文档首页/ MapReduce服务 MRS/ 常见问题/ 组件配置类/ MRS 1.9.3 Ranger证书如何更新?
更新时间:2024-12-06 GMT+08:00

MRS 1.9.3 Ranger证书如何更新?

本指导以MRS 1.9.3版本为例,其他版本请替换成具体集群版本号。参考本指导完成证书更新后,请手动清除证书文件失效或证书文件即将过期告警。

  • Ranger证书更新后,证书有效期为10年。
  • Ranger证书过期后,Ranger WEBUI还能够继续访问,功能不影响。仅在访问前有不信任的证书提示。
  • 如果集群未安装Ranger组件,则分别登录Master节点,执行如下命令将证书文件改名即可。

    mv /opt/Bigdata/MRS_1.9.3/install/MRS-Ranger-1.0.1/ranger/ranger-1.0.1-admin/ranger-admin-keystore.jks /opt/Bigdata/MRS_1.9.3/install/MRS-Ranger-1.0.1/ranger/ranger-1.0.1-admin/ranger-admin-keystore.jks_bak

  • 如果集群已安装Ranger,则需更新证书,更新指导如下:
    1. 从obs-patch桶中下载MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz,并上传到集群主RangerAdmin实例所在的节点/tmp目录。

      请在MRS Manager页面“服务管理 > Ranger > 实例”中查看主RangerAdmin实例所在节点IP。

    2. 登录集群主RangerAdmin实例所在的节点,执行如下命令。

      cd /tmp

      chmod 700 MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz

      chown omm:wheel MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz

      su - omm

      cd /tmp

      tar -zxvf MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz

    3. 执行如下命令更新证书。

      cd updateRangerJks

      sh updateRangerJks.sh 主Master节点IP 主RangerAdmin节点IP 输入证书密码

      • 该脚本会重启controller进程,在重启过程中,可能会影响到MRS Manager页面的查看,待controller进程重启后,会恢复正常。
      • 请在MRS Manager页面“主机管理”中查看主Master节点IP。
      • 请在MRS Manager页面“服务管理 > Ranger > 实例”中查看主RangerAdmin节点IP。
      • 输入的证书密码为用户自定义密码。命令中如果携带认证密码信息可能存在安全风险,在执行命令前建议关闭系统的history命令记录功能,避免信息泄露。
    4. 登录MRS管理控制台。
    5. 选择“现有集群”,单击集群名称进入集群详情页面。
    6. 选择“组件管理 > Ranger > 服务配置”,修改RangerAdmin配置。
      1. 搜索并修改配置项policymgr_https_keystore_password值为3中输入的证书密码,即输入的证书密码。

        可以使用复制粘贴,此处密码不一致,将会导致Ranger组件重启失败。

      2. 保存配置,并滚动重启RangerAdmin。
    7. 确认RangerAdmin Web UI可登录。
      1. 选择“组件管理 > Ranger > 服务状态”,在“Ranger 概述”中单击“Ranger WebUI”对应的“RangerAdmin”。
      2. 进入Ranger WebUI登录界面,MRS 1.9.2版本集群默认用户名/密码为admin/admin@12345,MRS 1.9.3及之后版本集群默认用户名/密码为admin/ranger@A1!。

        首次登录Ranger WebUI界面后请修改用户密码并妥善保存。

    8. 分别登录集群RangerAdmin实例所在的节点,删除临时文件。

      rm -rf /tmp/updateRangerJks

      rm -rf /tmp/updateRangerJks.tar.gz

      对于自定义拓扑集群,如果主Master与RangerAdmin实例不在同一节点,还需登录主Master节点执行如上命令清除临时文件。