简介：
    修复问题：
    1：证书有效期延长


OMS节点一般为master1和master2节点，主OMS节点判断方法,执行以下命令，返回结果为active的节点为主OMS节点, 返回结果为standby的节点为备OMS节点
    su - omm -c "sh ${BIGDATA_HOME}/OMSV100R001C00x8664/workspace/ha/module/hacom/script/get_harole.sh"

补丁影响：
    1、补丁操作过程中，需要滚动重启集群，重启集群期间可能会导致作业失败，请重启完成后重跑失败的作业。

    
补丁安装方法:
  一、现有集群节点安装补丁
  二、扩容节点安装补丁
-------------------------------------------------------------------------------------------------------------------------------------------------------------
  一、现有集群节点安装补丁
    1.将从OBS路径中下载的补丁(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)工具放至主OMS节点的"/home/omm"目录下。
    2.修改相应权限后，切到omm用户下，并解压补丁工具(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)至当前目录(/home/omm)。
        chown omm:wheel -R /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
        su - omm
        cd /home/omm
        tar -zxf MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
    3.在ips.ini中配置需要打补丁的节点IP(当前集群所有节点ip)
        cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525
        每行配置一个IP，中间不能有空行；
    4.执行脚本安装补丁。
        cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525
        chmod 755 ./* -R
        find ./ -type f | xargs dos2unix
        nohup sh install.sh upgrade &
        通过 tail -f nohup.out 查看执行情况（打印 "upgrade patch success." 表示执行完成）
    5.更新集群证书（使集群证书和OMS HA证书有效期延长）
      使用omm用户登录主节点，执行 sh /opt/Bigdata/om-0.0.1/security/cert/conf/replace_cert.sh --username="Manager页面登录用户名" --userpwd="Manager页面登录用户密码" --certpwd="新的证书密码"
      说明：
        a)此操作会更新OMS HA证书和集群证书，使有效期延长。
        b)Manager页面登录用户需要有集群的操作权限，例如admin用户。
        c)新的证书密码要求：密码字符长度最小为8位；至少需要包含大写字母、小写字母、数字、特殊字符~`!?,.:;-_'(){}[]/<>@#$%^&*+|\=中的3种类型字符。
        d)日志打印"OMS HA certificate replacement completed!"表示更换OMS HA证书成功；日志打印"replace ca successful."表示"更换集群CA证书"脚本执行完成。
        e)"更换集群CA证书"脚本执行完成后，需登录Manager集群页面，进入"服务管理 > 更多"页，点击"同步配置"选项刷新组件证书；等待"同步配置"执行完成后，点击"滚动重启集群"按钮，等待集群重启完成。
        f)重启集群过程中，可能短暂上报服务不可用误告警且自动清除，可忽略。
    6.组件更新证书(组件评估扩容节点是否需要再次操作证书更新)
      6.1 Flume证书替换
        6.1.1 Flume服务端证书替换
          1)以omm用户登录Flume实例节点，进入${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin目录。
          2)执行脚本flumeServerReplace.sh进行服务端、客户端证书生成，证书和服务端properties.properties文件的备份。并将${BIGDATA_HOME}/MRS_Current/*_*_Flume/etc/properties.properties配置文件中的”keystore-password”和”truststore-password”修改为新的服务端证书库的密码。
             sh flumeServerReplace.sh -f 服务端密码 -g 客户端密码
          3)将${BIGDATA_HOME}/MRS_Current/*_*_Flume/etc/properties.properties下载下来，替换到对应的Flume实例的flume.config.file配置中。
        6.1.2 Flume客户端证书替换
          1)以Flume客户端安装用户登录到需要替换证书的Flume客户端节点，查看Flume客户端配置文件properties.properties，获取Flume服务端的业务节点信息。
             cat /opt/FlumeClient/fusioninsight-flume-1.*.*/conf/properties.properties | grep hostname
          2)以omm用户登录Flume服务端节点，进入${BIGDATA_HOME}/MRS_Current/*_*_Flume/install/flume/bin目录，将clientReplace.sh文件拷贝到客户端节点。
          3)以Flume客户端安装用户登录到客户端节点，执行如下命令对原客户端证书进行备份。
             sh clientReplace.sh -Flume backup -p 客户端地址 [-c 客户端证书所在地址]
             参数说明：
               -Flume : Flume证书替换
               -p : Flume客户端安装路径，如/opt/FlumeClient
               -c（可选） : 客户端证书所在地址，默认路径为 Flume客户端安装路径/fusioninsight-flume-1.*.*/conf
          4)以omm用户登录Flume服务端节点，将生成的新客户端证书（flume_cChat.jks）和客户端信任列表（flume_cChatt.jks）拷贝到客户端目录下。
          5)以Flume客户端安装用户登录到客户端节点，执行如下命令进行新客户端证书库密码加密以及properties.properties文件更改。
             sh clientReplace.sh -Flume genandcfg -p 客户端地址 -w 新客户端证书库密码
             -w（可选） : 新客户端证书库的密码，为6.1.1.2中输入的客户端密码。如不选此参数，执行脚本时通过交互式输入。
      6.2 Flink证书替换
        a、将{补丁安装目录}\client\clientReplace.sh文件拷贝至Flink客户端所在节点。
        b、进入Flink客户端所在节点，在clientReplace.sh文件所在位置，执行如下命令对Flink客户端证书进行替换。
            sh clientReplace.sh -Flink -p 客户端地址 [-c 客户端证书所在地址] [-w 客户端证书密码]
            说明：clientReplace.sh 参数说明
                -Flink : Flink证书替换
                -p : Flink客户端安装路径
                -c（可选） : 当前Flink客户端证书所在路径。默认路径为Flink客户端安装路径/conf/ssl
                -w（可选） : Flink客户端证书库的密码，为当前flink客户端认证密码。若未通过-w配置密码，执行脚本时通过交互式方式输入密码
        c、clientReplace.sh脚本执行成功后，重新提交Flink客户端作业，使用的证书即为新替换证书。
      6.3 Kafka客户端使用SASL_SSL/SSL安全协议时，会校验服务端证书，若想要使用旧Kafka客户端需将新证书替换到客户端目录下，如客户端为：/opt/kafkaclient。
          以kafka客户端安装用户登录客户端节点，执行如下命令：
          cp /opt/Bigdata/jdk1.8.*/jre/lib/security/cacerts /opt/kafkaclient/JDK/jdk/jre/lib/security
          说明：/opt/kafkaclient换为真实客户端地址
  二、扩容节点安装补丁
    1.将从OBS路径中下载的补丁(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)工具放至主OMS节点的"/home/omm"目录下(如果已存在，可跳过此步骤)。
    2.修改相应权限后，切到omm用户下，并解压补丁工具(MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz)至当前目录(如果之前已执行，可跳过此步骤)。
        chown omm:wheel -R /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
        su - omm
        cd /home/omm
        tar -zxf MRS_2.1.0_cert_renewal_Patch_20260525.tar.gz
    3.执行 cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525
        在ips.ini中配置需要打补丁的节点IP(当前集群扩容节点ip)
        每行配置一个IP，中间不能有空行；
    4.执行脚本安装补丁。
        nohup sh install.sh upgrade &
        通过 tail -f nohup.out 查看执行情况（打印 "upgrade patch success." 表示执行完成）
    5.在manager页面上分别重启新扩容节点上的实例
--------------------------------------------------------------------------------------------------------------------------------------------------------------
补丁卸载方法：
    1.执行卸载脚本
        su - omm
        cd /home/omm/MRS_2.1.0_cert_renewal_Patch_20260525
        在ips.ini中配置需要卸载补丁的节点IP(当前集群所有节点ip)
        nohup sh install.sh rollback &
        通过 tail -f nohup.out 查看执行情况（打印 "rollback patch success." 表示执行完成）