一、整体概要
腾讯云 EMR 集群的用户身份信息统一存储在集群内置的 OpenLDAP 中。任何用户密码的修改操作,都会影响所有依赖 LDAP 进行身份认证的组件与服务。因此,在执行任何密码变更操作前,必须充分评估影响范围。
说明:
EMR 控制台密码:LDAP 密码(影响组件认证)
CVM 控制台密码:操作系统密码(影响 SSH 登录)
两者相互独立,不会自动同步。
二、EMR 控制台用户密码修改影响
2.1 修改 Root 用户密码
Root 用户是 EMR 集群的超级管理员账号,密码修改后会影响以下组件和服务:
影响项 | 说明 |
Ranger WebUI 登录 | Root 用户密码存储在 MySQL 数据库的 x_portal_user 表中。通过 EMR 控制台修改密码后不会自动同步至 Ranger 数据库,需手动更新。否则 Root 登录 Ranger WebUI 会认证失败。 |
Ranger 用户管理 | Root 用户登录 Ranger WebUI 将失败,多次失败可能触发账号锁定(报错:The account is locked)。 |
Ranger EmbeddedServer | 密码修改后需重启 Ranger EmbeddedServer 服务方可生效。 |
1. Root 用户密码修改为白名单能力,控制台默认不可见,需 提交工单 申请开放。
2. 修改 Root 用户密码不会影响已创建的 MySQL 元数据库密码。元数据库密码仅在集群创建时与 Root 密码保持一致,创建后两者独立。
3. EMR 控制台修改 Root 密码不会改变 CVM 机器上的 Root 操作系统密码,SSH 登录不受影响。
注意:
Root 密码修改属于高风险操作,可能造成 Ranger 认证不可用,建议在业务低峰期操作。
2.2 修改 Hadoop 用户密码
Hadoop 是 EMR 集群的核心系统用户,HDFS、YARN 等服务以该用户身份运行。Hadoop 为系统级用户,EMR 控制台不支持直接修改,如需进行密码相关操作,请联系腾讯云技术支持评估可行性。如无必要,不建议在生产环境中频繁修改 Hadoop 用户密码。
2.3 修改 LDAP 管理员密码(OpenLDAP Admin)
LDAP 管理员是集群 OpenLDAP 的管理账号,其密码修改影响所有通过 LDAP 认证的组件。
影响项 | 说明 |
Ranger 用户同步中断 | Ranger 通过 ranger.usersync.ldap.ldapbindpassword 配置连接 LDAP。密码修改后若不同步该配置,Ranger Usersync 服务将立即中断,导致 LDAP 用户无法同步至 Ranger。 |
所有 LDAP 认证组件 | 依赖 LDAP 认证的所有组件(包括但不限于 HUE、Kyuubi、Ranger、Knox 等)认证将失败,用户无法正常登录。 |
EnableUnixAuth 服务 | 密码修改后需重启 EnableUnixAuth 服务方可使新配置生效。 |
注意:
三、StarRocks 集群类型补充影响说明
StarRocks 集群的架构与 Hadoop 集群不同,其用户管理体系相对独立,但仍有部分组件与 EMR 基础设施有关联:
密码类型 | 影响范围 | 说明 |
SR 集群 Root 用户密码 | SR FE(Frontend)节点的系统 Root 密码 | 影响 FE 节点的 SSH 登录和系统运维。不影响 SR 自身的用户认证体系(SR 使用内置用户管理或 LDAP 外部认证)。 |
SR 集群 Hadoop 用户密码 | SR FE/BE(Backend)节点的 Hadoop 系统用户 | SR 默认不以 Hadoop 用户运行服务进程,通常使用 StarRocks 专用用户。但若 SR 需要读写 HDFS 外部表,则依赖 Hadoop 用户的 HDFS 权限。 |
SR 集群 LDAP 管理员密码 | SR 配置了 LDAP 外部认证时 | LDAP 管理员密码修改后,需同步更新 SR FE 配置中的 LDAP 绑定密码,否则域用户无法通过 LDAP 认证登录 SR。 |
四、CDB 密码重置对 EMR 的影响
EMR 控制台提供重置 CDB 密码能力,建议在 EMR 控制台进行密码重置,若在 CDB 控制台修改密码将不会自动同步至 EMR 集群内各组件的 JDBC 连接配置;届时将存在如下等风险:
依赖组件 | 影响说明 | 影响严重程度 |
Hive MetaStore | Hive 通过 hive-site.xml 中的 javax.jdo.option.ConnectionPassword 连接 MySQL 元数据库。密码修改后若不同步该配置,MetaStore 将无法启动,所有 Hive 查询失败。 | 严重 |
Ranger | Ranger 通过 ranger.jpa.jdbc.password 配置连接 MySQL。密码不同步将导致 Ranger Admin 无法启动,所有权限策略失效。 | 严重 |
Hue | Hue 使用 MySQL 存储用户查询历史、Notebook 等数据。密码不同步会导致 Hue 启动失败。 | 中等 |
Azkaban / Oozie | 若使用 MySQL 作为工作流调度器的元数据库,密码变更将导致调度器无法启动。 | 中等 |
Kyuubi 等 | Kyuubi 若将 MySQL 作为 Metastore,密码变更将导致服务异常。 | 中等 |
警告:
MySQL 密码修改是 EMR 集群中影响范围最广的高危操作之一。修改不当可能导致 Hive、Ranger 等多个核心组件同时不可用,造成集群级故障。强烈建议在 EMR 控制台修改。
五、实践教程
1. 变更审批:所有生产环境的密码修改操作前,应完成变更审批流程并通知相关干系人。
2. 操作前备份:修改 MySQL 密码前全量备份数据库,修改 CVM 密码前创建快照或镜像。
3. 制定回滚方案:每次变更前准备完整的回滚步骤,记录所有原始配置值。
4. 灰度验证:多节点集群建议先在一个非关键节点上验证操作结果,确认无误后再批量执行。
5. 变更后验证清单:制定并执行标准的验证流程,包括 SSH 登录、组件 WebUI 访问、作业提交和执行等。
6. 技术支持:对于 Root 用户和 LDAP 管理员密码修改等高风险操作,强烈建议 提交工单 请腾讯云技术支持协助评估和现场操作。
7. 定期审计:建议使用堡垒机或密码管理系统统一管理集群密码,定期审计密码使用情况和变更记录。