es集群状态red排查流程

最新推荐文章于 2025-06-04 21:47:27 发布
转载 最新推荐文章于 2025-06-04 21:47:27 发布 · 6.6k 阅读 · 19 ·
CC 4.0 BY-SA版权
原文链接:https://www.cnblogs.com/tcy1/p/14293423.html#886745359
文章标签:

#elasticsearch #服务器 #centos

转载 https://www.cnblogs.com/tcy1/p/14293423.html#886745359

es集群状态red

问题描述

公司有一套kibana日志收集系统,组合方式为filebeat+elasticsearch+kibana,elasticsearch使用三台服务器组合成集群。近期公司的zabbix服务器持续告警某台服务器cpu使用率在80%以上,
登录服务器首先查看是哪个服务器对cpu占用过多,查看是因为es导致。

排查思路

  1. 针对es集群占用cpu使用率过高问题

 因es集群仅作为kibana日志收集使用,所以使用es-head首先查看集群状态

  1. 针对es集群red状态问题

# es集群的几种状态

green:所有主分片和副本都可用

yellow:所有主分片都可用,但不是所有副本分片都可用

red:不是所有主分片都可用,这意味着缺少数据:搜索只能返回部分数据,而分配到这个分片上的写入请求会返回一个异常。

# 查看es集群当前状态(当前集群都在线,没有问题)

[root@VM-30-28-centos logs]# curl -s 172.31.30.28:9200/_cat/nodes

172.31.30.28 63 96 4 0.02 0.16 0.36 dilm - VM-30-28-centos

172.31.30.88 20 98 9 0.32 0.50 0.56 dilm * VM-30-88-centos

172.31.30.48 60 97 9 0.91 0.73 0.83 dilm - VM-30-48-centos

疑问:虽然处于red状态,但是集群状态没有问题

# 1.查看系统最大打开文件描述符数是否够用

[root@VM-30-28-centos logs]# df -i # 使用都在百分之一左右,丝毫不影响

Filesystem Inodes IUsed IFree IUse% Mounted on

devtmpfs 2030545 346 2030199 1% /dev

tmpfs 2033272 7 2033265 1% /dev/shm

tmpfs 2033272 469 2032803 1% /run

tmpfs 2033272 16 2033256 1% /sys/fs/cgroup

/dev/vda1 3276800 65778 3211022 3%

/ tmpfs 2033272 1 2033271 1%

/run/user/0

/dev/vdb1 32768000 161045 32606955 1% /opt

查看当前健康状态,发现未分配分片数居然达到了三千多,并且集群中所有活跃的分片数和主分片数达成了一致,也就是未分配的都是副本分片,主分片处于活跃状态,
由于灾备原则,主分片和其对应副本不能同时在一个节点上,es无法找到其他节点来存放第三个副本的分片,所以导致了集群处于red状态

但是为什么会出现es无法找到其他节点来存放第三个副本分片呢?

原因如下:

① 副本太多,节点太少,es无法完成分片

​ 解决方式:1. 减少副本数 2. 增加节点数

② 分片被锁住了

​ 解决方式: 尝试分配,或者手动分配, 可以指定"accept_data_loss" : true。但这样会导致数据完全丢失。

③ 有节点短暂离开集群,然后重新加入,并且有线程对某个分片做bulk或者scroll等长时间写入操作,等节点重新加入集群,由于分片 lock灭有释放,master无法分配这个分片,
通常/_cluster/reroute?retry_failed=true可以解决问题,如果依然无法解决,可能还有其他原因导致锁住该shard的线程长时间操作该shard无法释放锁(长时间GC?)。 所以有可能是索引过大导致。

# 查看所有索引的状态,大小等

curl -XGET 'http://172.31.30.28:9200/_cat/indices?v'

这里的截图并不完整,当时有red状态的索引和yellow状态的索引,这里的解决办法直接将red状态索引删除处理

删除red状态索引方式,但我这里仅作为日志索引,所以影响不大,删除需要结合实际情况考虑

curl -XGET 'http://172.31.30.28:9200/_cat/indices?v'|grep 'red' |awk '{print $3}'|xargs -i curl -XDELETE "http://172.31.30.88:9200/{}"

后续查看es-head状态,es集群状态从red转为yellow,删除red索引后个别索引从yellow状态变为green状态

总结:#

遇到集群Red时,我们可以从如下方法排查 :

  • 集群层面:curl -s 172.31.30.28:9200/_cat/nodes 或者 GET _cluster/health
  • 索引层面:GET _cluster/health?pretty&level=indices
  • 分片层面:GET _cluster/health?pretty&level=shards
  • 恢复情况:GET _recovery?pretty

有unassigned分片的排查思路 :

  • 先诊断:GET _cluster/allocation/explain
  • 重新分配: /_cluster/reroute

实在无法分配:

  • 索引重建:

    ① 新建备份索引:

    curl -XPUT ‘http://xxxx:9200/a_index_copy/‘ -d ‘{ “settings”:{ “index”:{ “number_of_shards”:3, “number_of_replicas”:2 } } }

    ② 通过reindex api将a_index数据copy到a_index_copy:

    POST _reindex { "source": { "index": "a_index" }, "dest": { "index": "a_index_copy", "op_type": "create" } }

    ③ 删除a_index索引,这个必须要先做,否则别名无法添加

    curl -XDELETE 'http://xxxx:9200/a_index'

    ④ 给a_index_copy添加别名a_index

    curl -XPOST 'http://xxxx:9200/_aliases' -d ' { "actions": [ {"add": {"index": "a_index_copy", "alias": "a_index"}} ] }'

    translog总结

    • translog在节点有问题时,能够帮助阻止数据的丢失

      设计目的:

      1、帮助节点从失败从快速恢复。

      2、辅助flush。避免在flush过程中数据丢失。

    插播一下,translog的知识#

    • 我们把数据写到磁盘后,还要调用fsync才能把数据刷到磁盘中,如果不这样做在系统掉电的时候就会导致数据丢失,这个原理相信大家都清楚,elasticsearch为了高可靠性必须把所有的修改持久化到磁盘中。
    • 我们的数据先写入到buffer里面,在buffer里面的数据时搜索不到的,同时将数据写入到translog日志文件之中。如果buffer快满了,或是一段时间之后,就会将buffer数据refresh到一个新的OS cache之中。
    • translog的作用:在执行commit之前,所有的而数据都是停留在buffer或OS cache之中,无论buffer或OS cache都是内存,
      一旦这台机器死了,内存的数据就会丢失,所以需要将数据对应的操作写入一个专门的日志文件之中。
    • 一旦机器出现宕机,再次重启的时候,es会主动的读取translog之中的日志文件数据,恢复到内存buffer和OS cache之中。
      整个commit过程就叫做一个flush操作
    • 其实translog的数据也是先写入到OS cache之中的,默认每隔5秒之中将数据刷新到硬盘中去,也就是说,
      可能有5秒的数据仅仅停留在buffer或者translog文件的OS cache中,如果此时机器挂了,
      会丢失5秒的数据,但是这样的性能比较好,我们也可以将每次的操作都必须是直接fsync到磁盘,但是性能会比较差。

附:

查看es状态

# 附,命令方式查看es:

curl -uelastic:pwd -XGET "http://172.31.30.28:9200/_cluster/health?pretty"

{

"cluster_name" : "es-for-joyuai-log", # es集群名称

"status" : "green", # es集群状态

"timed_out" : false, # 是否出现超时

"number_of_nodes" : 3, # es节点数

"number_of_data_nodes" : 3, # es数据节点数

"active_primary_shards" : 1167, # 集群中所有活跃的主分片数

"active_shards" : 2334, # 集群中所有活跃的分片数

"relocating_shards" : 0, # 当前节点迁往其他节点的分片数量,通常为0,当有节点加入或者退出时该值会增加

"initializing_shards" : 0, # 正在初始化的分片

"unassigned_shards" : 0, # 未分配的分片数,通常为0,当有节点加入或者退出时该值会增加。 "delayed_unassigned_shards" : 0, # 延迟未分配的分片数

"number_of_pending_tasks" : 0, # 是指主节点创建索引并分配shards等任务,如果该指标数值一直未减小代表集群存在不稳定因素

"number_of_in_flight_fetch" : 0,

"task_max_waiting_in_queue_millis" : 0,

"active_shards_percent_as_number" : 100.0 # 集群分片的可用性百分比,如果为0则表示不可用

}

脚本删除30天前的日志索引

#!/bin/bash

#删除ELK30天前的日志

DATE=`date -d "30 days ago" +%Y.%m.%d`

curl -s -XGET http://172.31.30.88:9200/_cat/indices?v| grep $DATE | awk -F '[ ]+' '{print $3}' >/tmp/elk.log

for elk in `cat /tmp/elk.log`

do

 curl -XDELETE "http://172.31.30.88:9200/$elk"

done

#

Elasticsearch集群状态为Yellow或Red如何排查和处理?
maxcode
07-18 141
本文介绍了Elasticsearch集群状态为Yellow或Red时的排查和处理方法。Yellow状态通常由数据节点不足、磁盘空间不足或节点故障导致,可通过增加节点、清理磁盘或调整配置恢复。Red状态表明主分片缺失,需优先恢复故障节点或从快照还原数据。文章提供了详细的curl命令用于诊断和修复,包括检查集群健康状态、分片分配情况和节点状态等关键指标,并给出了手动分配分片、调整水位线等具体操作步骤。对运维人员快速定位和解决Elasticsearch集群问题具有实用参考价值。
Elasticsearches 集群健康值 红色 red 分片 未分配
九师兄
06-25 6415
1.概述 转载:https://zhuanlan.zhihu.com/p/101608973 转载这篇文章是因为根据我的文章 【Elasticsearchelasticsearch 7.x 查看分片未分配 (UNASSIGNED) 的原因 【ElasticsearchElasticsearch 集群健康值红色 解决方案 或者 分片 未分配 讲解了大部分分片未分配的原因,但是一步一步的排查,深入的排查,这篇文章可以弥补。 前言 可能你经历过这些Red. 。。。等等 那ESRed是神么意思? 这里说的r
还在为ES集群Red/Yellow烦恼?带你进行场景拆解
thlzjfefe的博客
06-11 2127
集群Yellow代表有副本分片没有分配到节点。副本没分配,读的性能就不如以往好,写基本不受影响。集群Red代表有主分片没有分配到节点。主分片未分配,那Red索引的读写都会受影响。此表可作为工具表,当Explain出现如下desider时可以搜索排查。Decider类名解释awarenessAwareness 主要用来控制副本的分配,用户做一些跨机架、机房、可用区的高可用。腾讯云的多可用区便由Awareness进行划Zone控制。
Elasticsearch集群状态RED问题排查
我的便当盒
01-30 621
Elasticsearch集群状态RED问题排查
Elasticsearch集群状态RED且存在未分配分片问题排查诊断
最新发布
IT成长日记的博客
06-04 900
Elasticsearch集群的健康状态是运维人员需要密切关注的指标之一,它直接反映了集群是否正常运行。当集群状态变为RED时,意味着至少有一个主分片及其副本分片不可用,这将导致数据不完整,严重影响集群的正常使用。通过本文提供的详细诊断流程和解决方案,运维人员可以有效应对ES集群RED状态问题,保障集群的稳定运行。记住,预防胜于治疗,良好的监控和容量规划可以避免大多数分片分配问题。
Elasticsearch集群状态健康值处于red状态问题分析与解决(图文详解)
w36680130的博客
12-20 954
Elasticsearch集群状态健康值处于red状态问题分析与解决(图文详解)
ElasticsearchES集群中索引状态red如何处理
喝醉酒的小白
01-03 2250
ElasticsearchES集群中索引状态为表示该索引中至少有一个主分片不可用(无法分配或丢失),这可能导致数据丢失或服务不可用。以下是排查索引状态为通过以下命令确认哪些索引的状态为。
谁再问elasticsearch集群Red怎么办?把这篇笔记给他
独行侠梦的博客
01-08 2397
前言 可能你经历过这些Red. 。。。等等 那ESRed是神么意思? 这里说的red,是指es集群状态,一共有三种,green、red、yellow。具体含义: 冷静分析 从上图可知,集群red是由于有主分片不可用,这种情况一般是由于节点宕机。 有什么影响呢? 至少一个主分片(以及它的全部副本)都在缺失中。这意味着你在缺少数据:搜索只能返回部分数据,而分配到这个分片上的写入请求会返回一个...
Es集群状态red
cc62480507的博客
10-18 2519
es集群状态下节点red修复
ES--解决集群健康状态Red、Yellow的问题
IT利刃出鞘的博客
08-03 2768
本文介绍如何修复ES的非健康状态(黄色或者红色)。
ES集群red状态排查与恢复
大数据,大模型,服务器,技术、架构,方案
06-07 6099
ES开箱即用,本身并没有太多需要配置、调整的参数,平时使用中最大的问题应该就是状态的处理恢复了。现某用户使用的ES集群报health状态为要求技术支持。我们首先看到用户提供的状态信息: 上述信息后台可以通过命令获取: 上述GET命令也可以直接粘贴在浏览器里获得结果。​ 已知信息是生产环境实际上的ES的数据节点(data node)理论上是99个,现在是98个,master节点是3个。​ 用户已经反馈从管理界面上观察ES所有实例服务状态全部正常,但集群health是,这里的差异在于管理页面是检查进程pid判断
线上 ELK 集群健康值 red 状态问题排查与解决
XYC3939的博客
08-07 1204
之前一直运行正常的数据分析平台,最近一段时间没有注意发现日志索引数据一直未生成,大概持续了n多天,当前状态: 单台机器, Elasticsearch(下面称ES)单节点(空集群),1000+shrads, 约200G大小。 问题排查 服务器内存,CPU状态检查 使用 top 查看服务器 cpu,内存等占用情况,如下图示(当时楼主的服务器ES应用的CPU占用在90%以上,肯定有问题) 内...
Elasticsearch8.17 集群常见问题排查与解决
maxcode
03-19 242
若系统索引(如 .kibana)被阻塞,可能导致 Kibana 显示 “Kibana Server is not Ready yet” 等问题。字段数量过多(如超过 index.mapping.total_fields.limit)会导致性能问题。若分片未迁移,可通过 cluster allocation explain API 获取分配阻塞原因。此版本优化了结构,添加了子标题、代码块格式化及步骤分点,同时保留了所有原始技术细节和解决方案。JVM 内存使用率持续超过 85% 会导致性能下降和断路器触发。
es集群问题排查、常用命令、参数解析
Elaina_fang✨✨✨的博客
10-26 2813
分析:通过Allocation Explain API 发现创建索引失败,因为无法找到标记了相应box type的节点。解决:删除索引,集群变绿,重新创建索引,并且指定正确的routing box type,索引创建成功集群保持绿色状态。此时直接删除索引磁盘空间是不会释放的,可以通过调整阈值,将集群状态变为yellow。问题:es节点磁盘占用较高,达到阈值,集群状态red。解决:将索引的副本数设置为0,或者通过增加节点解决。
es创建的索引状态一直是red
智的博客
12-23 506
今天使用elasticsearch api创建索引的时候遇到一个奇怪的问题,就是索引能够创建成功,可是状态red,也就是没法使用,之前创建过得索引就能正常使用,这就很奇怪,然后去查看了es的日志,发现了以下问题。问题描述是因为我磁盘超过了90%,他不会在进行分片,所以只需要把磁盘减低就可以正常使用了。
Elasticsearch数据库的基本使用及ES健康状态red问题处理
2301_80895674的博客
11-22 764
我这边使用es主要是涉及了创建索引(index名称),删除索引(index名称),判断索引是否存在(index名称),查询全部索引,新增数据(索引名称,数据对象),删除数据(index名称,数据id),获取某一条数据(index名称,数据id),分页查询数据(index名称,数据id,分页参数)mappingBuilder.startObject() 是在创建索引的时候把索引中字段映射关系提前新建,不这样做的话,如果你查询的时候用了一些特定的条件的话,会报错(当新建索引,而且索引中没有添加过数据的时候)
锦囊妙计解决elasticsearch集群red状态
Angus
04-19 2942
如何是自己搭建的elasticsearch集群,其实是比较容易发生丢失分片的情况的。 1. 如果集群丢失了主分片 则直接呈现红色的健康状态 严重的会影响到对集群的写入,因为如果主分片丢了,但是集群的master节点会记着,有这个分片存在。所以写数据的时候,会报错。 2.如果是丢失副本分片, 则集群会呈现黄色的健康状态 不影响写入和查询操作。 究竟都有哪些原因导致集群丢失分片呢 针对我使用一年elasticsearch的经验,遇到过的错误,进行总结。我的elasticsearch是九...
es red
qq_44912603的博客
11-24 1478
之前在IDC机房环境部署了一套ELK日志集中分析系统, 这里简单总结下ELK中Elasticsearch健康状态相关问题, Elasticsearch的索引状态集群状态传达着不同的意思。 一. Elasticsearch 集群健康状态 一个 Elasticsearch 集群至少包括一个节点和一个索引。或者它 可能有一百个数据节点、三个单独的主节点,以及一小打客户端节点——这些共同操作一千个索引(以及上万个分片)。但是不管集群扩展到多大规模,你都会想要一个快速获取集群状态的途径。Cluster Healt
k8s检查es集群状态的命令
04-01
<think>嗯,用户之前问过如何修复Elasticsearch在Kubernetes中的配置问题,现在他们想了解如何检查ES集群状态的k8s命令。我需要确保回答符合他们当前的上下文,可能是他们在维护ES集群,遇到了问题,需要监控状态。 首先,用户可能需要基本的检查命令,比如kubectl相关的操作,查看Pod状态。他们可能运行在k8s环境中,所以可能需要如何进入Pod执行ES的API请求。比如用kubectl exec进入Pod然后curl集群健康状态。 然后,考虑到用户之前处理过SSL和HTTPS的问题,应该提醒他们在curl命令中使用HTTPS和证书,比如--cacert或者-k选项,特别是如果他们启用了安全配置的话。可能需要提到不同环境下的情况,比如测试和生产环境中如何处理证书验证。 另外,用户可能需要检查ES的日志,所以kubectl logs命令也是必要的。他们可能需要查看是否有错误或警告信息,特别是之前提到的集群发现或SSL相关的问题。 还要考虑是否有其他相关资源需要检查,比如Service和Endpoint,确保网络通信正常。PVC的状态也很重要,确保存储没有问题,特别是ES的数据持久性。 最后,可能需要一些高级检查,比如通过REST API获取更详细的集群信息,节点状态,或者分片分配情况。这些可以帮助用户深入诊断问题。 需要确保回答结构清晰,分步骤说明,每个命令有示例和注释,让用户容易理解和执行。同时注意之前用户遇到的配置问题,提醒他们检查相关配置是否生效,比如SSL设置是否正确应用。</think>以下是检查 KubernetesElasticsearch 集群状态的常用命令及分步说明: --- ### 一、基础检查(Kubernetes 层面) #### 1. 查看 Pod 运行状态 ```bash kubectl get pods -n <命名空间> -l app=elasticsearch-master # 示例输出: # NAME READY STATUS RESTARTS AGE # elasticsearch-master-0 1/1 Running 0 2d ``` ✅ **关键点**: - `STATUS` 应为 **Running** - `RESTARTS` 数值异常增长可能表示有崩溃问题 #### 2. 检查容器日志 ```bash kubectl logs -n <命名空间> elasticsearch-master-0 -c elasticsearch ``` 🔍 **重点关注日志中的关键词**: - `Cluster health status changed from [RED] to [YELLOW]`(集群健康状态) - `master not discovered yet`(节点发现故障) - `SSL handshake failed`(证书或协议问题) --- ### 二、Elasticsearch 集群健康检查 #### 1. 进入 Pod 执行 API 请求 ```bash kubectl exec -it -n <命名空间> elasticsearch-master-0 -- curl -k -u elastic:密码 https://localhost:9200/_cluster/health?pretty ``` ✅ **预期输出**: ```json { "cluster_name" : "elasticsearch", "status" : "green", # ✅ 健康状态(green/yellow/red) "number_of_nodes" : 1, # ✅ 实际节点数 "active_shards" : 15, "relocating_shards" : 0, "unassigned_shards" : 0 # ❌ 若大于0需排查 } ``` #### 2. 检查节点列表 ```bash kubectl exec -it -n <命名空间> elasticsearch-master-0 -- curl -k -u elastic:密码 https://localhost:9200/_cat/nodes?v ``` ✅ **预期输出**: ```text ip heap.percent ram.percent cpu load_1m load_5m load_15m node.role master name 10.42.1.5 35 98 5 0.01 0.03 0.05 dilmrt * elasticsearch-master-0 ``` --- ### 三、进阶诊断命令 #### 1. 检查分片分配状态 ```bash kubectl exec -it -n <命名空间> elasticsearch-master-0 -- curl -k -u elastic:密码 https://localhost:9200/_cat/shards?v ``` 🔍 **关注列**: - `STATE` 应为 `STARTED`(异常值:`UNASSIGNED`) - `NODE` 显示分片所在节点 #### 2. 检查主节点选举 ```bash kubectl exec -it -n <命名空间> elasticsearch-master-0 -- curl -k -u elastic:密码 https://localhost:9200/_cat
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值