2.3 Elasticsearch-集群状态:Green/Yellow/Red 排查思路

Elasticsearch集群红黄排查指南
最新推荐文章于 2025-12-04 14:41:04 发布
原创 最新推荐文章于 2025-12-04 14:41:04 发布 · 28 阅读 · 0 ·
CC 4.0 BY-SA版权
CC BY-NC-SA 3.0
文章标签:

#elasticsearch #大数据 #搜索引擎

在这里插入图片描述
2.3 Elasticsearch-集群状态:Green/Yellow/Red 排查思路
——让“红绿灯”不再只是玄学

0. 状态速览:一张表先背下来

状态字面含义能否读写能否继续分配 shard典型触发场景用户体感
Green所有主副分片都就位正常读写集群健康无感知
Yellow主分片就位,但有副本未分配正常读写部分受限节点离线、磁盘水位、索引设置有告警,业务无影响
Red至少一个主分片丢失只能读不能写缺失主分片的索引多节点离线、索引损坏、分配失败直接报错,业务受损

1. 排查总纲:30 秒定位“谁红了”

  1. GET _cluster/health?level=indices
    一眼看索引维度,把 Red/Yellow 的索引名记下来。
  2. GET _cluster/allocation/explain?index=<idx>&shard=<id>&primary=true
    官方提供的“一站式”诊断接口,90 % 的场景直接给出原因。
  3. 如果第二步返回“cannot allocate because…” 就顺着 decision 列表往下读;
    如果返回 404,说明集群自己也不知道该 shard 在哪,跳第 3 节“Red 专项”。

2. Yellow 集群:99 % 是副本数 > 存活节点数

2.1 最常见模板
  • 3 节点集群,索引 number_of_replicas=2 → 需要 3 份副本,总共 3×2=6 个分片,但集群只有 3 节点,必然分配不齐。
  • 节点离线一台,副本数仍保持 1,也会 Yellow。
2.2 一键修复
PUT */_settings
{
  "number_of_replicas": 0          // 先降到 0,立刻 Green
}

随后按需调大,或者把节点加回来。

2.3 磁盘水位踩线

GET _cat/allocation?vdisk.indicesdisk.percent,当某个节点超过 cluster.routing.allocation.disk.watermark.low(默认 85 %)时,ES 不再向该节点分配任何 shard,副本悬在空中变成 Yellow。

  • 临时方案:调高阈值
PUT _cluster/settings
{
  "persistent": {
    "cluster.routing.allocation.disk.watermark.low": "90%",
    "cluster.routing.allocation.disk.watermark.high": "95%"
  }
}
  • 根治:加磁盘或加节点。
2.4 单节点开发环境必踩的坑

开发机只起了一个 ES 进程,却用了 number_of_replicas=1,永远 Yellow。
官方推荐模板:

PUT _template/single-node
{
  "index_patterns": ["*"],
  "settings": {
    "number_of_replicas": 0
  }
}

3. Red 集群:主分片真的丢了

3.1 确认“丢”还是“暂时没分配”

GET _cat/shards?v&h=index,shard,prirep,state,unassigned.reason

  • UNASSIGNEDprirep=p,状态 UNASSIGNED,reason 常见:
    NODE_LEFT:节点离线
    ALLOCATION_FAILED:分配失败超过重试上限
    CORRUPTED:段文件校验失败
3.2 节点离线场景
  1. 节点还能启动
    直接重启节点,ES 会把磁盘上的 shard 直接拉起来,集群自动回到 Yellow→Green。
  2. 节点彻底挂掉且数据目录丢失
    进入“抢救 or 接受丢数据”分支:
    • 索引不重要:
DELETE 坏索引
  • 索引必须恢复:
    从快照还原,或者 elasticdump/logstash 从备份集群重新写回。
3.3 分片损坏场景

日志里能看到 CorruptIndexExceptionchecksum failed

  • 先尝试 /_cluster/reroute 命令强制重分配:
POST _cluster/reroute
{
  "commands": [
    {
      "allocate_stale_primary": {
        "index": "shop-order",
        "shard": 2,
        "node": "node-3",
        "accept_data_loss": true
      }
    }
  ]
}

该命令把“过时副本”提拔成主分片,可能丢数据,务必确认业务可接受。

  • 若所有副本都损坏,只能删索引或从快照恢复。
3.4 分配失败重试耗尽

GET _cluster/allocation/explain 返回 max_retry [5] exceeded

  • 先解决根因(磁盘、mapping 冲突、Field limit)。
  • 再手动重试:
POST _cluster/reroute?retry_failed=true

4. 黄/红场景下的可观测三板斧

  1. 日志
    cluster.name.log 里搜 failed to create shard/corrupt,直接给出行号。
  2. Metricbeat 监控
    重点看 elasticsearch.cluster.stats.status=red 的告警,配合 elasticsearch.node.stats.fs.available 预判磁盘踩线。
  3. Kibana Stack Monitoring
    左侧 “Elasticsearch → Indices” 视图,红色索引会高亮,点进去能看到 unassigned reason,省去手写 cat API。

5. 生产级 checklist(复制即可贴 Confluence)

  • 索引模板默认副本数 ≤ 节点数 – 1
  • 磁盘水位 low/high 分别 ≤ 85 %/90 %,并配 flood_stage 告警
  • 快照策略每日自动,Red 时可直接 restore
  • 节点优雅下线:
PUT _cluster/settings
{"transient":{"cluster.routing.allocation.exclude._name":"要下架的节点"}}

等待 GET _cat/shards 无该节点 shard 后再 kill 进程,杜绝人为 Red。

  • 集群重启顺序:先 master-eligible,再 data,最后 coordinate,避免 master 未形成共识导致 shard 乱飞。

6. 小结

Yellow 是“副本没地方放”,Red 是“主分片真的丢了”。
/_cluster/allocation/explain 一把梭,90 % 场景都能把原因定位到“磁盘、节点、副本数、损坏”四大类。
剩下的 10 %,先删索引保集群,再从快照恢复保业务——集群先 Green,再谈数据。
更多技术文章见公众号: 大城市小农民

Elasticsearch】es查看有问题的索引或者分片
九师兄
10-21 3644
1.概述 转载:https://blog.csdn.net/UbuntuTouch/article/details/108973356 当es集群我们可以使用如下的命令来对集群进行查看: GET _cluster/health?level=indices 上面的命令可以让我们定位到到底是哪一个或者哪一些索引有问题。 上面的命令显示的结果为: 从上面我们可以看出来 restored_logs_4 这个索引是有问题的。它显示的状态red,也即是红色。 我们也可以对 shard 进行查询: GET _c.
Elasticsearch集群状态YellowRed如何排查和处理?
maxcode
07-18 351
本文介绍了Elasticsearch集群状态YellowRed时的排查和处理方法。Yellow状态通常由数据节点不足、磁盘空间不足或节点故障导致,可通过增加节点、清理磁盘或调整配置恢复。Red状态表明主分片缺失,需优先恢复故障节点或从快照还原数据。文章提供了详细的curl命令用于诊断和修复,包括检查集群健康状态、分片分配情况和节点状态等关键指标,并给出了手动分配分片、调整水位线等具体操作步骤。对运维人员快速定位和解决Elasticsearch集群问题具有实用参考价值。
ElasticSearch集群常规检查及优化
不爱运动的跑者
06-20 1210
2014年开始接触ElasticSearch到现在已8年有余,由单点使用、主从复制、冷热架构到ILM机制的使用。这些年踩过不少坑,也总结了一些常规检查及优化方法今天分享给大家。集群是否健康,通常由三种状态颜色区分greenyellowred。非green状态通常由于有分片处于未分配状态导致,如果有副本分配未分配则会变为yellow,若主分片存在问题则直接为red。可以通过这么几个接口进行查看处理: 角色分配 集群通常至少由两种角色的节点组成,master节点和data节点,那我们如何判断角色配置
Elasticsearch 集群故障排查及修复指南
铭毅天下Elasticsearch
11-14 1万+
Elasticsearch 集群在运行的过程中,由于各种原因,经常会出现健康问题。比较直观的是:kibana监控、head插件监控显示集群非绿色(红色或者黄色)。遇到这种情况不要慌,本文...
Elasticsearch 常见的 8 种错误及最佳实践
hellozhxy的博客
08-05 4997
Elasticsearch 社区有大量关于 Elasticsearch 错误和异常的问题。 深挖这些错误背后的原因,把常见的错误积累为自己的实战经验甚至是工具,不仅可以节省我们的开发和运维时间,而且可以帮助确保 Elasticsearch 集群的长期健康运行。 常见的异常、原因和常规最佳实践拆解如下,这些最佳实践可以帮助我们更有效地识别、最小化定位和处理异常问题。 1、 Mapper_parsing_exception Elasticsearch 依靠映射(Mapping)定义的数据类型处理数据。
Elasticsearch故障诊断常用方法
qq_27639777的博客
05-20 1687
文章目录背景使用Profile API定位慢查询1. Query2. Rewrite Time3. Collectors使用[Explain API](https://www.elastic.co/guide/en/elasticsearch/reference/current/search-explain.html)分析未分配的分片(Unassigned Shards)诊断未分配的主分片诊断未分配的副分片诊断已分配的分片节点CPU使用率高节点内存使用率高bulk队列Netty缓冲indexing buff
curl -XGET &#39;http://10.13.164.100:9200/_cluster/health?pretty&#39; 返回值分析
03-28
用户可能在使用Elasticsearch,并且想要检查集群的健康状态。他们可能遇到了问题,或者只是想监控集群的运行状况。 首先,我要回忆一下Elasticsearch集群健康API返回的主要字段。通常包括`cluster_name`、`status...
Elasticsearch集群状态RED且存在未分配分片问题排查诊断
IT成长日记的博客
06-04 1207
Elasticsearch集群的健康状态是运维人员需要密切关注的指标之一,它直接反映了集群是否正常运行。当集群状态变为RED时,意味着至少有一个主分片及其副本分片不可用,这将导致数据不完整,严重影响集群的正常使用。通过本文提供的详细诊断流程和解决方案,运维人员可以有效应对ES集群RED状态问题,保障集群的稳定运行。记住,预防胜于治疗,良好的监控和容量规划可以避免大多数分片分配问题。
Error: Internal Server Error at fetch_Fetch.fetchResponse (http://localhost:5601/70088/bundles/core/core.entry.js:1:277774) at async http://localhost:5601/70088/bundles/core/core.entry.js:1:275707 at async http://localhost:5601/70088/bundles/core/core.entry.js:1:275664什么报错
08-08
2. **Elasticsearch集群问题**:集群状态green(如yellowred),或者分片分配问题(如引用[3]的shard失败)。 3. **Kibana配置错误**:如错误的Elasticsearch URL、认证失败等。 4. **资源不足**:Elasticsearch...
Unsuccessful (400) low level call on HEAD: /?pretty=true&error_trace=true Exception: 远程服务器返回错误: (400) 错误的请求。. Call: Status code 400 from: HEAD /?pretty=true&error_trace=true # Audit trail of this API call: - [1] BadResponse: Node: http://localhost:9220/ Took: 00:00:00.2118021 # OriginalException: Elastic.Transport.TransportException: 远程服务器返回错误: (400) 错误的请求。. Call: Status code 400 from: HEAD /?pretty=true&error_trace=true ---> System.Net.WebException: 远程服务器返回错误: (400) 错误的请求。 在 System.Net.HttpWebRequest.GetResponse() 在 Elastic.Transport.HttpWebRequestInvoker.<RequestCoreAsync>d__13`1.MoveNext() 位置 /home/runner/work/elastic-transport-net/elastic-transport-net/src/Elastic.Transport/Components/TransportClient/HttpWebRequestInvoker.cs:行号 151 --- 内部异常堆栈跟踪的结尾 --- # Request: <Request stream not captured or already read to completion by serializer. Set DisableDirectStreaming() on TransportConfiguration to force it to be set on the response.> # Response: <Response stream not captured or already read to completion by serializer. Set DisableDirectStreaming() on TransportConfiguration to force it to be set on the response.> # TCP states: Established: 95 TimeWait: 54 CloseWait: 23 SynSent: 14 FinWait1: 2 # ThreadPool statistics: Worker: Busy: 1 Free: 8190 Min: 12 Max: 8191 IOCP: Busy: 0 Free: 1000 Min: 12 Max: 1000
07-31
在C#代码中,我们可以捕获异常并查看响应流,因为Elasticsearch会在响应体中返回错误详情(即使状态码为400): ```csharp try { HttpWebRequest request = (HttpWebRequest)WebRequest.Create(...
elasticsearch7.x clusterAPI之allocation
荣耀之路
09-15 1309
allocation
Elasticsearch 分片管理解析
技术杂谈
06-12 2522
一个 shard 本质上就是一个 Lucene 索引,也是 Elasticsearch 分布式化 Lucene 的关键抽象,是 Elasticsearch 管理 Lucene 文件的最小单位。所以,Elasticsearch 提供了大量的接口,可以对集群内的 shard 进行管理。 一个 shard 本质上就是一个 Lucene 索引,也是 Elasticsearch 分布式化 Lucene 的关键抽象,是 Elasticsearch 管理 Lucene 文件的最小单位。 Elasticsearch 面试题
[译]使用explain API摆脱ElasticSearch集群RED苦恼
weixin_34186950的博客
04-05 712
原谅链接: https://www.elastic.co/blog/r... "哔......哗",PagerDuty的报警通知又来了. 可能是因为你又遭遇了节点宕机, 或者服务器机架不可用, 或者整个ElasticSearch集群重启了. 不管哪种情况, 当前集群状态都成为了RED: 因为当前有些分片不可被指派(到某个节点), 从而...
Elasticsearch 存储方式和管理优化细节
每日运维
02-23 1万+
Elasticsearch 的数据存储方式: Lucene 把每次生成的倒排索引,叫做一个段(segment).然后另外使用一个 commit 文件记录索引内所有的 segment,生成 segment 的数据来源,refresh到内存中的 buffer。 从写入refresh到文件缓存buffer中默认设置为 1 秒。 Elasticsearch 在把数据写入到内存 buffer 的同
干货 | Elasticsearch 集群健康值红色终极解决方案
热门推荐
铭毅天下Elasticsearch
11-04 4万+
题记 Elasticsearch当清理缓存( echo 3 &gt; /proc/sys/vm/drop_caches )的时候,出现 如下集群健康值:red,红色预警状态,同时部分分片都成为灰色。 查看Elasticsearch启动日志会发现如下: 集群服务超时连接的情况。 bserver: timeout notification from cluster service. ...
解决 Ubuntu使用 ADB 设备权限问题:no permissions (missing udev rules?)
weixin_47540149的博客
12-03 588
本文详细介绍了在Linux系统中解决ADB设备权限问题的步骤。当使用adb devices命令出现"no permissions (missing udev rules?)"错误时,表明当前用户缺少访问Android设备的权限。解决方案包括:1)通过lsusb获取设备的Vendor ID和Product ID;2)在/etc/udev/rules.d/目录下创建51-android.rules规则文件;3)配置正确的权限规则;4)重启udev和ADB服务。关键要点是确保用户已加入plug
ElasticSearch索引red,关键字 Too many open files
最新发布
weixin_42566359的博客
12-04 79
摘要:当Elasticsearch索引状态显示为red时,若发现"Too many open files"错误,表明主机文件句柄数不足。
【Git】Git的配置与使用(非常详细)
2302_79323248的博客
12-01 993
本文详细介绍了Git版本控制工具的核心概念、工作流程及常用操作。主要内容包括:Git的基本概念(仓库、工作目录、暂存区等);Git的安装与环境配置步骤;常用命令如初始化仓库、添加文件、提交修改、查看日志等;vi编辑器的基本使用方法;以及Git工作区与暂存区的状态转换机制。文章通过图文结合的方式,帮助读者快速掌握Git的基础操作,适合Git初学者学习参考。
ES在SpringBoot集成使用
2509_94095062的博客
11-30 1040
按i进入插入模式,就可以编辑了,编辑完按ESC退出编辑模式,输入:,进入底行模式,再输入wq强制保存并退出,这些命令不懂的话去学下liunx基础。可以进行索引的创建、文档的增删改查等操作。Kibana是ES的一个图形化操作工具,也可以使用es-head,这里我本人使用的是es-head,因此我讲的也是es-head安装。其中的高亮显示是在ES7.9.x版本才有的好像,我在ES7.7版本显示报错,有一个方法不支持了。- http://localhost:9200 //es容器的地址,ip要换成虚拟机ip。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乔丹搞IT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值