ELK01 Elasticsearch部署和管理,集群工作机制 ubuntu使用

企业级日志分析系统 ELK

1.1.1 什么是 ELK

1.Elasticsearch 是一个实时的全文搜索,存储库和分析引擎。
2.Logstash 是数据处理的管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如Elasticsearch 等存储库中。
(java开发,有数据处理能力,比较重)
3.Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。 4.filebeat 数据收集,轻量级,可以代替logstash做收集,logstash只做数据处理 (go开发) #注意:elk 4个软件使用时,版本必须保持一致 官网: https://www.elastic.co/

ELK stack的主要优点:

1.功能强大:Elasticsearch 是实时全文索引,具有强大的搜索功能
2.配置相对简单:Elasticsearch 全部其于 JSON,Logstash使用模块化配置,Kibana的配置都比较简单。
3.检索性能高效:基于优秀的设计,每次查询可以实时响应,即使百亿级数据的查询也能达到秒级响应。
4.集群线性扩展:Elasticsearch 和 Logstash都可以灵活线性扩展
5.前端操作方便:Kibana提供了比较美观UI前端,操作也比较简单

1.2 ELK 应用场景

运维主要应用场景:
1.将分布在不同主机/容器的日志统一收集,并进行转换,通过集中的Web UI 进行查询和管理
2.通过查看汇总的日志,找到故障的根本原因
3.Web 展示和报表功能
4.实现安全和事件等管理
大数据运维主要应用场景:
1.查询聚合, 大屏分析 2.预测告警, 网络指标,业务指标安全指标 3.日志查询,问题排查,基于API可以实现故障恢复和自愈 4.用户行为,性能,业务分析

2 Elasticsearch 部署和管理

Elasticsearch 基于 Java 语言实现

部署方式
1.包安装 (简单,内嵌java(只能es用,其他软件不能用))
2.二进制安装    (要自己配配置文件,service服务,麻烦些)
3.Docker 部署
4.Kubernetes 部署
5.Ansible 批量部署

#ES支持操作系统版本和 Java 版本官方说明
https://www.elastic.co/cn/support/matrix

2.2 Elasticsearch 安装前准备

2.2.1 安装前环境初始化

CPU 2C
内存4G或更多

2.2.1.2 关闭防火墙和SELinux

关闭防所有服务器的防火墙和 SELinux

#RHEL系列的系统执行下以下配置
[root@es-node1 ~]# systemctl disable firewalld
[root@es-node1 ~]# systemctl disable NetworkManager
[root@es-node1 ~]# sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config
[root@es-node1 ~]# reboot 

2.2.2 安装 Java 环境 (可选)

Elasticsearch 是基于java的应用,所以依赖JDK环境
#注意: 安装7.X以后版本官方建议要安装集成JDK的包,所以无需再专门安装 JDK

关于JDK环境说明
#1.x 2.x 5.x 6.x都没有集成JDK的安装包,也就是需要自己安装java环境
#7.x 版本的安装包分为带JDK和不带JDK两种包,带JDK的包在安装时不需要再安装java,如果不带JDK的包仍然需要自己去安装java
#8.X 版本内置JDK,不再支持自行安装的JDK

#如果安装no-jdk的包,才需要安装java环境

2.3.1 包安装 Elasticsearch

2.3.1.1 安装 Elasticsearch 包

#下载链接
https://www.elastic.co/cn/downloads/elasticsearch
#这里选择package managers包管理器下载更简单
https://mirrors.tuna.tsinghua.edu.cn/elasticstack/

#范例:安装 elasticsearch-8
#注意:是elasticsearch目录,不是enterprise-search目录
[root@ubuntu ~]#wget https://mirrors.tuna.tsinghua.edu.cn/elasticstack/8.x/apt/pool/main/e/elasticsearch/elasticsearch-8.6.1-amd64.deb
[root@ubuntu ~]#dpkg -i elasticsearch-8.12.2-amd64.deb

#启动
[root@ubuntu ~]#systemctl enable --now elasticsearch.service
[root@ubuntu ~]#ss -lntp    #9200用户访问端口, 9300集群使用
State  Recv-Q Send-Q        Local Address:Port   Peer Address:Port Process                           
LISTEN 0      4096     [::ffff:127.0.0.1]:9300              *:*     users:(("java",pid=1852,fd=441)) 
LISTEN 0      4096                      *:9200              *:*     users:(("java",pid=1852,fd=446)) 
LISTEN 0      4096                  [::1]:9300           [::]:*     users:(("java",pid=1852,fd=440)) 

#可以修改Elasticsearch堆内存分配(改为512m,因为这里是自己测试,改小没事)
[root@ubuntu ~]#vim /etc/elasticsearch/jvm.options
## -Xms4g
## -Xmx4g
-Xms512m
-Xmx512m

#关闭连接的安全加密xpack (8版本开始才有的功能,之前版本没有)
[root@ubuntu ~]#vim /etc/elasticsearch/elasticsearch.yml
xpack.security.enabled: false
[root@ubuntu ~]#systemctl restart elasticsearch.service

#连接测试
[root@ubuntu ~]#curl 127.0.0.1:9200

2.3.1.2.3 集群配置

范例:8.X 集群配置

#默认配置文件需要以下六行
[root@ubuntu2204 ~]#vim /etc/elasticsearch/elasticsearch.yml
cluster.name: my-application #指定集群名称,同一个集群内的所有节点相同
node.name: node-1 #修改此行,每个节点不同
network.host: 0.0.0.0       #集群模式必须修改此行,默认是127.0.0.1:9300,否则集群节点无法通过9300端口通信每个节点相同

#发现集群的node节点列表,可以添加部分或全部节点IP
#在新增节点到已有集群时,此处需指定至少一个已经在集群中的节点地址,给予可用性,一般添加所有节点地址
discovery.seed_hosts: ["10.0.0.101","10.0.0.102","10.0.0.103"]
#集群初始化时指定希望哪些节点可以被选举为 master,只在初始化时使用,新加节点到已有集群时此项可不配置
cluster.initial_master_nodes: ["10.0.0.101","10.0.0.102","10.0.0.103"]
xpack.security.enabled: false
#一个集群中的 N 个节点启动后,才允许进行数据恢复处理,默认是1,一般设为为所有节点的一半以上,防止出现脑裂现象
#当集群无法启动时,可以将之修改为1,或者将下面行注释掉,实现快速恢复启动
gateway.recover_after_nodes: 2

安装集群

#准备3台机器,安装elasticsearch,执行以下操作
[root@ubuntu ~]#dpkg -i elasticsearch-8.12.2-amd64.deb
#调堆内存大小,防止自己电脑扛不住
[root@ubuntu ~]#vim /etc/elasticsearch/jvm.options
-Xms256m
-Xmx256m

#在一个节点上更改
[root@ubuntu ~]#vim /etc/elasticsearch/elasticsearch.yml
cluster.name: my-application
#注意这个配置每台机器都不能一样
node.name: node-1
network.host: 0.0.0.0
discovery.seed_hosts: ["10.0.0.151","10.0.0.152","10.0.0.153"]
#这里有个坑,下面有一行内容一模一样,而且没有注释,要保证是有一行
cluster.initial_master_nodes: ["10.0.0.151","10.0.0.152","10.0.0.153"]
#8版本开始需要改该配置
xpack.security.enabled: false

[root@ubuntu ~]#rsync /etc/elasticsearch/elasticsearch.yml 10.0.0.152:/etc/elasticsearch/elasticsearch.yml
[root@ubuntu ~]#rsync /etc/elasticsearch/elasticsearch.yml 10.0.0.153:/etc/elasticsearch/elasticsearch.yml

#两外两个节点把 /etc/elasticsearch/elasticsearch.yml 下的 node.name 名称改下

#3台机器开机启动
[root@ubuntu ~]#systemctl enable --now elasticsearch.service

#在3个节点任意一个执行,查看集群情况
[root@ubuntu ~]#curl http://127.0.0.1:9200/_cluster/health?pretty=true
#查看各自情况
[root@ubuntu ~]#curl http://127.0.0.1:9200/
#查看有哪些节点
[root@ubuntu ~]#curl 'http://10.0.0.151:9200/_cat/nodes?v'
ip         heap.percent ram.percent cpu load_1m load_5m load_15m node.role   master name
10.0.0.152           82          70   0    0.24    0.14     0.08 cdfhilmrstw -      node-2
10.0.0.153           33          75   1    0.07    0.08     0.04 cdfhilmrstw -      node-3
10.0.0.151           58          71   0    0.08    0.08     0.02 cdfhilmrstw *      node-1

2.3.1.3 优化 ELK 资源配置

2.3.1.3.1 开启 bootstrap.memory_lock 优化

[root@ubuntu ~]#vim /etc/elasticsearch/elasticsearch.yml
# Lock the memory on startup:
#启动es时锁住内存,提高性能(内存大可以起来,内存小可能起不来,可追加配置做优化)
bootstrap.memory_lock: true

#注意:开启 bootstrap.memory_lock: true 需要足够的内存,建议4G以上,否则内存不足,启动会很失败或很慢
#官方说明,如果内存小,但又想启动内存锁,提升性能,可以如下配置
#8.X致集群模式需要修改如下配置
#方法1:直接修改elasticsearch.service 
[root@node1 ~]#vim /lib/systemd/system/elasticsearch.service 
[Service]
#加下面一行
LimitMEMLOCK=infinity
[root@ubuntu ~]#systemctl daemon-reload

#重启即可启动
[root@ubuntu ~]#systemctl restart elasticsearch.service

2.3.1.3.2 内存优化

#所有java程序分配堆内存不要超过32G,最好不要超30G, es是java开发的,所以也有这个要求
#推荐使用宿主机物理内存的一半,ES的heap内存最大不超过30G,26G是比较安全的

2.4 Elasticsearch 访问

#访问 ES 
#查看支持的指令
curl http://127.0.0.1:9200/_cat
#查看es集群状态
curl http://127.0.0.1:9200/_cat/health
curl 'http://127.0.0.1:9200/_cat/health?v'

#列出所有的索引 以及每个索引的相关信息
curl 'http://127.0.0.1:9200/_cat/indices?v'

2.4.1.2 创建和查看索引

#创建索引index1,简单输出    (索引相当于数据库)
[root@node1 ~]#curl -XPUT '127.0.0.1:9200/index1'    #默认一个主,一个副本(如果单机版不会创副本)
{"acknowledged":true,"shards_acknowledged":true,"index":"index1"}

#创建3个分片和2个副本的索引    (每个分片1主2副本,如果单机版不会创副本)
[root@node1 ~]#curl -XPUT '127.0.0.1:9200/index2' -H 'Content-Type: 
application/json' -d '
{
  "settings": {
    "index": {
      "number_of_shards": 3,  
      "number_of_replicas": 2
   }
 }
}'
{"acknowledged":true,"shards_acknowledged":true,"index":"index2"}

#如果查出es状态为yellow表示副本不全,数据没丢。如果为红,主分片丢了,数据丢了

2.5 Elasticsearch 插件

2.5.1 Head 插件

git地址:https://github.com/mobz/elasticsearch-head

用浏览器插件最方便, 加载已解压的扩展程序选0.1.5_0文件夹添加
#查看粗的数字和框代表主,细的代表副本

2.5.2 Cerebro 插件

git地址:https://github.com/lmenezes/cerebro

#需要在一台机器上部署,然后才能使用
注意:安装cerebro内存建议大于3G以上(基于java,内存消耗稍微大一些)

#依赖JDK
[root@ubuntu2004 ~]#apt -y install openjdk-11-jdk
#Java8实际也支持
[root@ubuntu2004 ~]#apt -y install openjdk-8-jdk

#下载包,官方提供了DEB和RPM包
[root@ubuntu2004 ~]#wget https://github.com/lmenezes/cerebro/releases/download/v0.9.4/cerebro_0.9.4_all.deb
#安装
[root@ubuntu2004 ~]#dpkg -i cerebro_0.9.4_all.deb
#修改配置文件
[root@ubuntu2004 ~]#vim /etc/cerebro/application.conf
data.path: "/var/lib/cerebro/cerebro.db" #取消此行注释
#data.path = "./cerebro.db" #注释此行,默认路径是/usr/share/cerebro/cerebro.db

#此目录自动生成
[root@ubuntu2204 ~]#ll -d /var/lib/cerebro
drwxr-xr-x 2 cerebro cerebro 4096  4月 10  2021 /var/lib/cerebro/

#启动
[root@ubuntu2004 ~]#systemctl start cerebro.service

#默认监听9000端口
[root@ubuntu2004 ~]#ss -ntlp|grep 9000
LISTEN   0   100   *:9000         *:*       users:(("java",pid=26333,fd=155))
#访问下面链接地址
http://10.0.0.200:9000
#在Node address输入框中输入任意ES集群节点的地址
http://10.0.0.151:9200

2.5.3 其它插件

Edge 浏览器应用中还有其它ES插件,可以使用

 

2.6 Elasticsearch 集群工作原理

2.6.1 ES 节点分类

Elasticsearch 集群的每个节点的角色有所不同,但都会保存集群状态Cluster State的相关的数据信息
1.节点信息:每个节点名称和地址
2.索引信息:所有索引的名称,配置等

2.6.3.4 数据同步机制

它采取了一 种“最终一致性”(eventual consistency)的模型。

2.6.4 ES 集群故障转移

故障转移指的是,当集群中有节点发生故障时,ES集群会进行自动修复

2.6.5 ES 文档路由

2.6.5.1 ES 文档路由原理

ES文档是分布式存储,当在ES集群访问或存储一个文档时,由算法决定此文档到底存放在哪个主 分片中,再结合集群状态找到存放此主分片的节点主机

2.6.5.3 ES 文档读取流程

可以从主分片或者从其它任意副本分片读取文档

2.7 Elasticsearch 集群扩容和缩容

新加入两个节点node4和node5,变为Data节点

#安装
[root@ubuntu ~]#dpkg -i elasticsearch-8.12.2-amd64.deb
#改下虚拟机内存(自己测试扛不住)
[root@ubuntu ~]#vim /etc/elasticsearch/jvm.options
-Xms256m
-Xmx256m

#在两个新节点安装 ES,并配置文件如下 
[root@ubuntu ~]#vim /etc/elasticsearch/elasticsearch.yml 
cluster.name: my-application #和原集群名称相同
#当前节点在集群内的节点名称,同一集群中每个节点要确保此名称唯一
node.name: node-4 #第二个新节点为node-5
#集群监听端口对应的IP,默认是127.0.0.1:9300
network.host: 0.0.0.0
#指定任意集群节点即可
discovery.seed_hosts: ["10.0.0.151","10.0.0.152","10.0.0.153"]
#8版本开始需要改该配置
xpack.security.enabled: false

[root@ubuntu ~]#systemctl enable --now elasticsearch.service

#完成扩容,通过插件可以看到,已存在的数据也进行了重新分布

2.7.2 集群缩容

把服务停了,就自动缩容了, 数据会重新挪动到其他节点上(挪动过程状态是黄色, 先关一个, 黄变绿再关另一个)

2.4.2 Python 脚本:集群健康性检查

[root@es-node1 ~]# cat els-cluster-monitor.py 
#!/usr/bin/python3
#coding:utf-8
import subprocess
import json
body = ""
false="false"
#用另外一个进程运行curl返回结果从stdout中读取
obj = subprocess.Popen(("curl -sXGET http://10.0.0.101:9200/_cluster/health?
pretty=true"),shell=True, stdout=subprocess.PIPE) # 
data = obj.stdout.read()
#print(type(data)) # 应该是字符串类型或bytes类型
#print(data) # 确认返回的json形式的
es_dict = json.loads(data) if data else {}  # 把json字符串解析为字典
status = es_dict.get("status") # 通过字典查找status
if status == "green":
  print("OK")
else:
  print("Not OK")

 

posted @ 2024-10-21 21:03  战斗小人  阅读(30)  评论(0编辑  收藏  举报