文档首页/ MapReduce服务 MRS/ 用户指南/ MRS集群运维/ MRS集群安全配置/ 集群互信管理/ 配置跨Manager集群互信-单向访问
更新时间:2025-12-11 GMT+08:00
查看PDF
分享

配置跨Manager集群互信-单向访问

操作场景

当本集群为安全模式,且需要访问另外一个安全模式集群的资源时(且不希望重启该集群),系统管理员可以参考该章节设置跨集群互信单向访问,使本集群的用户可以在对端系统中使用。

每个系统用户安全使用的范围定义为“域”,不同的Manager系统需要定义唯一的域名。跨Manager访问实际上就是用户跨域使用。

约束与限制

同一集群最多支持配置500个互信集群。

对系统的影响

  • 配置跨集群互信后,外部系统的用户可以在本系统中使用,请系统管理员根据企业业务与安全要求,定期检视Manager系统中用户的权限。
  • 配置跨集群互信时需要重启受影响的服务,会造成对应服务的业务中断。
  • 配置跨集群互信后,互信的集群中均会增加Kerberos内部用户“krbtgt/本集群域名@外部集群域名”、“krbtgt/外部集群域名@本集群域名”,用户不能删除。请系统管理员根据企业安全要求,及时且定期修改密码,需同时修改互信系统中4个用户且密码保持一致。具体请参见修改MRS集群组件运行用户密码。修改密码期间可能影响跨系统业务应用的连接。
  • 配置跨集群互信后,各个集群都需要重新下载并安装客户端,否则无法使用互信访问对端的能力
  • 配置跨集群互信后,验证配置后是否可以正常工作,且如何使用本系统用户访问对端系统资源,请参见配置互信MRS集群的用户权限

前提条件

  • 系统管理员已明确业务需求,并规划好不同系统的域名。域名只能包含大写字母、数字、圆点(.)及下划线(_),且只能以字母或数字开头。例如“DOMAINA.HW”和“DOMAINB.HW”。
  • 配置跨集群互信前,两个Manager系统的域名必须不同。MRS创建ECS/BMS集群时会随机生成唯一系统域名,通常无需修改。
  • 配置跨集群互信前,两个集群中不能存在有相同的主机名,也不能存在相同的IP地址。
  • 配置互信的两个集群系统时间必须一致,且系统上的NTP服务必须使用同一个时间源。
  • 配置互信的两个集群如果包含MRS 3.3.1及之后版本,需要确保两集群所使用的加密算法和模式一致。

    可在MRS集群中执行cat ${CONTROLLER_HOME}/inst/conf/oms-config.ini | grep "krb5_supported_enctypes"命令,根据“krb5_supported_enctypes”参数值确认加密类型。

    • 参数值为空:表示使用默认加密算法和模式,即“AES256-CTS-HMAC-SHA1-96 AES128-CTS-HMAC-SHA1-96”
    • aes256-sha1,aes128-sha1:表示加密算法和模式为“AES256-CTS-HMAC-SHA1-96 AES128-CTS-HMAC-SHA1-96”。
    • aes256-sha2,aes128-sha2:表示加密算法和模式为“AES256-CTS-HMAC-SHA384-192 AES128-CTS-HMAC-SHA256-128”。
  • 配置互信的两个集群系统内全部组件的运行状态均为“良好”。
  • Manager内所有集群的ZooKeeper服务的“acl.compare.shortName”参数需确保为默认值“true”。否则请修改该参数为“true”后重启ZooKeeper服务。
  • 配置互信的两个集群,需要在相同的VPC中。如果两集群不在同一VPC中,则需要已建立VPC对等连接,相关操作请参考VPC对等连接

操作步骤

  1. 登录本集群需要访问的对端集群Manager界面。

    登录集群Manager界面请参考访问MRS集群Manager(2.x及之前版本)

  2. 选择“系统 > 权限 > 域和互信”。
  3. 修改配置参数“互信对端域”。

    表1 相关参数

    参数名

    描述

    realm_name

    填写对端系统的域名。

    ip_port

    填写对端系统的KDC地址。

    参数值格式为:对端系统内要配置互信集群的Kerberos服务部署的节点IP地址:端口

    • 如果是双平面组网,需填写业务平面IP地址。
    • 采用IPv6地址时,IP地址应写在中括号“[]”中。
    • 部署主备Kerberos服务或者对端系统内有多个集群需要与本端建立互信时,多个KDC地址使用逗号分隔。
    • 端口值可通过查看KrbServer服务的“kdc_ports”参数获取,默认值为“21732”。部署服务的节点IP可通过在KrbServer服务页面选择“实例”页签,查看KerberosServer角色的“业务IP”获取。

      例如,Kerberos服务部署在10.0.0.1和10.0.0.2上,与本端系统建立互信,则对应参数值为“10.0.0.1:21732,10.0.0.2:21732”。

    如果需要配置与多个Manager系统的互信关系,请单击添加新项目,并填写参数值。删除多余的配置请单击

  4. 单击“确定”。
  5. 登录本集群FusionInsight Manager,重复步骤 2~步骤 4.
  6. omm用户登录本集群主管理节点,执行以下命令更新域配置。

    sh ${BIGDATA_HOME}/om-server/om/sbin/restart-RealmConfig.sh

    提示以下信息表示命令执行成功。

    Modify realm successfully. Use the new password to log into FusionInsight again.

    重启后部分主机与服务可能无法访问并触发告警,执行“restart-RealmConfig.sh”后大约需要1分钟自动恢复。

  7. 登录本集群FusionInsight Manager,执行以下操作重启集群或配置过期的实例。

    确认是否同时执行了修改本集群Manager系统域名操作。

    • 是,选择主页右上方“更多 > 重启”,验证密码并确认操作影响后单击“确定”,等待集群重启成功。
    • 否,选择主页右上方“更多 > 重启配置过期的实例”,验证密码并确认操作影响后单击“确定”,等待服务重启成功。

      如果集群安装了Doris服务,还需选择“集群 > 服务 > Doris”,在概览页面右上角选择“更多 > 重启服务”,验证密码并单击“确定”,等待Doris重启成功。

  8. 退出FusionInsight Manager,重新登录正常表示配置已成功。
  9. 使用omm用户登录主管理节点,执行以下命令刷新作业提交客户端配置:

    sh /opt/executor/bin/refresh-client-config.sh

父主题: 集群互信管理

相关文档