操作場景

當不同的兩個Manager系統下安全模式的集群需要互相訪問對方的資源時，管理員可以設置互信的系統，使外部系統的用戶可以在本系統中使用。

每個系統用戶安全使用的范圍定義為“域”，不同的Manager系統需要定義唯一的域名。跨Manager訪問實際上就是用戶跨域使用。

                
說明
                
最多支持配置500個互信集群。
              

對系統的影響

• 配置跨集群互信后，外部系統的用戶可以在本系統中使用，請管理員根據企業業務與安全要求，定期檢視Manager系統中用戶的權限。
• 配置跨集群互信時需要停止所有集群，會造成業務中斷。
• 配置跨集群互信后，互信的集群中均會增加Kerberos內部用戶“krbtgt/ 本集群域名 @ 外部集群域名 ”、“krbtgt/ 外部集群域名 @ 本集群域名 ”，用戶不能刪除。請管理員根據企業安全要求，及時且定期修改密碼，需同時修改互信系統中4個用戶且密碼保持一致。具體請參見修改組件運行用戶密碼。修改密碼期間可能影響跨系統業務應用的連接。
• 配置跨集群互信后，各個集群都需要重新下載并安裝客戶端
• 配置跨集群互信后，驗證配置后是否可以正常工作，且如何使用本系統用戶訪問對端系統資源，請參見配置跨集群互信后的用戶權限。

前提條件

• 管理員已明確業務需求，并規劃好不同系統的域名。域名只能包含大寫字母、數字、圓點（.）及下劃線（_），且只能以字母或數字開頭。
• 配置跨集群互信前，兩個Manager系統的域名必須不同。MRS創建ECS/BMS集群時會隨機生成唯一系統域名，通常無需修改。
• 配置跨集群互信前，兩個集群中不能存在有相同的主機名，也不能存在相同的IP地址。
• 配置互信的兩個集群系統時間必須一致，且系統上的NTP服務必須使用同一個時間源。
• 配置互信的兩個集群系統內所有集群全部組件的運行狀態均為“良好”。
• Manager內所有集群的ZooKeeper服務的“acl.compare.shortName”參數需確保為默認值“true”。否則請修改該參數為“true”后重啟ZooKeeper服務。

操作步驟

1.登錄其中一個FusionInsight Manager。

2.在主頁中停止所有集群。

單擊主頁上待操作集群名稱后的，單擊“停止”，輸入管理員密碼后在彈出的“停止集群”窗口中單擊“確定”，等待集群停止成功。

3.選擇“系統 > 權限 > 域和互信”。

4.修改配置參數“互信對端域”。

表 相關參數

                
說明
                
如果需要配置與多個Manager系統的互信關系，請單擊添加新項目，并填寫參數值。最多支持16個系統。刪除多余的配置請單擊。
              

5.單擊“確定”。

6.以omm用戶登錄主管理節點，執行以下命令更新域配置。

sh ${BIGDATA_HOME}/om-server/om/sbin/restart-RealmConfig.sh

提示以下信息表示命令執行成功。

Modify realm successfully. Use the new password to log into FusionInsight again.

重啟后部分主機與服務可能無法訪問并觸發告警，執行“restart-RealmConfig.sh”后大約需要1分鐘自動恢復。

7.登錄FusionInsight Manager，啟動所有集群。

單擊主頁上待操作集群名稱后的，單擊“啟動”，在“啟動集群”窗口單擊“確定”，等待集群啟動成功。

8.登錄另外一個系統的FusionInsight Manager，重復以上操作。