Ranger HA 虚拟域名 Principal 缺失修复
需要 ttr-release >= 2.2.3
适用于 Ambari 3.0.0 + FreeIPA + Ranger HA 场景 示例 Realm:TEST.COM
# 一、问题现象:Ranger HA Principal 创建失败
在 Ranger Admin 开启高可用(HA)后,Ambari 在创建 Kerberos Principal 阶段报错:
Failed to create principal, HTTP/ranger-ha.hadoop.com@TEST.COM
ipa: ERROR: The host 'ranger-ha.hadoop.com' does not exist to add a service to.
1
2
2
界面如下:
# 1.1 根因分析
Ranger HA 使用虚拟域名:
ranger-ha.hadoop.com
1
但 FreeIPA 创建 HTTP Service Principal 时必须满足:
- DNS 中存在该 FQDN
- IPA 中存在对应 Host Object
如果未提前创建,Ambari 自动创建 principal 时会失败。
# 二、解决思路:手动补齐三项对象
修复步骤如下:
- 创建 DNS Zone
- 添加 A 记录
- 创建 Host Object
- 创建 HTTP Service Principal
# 三、标准修复命令
# 3.1 获取管理员票据
kinit admin
1
输入密码:
Ttbigdata@2026
1
# 3.2 创建 DNS Zone 与 A 记录
ipa dnszone-add hadoop.com
ipa dnsrecord-add hadoop.com ranger-ha --a-rec=172.16.0.231
1
2
2
说明:
| 项目 | 说明 |
|---|---|
| dnszone-add | 若 zone 不存在需创建 |
| ranger-ha | 虚拟域名 |
| IP | HA 虚拟地址 |
# 3.3 创建 Host 对象(关键步骤)
ipa host-add ranger-ha.hadoop.com
1
# 3.4 创建 HTTP Service Principal
ipa service-add HTTP/ranger-ha.hadoop.com
1
完成后界面如下:
# 四、回到 Ambari 重试
在报错界面:
- 点击 OK
- 尝试 Retry
如果 Retry 仍然失败:
- 点击 Next 回到首页
- 重新执行启用 Kerberos 流程
界面示例:
# 五、FreeIPA 控制台确认
可登录 FreeIPA Web 控制台确认:
- Host 已存在
- HTTP Service 已创建
如下图:
# 六、最好是删了Ranger重装
重新执行 Kerberos 启用流程后:
- HTTP/ranger-ha.hadoop.com@TEST.COM 正常生成
- Keytab 分发成功
- Ranger HA 启动正常
示例界面:
- 03
- Ranger Admin 证书快速导入脚本02-15