MRS 2.1.0版本证书有效期延长补丁指导
补丁基本信息
MRS集群Manager和大数据组件证书即将过期(最晚将于2026.11.25过期),该补丁提供证书替换能力。
安装补丁前提条件
- 需要获取Manager页面登录用户名和登录密码(登录用户需要有集群的操作权限,例如admin用户)。
- 下载补丁工具至集群主oms节点补丁下载地址。
OMS节点一般为master1和master2节点,主OMS节点判断方法,执行以下命令,返回结果为active的节点为主OMS节点,返回结果为standby的节点为备OMS节点
su - omm -c "sh ${BIGDATA_HOME}/OMSV100R001C00x8664/workspace/ha/module/hacom/script/get_harole.sh" 安装补丁过程中对现行系统的影响
补丁操作过程中,需要重启Manager相关进程和集群组件。
重启Manager相关进程,会出现短暂作业提交失败,影响时长1min内,需要客户重新提交失败作业。
重启集群组件,MRS提供离线重启和滚动重启两种方式。
- 离线重启需要停服,在离线重启完成后,客户可重新提交作业。
- 滚动重启不需要停服,滚动重启期间可能会导致存量作业失败,请重启完成后重跑失败的作业。如果涉及到管理面提交作业,会出现短暂作业提交失败,影响时长1min内,需要客户重新提交失败作业。
补丁使用流程

安装补丁
- 使用root用户登录主OMS节点,将下载的补丁(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)工具放至“/home/omm”目录下。
- 修改相应权限后,切到omm用户下,并解压补丁工具(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)至当前目录“/home/omm”。
chown omm:wheel -R /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
su - omm
cd /home/omm
tar -zxf MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
- 在ips.ini中配置需要打补丁的节点IP(当前集群所有节点IP)。
cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525
每行配置一个IP,中间不能有空行。
- 执行脚本安装补丁。
cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525
chmod 755 ./* -R
find ./ -type f | xargs dos2unix
nohup sh install.sh upgrade &
通过tail -f nohup.out查看执行情况(如果出现“nohup : ignoring input and appending”提示,可按回车继续),返回upgrade patch success.表示执行完成。
证书更换
- 更新集群证书(使集群证书和OMS HA证书有效期延长)。
使用omm用户登录主OMS节点,执行如下命令:
sh /opt/Bigdata/om-0.0.1/security/cert/conf/replace_cert.sh Please enter cluster login account:请输入Manager页面登录用户(该用户需要有集群的操作权限,例如admin用户) Please enter password of the cluster login account:请输入Manager页面登录用户密码
- 此操作会更新OMS HA证书和集群证书,使有效期延长。
- Manager页面登录用户需要有集群的操作权限,例如admin用户。
- 日志打印“OMS HA certificate replacement completed!”表示更换OMS HA证书成功;日志打印“replace ca successful.”表示“更换集群CA证书”脚本执行完成。
- 如果执行“replace_cert.sh”脚本不支持交互式输入参数,可通过sh /opt/Bigdata/om-0.0.1/security/cert/conf/replace_cert.sh --username='xxx' --userpwd='xxx'来指定登录用户名和登录密码,此操作可能带来泄露敏感信息安全隐患,执行时需评估风险。
- 同步配置以及重启受影响的组件。
- 登录Manager集群页面,进入“服务管理 > 更多”页,单击“同步配置”选项刷新组件证书(不勾选“重启配置过期的服务或实例”)。
- 等待“同步配置”执行完成后,分别重启LdapServer、HDFS、ZooKeeper、Hive、Spark、HBase、Hue、Kafka、Flume、Yarn、Mapreduce、Loader、Tez、Flink、Storm、presto服务,重启服务参考重启相关组件。
- 重启组件过程中,可能会误报服务不可用告警,服务启动完成后自动清除,可忽略。
- 重启涉及组件完成后,可使用omm用户登录主OMS节点,执行如下命令,获取集群证书有效期列表:
sh /opt/Bigdata/nodeagent/security/cert/conf/listAllCertificateInfo.sh ${证书即将过期告警天数阈值}
例如:
sh /opt/Bigdata/nodeagent/security/cert/conf/listAllCertificateInfo.sh 300 (获取有效期300天内过期的证书)
查看脚本运行结果,保存目录见关键字"The results are saved in"
证书有效期全量列表保存至certs_detail.csv,不满足证书即将过期告警天数阈值列表保存至certs_alarm.csv
- 刷新已安装客户端。
- 登录Manager集群页面,选择“服务管理 > KrbServer”,进入服务详情页,单击“下载客户端”,客户端类型选择“完整客户端”,将下载的客户端放至已安装客户端的主机上。后续步骤新下载客户端目录以“/tmp/clientNew”为例。
- 使用客户端安装用户登录已安装客户端主机,执行如下命令解压客户端:
cd /tmp/clientNew
tar -xvf MRS_KrbServer_Client.tar
tar -xvf MRS_KrbServer_ClientConfig.tar
- 执行如下命令,更新已安装客户端:
cd MRS_KrbServer_ClientConfig
sh refresh_client_cert.sh refresh ${已安装客户端目录}例如:
sh refresh_client_cert.sh refresh /opt/client
- 组件更新证书。
Flume证书替换(集群未安装该组件角色可跳过此步骤)
- Flume角色的服务端证书替换。
- 以omm用户登录Flume角色实例节点,进入${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin”目录。
cd ${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin - 执行脚本flumeServerReplace.sh进行Flume角色服务端、客户端证书生成与服务端证书替换。并将${BIGDATA_HOME}/MRS_Current/*_*_Flume/etc/properties.properties配置文件中的“keystore-password”和“truststore-password”修改为新的服务端证书库的密码。
./flumeServerReplace.sh -f 服务端密码 -g 客户端密码
- 进入“${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/conf”路径下,执行如下命令, 查看当前Flume作业服务端证书的有效期,证书别名为flumechatserver,确认证书已经替换成功,有效期为100年。
keytool -v -list -keystore flume_sChat.jks -alias flumechatserver
- 下载“${BIGDATA_HOME}/MRS_Current/*_*_Flume/etc/properties.properties”,并上传到对应的Flume角色实例的flume.config.file配置中并重启该实例。
- 以omm用户登录Flume角色实例节点,进入${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin”目录。
- Flume角色的客户端证书替换。
- 以Flume客户端安装用户登录到需要替换证书的Flume客户端节点,进入到客户端目录中,查看Flume客户端配置文件properties.properties,例如“/opt/FlumeClient/fusioninsight-flume-1.11.0/conf/properties.properties”。
cd /opt/FlumeClient/fusioninsight-flume-1.*.*/conf
cat /opt/FlumeClient/fusioninsight-flume-1.*.*/conf/properties.properties | grep hostname
返回结果的值为Flume服务端的业务节点信息。
- 以omm用户登录到4.b.i获取的节点中,进入“${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin”目录,将clientReplace.sh文件拷贝到客户端节点。
- 以Flume客户端安装用户登录到Flume客户端节点,进入到上步中拷贝的clientReplace.sh文件所在位置,执行如下命令对原客户端证书进行备份。
./clientReplace.sh -Flume backup -p 客户端地址 -c 客户端证书所在地址
clientReplace.sh 参数说明:
- -Flume : Flume证书替换。
- -p : Flume客户端安装路径。如“/opt/FlumeClient”。
- -c(可选) : 客户端证书所在地址。默认为 Flume客户端安装路径/fusioninsight-flume-1.*.*/conf,如“/opt/FlumeClient/fusioninsight-flume-1.6.0/conf”。
- -w(可选) : 新客户端证书库的密码,为4.a.ii中输入的客户端密码。
- 以omm用户登录到4.b.i获取的节点中,进入“${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/conf”目录,将生成的新客户端证书(flume_cChat.jks)和客户端信任列表(flume_cChatt.jks)拷贝到客户端所在节点原flume客户端证书目录下,默认为:"/opt/flumeclient/fusioninsight-flume-1.6.0/conf","/opt/flumeclient"为flume客户端安装目录。
- 以Flume客户端安装用户登录到Flume客户端节点,进入到clientReplace.sh文件所在位置,执行如下命令进行新客户端证书库密码加密以及客户端目录下properties.properties文件更改。
./clientReplace.sh -Flume genandcfg -p 客户端地址 -c 客户端证书所在地址 -w 新客户端证书库密码
- 进入客户端配置目录conf,如“/opt/FlumeClient/fusioninsight-flume-1.*.*/conf/”,执行如下命令, 查看当前客户端的Flume作业客户端证书的有效期,确认证书已经替换成功,有效期为100年。
如果是集群外客户端需要配置环境变量,否则直接查看证书有效期:
source /Flumeenv安装目录/bigdata_env
查看证书有效期:
keytool -v -list -keystore flume_cChat.jks -alias flumechatclient
- 以Flume客户端安装用户登录到需要替换证书的Flume客户端节点,进入到客户端目录中,查看Flume客户端配置文件properties.properties,例如“/opt/FlumeClient/fusioninsight-flume-1.11.0/conf/properties.properties”。
- MonitorServer角色服务端证书替换。
- 以omm用户登录MonitorServer角色实例节点,进入${BIGDATA_HOME}/MRS_Current/*_*_MonitorServer/install/flume/conf”目录。
cd ${BIGDATA_HOME}/MRS_Current/*_*_MonitorServer/install/flume/conf - 查看是否启用MonitorServer证书。
cat service/application.properties | grep ssl_server_enable
返回结果为“ssl_server_enable=true”则继续往下执行,否则跳过MonitorServer服务端证书替换。
- 进入bin目录执行脚本MonitorServerReplace.sh,进行MonitorServer角色服务端、客户端证书生成与服务端证书替换。并将“${BIGDATA_HOME}/MRS_Current/*_*_MonitorServer/install/flume/conf/service/application.properties”配置文件中的“keystore-password”和“truststore-password”修改为新的服务端证书库的密码
cd ../bin
sed -i 's/-validity 3650/-validity 36500/g' geneJKS.sh
./MonitorServerReplace.sh -m 服务端密码 -n 客户端密码
- 进入“${BIGDATA_HOME}/MRS_Current/*_*_MonitorServere/install/flume/conf”路径下,执行如下命令, 查看当前MonitorServer作业服务端证书的有效期,证书别名为mschatserver,确认证书已经替换成功,有效期为100年。
keytool -v -list -keystore ms_sChat.jks -alias mschatserver
- 以omm用户登录MonitorServer角色实例节点,进入${BIGDATA_HOME}/MRS_Current/*_*_MonitorServer/install/flume/conf”目录。
- MonitorServer角色客户端证书替换。
- 以Flume客户端安装用户登录到需要替换MonitorServer证书的Flume客户端节点,进入到客户端目录中,查看Flume客户端配置文件application.properties,例如“/opt/FlumeClient/fusioninsight-flume-1.6.0/conf/service/application.properties”。
cd /opt/FlumeClient/fusioninsight-flume-1.6.0/conf
cat service/application.properties | grep ssl_client_enable
返回结果为“ssl_client_enable=true”则继续往下执行,否则跳过MonitorServer客户单证书替换。其中“/opt/FlumeClient”替换为实际的客户端路径。
- 以omm用户登录到Flume服务所在节点,进入“${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin”目录,将clientReplace.sh文件拷贝到客户端节点,如果该客户端节点已经有clientReplace.sh文件则无需进行该操作。
- 以Flume客户端安装用户登录到Flume客户端节点,进入到上步中拷贝的clientReplace.sh文件所在位置,执行如下命令对原客户端MonitorServer角色证书进行备份。
./clientReplace.sh -Monitor backup -p 客户端地址 -c 客户端证书所在地址
- 以omm用户登录到MonitorServer服务所在节点,进入“${BIGDATA_HOME}/MRS_Current/*_*_MonitorServer/install/flume/conf”目录,将生成的新客户端证书(ms_cChat.jks)和客户端信任列表(ms_cChatt.jks)拷贝到客户端所在节点原flume客户端证书目录下,默认为:“/opt/flumeclient/fusioninsight-flume-1.6.0/conf”,“/opt/flumeclient”为flume客户端安装目录。
- 以Flume客户端安装用户登录到Flume客户端节点,进入到clientReplace.sh文件所在位置,执行如下命令进行新客户端证书库密码加密以及客户端目录下properties.properties文件更改。
./clientReplace.sh -Monitor genandcfg -p 客户端地址 -c 客户端证书所在地址 -w 新客户端证书库密码
- 进入客户端配置目录conf,如“/opt/FlumeClient/fusioninsight-flume-1.*.*/conf/”,执行如下命令, 查看当前MonitorServer客户端证书的有效期,确认证书已经替换成功,有效期为100年。
如果是集群外客户端需要配置环境变量,否则直接查看证书有效期:
source /Flumeenv安装目录/bigdata_env
查看证书有效期:
keytool -v -list -keystore ms_cChat.jks -alias mschatclient
- 以Flume客户端安装用户登录到需要替换MonitorServer证书的Flume客户端节点,进入到客户端目录中,查看Flume客户端配置文件application.properties,例如“/opt/FlumeClient/fusioninsight-flume-1.6.0/conf/service/application.properties”。
Flink证书替换(集群未安装该组件可跳过此步骤)
- 将补丁安装目录中的“/home/omm/MRS_2.1.0_cert_renewal_Patch_20260525/2.1.0_cert_renewal_patch_20260525/client/clientReplace.sh”文件拷贝至Flink客户端所在节点。
- 将补丁安装目录中的“/home/omm/MRS_2.1.0_cert_renewal_Patch_20260525/2.1.0_cert_renewal_patch_20260525/files/x86_64/Flink/generate_keystore.sh”文件拷贝至Flink客户端所在节点,如:/opt目录下,进入Flink客户端所在节点执行以下命令。
cd ${Flink客户端根目录}/Flink/flink/bin/\cp -f /opt/generate_keystore.sh ./
chown omm:wheel generate_keystore.sh #若该客户端为omm用户安装,执行该条命令。否则跳过
chmod 755 generate_keystore.sh
- 进入Flink客户端所在节点,在clientReplace.sh文件所在位置,执行如下命令对Flink客户端证书进行替换。
./clientReplace.sh -Flink -p 客户端根目录 [-c 客户端证书所在目录地址] [-w 客户端证书密码]
clientReplace.sh 参数说明。
-Flink : Flink证书替换。
-p : Flink客户端安装路径。
-c(可选) : 当前Flink客户端证书所在路径。默认路径为Flink客户端安装路径“/conf/ssl”。
-w(可选) : Flink客户端证书库的密码,为当前flink客户端认证密码。若未通过-w配置密码,执行脚本时通过交互式方式输入密码。
- clientReplace.sh脚本执行成功后,重新提交Flink客户端作业,使用的证书即为新替换证书。
- 查看当前客户端的Flink作业证书的有效期。
进入Flink客户端的证书目录(以${Flink客户端目录}/conf/ssl目录为例),执行如下命令:
source /Flink客户端目录/bigdata_env
cd {Flink客户端目录}/conf/sslkeytool -v -list -keystore flink.keystore
keytool -v -list -keystore flink.truststore
Flink客户端目录替换为实际的客户端目录,如/opt/flinkclient/Flink/flink。
查看证书有效期是否为100年,如下方示例所示,失效时间即为证书的有效期截止时间。
Flink作业证书的“生效时间”和“失效时间” 示例:
[root@192-168-33-108 conf]# keytool -v -list -keystore flink.keystore Enter keystore password: //查询证书信息,不需要输入密码,直接回车即可 ***************** WARNING WARNING WARNING ***************** * The integrity of the information stored in your keystore * * has NOT been verified! In order to verify its integrity, * * you must provide your keystore password. * ***************** WARNING WARNING WARNING ***************** Keystore type: jks Keystore provider: SUN Your keystore contains 2 entries Alias name: ca Creation date: Jun 29, 2026 Entry type: trustedCertEntry Owner: CN=Flink_CA Issuer: CN=Flink_CA Serial number: 62f7fc87 Valid from: Mon Jun 29 15:05:21 CST 2026 //生效时间 until: Wed Jun 05 15:05:21 CST 2126 //失效时间 Certificate fingerprints: MD5: 81:01:F1:3E:9D:F3:E0:5F:5A:D3:3E:31:0E:FD:39:94 SHA1: AB:1A:EC:74:A1:AA:E2:FD:C3:08:A1:F5:5D:4F:5C:84:6A:25:E0:10 SHA256: 54:1E:C2:70:65:8D:39:D1:3B:17:DE:25:B5:2F:39:15:82:99:F2:65:7C:93:50:48:8D:A0:83:51:74:4F:8B:52 Signature algorithm name: SHA256withRSA Subject Public Key Algorithm: 2048-bit RSA key Version: 3


Kafka证书替换(未单独安装Kafka客户端可跳过此步骤)
- 以Kafka客户端安装用户登录到集群内单独安装Kafka客户端所在节点,备份kafka客户端原jdk证书。例如客户端安装路径为:“/opt/kafkaclient”。
mv /opt/kafkaclient/JDK/jdk/jre/lib/security/cacerts /opt/kafkaclient/JDK/jdk/jre/lib/security/cacerts.bak
“/opt/kafkaclient” 需要替换为实际路径。
- 拷贝新jdk证书到客户端,新证书为:“/opt/Bigdata/jdk1.8.*/jre/lib/security/cacerts”,如客户端安装路径为:"/opt/kafkaclient"。
cp /opt/Bigdata/jdk1.8.*/jre/lib/security/cacerts /opt/kafkaclient/JDK/jdk/jre/lib/security
- Flume角色的服务端证书替换。
扩容节点安装补丁
更新完集群证书后,对于新扩容的节点,证书有效期为20年,如果需要延长证书有效期,可执行此操作。
- 将从OBS路径中下载的补丁(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)工具放至主OMS节点的“/home/omm”目录下(如果已存在,可跳过此步骤)。
- 修改相应权限后,切到omm用户下,并解压补丁工具(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)至当前目录(如果之前已执行,可跳过此步骤)。
chown omm:wheel -R /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
su - omm
cd /home/omm
tar -zxf MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
- 进入解压后的目录,在ips.ini中配置需要打补丁的节点IP(当前集群扩容节点IP),每行配置一个IP,中间不能有空行。
cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525
- 执行脚本安装补丁。
nohup sh install.sh upgrade &
通过 tail -f nohup.out 查看执行情况(打印“upgrade patch success.”表示执行完成)。
- 在Manager页面上针对新扩容节点的DataNode、NodeManager、RegionServer、Worker、Broker、Flume、MirrorMaker、Supervisor、Logviewer实例进行同步配置以及重启操作。
- 登录Manager集群页面,进入“主机管理”页,单击新扩容节点名称进入“主机详情”页。
- 依次单击上述已安装实例名称,在“实例状态”页签中选择“更多 > 同步配置”。
- 等待同步配置完成后,选择“更多 > 重启实例”。
证书回退
- OMS HA证书回退。
sh /opt/Bigdata/om-0.0.1/security/cert/conf/rollbackOmsHaCert.sh
- 集群CA证书回退。
使用omm用户登录主OMS节点,执行如下命令回退集群CA证书
sh /opt/Bigdata/om-0.0.1/security/cert/conf/rollback_ca.sh
执行完成后,参考步骤 2进行同步配置以及重启受影响的组件
- 回退已安装客户端证书。
如果未执行证书更换中刷新客户端证书相关操作,可跳过此步骤。
使用客户端安装用户登录已安装客户端主机,执行如下命令回退客户端证书:
cd /tmp/clientNew/MRS_KrbServer_ClientConfig
sh refresh_client_cert.sh rollback ${已安装客户端目录}例如:
sh refresh_client_cert.sh rollback /opt/client
- 回退Kafka单独安装客户端。
使用客户端安装用户登录已安装客户端主机,将备份的证书复原,如客户端安装路径为:“/opt/kafkaclient”。
mv /opt/kafkaclient/JDK/jdk/jre/lib/security/cacerts.bak /opt/kafkaclient/JDK/jdk/jre/lib/security/cacerts
“/opt/kafkaclient”需要替换为实际路径。
- 回退Flume证书。
- 以omm用户登录更换Flume证书的实例节点,进入“${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin”目录。
sh flumeServerReplace.sh -r
下载${BIGDATA_HOME}/MRS_Current/*_*_Flume/etc/properties.properties,并上传到对应的Flume实例的flume.config.file配置中并重启该实例。
- 以omm用户登录更换MonitorServer证书的实例节点,进入${BIGDATA_HOME}/MRS_Current/*_*_MonitorServer/install/flume/bin”目录。
sh MonitorServerReplace.sh -r
- 以flume客户端安装用户登录到替换证书的Flume客户端节点,进入到clientReplace.sh文件所在目录,执行如下命令:
sh clientReplace.sh -Flume -r -p ${客户端地址}sh clientReplace.sh -Monitor -r -p ${客户端地址}
- 以omm用户登录更换Flume证书的实例节点,进入“${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin”目录。
- 回退Flink证书。
- 进入FlinkResource实例所在节点,下载“/opt/Bigdata/MRS_2.1.0/install/FusionInsight-Flink-1.7.0/flink/sbin/generate_keystore.sh”下载,并上传到替换证书的Flink客户端所在节点,如:“/opt”目录下。进入Flink客户端所在节点执行以下命令:
cd ${Flink客户端根目录}/Flink/flink/bin/\cp -f /opt/generate_keystore.sh ./
chown omm:wheel generate_keystore.sh #如果该客户端为omm用户安装,执行该条命令。否则跳过
chmod 755 generate_keystore.sh
- 以Flink客户端安装用户登录到替换证书的Flink客户端节点,进入到clientReplace.sh文件所在目录,执行如下命令:
sh clientReplace.sh -Flink -r -p ${客户端地址} [-c 要回退的Flink客户端证书所在目录]
- 进入FlinkResource实例所在节点,下载“/opt/Bigdata/MRS_2.1.0/install/FusionInsight-Flink-1.7.0/flink/sbin/generate_keystore.sh”下载,并上传到替换证书的Flink客户端所在节点,如:“/opt”目录下。进入Flink客户端所在节点执行以下命令:
重启相关组件
补丁安装完成后,需要手动重启相关大数据组件服务,使补丁生效。
提供两种重启方式,请根据业务自行选择重启方式:
- 滚动重启(推荐):影响小,耗时长。
- 离线重启:会断服,耗时短。
- 登录MRS管理控制台或\Manager界面。
- 选择如下任一方式重启相关组件。
- 在MRS控制台,选择“现有集群”,单击集群名称进入集群详情页面。单击“组件管理”,选择需要重启的服务,进入服务页面。在“服务状态”页签选择“重启服务”或单击“更多”,选择“滚动重启服务”。
- 在Manager界面,选择“服务管理 > 待操作的服务名称”,在“服务状态”页签单击“更多”,选择“重启服务”或“滚动重启服务”。
表1 重启策略以及影响 组件名称
重启策略
影响范围
影响时间
Flink
直接重启
仅影响Flink Server任务,Flink Jar、Flink SQL任务不受影响。
直接重启耗时约5分钟。
滚动重启
不支持滚动重启。
-
Flume
直接重启
停止期间数据流中断,启动后恢复。
直接重启耗时约5分钟。
滚动重启
滚动重启时,重启节点数据流将停止,启动后恢复。
滚动重启10个节点耗时约30分钟。
HBase
直接重启
重启期间无法进行HBase数据读写。
直接重启耗时约5分钟。
滚动重启
重启时客户端重试连接其他节点,不影响整体服务。
滚动重启10个节点耗时约30分钟。
HDFS
直接重启
重启期间无法进行HDFS读写,影响上层组件与作业。
直接重启耗时约10分钟。
滚动重启
滚动重启不影响业务。
滚动重启10节点耗时约40分钟。
Hive
直接重启
重启期间无法运行HiveSQL。
直接重启耗时约5分钟。
滚动重启
HiveServer滚动重启时,如果仍有客户端连接到滚动重启的HiveServer上,客户端正在运行的任务将失败。
重启Hive服务期间,如果仍有客户端连接HiveServer提交任务,可能导致任务运行失败。
HiveServer滚动重启时,将等待客户端连接断开,最长等待30分钟。
Hue
直接重启
重启期间Hue页面无法访问。
直接重启耗时约5分钟。
滚动重启
不支持滚动重启。
-
Kafka
直接重启
直接重启业务会中断
直接重启耗时约5分钟。
滚动重启
需要提前查看Broker各实例数据同步正常,可以参考Kafka的监控指标“未完全同步的Partition总数”进行查看。
滚动重启10个节点耗时约10分钟。
LdapServer
直接重启
重启期间影响作业提交krb认证,可能导致作业提交失败。
直接重启耗时约5分钟。
滚动重启
滚动重启不影响业务。
滚动重启耗时约10分钟。
Loader
直接重启
重启期间无法提交作业。
直接重启耗时约5分钟。
滚动重启
不支持滚动重启。
-
Mapreduce
直接重启
重启期间无法访问作业历史页面查看历史任务信息,不影响作业运行。
直接重启耗时约5分钟。
滚动重启
滚动重启不影响业务。
滚动重启耗时约10分钟。
Presto
直接重启
重启期间无法提交新SQL,正在运行的SQL会失败。
直接重启耗时约3~5分钟。
滚动重启
不支持滚动重启。
-
Spark
直接重启
仅影响Spark thrift任务,SparkSQL、Spark Submit任务不受影响。
直接重启耗时约5分钟。
滚动重启
滚动重启过程中,提交的任务会有小概率失败,正在运行的任务不受影响。
滚动重启2个实例约10分钟。
Storm
直接重启
重启期间Storm不对外提供服务,不能提交Storm任务。
直接重启耗时约2~3分钟。
滚动重启
滚动重启不影响业务。
滚动重启耗时约4~5分钟。
Tez
直接重启
只影响查看任务页面。
直接重启耗时约5分钟。
滚动重启
不支持滚动重启。
-
Yarn
直接重启
直接重启期间,不可新提交任务,正在运行Spark、Flink任务有重试机制不受影响。
直接重启耗时约5分钟。
滚动重启
依赖NM的 remote shuffle Spark任务受影响,Flink任务有概率失败,Hive任务有概率失败。
滚动重启10节点耗时约25分钟。
ZooKeeper
直接重启
直接重启业务会中断。
直接重启耗时约5分钟。
滚动重启
滚动重启前请分析集群。ZooKeeper客户端连接数规格是否满足“maxCnxns”、“maxClientCnxns”参数配置要求,否则适当调整参数值使满足系统要求。可以通过各quorumpeer实例“ZooKeeper服务客户端资源连接状况”监控值分析,当规格不满足要求时,增大如上服务端参数配置值即可。
滚动重启3个节点耗时约15分钟。
卸载补丁
当集群安装补丁失败或新扩容节点安装补丁失败,可执行此章节进行补丁卸载。
- 执行卸载脚本。
su - omm
cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525
- 在ips.ini中配置需要卸载补丁的节点IP(当前集群所有节点ip)
nohup sh install.sh rollback &
- 通过 tail -f nohup.out 查看执行情况,打印如下内容表示执行完成:
rollback patch success.
补丁下载地址
- 华北-北京四:https://mrs-container1-patch-cn-north-4.obs.cn-north-4.myhuaweicloud.com/MRS_Common_Script/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
- 华东-上海一:https://mrs-container1-patch-cn-east-3.obs.cn-east-3.myhuaweicloud.com/MRS_Common_Script/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
- 华北-北京一:https://mrs-container1-patch-cn-north-1.obs.cn-north-1.myhuaweicloud.com/MRS_Common_Script/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
- 华北-乌兰察布一:https://mrs-container1-patch-cn-north-9.obs.cn-north-9.myhuaweicloud.com/MRS_Common_Script/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
- 华东-上海二:https://mrs-container1-patch-cn-east-2.obs.cn-east-2.myhuaweicloud.com/MRS_Common_Script/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
- 华南-东莞二零一:https://mrs-container1-patch-cn-south-3.obs.cn-south-3.myhuaweicloud.com/MRS_Common_Script/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
- 华南-广州:https://mrs-container1-patch-cn-south-1.obs.cn-south-1.myhuaweicloud.com/MRS_Common_Script/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
- 西南-贵阳二零一:https://mrs-container1-patch-cn-southwest-1.obs.cn-southwest-1.myhuaweicloud.com/MRS_Common_Script/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz