ELK主要由三個重要組件:
- elasticsearch搜索分析引擎
- logstash數據採集
- kibana可視化
一、elasticsearch實戰
簡介
- Elasticsearch 是一個開源的分佈式搜索分析引擎,建立在一個全
文搜索引擎庫 Apache Lucene基礎之上。 - Elasticsearch 不僅僅是 Lucene,並且也不僅僅只是一個全文搜索
引擎:
• 一個分佈式的實時文檔存儲,每個字段 可以被索引與搜索
• 一個分佈式實時分析搜索引擎
• 能勝任上百個服務節點的擴展,並支持 PB 級別的結構化或者非結構
化數據
基礎模塊 | 作用 |
---|---|
cluster: | 管理集羣狀態,維護集羣層面的配置信息。 |
alloction: | 封裝了分片分配相關的功能和策略。 |
discovery: | 發現集羣中的節點,以及選舉主節點。 |
gateway: | 對收到master廣播下來的集羣狀態數據的持久化存儲。 |
indices: | 管理全局級的索引設置。 |
http: | 允許通過JSON over HTTP的方式訪問ES的API。 |
transport: | 用於集羣內節點之間的內部通信。 |
engine: | 封裝了對Lucene的操作及translog的調用。 |
- elasticsearch應用場景:
- 信息檢索
- 日誌分析
- 業務數據分析
- 數據庫加速
- 運維指標監控
• 官網:https://www.elastic.co/cn/
我們下載軟件時可以去這個網站下載,比較快。
https://elasticsearch.cn/download/
elasticsearch安裝與配置
[root@server4 ~]# rpm -ivh elasticsearch-7.6.1.rpm # 安裝ES
# 修改配置文件:
[root@server4 elasticsearch]# vim /etc/elasticsearch/elasticsearch.yml
luster.name: my-es #集羣名稱
node.name: server4 #主機名需要解析
path.data: /var/lib/elasticsearch #數據目錄
path.logs: /var/log/elasticsearch #日誌目錄
bootstrap.memory_lock: true #鎖定內存分配
network.host: 172.25.0.4 #主機ip
http.port: 9200 #http服務端口
cluster.initial_master_nodes: ["server4"] #
做了這些設定後我們是起不來服務的因爲我們沒有對系統進行設定,不滿足要求。
修改系統限制:
[root@server4 elasticsearch]# vim /etc/security/limits.conf
elasticsearch - nofile 65535 # 限定文件數量,不得大於內核限制(sysctl -a | grep file)
elasticsearch - nproc 4096 # 進程數
elasticsearch soft memlock unlimited
elasticsearch hard memlock unlimited
由於服務有systemd 啓用,所以我們去指定systemd的系統限制:
[root@server4 elasticsearch]# vim /usr/lib/systemd/system/elasticsearch.service
## 在service語句塊下添加
LimitNOFILE=65535
LimitMEMLOCK=infinity
# 修改java虛擬機限制
[root@server4 elasticsearch]# cd /etc/elasticsearch/
[root@server4 elasticsearch]# vim jvm.options
-Xms1g
-Xmx1g
Xmx設置不超過物理RAM的50%,以確保有足夠的物理RAM留給內核文件系統緩存。但不要超過32G。
這裏我們應該給這臺虛擬機2G的內存。
然後我們去禁用交換分區,會影響數據的交互:
[root@server4 elasticsearch]# echo 0 > /proc/sys/vm/swappiness 數值越大月傾向於使用swap分區
[root@server4 elasticsearch]# swapoff -a
[root@server4 elasticsearch]# vim /etc/fstab
#/dev/mapper/rhel-swap swap swap defaults 0 0 # 禁用掉開機自啓
現在就可以啓動了:
[root@server4 ~]# systemctl daemon-reload
[root@server4 ~]# systemctl start elasticsearch.service
[root@server4 elasticsearch]# curl 172.25.254.4:9200
{
"name" : "server4",
"cluster_name" : "my-es", # 可以訪問了
"cluster_uuid" : "UHOmLiHiQ1CwOx2J6R3Kxg",
elasticsearch插件安裝
但是這樣還不夠刺激,我們想要給它加一個圖形界面:
我們需要去下載插件:
下載elasticsearch-head插件
-
wget https://github.com/mobz/elasticsearch-head/archive/master.zip
head插件本質上是一個nodejs的工程,因此需要安裝node:
-
wget https://mirrors.tuna.tsinghua.edu.cn/nodesource/rpm_9.x/el/7/x86_64/nodejs9.11.2-1nodesource.x86_64.rpm
[root@server4 ~]# ls
master.zip # 需要這個插件
[root@server4 ~]# unzip master.zip
[root@server4 ~]# ls
elasticsearch-head-master master.zip
然後我們需要進入這個目錄裏面執行 npm 這個命令,這時我們安裝node包
[root@server4 ~]# rpm -ivh nodejs-9.11.2-1nodesource.x86_64.rpm
warning: nodejs-9.11.2-1nodesource.x86_64.rpm: Header V4 RSA/SHA256 Signature, key ID 34fa74dd: NOKEY
Preparing... ################################# [100%]
Updating / installing...
1:nodejs-2:9.11.2-1nodesource ################################# [100%]
然後我們進入目錄,由於npm install 很慢,所以我們更換一個倉庫下載
[root@server4 ~]# cd elasticsearch-head-master/
[root@server4 elasticsearch-head-master]# npm install --registry=https://registry.npm.taobao.org
PhantomJS not found on PATH # 發現環境變量少了一個東西,
Downloading https://github.com/Medium/phantomjs/releases/download/v2.1.1/phantomjs-2.1.1-linux-x86_64.tar.bz2
Saving to /tmp/phantomjs/phantomjs-2.1.1-linux-x86_64.tar.bz2
# 讓去這裏下載
[root@server4 ~]# ls
phantomjs-2.1.1-linux-x86_64.tar.bz2 #下載好了
[root@server4 ~]# tar jxf phantomjs-2.1.1-linux-x86_64.tar.bz2
[root@server4 ~]# cd phantomjs-2.1.1-linux-x86_64/
[root@server4 phantomjs-2.1.1-linux-x86_64]# ls
bin ChangeLog examples LICENSE.BSD README.md third-party.txt
[root@server4 phantomjs-2.1.1-linux-x86_64]# cd bin/
[root@server4 bin]# ls
phantomjs
[root@server4 bin]# cp phantomjs /usr/local/bin/ # 複製這個二進制文件到環境變量就可以使用這個命令了
[root@server4 ~]# phantomjs
phantomjs: error while loading shared libraries: libfontconfig.so.1: # 又缺少了一個庫文件
[root@server4 ~]# yum install fontconfig-2.13.0-4.3.el7.x86_64 -y
[root@server4 ~]# phantomjs
phantomjs>
phantomjs>
# 就代表成功了
在重新npm install
[root@server4 elasticsearch-head-master]# npm install --registry=https://registry.npm.taobao.org
我們還要修改ES主機ip和端口:
[root@server4 elasticsearch-head-master]# cd _site/
[root@server4 _site]# ls
app.css app.js background.js base fonts i18n.js index.html lang manifest.json vendor.css vendor.js
[root@server4 _site]# vim app.js
[root@server4 _site]# npm run start & # 啓動head插件
[1] 3732
[root@server4 _site]#
> [email protected] start /root/elasticsearch-head-master
> grunt server
(node:3742) ExperimentalWarning: The http2 module is an experimental API.
Running "connect:server" (connect) task
Waiting forever...
Started connect web server on http://localhost:9100 # 訪問的9100
在瀏覽器訪問是這樣的,但是連接不成功,因爲不允許跨域訪問,所以我們應該修改ES跨域主持
[root@server4 _site]# vim /etc/elasticsearch/elasticsearch.yml
# Set a custom port for HTTP:
#
http.port: 9200
http.cors.enabled: true # 是否支持跨域
http.cors.allow-origin: "*" # *表示支持所有域名
systemctl restart elasticsearch.service # 重啓服務
就連接上了。
創建一個索引:
刷新一下:
加粗的是主分片,細的是輔分片,健康狀態變成了黃色,代表主分片存在,輔分片丟失。如過變成了紅色,就代表沒有可用分片了。
elasticsearch分佈式部署
以相同的方法再安裝兩個ES節點,配置如下:
[root@server4 _site]# ssh-keygen
[root@server4 _site]# ssh-copy-id server1
[root@server4 _site]# ssh-copy-id server2 # 做免密,然後將配置的文件全部複製過去
[root@server4 ~]# scp elasticsearch-7.6.1-x86_64.rpm server1:
[root@server4 ~]# scp elasticsearch-7.6.1-x86_64.rpm server2:
[root@server4 elasticsearch]# scp -p /etc/elasticsearch/elasticsearch.yml server1:/etc/elasticsearch/
[root@server4 elasticsearch]# scp -p /etc/elasticsearch/elasticsearch.yml server2:/etc/elasticsearch/
[root@server4 security]# scp /etc/security/limits.conf server1:/etc/security/
[root@server4 security]# scp /etc/security/limits.conf server2:/etc/security/
[root@server4 system]# scp /usr/lib/systemd/system/elasticsearch.service server1:/usr/lib/systemd/system/
[root@server4 system]# scp /usr/lib/systemd/system/elasticsearch.service server2:/usr/lib/systemd/system/
然後更改他們的配置文件:
vim /etc/elasticsearch/elasticsearch.yml
server4:
discovery.seed_hosts: ["server4", "server1", "server2"] # 改這裏,其它不變
cluster.initial_master_nodes: ["server4","server1","server2"] # 需要多個master結點進行切換
server1:
node.name: server1
network.host: 172.25.254.1
discovery.seed_hosts: ["server4", "server1", "server2"]
cluster.initial_master_nodes: ["server4","server1","server2"]
server2:
node.name: server2
network.host: 172.25.254.2
discovery.seed_hosts: ["server4", "server2", "server1"]
cluster.initial_master_nodes: ["server4","server1","server2"]
然後在三個結點都
[root@server2 ~]# systemctl daemon-reload
[root@server2 ~]# systemctl start elasticsearch.service # server1是restart
查看ES集羣狀態
當前server4 是master結點,其他兩個是worker結點。
elasticsearch節點角色
- Master:
- 主要負責集羣中索引的創建、刪除以及數據的Rebalance等操作。Master
不負責數據的索引和檢索,所以負載較輕。當Master節點失聯或者掛掉的
時候,ES集羣會自動從其他Master節點選舉出一個Leader。
- 主要負責集羣中索引的創建、刪除以及數據的Rebalance等操作。Master
- Data Node:
- 主要負責集羣中數據的索引和檢索,一般壓力比較大。
- Coordinating Node:
- 原來的Client node的,主要功能是來分發請求和合並結果的。所有節點默
認就是Coordinating node,且不能關閉該屬性。
- 原來的Client node的,主要功能是來分發請求和合並結果的。所有節點默
- Ingest Node:
- 專門對索引的文檔做預處理
elasticsearch節點優化
- 在生產環境下,如果不修改elasticsearch節點的角色信息,在高數據量,高併發的場景下集羣容易出現腦裂等問題。
- 默認情況下,elasticsearch集羣中每個節點都有成爲主節點的資格,
也都存儲數據,還可以提供查詢服務。 - 節點角色是由以下屬性控制:
- node.master: false|true
- node.data: true|false
- node.ingest: true|false
- search.remote.connect: true|false
默認情況下這些屬性的值都是true。
於是我們現在就有五種組合:
我們這樣設置:
在server4上:
# ------------------------------------ Node ------------------------------------
#
# Use a descriptive name for the node:
#
node.name: server4
node.master: true
node.data: false
node.ingest: false
search.remote.connect: false
# 讓他成爲master節點
server1上
# Use a descriptive name for the node:
#
node.name: server1
node.master: true
node.data: true
node.ingest: false
search.remote.connect: false
讓他可以接管master,也存儲數據
server2上
# Use a descriptive name for the node:
#
node.name: server1
node.master: true
node.data: true
node.ingest: false
search.remote.connect: false
讓他可以接管master,也存儲數據,這裏我們先不做預處理結點
然後重啓三臺服務,這時serve4是起不來的,是因爲我們設置 不做存儲結點,但是之前已經有數據了,所以我們要進行清理
[root@server4 elasticsearch]# cd /usr/share/elasticsearch/
[root@server4 elasticsearch]# cd bin/ # 裏面有命令
[root@server4 bin]# elasticsearch-node repurpose
[root@server4 bin]# systemctl restart elasticsearch.service
-
生產集羣中可以對這些節點的職責進行劃分
- 建議集羣中設置3臺以上的節點作爲master節點,這些節點只負責成爲主
節點,維護整個集羣的狀態。 - 再根據數據量設置一批data節點,這些節點只負責存儲數據,後期提供建
立索引和查詢索引的服務,這樣的話如果用戶請求比較頻繁,這些節點的
壓力也會比較大。 - 所以在集羣中建議再設置一批協調節點,這些節點只負責處理用戶請求,
實現請求轉發,負載均衡等功能。
- 建議集羣中設置3臺以上的節點作爲master節點,這些節點只負責成爲主
-
節點需求
- master節點:普通服務器即可(CPU、內存 消耗一般)
- data節點:主要消耗磁盤、內存。
- path.data: data1,data2,data3
這樣的配置可能會導致數據寫入不均勻,建議只指定一個數據路徑,磁盤可以使
用raid0陣列,而不需要成本高的 ssd。 - Coordinating節點:對cpu、memory要求較高。
調整後的ES集羣狀態: