文档首页> MapReduce服务 MRS> 用户指南> Manager操作指导(适用于3.x版本)> 集群管理> 集群互信管理> 配置跨Manager集群互信
更新时间:2024-04-17 GMT+08:00
查看PDF
分享

配置跨Manager集群互信

操作场景

当不同的两个Manager系统下安全模式的集群需要互相访问对方的资源时,系统管理员可以设置互信的系统,使外部系统的用户可以在本系统中使用。

每个系统用户安全使用的范围定义为“域”,不同的Manager系统需要定义唯一的域名。跨Manager访问实际上就是用户跨域使用。

最多支持配置500个互信集群。

对系统的影响

  • 配置跨集群互信后,外部系统的用户可以在本系统中使用,请系统管理员根据企业业务与安全要求,定期检视Manager系统中用户的权限。
  • 配置跨集群互信时需要重启受影响的服务,会造成对应服务的业务中断。
  • 配置跨集群互信后,互信的集群中均会增加Kerberos内部用户“krbtgt/本集群域名@外部集群域名”、“krbtgt/外部集群域名@本集群域名”,用户不能删除。请系统管理员根据企业安全要求,及时且定期修改密码,需同时修改互信系统中4个用户且密码保持一致。具体请参见修改组件运行用户密码。修改密码期间可能影响跨系统业务应用的连接。
  • 如果修改了系统域名,且集群有运行中的HetuEngine计算实例,需要重启HetuEngine的计算实例。
  • 配置跨集群互信后,各个集群都需要重新下载并安装客户端。
  • 配置跨集群互信后,验证配置后是否可以正常工作,且如何使用本系统用户访问对端系统资源,请参见配置跨集群互信后的用户权限

前提条件

  • 系统管理员已明确业务需求,并规划好不同系统的域名。域名只能包含大写字母、数字、圆点(.)及下划线(_),且只能以字母或数字开头。例如“DOMAINA.HW”和“DOMAINB.HW”。
  • 配置跨集群互信前,两个Manager系统的域名必须不同。MRS创建ECS/BMS集群时会随机生成唯一系统域名,通常无需修改。
  • 配置跨集群互信前,两个集群中不能存在有相同的主机名,也不能存在相同的IP地址。
  • 配置互信的两个集群系统时间必须一致,且系统上的NTP服务必须使用同一个时间源。
  • 配置互信的两个集群系统内所有集群全部组件的运行状态均为“良好”。
  • Manager内所有集群的ZooKeeper服务的“acl.compare.shortName”参数需确保为默认值“true”。否则请修改该参数为“true”后重启ZooKeeper服务。
  • 配置互信的两个集群,需要在相同的VPC中。如果两集群不在同一VPC中,则需要已建立VPC对等连接,相关操作请参考VPC对等连接

操作步骤

  1. 登录其中一个集群的FusionInsight Manager。
  2. 选择“系统 > 权限 > 域和互信”。
  3. 修改配置参数“互信对端域”。

    表1 相关参数

    参数名

    描述

    realm_name

    填写对端系统的域名。

    ip_port

    填写对端系统的KDC地址。

    参数值格式为:对端系统内要配置互信集群的Kerberos服务部署的节点IP地址:端口

    • 如果是双平面组网,需填写业务平面IP地址。
    • 采用IPv6地址时,IP地址应写在中括号“[]”中。
    • 部署主备Kerberos服务或者对端系统内有多个集群需要与本端建立互信时,多个KDC地址使用逗号分隔。
    • 端口值可通过查看KrbServer服务的“kdc_ports”参数获取,默认值为“21732”。部署服务的节点IP可通过在KrbServer服务页面选择“实例”页签,查看KerberosServer角色的“业务IP”获取。

      例如,Kerberos服务部署在10.0.0.1和10.0.0.2上,与本端系统建立互信,则对应参数值为“10.0.0.1:21732,10.0.0.2:21732”。

    如果需要配置与多个Manager系统的互信关系,请单击添加新项目,并填写参数值。删除多余的配置请单击

  4. 单击“确定”。
  5. omm用户登录主管理节点,执行以下命令更新域配置。

    sh ${BIGDATA_HOME}/om-server/om/sbin/restart-RealmConfig.sh

    提示以下信息表示命令执行成功。

    Modify realm successfully. Use the new password to log into FusionInsight again.

    重启后部分主机与服务可能无法访问并触发告警,执行“restart-RealmConfig.sh”后大约需要1分钟自动恢复。

  6. 登录FusionInsight Manager,执行以下操作重启动集群或配置过期的实例。

    确认是否同时执行了修改Manager系统域名操作。

    • 是,单击主页上的或者“更多”,单击“启动”,验证密码并确认操作影响后单击“确定”,等待集群启动成功。
    • 否,单击主页上的或者“更多”,单击“重启配置过期的实例”,验证密码并确认操作影响后单击“确定”,等待服务重启成功。

  7. 退出FusionInsight Manager,重新登录正常表示配置已成功。
  8. 如果有运行中的HetuEngine计算实例,需重启该计算实例。

    1. 使用用于访问HetuEngine WebUI界面的用户登录FusionInsight Manager。
    2. 选择“集群 > 服务 > HetuEngine”,进入HetuEngine服务页面。
    3. 在“概览”页签下的“基本信息”区域,单击“HSConsole WebUI”后的链接,进入HSConsole界面。
    4. 对于运行中的计算实例,在实例的“操作”列单击“停止”,待计算实例处于“已停止”状态后,再单击“启动”重启计算实例。

  9. 登录另外一个集群的FusionInsight Manager,重复以上操作。
父主题: 集群互信管理
分享:

    相关文档

    相关产品