ELK日志分析平台之Elasticsearch

Posted 2021-09-06 S4061222

目录

• elasticsearch简介
• 一 ES安装与集群部署
• • 1 单节点elasticsearch安装
  • 2 搭建elasticsearch集群
• 二 elasticsearch集群监控--可视化
• • 1 elasticsearch-head插件
  • 2 cerebro插件
• 三 ES节点角色
• • 1 elasticsearch节点优化方式
  • 2 设定集群中某节点不存储数据，role角色无data
• 四 节点需求
• 五 节点扩容
• 六 节点缩容：

elasticsearch简介

• Elasticsearch 是一个开源的分布式搜索分析引擎，建立在一个全文搜索引擎库 Apache Lucene基础之上。
• Elasticsearch 不仅仅是 Lucene，并且也不仅仅只是一个全文搜索引擎：

• 一个分布式的实时文档存储，每个字段 可以被索引与搜索
• 一个分布式实时分析搜索引擎
• 能胜任上百个服务节点的扩展，并支持 PB 级别的结构化或者非结构化数据

• 基础模块
  cluster：管理集群状态，维护集群层面的配置信息。
  alloction：封装了分片分配相关的功能和策略。
  discovery：发现集群中的节点，以及选举主节点。
  gateway：对收到master广播下来的集群状态数据的持久化存储。
  indices：管理全局级的索引设置。
  http：允许通过JSON over HTTP的方式访问ES的API。
  transport：用于集群内节点之间的内部通信。
  engine：封装了对Lucene的操作及translog的调用。

• elasticsearch应用场景：
  信息检索
  日志分析
  业务数据分析
  数据库加速
  运维指标监控

官网：https://www.elastic.co/cn/

一 ES安装与集群部署

1 单节点elasticsearch安装

清理实验环境：

ELK对应三个软件，注意版本匹配(7.6.1,自带jdk)，需要提前删除之前安装的 jdk

所有主机添加解析

server7主机中安装与配置elasticsearch
server7给予2G内存
安装软件，7.6版本自带jdk，无需再次安装下载jdk

设置服务自启

查看日志

查看elasticsearch的端口：9200

编辑elasticsearch.yaml文件，使全部网段都可访问

cat jvm.options

-Xms1g
-Xmx1g
Xmx设置不超过物理RAM的50％，以确保有足够的物理RAM留给内核文件系统缓存。但不要超过32G。

重启elasticsearch失败

查看日志：

继续编辑elasticsearch.yaml文件，集群名称：my-es，节点设定

索死1G内存的话需要修改系统限制 (/etc/security/limits.conf) 修改systemd启动文件（/usr/lib/systemd/system/elasticsearch.service)，重启systemctl daemon-reload

！！！此处没有设定锁死 bootstrap.memory_lock: true #锁定内存分配 ，没有打开


三台主机都设定，指向server7主机

重启服务成功

查看日志，注意查看日志的名称已改变：my-es.log

测试：
外部访问成功

此处禁用swap分区:实验效果更加流畅，如果内存不够，可以不用禁止

2 搭建elasticsearch集群

复制elasticsearch的安装包给server9和server8

server8安装elasticsearch

server8修改elasticsearch配置文件

server8重启服务

server9安装elasticsearch

server9修改elasticsearch配置文件

server9重启服务

测试：
外部访问server8和server9

二 elasticsearch集群监控–可视化

1 elasticsearch-head插件

elasticsearch-head是elasticsearch自带插件

下载elasticsearch-head插件, head插件本质上是一个nodejs的工程，因此需要安装node

安装node

由于master.zip需要解压工具，所以安装unzip，解压master

保证可以上网，

更换npm源安装(由于npm慢，所以更换为cnpm源)

cd elasticsearch-head-master/
npm install  -g cnpm --registry=https://registry.npm.taobao.org

安装cnpm,（bzip,安装cnpm需要用到）

cnpm -v 查看版本号

进入_site/子目录，查看app.js文件

查看ES主机端口:9200


端口查看

server7 启动head插件，打入后台运行 , 本机开启端口为9100

设为中文，访问head插件服务

访问失败

需要在主配置文件elasticsearch.yml中加入以下内容
修改ES跨域主持

http.cors.enabled: true	# 是否支持跨域
http.cors.allow-origin: "*"	# *表示支持所有域名

重启ES服务生效

重新访问head插件服务成功！！！

http://172.25.28.7:9100，

监控http://172.25.77.3:9200的elasticsearch，
可以看到集群的三个节点。*代表master节点

默认监听在9100端口：

灰色标识没有副本 黄色代表没有主分片丢失

2 cerebro插件

cerebro是镜像，真机是8.2的红帽系统，红帽系统自带podman(等同docker)，

真机导入镜像，
podman run -d --name cerebro -p 9000:9000 lmenezes/cerebro
#运行该镜像，默认开放9000端口

网页访问 http://172.25.28.250:9000，

需要输入监听的地址，http://172.25.28.7:9200(server7,server8,server9的地址都可，ES集群)

成功进入cerebro

点击nodes，可以看到ES集群中三个节点都在

三 ES节点角色

• Master：
  主要负责集群中索引的创建、删除以及数据的Rebalance等操作。Master不负责数据的索引和检索，所以负载较轻。当Master节点失联或者挂掉的时候，ES集群会自动从其他Master节点选举出一个Leader。

• Data Node：
  主要负责集群中数据的索引和检索，一般压力比较大。

• Coordinating Node：
  原来的Client node的，主要功能是来分发请求和合并结果的。所有节点默认就是Coordinating node，且不能关闭该属性。

• Ingest Node：
  专门对索引的文档做预处理

1 elasticsearch节点优化方式

• 在生产环境下，如果不修改elasticsearch节点的角色信息，在高数据量，高并发的场景下集群容易出现脑裂等问题。

• 默认情况下，elasticsearch集群中每个节点都有成为主节点的资格，也都存储数据，还可以提供查询服务。

• 节点角色是由以下属性控制：

  node.master: false|true (这个属性表示节点是否具有成为主节点的资格, 注意：此属性的值为true，并不意味着这个节点就是主节点。因为真正的主节点，是由多个具有主节点资格的节点进行选举产生的。)

  node.data: true|false （这个属性表示节点是否存储数据。）

  node.ingest: true|false（是否对文档进行预处理。）

  search.remote.connect: true|false（是否禁用跨集群查询）

  默认情况下这些属性的值都是true。

节点优化的四种组合：

第一种组合：（默认）

node.master: true
node.data: true
node.ingest:  true
search.remote.connect: true

这种组合表示这个节点即有成为主节点的资格，又存储数据。
如果某个节点被选举成为了真正的主节点，那么他还要存储数据，这样对于这个节点的压力就比较大了。
测试环境下这样做没问题，但实际工作中不建议这样设置

第二种组合：（Data node）

node.master: false
node.data: true
node.ingest: false
search.remote.connect: false

这种组合表示这个节点没有成为主节点的资格，也就不参与选举，只会存储数据。
这个节点称为data(数据)节点。在集群中需要单独设置几个这样的节点负责存储数据。后期提供存储和查询服务。

第三种组合：（master node）

node.master: true
node.data: false
node.ingest: false
search.remote.connect: false

这种组合表示这个节点不会存储数据，有成为主节点的资格，可以参与选举，有可能成为真正的主节点。 这个节点我们称为master节点。

第四种组合：（Coordinating Node）

node.master: false
node.data: false
node.ingest: false
search.remote.connect: false

这种组合表示这个节点即不会成为主节点，也不会存储数据， 这个节点的意义是作为一个协调节点，主要是针对海量请求的时候可以进行负载均衡。

第五种组合：（Ingest Node）

node.master: false
node.data: false
node.ingest: true
search.remote.connect: false

这种组合表示这个节点即不会成为主节点，也不会存储数据， 这个节点的意义是ingest节点，对索引的文档做预处理。

2 设定集群中某节点不存储数据，role角色无data

生产集群中可以对这些节点的职责进行划分 建议集群中设置3台以上的节点作为master节点，这些节点只负责成为主节点，维护整个集群的状态。
再根据数据量设置一批data节点，这些节点只负责存储数据，后期提供建立索引和查询索引的服务，这样的话如果用户请求比较频繁，这些节点的压力也会比较大。
所以在集群中建议再设置一批协调节点，这些节点只负责处理用户请求，实现请求转发，负载均衡等功能

节点需求
master节点：普通服务器即可(CPU、内存 消耗一般)
data节点：主要消耗磁盘、内存。
path.data: data1,data2,data3
这样的配置可能会导致数据写入不均匀，建议只指定一个数据路径，磁盘可以使用raid0阵列，而不需要成本高的ssd。
Coordinating节点：对cpu、memory要求较高。

实验环境：
ES集群server7，server8，server9，其中server9为master

查看server7节点的信息

此时server7中role角色有 Ingest(预处理)，Master（整个集群的master），data(存储数据)，ml(机器学习)

server7主机编辑主编配置文件/etc/elasticsearch/elasticsearch.yml，添加node.data: false语句，表示该主机不存放数据

重启ES服务

查看server7节点的信息

此时server7中role角色有 Ingest(预处理)，Master（整个集群的master）和 ml(机器学习)，无data

四 节点需求

data节点：容易消耗磁盘，内存；
ELK可以和hadoop结合使用，ELK：存放热数据，hadoop：存放冷数据，存放离线数据
多路径冗余不需要：（ELK本身就是分布式，加大单节点IO）

五 节点扩容

集群名称必须设定一样！！！

六 节点缩容：

本机可以使用localhost/其他使用ip
命令行直接输入，ip换为删除的节点ip（修改ip！！！）