文档首页/ MapReduce服务 MRS/ 用户指南/ MRS集群运维/ MRS集群补丁说明/ MRS 2.1.0版本证书有效期延长补丁指导
更新时间:2026-07-07 GMT+08:00
分享

MRS 2.1.0版本证书有效期延长补丁指导

补丁基本信息

MRS集群Manager和大数据组件证书即将过期(最晚将于2026.11.25过期),该补丁提供证书替换能力。

安装补丁前提条件

  • 需要获取Manager页面登录用户名和登录密码(登录用户需要有集群的操作权限,例如admin用户)。
  • 下载补丁工具至集群主oms节点补丁下载地址

OMS节点一般为master1和master2节点,主OMS节点判断方法,执行以下命令,返回结果为active的节点为主OMS节点,返回结果为standby的节点为备OMS节点

su - omm -c "sh ${BIGDATA_HOME}/OMSV100R001C00x8664/workspace/ha/module/hacom/script/get_harole.sh"

安装补丁过程中对现行系统的影响

补丁操作过程中,需要重启Manager相关进程和集群组件。

重启Manager相关进程,会出现短暂作业提交失败,影响时长1min内,需要客户重新提交失败作业。

重启集群组件,MRS提供离线重启和滚动重启两种方式。

  • 离线重启需要停服,在离线重启完成后,客户可重新提交作业。
  • 滚动重启不需要停服,滚动重启期间可能会导致存量作业失败,请重启完成后重跑失败的作业。如果涉及到管理面提交作业,会出现短暂作业提交失败,影响时长1min内,需要客户重新提交失败作业。

补丁使用流程

安装补丁

  1. 使用root用户登录主OMS节点,将下载的补丁(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)工具放至“/home/omm”目录下。
  2. 修改相应权限后,切到omm用户下,并解压补丁工具(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)至当前目录“/home/omm”。

    chown omm:wheel -R /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
    su - omm
    cd /home/omm
    tar -zxf MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz

  3. 在ips.ini中配置需要打补丁的节点IP(当前集群所有节点IP)。

    cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525

    每行配置一个IP,中间不能有空行。

  1. 执行脚本安装补丁。

    cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525
    chmod 755 ./* -R
    find ./ -type f | xargs dos2unix
    nohup sh install.sh upgrade &

    通过tail -f nohup.out查看执行情况(如果出现“nohup : ignoring input and appending”提示,可按回车继续),返回upgrade patch success.表示执行完成。

证书更换

  1. 更新集群证书(使集群证书和OMS HA证书有效期延长)。

    使用omm用户登录主OMS节点,执行如下命令:

    sh /opt/Bigdata/om-0.0.1/security/cert/conf/replace_cert.sh
    Please enter cluster login account:请输入Manager页面登录用户(该用户需要有集群的操作权限,例如admin用户)
    Please enter password of the cluster login account:请输入Manager页面登录用户密码
    • 此操作会更新OMS HA证书和集群证书,使有效期延长。
    • Manager页面登录用户需要有集群的操作权限,例如admin用户。
    • 日志打印“OMS HA certificate replacement completed!”表示更换OMS HA证书成功;日志打印“replace ca successful.”表示“更换集群CA证书”脚本执行完成。
    • 如果执行“replace_cert.sh”脚本不支持交互式输入参数,可通过sh /opt/Bigdata/om-0.0.1/security/cert/conf/replace_cert.sh --username='xxx' --userpwd='xxx'来指定登录用户名和登录密码,此操作可能带来泄露敏感信息安全隐患,执行时需评估风险。

  2. 同步配置以及重启受影响的组件。

    1. 登录Manager集群页面,进入“服务管理 > 更多”页,单击“同步配置”选项刷新组件证书(不勾选“重启配置过期的服务或实例”)。
    2. 等待“同步配置”执行完成后,分别重启LdapServer、HDFS、ZooKeeper、Hive、Spark、HBase、Hue、Kafka、Flume、Yarn、Mapreduce、Loader、Tez、Flink、Storm、presto服务,重启服务参考重启相关组件
    • 重启组件过程中,可能会误报服务不可用告警,服务启动完成后自动清除,可忽略。
    • 重启涉及组件完成后,可使用omm用户登录主OMS节点,执行如下命令,获取集群证书有效期列表:

      sh /opt/Bigdata/nodeagent/security/cert/conf/listAllCertificateInfo.sh ${证书即将过期告警天数阈值}

      例如:

      sh /opt/Bigdata/nodeagent/security/cert/conf/listAllCertificateInfo.sh 300 (获取有效期300天内过期的证书)

      查看脚本运行结果,保存目录见关键字"The results are saved in"

      证书有效期全量列表保存至certs_detail.csv,不满足证书即将过期告警天数阈值列表保存至certs_alarm.csv

  3. 刷新已安装客户端。

    1. 登录Manager集群页面,选择“服务管理 > KrbServer”,进入服务详情页,单击“下载客户端”,客户端类型选择“完整客户端”,将下载的客户端放至已安装客户端的主机上。后续步骤新下载客户端目录以“/tmp/clientNew”为例。
    2. 使用客户端安装用户登录已安装客户端主机,执行如下命令解压客户端:
      cd /tmp/clientNew
      tar -xvf MRS_KrbServer_Client.tar
      tar -xvf MRS_KrbServer_ClientConfig.tar
    3. 执行如下命令,更新已安装客户端:
      cd MRS_KrbServer_ClientConfig
      sh refresh_client_cert.sh refresh ${已安装客户端目录}

      例如:

      sh refresh_client_cert.sh refresh /opt/client

  4. 组件更新证书。

    Flume证书替换(集群未安装该组件角色可跳过此步骤)

    1. Flume角色的服务端证书替换。
      1. omm用户登录Flume角色实例节点,进入${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin”目录。
        cd ${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin
      2. 执行脚本flumeServerReplace.sh进行Flume角色服务端、客户端证书生成与服务端证书替换。并将${BIGDATA_HOME}/MRS_Current/*_*_Flume/etc/properties.properties配置文件中的“keystore-password”和“truststore-password”修改为新的服务端证书库的密码。
        ./flumeServerReplace.sh -f 服务端密码 -g 客户端密码
      3. 进入“${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/conf”路径下,执行如下命令, 查看当前Flume作业服务端证书的有效期,证书别名为flumechatserver,确认证书已经替换成功,有效期为100年。
        keytool -v -list -keystore flume_sChat.jks -alias flumechatserver
      4. 下载“${BIGDATA_HOME}/MRS_Current/*_*_Flume/etc/properties.properties”,并上传到对应的Flume角色实例的flume.config.file配置中并重启该实例。
    2. Flume角色的客户端证书替换。
      1. Flume客户端安装用户登录到需要替换证书的Flume客户端节点,进入到客户端目录中,查看Flume客户端配置文件properties.properties,例如“/opt/FlumeClient/fusioninsight-flume-1.11.0/conf/properties.properties”。
        cd /opt/FlumeClient/fusioninsight-flume-1.*.*/conf
        cat /opt/FlumeClient/fusioninsight-flume-1.*.*/conf/properties.properties | grep hostname

        返回结果的值为Flume服务端的业务节点信息。

      2. omm用户登录到4.b.i获取的节点中,进入“${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin”目录,将clientReplace.sh文件拷贝到客户端节点。
      3. Flume客户端安装用户登录到Flume客户端节点,进入到上步中拷贝的clientReplace.sh文件所在位置,执行如下命令对原客户端证书进行备份。
        ./clientReplace.sh -Flume backup -p 客户端地址 -c 客户端证书所在地址

        clientReplace.sh 参数说明:

        • -Flume : Flume证书替换。
        • -p : Flume客户端安装路径。如“/opt/FlumeClient”。
        • -c(可选) : 客户端证书所在地址。默认为 Flume客户端安装路径/fusioninsight-flume-1.*.*/conf,如“/opt/FlumeClient/fusioninsight-flume-1.6.0/conf”。
        • -w(可选) : 新客户端证书库的密码,为4.a.ii中输入的客户端密码。
      4. omm用户登录到4.b.i获取的节点中,进入“${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/conf”目录,将生成的新客户端证书(flume_cChat.jks)和客户端信任列表(flume_cChatt.jks)拷贝到客户端所在节点原flume客户端证书目录下,默认为:"/opt/flumeclient/fusioninsight-flume-1.6.0/conf","/opt/flumeclient"为flume客户端安装目录。
      5. Flume客户端安装用户登录到Flume客户端节点,进入到clientReplace.sh文件所在位置,执行如下命令进行新客户端证书库密码加密以及客户端目录下properties.properties文件更改。
        ./clientReplace.sh -Flume genandcfg -p 客户端地址 -c 客户端证书所在地址 -w 新客户端证书库密码
      6. 进入客户端配置目录conf,如“/opt/FlumeClient/fusioninsight-flume-1.*.*/conf/”,执行如下命令, 查看当前客户端的Flume作业客户端证书的有效期,确认证书已经替换成功,有效期为100年。

        如果是集群外客户端需要配置环境变量,否则直接查看证书有效期:

        source /Flumeenv安装目录/bigdata_env

        查看证书有效期:

        keytool -v -list -keystore flume_cChat.jks -alias flumechatclient
    3. MonitorServer角色服务端证书替换。
      1. omm用户登录MonitorServer角色实例节点,进入${BIGDATA_HOME}/MRS_Current/*_*_MonitorServer/install/flume/conf”目录。
        cd ${BIGDATA_HOME}/MRS_Current/*_*_MonitorServer/install/flume/conf
      2. 查看是否启用MonitorServer证书。
        cat service/application.properties | grep ssl_server_enable

        返回结果为“ssl_server_enable=true”则继续往下执行,否则跳过MonitorServer服务端证书替换。

      3. 进入bin目录执行脚本MonitorServerReplace.sh,进行MonitorServer角色服务端、客户端证书生成与服务端证书替换。并将“${BIGDATA_HOME}/MRS_Current/*_*_MonitorServer/install/flume/conf/service/application.properties”配置文件中的“keystore-password”和“truststore-password”修改为新的服务端证书库的密码
        cd ../bin
        sed -i 's/-validity 3650/-validity 36500/g' geneJKS.sh
        ./MonitorServerReplace.sh -m 服务端密码 -n 客户端密码
      4. 进入“${BIGDATA_HOME}/MRS_Current/*_*_MonitorServere/install/flume/conf”路径下,执行如下命令, 查看当前MonitorServer作业服务端证书的有效期,证书别名为mschatserver,确认证书已经替换成功,有效期为100年。
        keytool -v -list -keystore ms_sChat.jks -alias mschatserver
    4. MonitorServer角色客户端证书替换。
      1. Flume客户端安装用户登录到需要替换MonitorServer证书的Flume客户端节点,进入到客户端目录中,查看Flume客户端配置文件application.properties,例如“/opt/FlumeClient/fusioninsight-flume-1.6.0/conf/service/application.properties”。
        cd /opt/FlumeClient/fusioninsight-flume-1.6.0/conf
        cat service/application.properties | grep ssl_client_enable

        返回结果为“ssl_client_enable=true”则继续往下执行,否则跳过MonitorServer客户单证书替换。其中“/opt/FlumeClient”替换为实际的客户端路径。

      2. omm用户登录到Flume服务所在节点,进入“${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin”目录,将clientReplace.sh文件拷贝到客户端节点,如果该客户端节点已经有clientReplace.sh文件则无需进行该操作。
      3. Flume客户端安装用户登录到Flume客户端节点,进入到上步中拷贝的clientReplace.sh文件所在位置,执行如下命令对原客户端MonitorServer角色证书进行备份。
        ./clientReplace.sh -Monitor backup -p 客户端地址 -c 客户端证书所在地址
      4. omm用户登录到MonitorServer服务所在节点,进入“${BIGDATA_HOME}/MRS_Current/*_*_MonitorServer/install/flume/conf”目录,将生成的新客户端证书(ms_cChat.jks)和客户端信任列表(ms_cChatt.jks)拷贝到客户端所在节点原flume客户端证书目录下,默认为:“/opt/flumeclient/fusioninsight-flume-1.6.0/conf”,“/opt/flumeclient”为flume客户端安装目录。
      5. Flume客户端安装用户登录到Flume客户端节点,进入到clientReplace.sh文件所在位置,执行如下命令进行新客户端证书库密码加密以及客户端目录下properties.properties文件更改。
        ./clientReplace.sh -Monitor genandcfg -p 客户端地址 -c 客户端证书所在地址 -w 新客户端证书库密码
      6. 进入客户端配置目录conf,如“/opt/FlumeClient/fusioninsight-flume-1.*.*/conf/”,执行如下命令, 查看当前MonitorServer客户端证书的有效期,确认证书已经替换成功,有效期为100年。

        如果是集群外客户端需要配置环境变量,否则直接查看证书有效期:

        source /Flumeenv安装目录/bigdata_env

        查看证书有效期:

        keytool -v -list -keystore ms_cChat.jks -alias mschatclient

    Flink证书替换(集群未安装该组件可跳过此步骤)

    1. 将补丁安装目录中的“/home/omm/MRS_2.1.0_cert_renewal_Patch_20260525/2.1.0_cert_renewal_patch_20260525/client/clientReplace.sh”文件拷贝至Flink客户端所在节点。
    2. 将补丁安装目录中的“/home/omm/MRS_2.1.0_cert_renewal_Patch_20260525/2.1.0_cert_renewal_patch_20260525/files/x86_64/Flink/generate_keystore.sh”文件拷贝至Flink客户端所在节点,如:/opt目录下,进入Flink客户端所在节点执行以下命令。
      cd ${Flink客户端根目录}/Flink/flink/bin/
      \cp -f /opt/generate_keystore.sh  ./
      chown omm:wheel generate_keystore.sh   #若该客户端为omm用户安装,执行该条命令。否则跳过
      chmod 755 generate_keystore.sh
    3. 进入Flink客户端所在节点,在clientReplace.sh文件所在位置,执行如下命令对Flink客户端证书进行替换。
      ./clientReplace.sh -Flink -p 客户端根目录 [-c 客户端证书所在目录地址] [-w 客户端证书密码]

      clientReplace.sh 参数说明。

      -Flink : Flink证书替换。

      -p : Flink客户端安装路径。

      -c(可选) : 当前Flink客户端证书所在路径。默认路径为Flink客户端安装路径“/conf/ssl”。

      -w(可选) : Flink客户端证书库的密码,为当前flink客户端认证密码。若未通过-w配置密码,执行脚本时通过交互式方式输入密码。

    4. clientReplace.sh脚本执行成功后,重新提交Flink客户端作业,使用的证书即为新替换证书。
    5. 查看当前客户端的Flink作业证书的有效期。

      进入Flink客户端的证书目录(以${Flink客户端目录}/conf/ssl目录为例),执行如下命令:

      source /Flink客户端目录/bigdata_env
      cd {Flink客户端目录}/conf/ssl
      keytool -v -list -keystore  flink.keystore
      keytool -v -list -keystore  flink.truststore

      Flink客户端目录替换为实际的客户端目录,如/opt/flinkclient/Flink/flink。

      查看证书有效期是否为100年,如下方示例所示,失效时间即为证书的有效期截止时间。

      Flink作业证书的“生效时间”和“失效时间” 示例:

      [root@192-168-33-108 conf]# keytool -v -list -keystore flink.keystore 
      Enter keystore password:  //查询证书信息,不需要输入密码,直接回车即可 
       
      *****************  WARNING WARNING WARNING  *****************
      * The integrity of the information stored in your keystore  *
      * has NOT been verified!  In order to verify its integrity, *
      * you must provide your keystore password.                  *
      *****************  WARNING WARNING WARNING  *****************
      
      Keystore type: jks
      Keystore provider: SUN
      
      Your keystore contains 2 entries
      
      Alias name: ca
      Creation date: Jun 29, 2026
      Entry type: trustedCertEntry
      
      Owner: CN=Flink_CA
      Issuer: CN=Flink_CA
      Serial number: 62f7fc87
      Valid from: Mon Jun 29 15:05:21 CST 2026  //生效时间 until: Wed Jun 05 15:05:21 CST 2126   //失效时间 
      Certificate fingerprints:
      	 MD5:  81:01:F1:3E:9D:F3:E0:5F:5A:D3:3E:31:0E:FD:39:94
      	 SHA1: AB:1A:EC:74:A1:AA:E2:FD:C3:08:A1:F5:5D:4F:5C:84:6A:25:E0:10
      	 SHA256: 54:1E:C2:70:65:8D:39:D1:3B:17:DE:25:B5:2F:39:15:82:99:F2:65:7C:93:50:48:8D:A0:83:51:74:4F:8B:52
      Signature algorithm name: SHA256withRSA
      Subject Public Key Algorithm: 2048-bit RSA key
      Version: 3

    Kafka证书替换(未单独安装Kafka客户端可跳过此步骤)

    1. Kafka客户端安装用户登录到集群内单独安装Kafka客户端所在节点,备份kafka客户端原jdk证书。例如客户端安装路径为:“/opt/kafkaclient”。
      mv /opt/kafkaclient/JDK/jdk/jre/lib/security/cacerts /opt/kafkaclient/JDK/jdk/jre/lib/security/cacerts.bak

      “/opt/kafkaclient” 需要替换为实际路径。

    2. 拷贝新jdk证书到客户端,新证书为:“/opt/Bigdata/jdk1.8.*/jre/lib/security/cacerts”,如客户端安装路径为:"/opt/kafkaclient"。
      cp /opt/Bigdata/jdk1.8.*/jre/lib/security/cacerts /opt/kafkaclient/JDK/jdk/jre/lib/security

扩容节点安装补丁

更新完集群证书后,对于新扩容的节点,证书有效期为20年,如果需要延长证书有效期,可执行此操作。

  1. 将从OBS路径中下载的补丁(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)工具放至主OMS节点的“/home/omm”目录下(如果已存在,可跳过此步骤)。
  2. 修改相应权限后,切到omm用户下,并解压补丁工具(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)至当前目录(如果之前已执行,可跳过此步骤)。
    chown omm:wheel -R /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
    su - omm
    cd /home/omm
    tar -zxf MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
  3. 进入解压后的目录,在ips.ini中配置需要打补丁的节点IP(当前集群扩容节点IP),每行配置一个IP,中间不能有空行。
    cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525
  4. 执行脚本安装补丁。
    nohup sh install.sh upgrade &

    通过 tail -f nohup.out 查看执行情况(打印“upgrade patch success.”表示执行完成)。

  5. 在Manager页面上针对新扩容节点的DataNode、NodeManager、RegionServer、Worker、Broker、Flume、MirrorMaker、Supervisor、Logviewer实例进行同步配置以及重启操作。
    1. 登录Manager集群页面,进入“主机管理”页,单击新扩容节点名称进入“主机详情”页。
    2. 依次单击上述已安装实例名称,在“实例状态”页签中选择“更多 > 同步配置”。
    3. 等待同步配置完成后,选择“更多 > 重启实例”。

证书回退

如果需要将集群证书恢复为更换前CA证书,可执行证书回退操作。

如果涉及更新完集群证书后,新下载安装客户端,此类客户端在集群CA证书回退后,需要重新下载安装。

  1. OMS HA证书回退。

    使用omm用户登录主OMS节点,执行如下命令回退HA证书

    sh /opt/Bigdata/om-0.0.1/security/cert/conf/rollbackOmsHaCert.sh
  2. 集群CA证书回退。

    使用omm用户登录主OMS节点,执行如下命令回退集群CA证书

    sh /opt/Bigdata/om-0.0.1/security/cert/conf/rollback_ca.sh

    执行完成后,参考步骤 2进行同步配置以及重启受影响的组件

  3. 回退已安装客户端证书。

    如果未执行证书更换中刷新客户端证书相关操作,可跳过此步骤。

    使用客户端安装用户登录已安装客户端主机,执行如下命令回退客户端证书:

    cd /tmp/clientNew/MRS_KrbServer_ClientConfig
    sh refresh_client_cert.sh rollback ${已安装客户端目录}

    例如:

    sh refresh_client_cert.sh rollback /opt/client
  4. 回退Kafka单独安装客户端。

    如果未执行kafka客户端证书替换,可跳过此步骤。

    使用客户端安装用户登录已安装客户端主机,将备份的证书复原,如客户端安装路径为:“/opt/kafkaclient”。

    mv /opt/kafkaclient/JDK/jdk/jre/lib/security/cacerts.bak /opt/kafkaclient/JDK/jdk/jre/lib/security/cacerts

    “/opt/kafkaclient”需要替换为实际路径。

  5. 回退Flume证书。

    如果未执行Flume证书替换,可跳过此步骤。

    1. omm用户登录更换Flume证书的实例节点,进入“${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin”目录。
      sh flumeServerReplace.sh -r

      下载${BIGDATA_HOME}/MRS_Current/*_*_Flume/etc/properties.properties,并上传到对应的Flume实例的flume.config.file配置中并重启该实例。

    2. omm用户登录更换MonitorServer证书的实例节点,进入${BIGDATA_HOME}/MRS_Current/*_*_MonitorServer/install/flume/bin”目录。
      sh MonitorServerReplace.sh -r
    3. flume客户端安装用户登录到替换证书的Flume客户端节点,进入到clientReplace.sh文件所在目录,执行如下命令:
      sh clientReplace.sh -Flume -r -p ${客户端地址}
      sh clientReplace.sh -Monitor -r -p ${客户端地址}
  6. 回退Flink证书。

    如果未执行Flink证书替换,可跳过此步骤。

    1. 进入FlinkResource实例所在节点,下载“/opt/Bigdata/MRS_2.1.0/install/FusionInsight-Flink-1.7.0/flink/sbin/generate_keystore.sh”下载,并上传到替换证书的Flink客户端所在节点,如:“/opt”目录下。进入Flink客户端所在节点执行以下命令:
      cd ${Flink客户端根目录}/Flink/flink/bin/
      \cp -f /opt/generate_keystore.sh  ./
      chown omm:wheel generate_keystore.sh   #如果该客户端为omm用户安装,执行该条命令。否则跳过
      chmod 755 generate_keystore.sh
    2. 以Flink客户端安装用户登录到替换证书的Flink客户端节点,进入到clientReplace.sh文件所在目录,执行如下命令:
      sh clientReplace.sh -Flink -r -p ${客户端地址} [-c 要回退的Flink客户端证书所在目录]

重启相关组件

补丁安装完成后,需要手动重启相关大数据组件服务,使补丁生效。

提供两种重启方式,请根据业务自行选择重启方式:

  • 滚动重启(推荐):影响小,耗时长。
  • 离线重启:会断服,耗时短。
  1. 登录MRS管理控制台或\Manager界面。
  2. 选择如下任一方式重启相关组件。

    • 在MRS控制台,选择“现有集群”,单击集群名称进入集群详情页面。单击“组件管理”,选择需要重启的服务,进入服务页面。在“服务状态”页签选择“重启服务”或单击“更多”,选择“滚动重启服务”。
    • 在Manager界面,选择“服务管理 > 待操作的服务名称”,在“服务状态”页签单击“更多”,选择“重启服务”或“滚动重启服务”。
    表1 重启策略以及影响

    组件名称

    重启策略

    影响范围

    影响时间

    Flink

    直接重启

    仅影响Flink Server任务,Flink Jar、Flink SQL任务不受影响。

    直接重启耗时约5分钟。

    滚动重启

    不支持滚动重启。

    -

    Flume

    直接重启

    停止期间数据流中断,启动后恢复。

    直接重启耗时约5分钟。

    滚动重启

    滚动重启时,重启节点数据流将停止,启动后恢复。

    滚动重启10个节点耗时约30分钟。

    HBase

    直接重启

    重启期间无法进行HBase数据读写。

    直接重启耗时约5分钟。

    滚动重启

    重启时客户端重试连接其他节点,不影响整体服务。

    滚动重启10个节点耗时约30分钟。

    HDFS

    直接重启

    重启期间无法进行HDFS读写,影响上层组件与作业。

    直接重启耗时约10分钟。

    滚动重启

    滚动重启不影响业务。

    滚动重启10节点耗时约40分钟。

    Hive

    直接重启

    重启期间无法运行HiveSQL。

    直接重启耗时约5分钟。

    滚动重启

    HiveServer滚动重启时,如果仍有客户端连接到滚动重启的HiveServer上,客户端正在运行的任务将失败。

    重启Hive服务期间,如果仍有客户端连接HiveServer提交任务,可能导致任务运行失败。

    HiveServer滚动重启时,将等待客户端连接断开,最长等待30分钟。

    Hue

    直接重启

    重启期间Hue页面无法访问。

    直接重启耗时约5分钟。

    滚动重启

    不支持滚动重启。

    -

    Kafka

    直接重启

    直接重启业务会中断

    直接重启耗时约5分钟。

    滚动重启

    需要提前查看Broker各实例数据同步正常,可以参考Kafka的监控指标“未完全同步的Partition总数”进行查看。

    滚动重启10个节点耗时约10分钟。

    LdapServer

    直接重启

    重启期间影响作业提交krb认证,可能导致作业提交失败。

    直接重启耗时约5分钟。

    滚动重启

    滚动重启不影响业务。

    滚动重启耗时约10分钟。

    Loader

    直接重启

    重启期间无法提交作业。

    直接重启耗时约5分钟。

    滚动重启

    不支持滚动重启。

    -

    Mapreduce

    直接重启

    重启期间无法访问作业历史页面查看历史任务信息,不影响作业运行。

    直接重启耗时约5分钟。

    滚动重启

    滚动重启不影响业务。

    滚动重启耗时约10分钟。

    Presto

    直接重启

    重启期间无法提交新SQL,正在运行的SQL会失败。

    直接重启耗时约3~5分钟。

    滚动重启

    不支持滚动重启。

    -

    Spark

    直接重启

    仅影响Spark thrift任务,SparkSQL、Spark Submit任务不受影响。

    直接重启耗时约5分钟。

    滚动重启

    滚动重启过程中,提交的任务会有小概率失败,正在运行的任务不受影响。

    滚动重启2个实例约10分钟。

    Storm

    直接重启

    重启期间Storm不对外提供服务,不能提交Storm任务。

    直接重启耗时约2~3分钟。

    滚动重启

    滚动重启不影响业务。

    滚动重启耗时约4~5分钟。

    Tez

    直接重启

    只影响查看任务页面。

    直接重启耗时约5分钟。

    滚动重启

    不支持滚动重启。

    -

    Yarn

    直接重启

    直接重启期间,不可新提交任务,正在运行Spark、Flink任务有重试机制不受影响。

    直接重启耗时约5分钟。

    滚动重启

    依赖NM的 remote shuffle Spark任务受影响,Flink任务有概率失败,Hive任务有概率失败。

    滚动重启10节点耗时约25分钟。

    ZooKeeper

    直接重启

    直接重启业务会中断。

    直接重启耗时约5分钟。

    滚动重启

    滚动重启前请分析集群。ZooKeeper客户端连接数规格是否满足“maxCnxns”、“maxClientCnxns”参数配置要求,否则适当调整参数值使满足系统要求。可以通过各quorumpeer实例“ZooKeeper服务客户端资源连接状况”监控值分析,当规格不满足要求时,增大如上服务端参数配置值即可。

    滚动重启3个节点耗时约15分钟。

卸载补丁

当集群安装补丁失败或新扩容节点安装补丁失败,可执行此章节进行补丁卸载。

  1. 执行卸载脚本。
    su - omm
    cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525
  2. 在ips.ini中配置需要卸载补丁的节点IP(当前集群所有节点ip)
    nohup sh install.sh rollback &
  3. 通过 tail -f nohup.out 查看执行情况,打印如下内容表示执行完成:
    rollback patch success.

相关文档