从零搭建高可用 Elasticsearch 三节点集群:实战避坑全指南
你有没有遇到过这样的场景?日志越堆越多,grep查半天都找不到关键信息;数据库查询慢得像蜗牛,前端用户抱怨“怎么又卡了”;监控系统告警满天飞,却无法快速定位根因……这些问题的背后,往往是因为缺乏一个强大、灵活、可扩展的数据检索与分析引擎。
而Elasticsearch,正是为解决这类问题而生的利器。它不仅是 ELK 栈的核心,更是现代可观测性体系的基石。但很多开发者在初次尝试时都会被“安装成功却连不上”、“节点起不来”、“主节点选举失败”等问题绊住脚步。
今天,我们就以一次真实的生产级部署为例,手把手带你完成Elasticsearch 三节点集群的完整搭建流程,不讲虚的,只讲你在文档里看不到的“人话”和实战经验。目标很明确:让你不仅能装上,还能稳住、能用、能排查问题。
为什么是“三节点”?不是单机也不是五台?
先别急着敲命令,咱们得搞清楚一件事:为什么要搭集群?还非得是三个节点?
单节点够用吗?不够!
虽然本地跑个单实例做测试没问题,但一旦进入类生产环境,单点风险太高:
- 节点宕机 → 全部服务中断
- 数据丢失 → 没有副本恢复机制
- 写入压力大 → 性能瓶颈明显
更致命的是,单节点无法实现真正的“高可用”——哪怕你配置再强,也逃不过“一块硬盘坏了全完蛋”的命运。
那两个节点行不行?也不推荐!
听起来好像冗余了,但实际上两节点集群存在严重的“脑裂(Split Brain)”隐患:
假设两个节点之间网络抖动断开,每个节点都认为对方挂了,于是各自选自己当主节点。结果就是两个“主”,数据开始分裂,最终可能导致数据错乱甚至丢失。
这就是典型的偶数节点带来的投票平局问题。
所以,三个节点成了最小高可用架构的“黄金选择”
- 容忍1个节点故障,其余两个仍可形成多数派(quorum),维持集群正常运行;
- 支持设置1个副本分片,确保数据不丢;
- 不会出现选票平局(3票中至少2票决定胜负);
- 成本可控,适合中小团队或初期项目。
一句话总结:三节点是在成本、稳定性与容错能力之间的最佳平衡点。
环境准备:别跳过这一步,90%的问题出在这儿
我们使用的环境如下:
| 节点名 | IP 地址 | 操作系统 |
|---|---|---|
| es-node-1 | 192.168.1.10 | CentOS 7 |
| es-node-2 | 192.168.1.11 | CentOS 7 |
| es-node-3 | 192.168.1.12 | CentOS 7 |
所有节点均分配16GB 内存 + 8核CPU + 500GB SSD,满足中等负载需求。
关键前置操作清单(必须执行!)
# 1. 关闭防火墙(或开放端口) systemctl stop firewalld systemctl disable firewalld # 或者保留防火墙,只放行必要端口 firewall-cmd --permanent --add-port=9200/tcp firewall-cmd --permanent --add-port=9300/tcp firewall-cmd --reload # 2. 关闭 SELinux setenforce 0 sed -i 's/^SELINUX=enforcing/SELINUX=permissive/' /etc/selinux/config # 3. 安装 OpenJDK 11(ES 7+ 强制要求) yum install -y java-11-openjdk-devel # 验证版本 java -version⚠️ 注意:Elasticsearch 7.x 开始不再自带 JDK,必须外部提供 Java 11 环境。
创建专用用户(安全规范)
不要用 root 启动 ES!这是红线。
# 创建 elasticsearch 用户组和用户 groupadd elasticsearch useradd -g elasticsearch elasticsearch # 解压包并授权 tar -zxvf elasticsearch-7.17.4-linux-x86_64.tar.gz -C /opt/ chown -R elasticsearch:elasticsearch /opt/elasticsearch-7.17.4 ln -s /opt/elasticsearch-7.17.4 /usr/local/es配置文件详解:每一条都不能错
进入/usr/local/es/config/elasticsearch.yml,这是整个集群的灵魂所在。下面是我在线上稳定运行的配置模板,逐项解释其作用。
基础集群参数
# 所有节点必须一致,否则无法发现彼此 cluster.name: my-es-cluster # 每台机器唯一,建议按主机命名 node.name: es-node-1 # 角色分配:这里采用混合角色模式 node.master: true # 可参与主节点选举 node.data: true # 存储数据 node.ingest: true # 处理预处理管道(如grok解析)💡 小贴士:小规模集群推荐混合部署;大规模建议拆分为专用主节点 + 数据节点 + 协调节点。
网络与通信配置
# 绑定实际网卡IP,不要写 0.0.0.0! network.host: 192.168.1.10 # HTTP 接口,默认9200 http.port: 9200 # 节点间通信端口,默认9300 transport.port: 9300❗ 重点提醒:
network.host必须指定具体 IP,否则可能绑定到 localhost,导致其他节点无法连接。
发现机制(Discovery)——最容易出错的部分
这是集群能否“抱团”的关键。
# 初始主节点候选列表(首次启动时使用) discovery.seed_hosts: - "192.168.1.10:9300" - "192.168.1.11:9300" - "192.168.1.12:9300" # 仅在第一次启动集群时设置!告诉系统哪些节点有资格成为主节点 cluster.initial_master_nodes: - "es-node-1" - "es-node-2" - "es-node-3"🔥 极重要说明:
cluster.initial_master_nodes只能在集群初始化时存在,后续重启应注释掉。- 如果忘记删除,可能会导致节点拒绝加入集群。
- 名称必须与
node.name完全一致,大小写敏感!
这个机制叫做voting configuration,取代了旧版的minimum_master_nodes,更加安全可靠。
安全与资源控制
# 锁定内存,防止被 swap 换出(严重影响性能) bootstrap.memory_lock: true # 允许跨域访问(开发调试用,生产建议限制 origin) http.cors.enabled: true http.cors.allow-origin: "*"JVM 调优:让 ES 不再“频繁暂停”
Elasticsearch 是 Java 应用,它的性能很大程度取决于 JVM 表现。很多人直接用默认配置,结果上线后 GC 日志刷屏,节点频繁“假死”。
修改jvm.options
路径:/usr/local/es/config/jvm.options
# 堆内存设置:建议不超过物理内存的一半,且 ≤31GB(避免指针压缩失效) -Xms8g -Xmx8g # 使用 G1GC 垃圾回收器(官方推荐,低延迟) -XX:+UseG1GC # 自动调整 G1 参数 -XX:MaxGCPauseMillis=200📌 经验值参考:
- 数据量 < 100GB:4~8GB 堆内存足够
- 查询复杂度高(聚合多):可适当提高至 12~16GB
- 切记不要超过 31GB!否则 JVM 会关闭对象指针压缩(Compressed OOPs),反而降低性能
开启内存锁定(mlockall)
编辑/etc/security/limits.conf:
elasticsearch soft memlock unlimited elasticsearch hard memlock unlimited如果是通过 systemd 启动,还需修改服务文件:
# /etc/systemd/system/elasticsearch.service [Service] ... LimitMEMLOCK=infinity然后验证是否生效:
curl http://localhost:9200/_nodes?filter_path=**.mlockall # 返回 true 表示成功文件系统优化:别让磁盘拖后腿
Elasticsearch 对磁盘 I/O 非常敏感,尤其是段合并和刷新操作。
推荐做法:
- 使用SSD 固态硬盘
- 数据目录独立挂载,避免与系统盘争抢 IO
- 多块磁盘可配置多个 data path 实现轮询写入
path: data: - /data/es/data1 - /data/es/data2 logs: /data/es/logs权限设置:
mkdir -p /data/es/{data1,data2,logs} chown -R elasticsearch:elasticsearch /data/es启动与验证:一步步确认集群状态
切换到 elasticsearch 用户启动:
su - elasticsearch cd /usr/local/es # 前台启动(推荐首次使用,方便看日志) ./bin/elasticsearch等待输出出现类似日志:
[INFO ][o.e.c.c.ClusterBootstrapService] [es-node-1] setting initial configuration to [...] [INFO ][o.e.c.s.MasterService] [es-node-1] elected-as-master join existing cluster ...说明主节点已选出,集群正在形成。
检查集群健康状态
新开终端执行:
curl -X GET "http://192.168.1.10:9200/_cluster/health?pretty"期望返回:
{ "cluster_name" : "my-es-cluster", "status" : "green", "number_of_nodes" : 3, "number_of_data_nodes" : 3 }状态说明:
-green:一切正常,所有主分片和副本分片都已分配
-yellow:主分片 OK,但副本未分配(常见于单节点或副本数 > 节点数)
-red:有主分片未分配,数据不可读
查看节点列表
curl -X GET "http://localhost:9200/_cat/nodes?v"输出示例:
ip heap.percent ram.percent cpu load_1m roles node.name 192.168.1.10 45 70 2 0.15 md es-node-1 192.168.1.11 42 68 1 0.10 md es-node-2 192.168.1.12 40 69 1 0.08 md es-node-3看到三个节点都在,角色正确,说明集群已就绪。
测试索引创建与查询
来点真家伙,验证写入能力:
# 创建一个带副本的索引 curl -X PUT "http://localhost:9200/test_index" \ -H 'Content-Type: application/json' \ -d '{ "settings": { "number_of_shards": 3, "number_of_replicas": 1 } }'查看分片分布:
curl "http://localhost:9200/_cat/shards/test_index?v"你应该能看到每个主分片都有对应的副本分布在不同节点上,这才是真正的高可用设计。
常见问题与排错秘籍
问题一:节点无法加入集群,“No living connections”
典型日志:
failed to ping master node ... No living connections排查步骤:
1. 检查telnet 192.168.1.xx 9300是否通
2. 确认discovery.seed_hosts中地址可达
3. 检查network.host是否绑定到了错误接口(比如 docker0)
4. 防火墙是否拦截了 9300 端口?
✅ 解决方案:优先使用 IP 而非主机名,避免 DNS 解析问题。
问题二:集群状态 red,没有主节点
典型表现:日志反复打印 “waiting for eligible master nodes”
根本原因:
-cluster.initial_master_nodes配置错误
- 节点名称拼写不一致(如多了空格)
- data 目录残留旧集群元数据
解决方案:
1. 清理各节点的 data 目录:rm -rf /data/es/data1/*
2. 确保initial_master_nodes列表中的名字和node.name完全匹配
3.仅在首次启动时保留该配置,之后注释掉
问题三:内存锁定失败,“memory locking requested but not possible”
错误日志:
Unable to lock JVM Memory: error=13, reason=Permission denied解决方法:
1. 在/etc/security/limits.conf添加 memlock 无限权限
2. 若使用 systemd,需在 service 文件中添加LimitMEMLOCK=infinity
3. 重启 session 或 reboot 生效
写在最后:你已经掌握了核心能力
通过这次实战,你应该已经做到了以下几点:
- 理解了三节点集群的设计逻辑与防脑裂机制;
- 能独立完成从环境准备到配置调优的全流程;
- 掌握了最关键的几个参数含义及其影响;
- 学会了如何查看日志、诊断常见问题。
这不仅仅是一次“安装”,更是迈向Elasticsearch 运维与架构能力升级的第一步。
接下来你可以继续探索:
- 如何结合Kibana实现可视化监控;
- 使用Filebeat收集日志写入 ES;
- 配置TLS 加密通信提升安全性;
- 用Ansible自动化批量部署;
- 最终将集群迁移到 Kubernetes 上,实现弹性伸缩。
但请记住:最好的学习方式,永远是从一次完整的动手实践开始。
如果你在搭建过程中遇到了本文没覆盖的问题,欢迎留言交流。毕竟,每一个报错背后,都藏着一次成长的机会。
