操作場景

集群A需要訪問另一個集群B的資源前，需要管理員用戶為這兩個集群設置互信。

如果未配置跨集群互信，每個集群資源僅能被本集群用戶訪問。MRS自動為每個集群定義一個唯一且不重復的“域名”，用于表示用戶的基本使用范圍。

                
說明
                
該章節操作僅適用于MRS 3.x之前版本集群。
MRS3.x及之后版本集群請參考配置跨Manager集群互信章節。
              

對系統的影響

• 配置跨集群互信后，外部集群的用戶可以在本集群中跨域使用，請根據業務與安全要求，定期檢視集群中用戶的權限。
• 安全集群配置跨集群互信，需要重啟KrbServer服務，集群在重啟期間無法使用。
• 配置跨集群互信后，互信的兩個集群均會增加內部用戶“krbtgt/ 本集群域名 @ 外部集群域名 ”、“krbtgt/ 外部集群域名 @ 本集群域名 ”，不支持刪除。密碼默認為“Crossrealm@123”。

操作步驟

在MRS管理控制臺，分別查看兩個集群的所有安全組。

• 當兩個集群的安全組相同，請執行步驟3。
• 當兩個集群的安全組不相同，請執行步驟2。

1. 在VPC管理控制臺，分別為每個安全組添加規則。

規則的“協議”為“ANY”，“方向”為“入方向”。

“源地址”為“安全組”且是對端集群的安全組。

• 為A集群的安全組添加入方向規則，源地址選擇B集群（對端集群）的安全組。
• 為B集群的安全組添加入方向規則，源地址選擇A集群（對端集群）的安全組。

                
說明
                
未開啟Kerberos認證的普通集群執行步驟1~步驟2即可完成跨集群互信配置，開啟Kerberos認證的安全集群請繼續執行后續步驟進行配置。
              

2. 參見訪問MRSManager（MRS2.x及之前版本）分別登錄兩個集群MRS Manager，單擊“服務管理”，查看全部組件的“健康狀態”結果，是否全為“良好”？

• 是，執行步驟4。
• 否，任務結束，聯系支持人員檢查狀態。

3. 查看配置信息。

a.分別在兩個集群MRS Manager，選擇“服務管理 > KrbServer > 實例”，查看兩個KerberosServer部署主機的“管理IP”.。

b.單擊“服務配置”，將“基礎配置”切換為“全部配置”并在左側導航樹上選擇“KerberosServer>端口”，查看“kdc_ports”的值，默認值為“21732”。

c.單擊“域”，查看“default_realm”的值。

4. 在其中一個集群的MRS Manager，修改配置參數“peer_realms”。

詳見下表：相關參數

                
說明
                
l? 如果需要配置與多個集群的互信關系，請單擊添加新項目，并填寫參數值。刪除多余的配置項請單擊。
l? 最多支持與16個集群配置互信，且本集群的不同互信集群之間默認不存在互信關系，需要另外添加。


              

5. 單擊“保存配置”，在彈出窗口中勾選“重新啟動受影響的服務或實例。”，單擊“確定”重啟服務。若未勾選“重新啟動受影響的服務或實例。”，請手動重啟受影響的服務或實例。

界面提示“操作成功”，單擊“完成”，服務成功啟動。

6. 退出MRS Manager，重新登錄正常表示配置已成功。
7. 在另外一個集群的MRS Manager，重復步驟5到步驟7。

后續操作

配置跨集群互信后，因在MRS Manager修改了服務配置參數并重啟了服務，請重新準備好客戶端配置文件并更新客戶端。

場景1：A集群和B集群（對端集群、互信集群）是同類型集群，例如均是分析集群或者流式集群，請參見更新客戶端（3.x之前版本）分別更新客戶端配置文件。

• 更新A集群的客戶端配置文件。
• 更新B集群的客戶端配置文件。

場景2：A集群和B集群（對端集群、互信集群）是不同類型集群，請執行如下步驟分別更新對端集群的配置文件到本端集群和本端集群自身的配置文件。

• 將A集群的客戶端配置文件更新到B集群上。
• 將B集群的客戶端配置文件更新到A集群上。
• 更新A集群的客戶端配置文件。
• 更新B集群的客戶端配置文件。

登錄MRS Manager(A集群)。

1. 單擊“服務管理”，然后單擊“下載客戶端”。
2. “客戶端類型”選擇“僅配置文件”。
3. “下載路徑”選擇“遠端主機”。
4. 將“主機IP”設置為B集群的主Master節點IP地址，設置“主機端口”為“22”，并將“存放路徑”設置為“/tmp”。

• 如果使用SSH登錄B集群的默認端口“22”被修改，請將“主機端口”設置為新端口。
• “存放路徑”最多可以包含256個字符。

5. “登錄用戶”設置為“root”。

如果使用其他用戶，請確保該用戶對保存目錄擁有讀取、寫入和執行權限。

6. 在“登錄方式”選擇“密碼”或“SSH私鑰”。

• 密碼：輸入創建集群時設置的root用戶密碼。
• SSH私鑰：選擇并上傳創建集群時使用的密鑰文件。

7. 單擊“確定”開始生成客戶端文件。

若界面顯示以下提示信息表示客戶端包已經成功保存。單擊“關閉”。

下載客戶端文件到遠端主機成功。`

若界面顯示以下提示信息，請檢查用戶名密碼及遠端主機的安全組配置，確保用戶名密碼正確，及遠端主機的安全組已增加SSH(22)端口的入方向規則。然后從步驟2執行重新開始下載客戶端。

連接到服務器失敗，請檢查網絡連接或參數設置。`

8. 使用VNC方式，登錄彈性云主機（B集群）。參見 彈性云主機用戶指南的“實例 > 登錄Windows彈性云主機 > 遠程登錄（VNC方式）”。

所有鏡像均支持Cloud-init特性。Cloud-init預配置的用戶名“root”，密碼為創建集群時設置的密碼。

9. 執行以下命令切換到客戶端目錄，例如“/opt/Bigdata/client”：

cd /opt/Bigdata/client`

10. 執行以下命令，將A集群的客戶端配置更新到B集群上：

sh refreshConfig.sh 客戶端安裝目錄 客戶端配置文件壓縮包完整路徑

例如，執行命令：

`sh refreshConfig.sh /opt/Bigdata/client /tmp/MRS_Services_Client.tar`

界面顯示以下信息表示配置刷新更新成功：

ReFresh components client config is complete. 
Succeed to refresh components client config.

                
說明
                
步驟1~步驟11的操作也可以參考更新客戶端（3.x之前版本）頁面的方法二操作。
              

11. 參見步驟1~步驟11，將B集群的客戶端配置文件更新到A集群上。
12. 參見更新客戶端（3.x之前版本），分別更新本端集群自身的客戶端配置文件：

• 更新A集群的客戶端配置文件。
• 更新B集群的客戶端配置文件。