MRS 1.9.3 Ranger证书如何更新？

本指导以MRS 1.9.3版本为例，其他版本请替换成具体集群版本号。参考本指导完成证书更新后，请手动清除证书文件失效或证书文件即将过期告警。

• Ranger证书更新后，证书有效期为10年。
• Ranger证书过期后，Ranger WEBUI还能够继续访问，功能不影响。仅在访问前有不信任的证书提示。

• 如果集群未安装Ranger组件，则分别登录Master节点，执行如下命令将证书文件改名即可。

  mv /opt/Bigdata/MRS_1.9.3/install/MRS-Ranger-1.0.1/ranger/ranger-1.0.1-admin/ranger-admin-keystore.jks /opt/Bigdata/MRS_1.9.3/install/MRS-Ranger-1.0.1/ranger/ranger-1.0.1-admin/ranger-admin-keystore.jks_bak

• 如果集群已安装Ranger，则需更新证书，更新指导如下：
  1. 从obs-patch桶中下载MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz，并上传到集群主RangerAdmin实例所在的节点/tmp目录。

     请在MRS Manager页面“服务管理 > Ranger > 实例”中查看主RangerAdmin实例所在节点IP。

     • 中国-香港区域下载地址：https://mrs-patch-ap-southeast-1.obs.ap-southeast-1.myhuaweicloud.com/MRS_Common_Script/MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
     • 亚太-曼谷区域下载地址：https://mrs-patch-ap-southeast-2.obs.ap-southeast-2.myhuaweicloud.com/MRS_Common_Script/MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
     • 亚太-新加坡区域下载地址：https://mrs-patch-ap-southeast-3.obs.ap-southeast-3.myhuaweicloud.com/MRS_Common_Script/MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
     • 拉美-圣保罗区域下载地址：https://mrs-container1-patch-sa-brazil-1.obs.myhuaweicloud.com/MRS_Common_Script/MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
     • 拉美-墨西哥城区域下载地址：https://mrs-container1-patch-na-mexico-1.obs.myhuaweicloud.com/MRS_Common_Script/MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
  2. 登录集群主RangerAdmin实例所在的节点，执行如下命令。

     cd /tmp

     chmod 700 MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz

     chown omm:wheel MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz

     su - omm

     cd /tmp

     tar -zxvf MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz

  3. 执行如下命令更新证书。

     cd updateRangerJks

     sh updateRangerJks.sh ${主master节点IP} ${主RangerAdmin节点IP} ${输入证书密码}

     

     • 该脚本会重启controller进程，在重启过程中，可能会影响到MRS Manager页面的查看，待controller进程重启后，会恢复正常。
     • 请在MRS Manager页面“主机管理”中查看“${主master节点IP}”。
     • 请在MRS Manager页面“服务管理 > Ranger > 实例”中查看“${主RangerAdmin节点IP}”。
     • “${输入证书密码}”为用户自定义密码。命令中如果携带认证密码信息可能存在安全风险，在执行命令前建议关闭系统的history命令记录功能，避免信息泄露。
  4. 登录MRS管理控制台。
  5. 选择“现有集群”，单击集群名称进入集群详情页面。
  6. 选择“组件管理 > Ranger > 服务配置”，修改RangerAdmin配置。
     1. 搜索并修改配置项policymgr_https_keystore_password值为3中输入的证书密码，即“${输入证书密码}”。

        可以使用复制粘贴，此处密码不一致，将会导致Ranger组件重启失败。

     2. 保存配置，并滚动重启RangerAdmin。
  7. 确认RangerAdmin Web UI可登录。
     1. 选择“组件管理 > Ranger > 服务状态”，在“Ranger 概述”中单击“Ranger WebUI”对应的“RangerAdmin”。
     2. 进入Ranger WebUI登录界面，MRS 1.9.2版本集群默认用户名/密码为admin/admin@12345，MRS 1.9.3及之后版本集群默认用户名/密码为admin/ranger@A1!。

        首次登录Ranger WebUI界面后请修改用户密码并妥善保存。

  8. 分别登录集群RangerAdmin实例所在的节点，删除临时文件。

     rm -rf /tmp/updateRangerJks

     rm -rf /tmp/updateRangerJks.tar.gz

     对于自定义拓扑集群，如果主Master与RangerAdmin实例不在同一节点，还需登录主Master节点执行如上命令清除临时文件。