MRS 1.9.3 Ranger证书如何更新?
本指导以MRS 1.9.3版本为例,其他版本请替换成具体集群版本号。参考本指导完成证书更新后,请手动清除证书文件失效或证书文件即将过期告警。
- Ranger证书更新后,证书有效期为10年。
- Ranger证书过期后,Ranger WEBUI还能够继续访问,功能不影响。仅在访问前有不信任的证书提示。
- 如果集群未安装Ranger组件,则分别登录Master节点,执行如下命令将证书文件改名即可。
mv /opt/Bigdata/MRS_1.9.3/install/MRS-Ranger-1.0.1/ranger/ranger-1.0.1-admin/ranger-admin-keystore.jks /opt/Bigdata/MRS_1.9.3/install/MRS-Ranger-1.0.1/ranger/ranger-1.0.1-admin/ranger-admin-keystore.jks_bak
- 如果集群已安装Ranger,则需更新证书,更新指导如下:
- 从obs-patch桶中下载MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz,并上传到集群主RangerAdmin实例所在的节点/tmp目录。
请在MRS Manager页面“服务管理 > Ranger > 实例”中查看主RangerAdmin实例所在节点IP。
- 中国-香港区域下载地址:https://mrs-patch-ap-southeast-1.obs.ap-southeast-1.myhuaweicloud.com/MRS_Common_Script/MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
- 亚太-曼谷区域下载地址:https://mrs-patch-ap-southeast-2.obs.ap-southeast-2.myhuaweicloud.com/MRS_Common_Script/MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
- 亚太-新加坡区域下载地址:https://mrs-patch-ap-southeast-3.obs.ap-southeast-3.myhuaweicloud.com/MRS_Common_Script/MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
- 拉美-圣保罗区域下载地址:https://mrs-container1-patch-sa-brazil-1.obs.myhuaweicloud.com/MRS_Common_Script/MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
- 拉美-墨西哥城区域下载地址:https://mrs-container1-patch-na-mexico-1.obs.myhuaweicloud.com/MRS_Common_Script/MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
- 登录集群主RangerAdmin实例所在的节点,执行如下命令。
chmod 700 MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
chown omm:wheel MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
su - omm
cd /tmp
tar -zxvf MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz
- 执行如下命令更新证书。
sh updateRangerJks.sh 主Master节点IP 主RangerAdmin节点IP 输入证书密码
- 该脚本会重启controller进程,在重启过程中,可能会影响到MRS Manager页面的查看,待controller进程重启后,会恢复正常。
- 请在MRS Manager页面“主机管理”中查看主Master节点IP。
- 请在MRS Manager页面“服务管理 > Ranger > 实例”中查看主RangerAdmin节点IP。
- 输入的证书密码为用户自定义密码。命令中如果携带认证密码信息可能存在安全风险,在执行命令前建议关闭系统的history命令记录功能,避免信息泄露。
- 登录MRS管理控制台。
- 选择“现有集群”,单击集群名称进入集群详情页面。
- 选择“组件管理 > Ranger > 服务配置”,修改RangerAdmin配置。
- 搜索并修改配置项policymgr_https_keystore_password值为3中输入的证书密码,即输入的证书密码。
可以使用复制粘贴,此处密码不一致,将会导致Ranger组件重启失败。
- 保存配置,并滚动重启RangerAdmin。
- 搜索并修改配置项policymgr_https_keystore_password值为3中输入的证书密码,即输入的证书密码。
- 确认RangerAdmin Web UI可登录。
- 分别登录集群RangerAdmin实例所在的节点,删除临时文件。
rm -rf /tmp/updateRangerJks.tar.gz
对于自定义拓扑集群,如果主Master与RangerAdmin实例不在同一节点,还需登录主Master节点执行如上命令清除临时文件。
- 从obs-patch桶中下载MRS_1.9_Patch_UpdateRangerJks_All_20210203.tar.gz,并上传到集群主RangerAdmin实例所在的节点/tmp目录。