridad del host remoto. Y luego, vaya a 2 para descargar el cliente de nuevo.

    Failed to connect to the server. Please check the network connection or parameter settings.

  9. Inicie sesión en el ECS del clúster B mediante VNC. Para obtener más información, consulte Inicie sesión en un ECS de Windows mediante VNC.

    Todas las imágenes son compatibles con Cloud-Init. El nombre de usuario preestablecido para Cloud-Init es root y la contraseña es la establecida durante la creación del clúster.

  10. Ejecute el siguiente comando para cambiar al directorio del cliente, por ejemplo, /opt/Bigdata/client:

    cd /opt/Bigdata/client

  11. Ejecute el siguiente comando para actualizar la configuración del cliente del clúster A al clúster B:

    sh refreshConfig.sh Client installation directory Full path of the client configuration file package

    Por ejemplo, ejecute el siguiente comando:

    sh refreshConfig.sh /opt/Bigdata/client /tmp/MRS_Services_Client.tar

    Si se muestra la siguiente información, las configuraciones se han actualizado correctamente.

    ReFresh components client config is complete.
    Succeed to refresh components client config.

    También puede consultar el método 2 en Actualización de un cliente (Versiones anteriores a 3.x) para realizar operaciones de 1 a 11.

  12. Repita el paso 1 a 11 para actualizar el archivo de configuración del cliente del clúster B al clúster A.
  13. Siga las instrucciones en Actualización de un cliente (Versiones anteriores a 3.x) para actualizar el archivo de configuración del cliente del clúster local.

    • Actualice el archivo de configuración del cliente del clúster A.
    • Actualice el archivo de configuración del cliente del clúster B.