一次ES集群崩溃及恢复过程

于 2024-07-29 14:00:55 发布
阅读量1k 收藏 11
点赞数 29
文章标签: elasticsearch 大数据 搜索引擎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SYN_ACK/article/details/140769639
版权

一、背景介绍

         生产环境上搭建了一套由Filebeat + Kafka + Logstash + Elasticsearch + Kibana实现的实时日志分析系统。每一台生产服务器上利用Filebeat收集指定的应用日志,作为生产者写入到Kafka中;另一端Logstash作为消费者消费Kafka中的消息,并上报到ES集群中,最终通过Kibana展示日志消息。

        我们的生产集群一共七台机器专用于运行Elasticsearch集群,其中六台内存大小为62G,一台内存大小为128G。ES启动的JVM堆的大小设置为Xmx=42G、Xms=42G。

二、问题发生

    2024年7月18日,生产环境的Elasticsearch集群突然无法访问,查看ES集群日志,发现如图1报错:

图1

        从日志信息中可以看出,这是ES熔断器的抛出的异常,异常信息告诉我们此时ES的数据量过大,超过了熔断器设置的阈值(【4300488256/40gb】),ES无法响应请求。ES启动参数中涉及索引缓存的两个参数的值分别如下:

indices.memory.index_buffer_size: 30%

indices.fielddata.cache.size:70%

        以上两个参数告诉我们,我们允许索引使用30%的内存作为缓存,70%作为fielddata缓存。ES中存在一个fieldata熔断器,当缓存在内存中的field data内存40%后会触发熔断机制。根据这些参数值以及报错信息我们判断,ES抛出该异常的原因是缓存到内存中的数据量过大,触发了ES集群的熔断机制,导致ES集群无法正常工作。至于缓存数据量过大的原因,我们分析有以下两点:

  1. 没有对ES集群进行生命周期管理。我们一共配置了23条不同的流水线,用来收集系统日志、应用日志、Nginx日志等信息,这些流水线每天会创建一个新的索引用来写入当天的消息。最早的索引能够追溯到2022年5月。这些索引虽然很少被检索,但由于还是open状态,且相关的分片也是started状态,因此也会占用大量内存;
  2. 在崩溃发生前两天,我们发现了部分filebeat报错显示,由于数据过大导致无法采集的问题(如图2),因此ES集群上缺失了部分日志信息,当时我们调大了Kafka消息队列和Filebeat允许的数据抓取大小。这使得原来有部分数据不会上传到ES集群,调整后,更多的数据能够上传,从而ES需要处理的请求增加,增加了集群的负载。

图2

三、恢复过程

    定位到问题后,首要措施是重启ES集群,但是重启前我们考虑了以下几个问题:

  1. 此时ES集群无法访问,需要依次重启每个节点成功后,ES才能恢复正常。生产环境的ES集群有七个节点,滚动重启每个节点至少需要20分钟,此时是下午上班时间,应用日志和Nginx日志产生的速度非常快,分分钟达到几百万条,在此期间产生的日志消息怎么办?
  2. 由于Kafka已经在调整了message.max.bytes和replica.fetch.max.bytes两个参数后运行过一段时间,意味着如果不停止从Kafka中消费消息,ES重启后可能依然会存在Data too large报错。
  3. ES重启集群后,需要重新分配分片,这套ES集群中每个索引模式每天都会根据日期创建新的索引,例如:

system_command_log.2024.07.01

system_command_log.2024.07.02

        这些索引并没有实施任何生命周期策略。在排查问题的过程中我们发现,这套ES集群保存着从2022年5月以来的所有索引。共计30个索引模式(system_command_log*等),17602个索引,45580个分片,其中包括主分片和副本分片。ES对这些索引重新进行分配需要时间,如果在集群恢复的过程中用户报障,我们可能没有办法快速地利用ES排查故障。

        针对以上问题,我们决定通过以下一系列的措施实施ES集群重启过程:

  1. 停止Logstash向ES集群写入数据,先暂时让所有采集到的日志消息积压在Kafka消息队列中,一方面减小ES集群的压力,另一方面确保重启期间产生的日志消息不丢失。
  2. 删除自调整了Kafka参数后创建的索引及数据,在ES集群恢复后,重新采集这部分数据。
  3. 减小ES 的indices.memory.index_buffer_size和indices.fielddata.cache.size参数的数值,防止缓存的index数据量过多,导致内存使用率达到熔断机制触发的阈值,并且调高熔断器的触发值。
  4. 滚动重启ES集群节点,重启后手动优先对使用频率高的索引分配进行赋值,分配成功后,再开启对应的流水线。

        通过以上操作,我们暂时顺利地恢复了ES集群以及部分索引的写入,此时研发人员已经可以通过ES查询应用日志和Nginx日志了。

四、优化措施

        恢复了ES集群后,剩下的工作是优化。我们采取了以下几点优化措施:

  1. 关闭2022年5月开始到2023年12月的索引,减少索引占用的内存。
  2. 增加生命周期策略,设置冷、热、温阶段。索引自创建日期30天后自动进入冷阶段并关闭索引;设置冷热节点,将128g内存的机器设置为热节点;
  3. 缩小Kafka消息队列数据抓取大小限制;
  4. 降低Logstash流水线数据写入速度,减轻Elasticsearch处理请求及读写索引的压力。

        经过以上一系列的措施,ES集群各个内存节点的内存使用情况有明显改观。图3为调整前的各节点内存使用情况,图4为调整后的内存使用情况吗,可以看到内存使用情况有明显的下降。

   

图3

图4

    自此,我们的ES集群已经恢复完毕,并且运行速度也有一定的提高。

以上便是一次ES集群因数据量过大触发熔断机制导致ES集群无法访问及恢复的过程。因为这一套ES集群仅供运维及研发人员使用,因此没有对业务造成任何影响。通过这一次事件,我们总结了以下经验:

  1. ES集群崩溃时,首先减轻ES集群负载,即,减少ES读写请求,然后再重启ES集群;
  2. 重启集群时滚动重启;
  3. 保证集群能够使用的内存大小限制小于熔断机制触发的阈值。
  4. 及时地对索引进行管理,设置合理的索引生命周期,关闭不需要的索引,减少不必要的内存使用量。

        当然,ES中需要学习的内容一定还有更多,在未来的工作中,如果遇到别的问题,将持续地更新。

充分小足够大
关注
  • 29
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ES集群节点宕机导致shard unassigned解决方案
一路踩坑一路成长
12-15 1万+
ES集群概况: 1台master节点,4台data节点,9个shards 问题: 一台data节点宕机,导致5个分片处于unassigned状态,集群状态变为red,无法自动rerouting 解决步骤: 1.查看所有节点的日志信息,通过日志,我们发现master节点中出现了警告信息,通知宕机节点的磁盘利用率超过了90%,这也是导致节点宕机,集群出现unassigned的原因。 2.找到
ES实战-熔断
最新发布
qq_33225122的博客
02-28 419
高的 JVM 内存压力经常导致断路器错误。可能导致 JVM 使用率暴增的原因列举如下。ES通过断路器的设置,来保护集群内存不超过设定值,从而保证集群的稳定性。
13-ES集群模式
Black_Me的博客
02-16 2032
ES集群 单机的elasticsearch做数据存储,必然面临两个问题:海量数据存储问题、单点故障问题。 海量数据存储问题:将索引库从逻辑上拆分为N个分片(shard),存储到多个节点 单点故障问题:将分片数据在不同节点备份(replica ) ES集群相关概念: 集群(cluster):一组拥有共同的 cluster name 的 节点。 节点(node) :集群中的一个 Elasticearch 实例 分片(shard):索引可以被拆分为不同的部分进行存储,称为分片。在集群环境下,一
ElasticSearch进阶-集群脑裂问题
m0_60162373的博客
04-07 4213
1.集群脑裂是什么? 所谓脑裂问题,就是同一个集群中的不同节点,对于集群的状态有了不一样的理解,比如集群中存在两个master,正常情况下我们集群中只能有一个master节点。 2.集群脑裂场景举例 如果因为网络的故障,导致一个集群被划分成了两片,每片都有多个node,以及一个master,那么集群中就出现了两个master了。但是因为master是集群中非常重要的一个角色,主宰了集群状态的维护,以及shard的分配,因此如果有两个master,可能会导致数据异常。 如: 节点...
ES故障案例——记ES数据盘故障造成集群不可用
zhinengyunwei的博客
01-19 1515
作者:SUNNY 时间:2018-05-24 故障现象 Pending tasks任务一直有堆积,线上createindex等无法完成或创建时间较长。 原因分析 Data node某数据盘故障,创建索引时,master无法完成分片分配,导致任务阻塞,影响后续创建索引等任务。 原因理解 重新梳理看到的现象: 1, create index较慢或者或出现失败 2, pending task有任务堆...
elasticsearch7.14.3.rar
12-07
Elasticsearch 7.14.3 是一个高级的全文搜索和分析引擎,广泛应用于大数据检索、日志分析、实时监控等领域。这个压缩包“elasticsearch7.14.3.rar”包含了该版本的完整安装文件,使得用户可以直接在本地进行安装和...
Elasticsearch 服务器的简要介绍.docx
02-19
- **网关机制**:Elasticsearch 支持网关机制,用于处理索引的长期持久性问题,即使服务器崩溃也能从网关恢复索引。 #### 六、Elasticsearch 的应用场景 - **日志分析**:收集、分析系统日志,提供快速的日志检索...
elasticSearch 详细介绍,集群部署,常用API 常用插件 SQL使用
09-14
ElasticSearch (简称 ES) 是一款基于 Lucene 的开源搜索和分析引擎,它提供了强大的分布式搜索功能,适用于大规模数据集的实时搜索场景。ES 使用 Java 开发,并在 Apache 许可下免费发布。作为一个成熟的企业级解决...
elasticsearch-7.6.1-linux-x86_64.tar.gz
05-25
Elasticsearch是一个开源的全文搜索引擎,它以分布式、RESTful服务的方式提供快速、高可用、可扩展的数据搜索和分析能力。在7.6.1这个版本中,它继续优化了性能,增强了稳定性,并引入了一些新的特性和改进。下面将...
项目课程系列之Elasticsearch
04-17
提到“收集器”,这是 Elasticsearch 查询执行过程中的一个重要组件。Elasticsearch 使用多种收集器来处理查询请求,例如,`FrequentTermsCollector` 用于找到最常出现的词项,`TopDocsCollector` 用于获取排名最高...
Elasticsearch崩溃解决办法
weixin_30915951的博客
04-12 1413
部分日志如下: # There is insufficient memory for the Java Runtime Environment to continue. # Native memory allocation (mmap) failed to map 2060255232 bytes for committing reserved memory. # Possible re...
数据丢失及恢复
weixin_45627802的博客
07-09 233
elasticsearch 近乎实时,文档存储,搜索与分析,PB级数据。 写入原理 数据写入buffer缓冲和translog 每隔1s将buffer中的数据写入 segment file,并写入os cache,buffer被清空,此时就可以供search,所以说是近乎实时的 重复上面写入,segment file不断增加,translog不断变大,一定时间或translog到一定大小,就发生commint,将os cache数据强制刷新到os disk,清空translog,创建新的translog。
一次elasticsearch集群jvm断路器修复记录
weixin_42603784的博客
06-23 1186
elasticsearch集群熔断,[parent] Data too large, data for [indices:data/write/bulk[s]] would be [27989754
kibana维护elasticsearch时常用操作指令
weixin_44582927的博客
06-29 189
创建索引: 格式如下: PUT /索引名称 { “settings”: { 配置信息}, “mappings”: { “type名称”: { "properties": { “字段”:{"type":“字段类型”} ....... } } } 示例: PUT /test_index { "settings": { "number_of_shards": 1, "number_of_replic...
ES集群异常处理和进阶实践
大数据,Linux,服务器,技术、架构,方案
10-11 1853
2.x版本可API动态设置,在ES 5版本之后就不能动态设置这些参数了,通过修改ES主配置文件,然后重启ES生效。ES关于网络的配置参数丰富繁杂(它们都不是可动态更新的),ES双网分离场景的最佳实践是ES集群内部采用万兆-业务网,对外服务则双网都通,有管理及合规要求时按照要求设置单一网络。略微下调主分片个数使其均匀分布(10 -> 8),将索引的副本数从1减为0,相当于写入压力减少一半,至此现场问题解决,没再出现上述报错。如果有集群管理,从集群页面的自定义配置中添加,保存,最后重启ES集群
es集群问题排查、常用命令、参数解析
Elaina_fang✨✨✨的博客
10-26 2611
分析:通过Allocation Explain API 发现创建索引失败,因为无法找到标记了相应box type的节点。解决:删除索引,集群变绿,重新创建索引,并且指定正确的routing box type,索引创建成功集群保持绿色状态。此时直接删除索引磁盘空间是不会释放的,可以通过调整阈值,将集群状态变为yellow。问题:es节点磁盘占用较高,达到阈值,集群状态成red。解决:将索引的副本数设置为0,或者通过增加节点解决。
ES集群节点掉线故障排查
Lakers_KobeBryant的专栏
11-19 4057
# man mpstat CPU Processor number. The keyword all indicates that statistics are calculated as averages among all processors. %usr Show the percentage of CPU utilization that occurred while executing at the user level (application). %nice .
ES数据盘故障造成集群不可用
sunjiangangok的博客
05-24 1929
故障现象Pending tasks任务一直有堆积,线上createindex等无法完成或创建时间较长。原因分析Data node某数据盘故障,创建索引时,master无法完成分片分配,导致任务阻塞,影响后续创建索引等任务。原因理解重新梳理看到的现象:1, create index较慢或者或出现失败2, pending task有任务堆积3, GET /_cat/nodes返回500根据pendin...
ES集群宕机后处理——重新分配shards,负载均衡
攻城狮Kevin
10-10 4036
ES集群5台机器,由于同时读写导致其中一台机器宕机, 原本每天的索引shard数设定为10,这样5台机器每台分配2个shard, 但是一旦集群宕机,重启集群后,5号机器宕机导致它上面的shard会转移到其他1-4号机器上。 如果此时往ES里写数据,新索引的10个shard就都会分配到5号机器(因为它上面一个shard都没有,ES集群会优先往资源丰富的机器分配shard),如果此时写入数据,请...
Elasticsearch集群部署实战指南
"Elasticsearch集群模式部署在CentOS7环境下进行,涉及三台主机,每台主机的IP分别为192.168.90.131、132和133。系统要求JDK1.8或以上版本,并将Elasticsearch和Kibana解压到/usr/local目录。集群搭建包括解压安装包...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值