切换集群加密模式

操作场景

在集群使用过程中，如果需要切换集群加密模式，可以通过以下操作进行切换。

对系统的影响

切换集群加密模式需要停止集群和OMS，集群停止时无法访问。

前提条件

停止依赖集群运行的上层业务应用。

操作步骤

1. 使用管理员用户（admin）登录FusionInsight Manager。
2. 在“主页”右上方单击“停止”，输入当前登录的用户密码确认身份。

   在确认停止的对话框单击“确定”，等待界面提示停止成功。

3. 以root用户登录主管理节点，并执行以下命令切换到omm用户。

   su - omm

4. 执行以下命令，查看集群当前的加密模式（即“scc.conf”文件中“defaultAlgorithm”参数）。

   cat $BIGDATA_COMMON/securityforscc/config/scc.conf

   例如，以下表示当前集群加密模式采用通用加密算法进行加密。

   ......
   defaultAlgorithm=AES256_GCM
   ......

5. 执行以下命令，切换集群加密模式，例如切换为SMCompatible加密算法模式进行加密。

   cd $CONTROLLER_HOME/tools

   bash updateSysSecretMain.sh -o update -a SMCompatible

   切换集群加密模式工具脚本参数说明请参考参考信息。

   界面提示以下信息表示切换成功：

    start to pre-action(update) 
    end to pre-action(update) 
    Operations(update) need to be performed on 3 nodes in the cluster. 
    start to execute action(update) on node[No:1, ip:192.168.43.43, nodeType:oms-node-active] 
    end to execute action(update) on node[No:1, ip:192.168.43.43, nodeType:oms-node-active] 
    ......
    start to post-action(update) 
    end to post-action(update) 
    execute action(update) success.

6. 执行完毕后，查看集群加密模式。

   cat $BIGDATA_COMMON/securityforscc/config/scc.conf

   ......
   defaultAlgorithm=SM4_CTR
   ......

7. 在FusionInsight Manager界面“主页”右上方，选择“更多 > 同步配置”，在弹出的窗口中单击“确定”，开始为当前集群同步配置，等待同步配置完成。
8. 单击“启动”，在弹出窗口中单击“确定”，等待界面提示启动成功。
9. 确认集群启动是否成功，且各服务运行状态正常。
   • 是，执行10。
   • 否，执行11。

10. 集群启动成功、服务运行状态正常后，在集群主管理节点执行以下命令，删除旧密钥相关的文件，操作结束。

    cd $CONTROLLER_HOME/tools

    bash updateSysSecretMain.sh -o commit

    例如，结果如下表示执行成功：

     Operations(commit) need to be performed on 3 nodes in the cluster. 
     start to execute action(commit) on node[No:1, ip:192.168.43.43, nodeType:oms-node-active] 
     end   to execute action(commit) on node[No:1, ip:192.168.43.43, nodeType:oms-node-active] 
     ......
     execute action(commit) success.

11. 集群启动失败或者服务运行状态不正常时，在集群主管理节点执行以下命令进行回退操作，回退到切换集群加密模式之前。如果回退失败请联系技术支持。

    cd $CONTROLLER_HOME/tools

    bash updateSysSecretMain.sh -o rollback

    例如，结果如下表示执行成功：

     start to pre-action(rollback) 
     end to pre-action(rollback) 
     Operations(rollback) need to be performed on 3 nodes in the cluster. 
     start to execute action(rollback) on node[No:1, ip:192.168.43.43, nodeType:oms-node-active] 
     end   to execute action(rollback) on node[No:1, ip:192.168.43.43, nodeType:oms-node-active] 
     ......
     start to post-action(rollback) 
     end to post-action(rollback) 
     execute action(rollback) success. 

    提交回退操作：

    bash updateSysSecretMain.sh -o commit

    例如，结果如下表示执行成功：

     Operations(commit) need to be performed on 3 nodes in the cluster. 
     start to execute action(commit) on node[No:1, ip:192.168.43.43, nodeType:oms-node-active] 
     end   to execute action(commit) on node[No:1, ip:192.168.43.43, nodeType:oms-node-active] 
     ......
     execute action(commit) success.

参考信息

切换集群加密模式工具脚本参数说明：

help:
  parameters:
      -o: Operation Type, Mandatory parameters, Enumerated Value: update | commit | rollback
      -a: Algorithm Type, Optional parameters(Required only for update operation), Enumerated Value: generalCipher | SMCompatible | SMOnly
  usage:
      updateSysSecretMain.sh -o [ update | commit | rollback ] | [ -a [ generalCipher | SMCompatible | SMOnly ] ]

• -o：表示加密模式操作选项。加密模式选项支持update、rollback、commit操作，commit操作为update、rollback的后置操作，当执行过update或rollback后，需执行commit提交当前操作结果。
• -a：表示采用的加密模式类型，update操作支持以下加密模式类型：
  • generalCipher：采用通用型加密算法模式
  • SMCompatible/SMOnly：采用国家型加密算法模式