云服务器内容精选

  • 操作场景 MRS CA证书用于组件客户端与服务端在通信过程中加密数据,实现安全通信。该任务指导集群用户通过 FusionInsight Manager完成CA证书替换工作,以确保产品安全使用。适用于以下场景: 首次安装好集群以后,需要更换企业证书。 企业证书有效时间已过期或安全性加强,需要更换为新的证书。 更换CA证书以后,MRS中HDFS、Yarn、MapReduce、HBase、Loader、Hue、Flink(MRS 3.2.0及以后版本)、Oozie、Hive、Tomcat、CAS、httpd和LDAP使用的证书将自动更新。 证书文件和密钥文件可向企业证书中心申请或由集群用户生成。 当前FusionInsight仅支持x.509格式证书导入,且必须是具有签发能力的CA证书。 当前FusionInsight要求OS的编码格式必须为“en_US.UTF-8”或“POSIX”,否则会造成证书功能异常。 若当前集群中有隔离的故障节点,则更换CA证书会跳过该节点。后续隔离节点取消隔离后,需要重装主机,以保证隔离节点和集群使用相同的CA证书。 该章节仅适用于MRS 3.x及之后版本。
  • 更换HA证书(MRS 2.x及之前版本) 登录主管理节点。 执行以下命令切换用户: sudo su - root su - omm 执行以下命令在主管理节点“${ OMS _RUN_PATH}/workspace0/ha/local/cert”目录生成“root-ca.crt”和“root-ca.pem”: sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=country --state=state --city=city --company=company --organize=organize --common-name=commonname --email=管理员邮箱 --password=password 命令中如果携带认证密码信息可能存在安全风险,在执行命令前建议关闭系统的history命令记录功能,避免信息泄露。 例如,执行以下命令:sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state=gd --city=sz --company=hw --organize=IT --common-name=HADOOP.COM --email=abc@example.com --password=xxx 提示以下信息表示命令执行成功: Generate root-ca pair success. 在主管理节点以“omm”用户执行以下命令,复制“root-ca.crt”和“root-ca.pem”到“${BIGDATA_HOME}/om-0.0.1/security/certHA”目录。 cp -arp ${OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* ${BIGDATA_HOME}/om-0.0.1/security/certHA 使用“omm”用户将主管理节点生成的“root-ca.crt”和“root-ca.pem”复制到备管理节点“${BIGDATA_HOME}/om-0.0.1/security/certHA”目录。 执行以下命令,生成HA用户证书并自动替换。 sh ${BIGDATA_HOME}/om-0.0.1/sbin/replacehaSSLCert.sh 根据提示信息输入password,并按回车键确认。 Please input ha ssl cert password: 界面提示以下信息表示HA用户证书替换成功: [INFO] Succeed to replace ha ssl cert. 执行以下命令,重启OMS。 sh ${BIGDATA_HOME}/om-0.0.1/sbin/restart-oms.sh 界面提示以下信息: start HA successfully. 登录备管理节点并切换到omm用户,重复6~7。 执行sh ${BIGDATA_HOME}/om-0.0.1/sbin/status-oms.sh,查看管理节点的“HAAllResOK”是否为“Normal”,并可以重新访问MRS Manager表示操作成功。
  • 更换HA证书(MRS 3.x及之后版本) 以omm用户登录主管理节点。 选择证书和密钥文件的生成方式: 若由证书中心生成,请在主备管理节点“${OMS_RUN_PATH}/workspace0/ha/local/cert”目录保存申请的证书文件与密钥文件。 若获取的证书文件格式不是“.crt”,密钥文件格式不是“.pem”,执行以下命令修改: mv 证书名称.证书格式 root-ca.crt mv 密钥名称.密钥格式 root-ca.pem 例如,将证书文件命名为“root-ca.crt”,密钥文件命名为“root-ca.pem”: mv server.cer root-ca.crt mv server_key.key root-ca.pem 若由集群用户生成,执行以下命令在主管理节点“${OMS_RUN_PATH}/workspace0/ha/local/cert”目录生成“root-ca.crt”和“root-ca.pem”: sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state=state --city=city --company=company --organize=organize --common-name=commonname --email=集群用户邮箱 生成的证书文件有效期为10年,在系统证书文件即将过期时,系统将产生告警“ALM-12055 证书文件即将过期”。 例如,执行以下命令: sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state=guangdong --city=shenzhen --company=huawei --organize=IT --common-name=HADOOP.COM --email=abc@example.com 根据提示信息输入password,并按回车键确认。 Enter pass phrase for /opt/huawei/Bigdata/om-server/OMS/workspace/ha/local/cert/root-ca.pem: 提示以下信息表示命令执行成功: Generate root-ca pair success. 在主管理节点以omm用户执行以下命令,复制“root-ca.crt”和“root-ca.pem”到“${BIGDATA_HOME}/om-server/om/security/certHA”目录。 cp -arp ${OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* ${BIGDATA_HOME}/om-server/om/security/certHA 使用omm用户将主管理节点生成的“root-ca.crt”和“root-ca.pem”复制到备管理节点“${BIGDATA_HOME}/om-server/om/security/certHA”目录。 scp ${OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* omm@备管理节点IP:${BIGDATA_HOME}/om-server/om/security/certHA 执行以下命令,生成HA用户证书并自动替换。 sh ${BIGDATA_HOME}/om-server/om/sbin/replacehaSSLCert.sh 根据提示信息输入password,并按回车键确认。 Please input ha ssl cert password: 界面提示以下信息表示HA用户证书替换成功: [INFO] Succeed to replace ha ssl cert. 如果用户需要更新HA密码加密套件,可以带-u参数。 执行以下命令,重启OMS。 sh ${BIGDATA_HOME}/om-server/om/sbin/restart-oms.sh 界面提示以下信息: start HA successfully. 以omm用户通过备管理节点IP登录备管理节点,重复5~6。 执行sh ${BIGDATA_HOME}/om-server/om/sbin/status-oms.sh,查看管理节点的“HAAllResOK”是否为“Normal”,并可以重新登录FusionInsight Manager表示操作成功。