更新时间:2024-09-30 GMT+08:00
如何处理集群内部OBS证书过期
用户问题
用户在MRS集群中访问OBS服务过程中出现证书过期问题。
问题现象
MRS集群产生“ALM-12054 证书文件失效”告警。
原因分析
OBS系统生成的证书有有效期限制,到达有效期后,服务器端会自动更新证书,且对集群无影响。如需处理告警请按照处理步骤执行。
处理步骤
通过VNC方式登录集群Master节点后台,并分别执行如下命令即可。各个Region的配置请参见表1。
${java_home}/bin/keytool -delete -storepass changeit -alias ${uds_url_old} -keystore ${java_home}/jre/lib/security/cacerts || true
echo | /usr/bin/openssl s_client -connect ${uds_url}:${uds_port} 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/obs.pem
/usr/bin/openssl x509 -in /tmp/obs.pem -text | grep CN
yes|${java_home}/bin/keytool -import -storepass changeit -alias ${uds_url} -keystore ${java_home}/jre/lib/security/cacerts -file /tmp/obs.pem
rm -rf /tmp/obs.pem
- MRS 3.x版本中,${java_home}替换为/opt/Bigdata/common/runtime0/jdk1.8.0_242,MRS 3.x之前版本中,${java_home}替换为/opt/Bigdata/jdk。
- MRS 3.x版本集群若按照该指导执行后依然出现证书过期告警,请将${java_home}替换为“/opt/Bigdata/client/JDK/jdk”,再次执行该指导。
- “uds_url”即为表1中提供的中OBS域名,“uds_url_old”即为请执行•查询obs域名和证书的创建时间和有效时间请执行...命令获取的OBS域名。
- 查询OBS域名和证书的创建时间和有效时间请在执行如下命令:
${java_home}/bin/keytool -list -v -storepass changeit -keystore ${java_home}/jre/lib/security/cacerts |grep -A 7 'Alias name: obs' |grep -E 'Alias|Creation|Valid'
- 登录集群Master节点在“/var/lib/cloud/instance/user-data.txt”中搜索obs,获取OBS域名。
- 按照该指导执行后,依然出现证书过期告警是由于OBS服务暂未完成证书更新,OBS完成证书更新后MRS服务会为您推送通知,请您收到通知后再次按照该指导操作即可。
父主题: 集群管理类
