滴滴 Elasticsearch 多叢集架構實踐
Elasticsearch 是基於 Lucene 實現的分散式搜尋引擎,提供了海量資料實時檢索和分析能力。Elastic 公司開源的一系列產品組成的 Elastic Stack,可以為日誌服務、搜尋引擎、系統監控等提供簡單、易用的解決方案。
一、滴滴 Elasticsearch 簡介
滴滴 2016 年初開始構建 Elasticsearch 平臺,如今已經發展到超過 3500+ Elasticsearch 例項,超過 5PB 的資料儲存,峰值寫入 TPS 超過了 2000w/s 的超大規模。
Elasticsearch 在滴滴有著非常豐富的使用場景,例如線上核心的打車地圖搜尋,客服、運營的多維度查詢,滴滴日誌服務等近千個平臺使用者。
超大的規模和豐富的場景給滴滴 Elasticsearch 平臺帶來了極大的挑戰,我們在這期間積累了豐富經驗,也取得了一些成果。本文給大家分享下滴滴在 Elasticsearch 多叢集架構的實踐。
二、單叢集架構瓶頸
介紹單叢集架構瓶頸前,先來看下滴滴 Elasticsearch 單叢集的架構。
滴滴 Elasticsearch 單叢集架構
滴滴在單叢集架構的時候,寫入和查詢就已經通過 Sink 服務和 Gateway 服務管控起來。
Sink 服務
滴滴幾乎所有寫入 Elasticsearch 的資料都是經由 Kafka 消費入到 Elasticsearch。Kafka 的資料包括業務 Log 資料、MySQL Binlog 資料和業務自主上報的資料,Sink 服務將這些資料實時消費入到 Elasticsearch。
最初設計 Sink 服務是想對寫入 Elasticsearch 叢集進行管控,保護 Elasticsearch 叢集,防止海量的資料寫入拖垮 Elasticsearch,之後我們也一直沿用了 Sink 服務,並將該服務從 Elasticsearch 平臺分離出去,成立滴滴 Sink 資料投遞平臺,可以從 Kafka 或者 MQ 實時同步資料到 Elasticsearch、HDFS、Ceph 等多個儲存服務。
有了多叢集架構後,Elasticsearch 平臺可以消費一份 MQ 資料寫入多個 Elasticsearch 叢集,做到叢集級別的容災,還能通過 MQ 回溯資料進行故障恢復。
Gateway 服務
所有業務的查詢都是經過 Gateway 服務,Gateway 服務實現了 Elasticsearch 的HTTP Restful 和 TCP 協議,業務方可以通過 Elasticsearch 各語言版本的 SDK 直接訪問 Gateway 服務。Gateway 服務還實現了 SQL 介面,業務方可以直接使用 SQL 訪問 Elasticsearch 平臺。
Gateway 服務最初提供了應用許可權的管控,訪問記錄,限流、降級等基本能力,後面隨著平臺演進,Gateway 服務還提供了索引儲存分離、DSL 級別的限流、多叢集災備等能力。
Admin 服務
整個 Elasticsearch 平臺由 Admin 服務統一管控起來。Admin 服務提供了索引的生命週期管理,索引容量自動規劃,索引健康分,叢集監控等豐富的平臺能力,以及為 Sink、Gateway 服務提供索引、許可權等元資料資訊。
Elasticsearch 單叢集瓶頸
隨著滴滴 Elasticsearch 平臺規模的快速發展,Elasticsearch 叢集越來越大,最大的時候,是由幾百臺物理機組成叢集,當時叢集共 3000+ 的索引,超過了 50000 個 shard,叢集總容量達到了 PB 級別。超大的 Elasticsearch 叢集面臨了很大的穩定性風險,這些風險主要來自於以下三個方面:
- Elasticsearch架構瓶頸
- 索引資源共享風險
- 業務場景差異大
Elasticsearch 架構瓶頸
Elasticsearch 架構在叢集變大到一定的規模會遇到瓶頸,瓶頸主要跟 Elasticsearch 任務處理模型有關。
Elasticsearch 看起來是 P2P 架構,但實際上,仍然是中心化的分散式架構。整個叢集只有一個 active master。Master 負責整個叢集的元資料管理。叢集的所有元資料儲存在 ClusterState 物件中,主要包括全域性的配置資訊、索引資訊和節點資訊。只要元資料發生修改,都得由 master 完成。
Elasticsearch master 的任務處理是單執行緒完成的,每次處理任務,涉及到 ClusterState 的改動,都會將最新的 ClusterState 物件 publish 給叢集的全部節點,並阻塞等待全部節點接受到變更訊息,處理完變更任務後,才完成本次任務。
這樣的架構模型導致在叢集規模變大的時候出現很嚴重的穩定性風險:
- 如果有節點假死,比如 JVM 記憶體被打滿,程序還存活著,響應 master 任務時間會很長,影響單個任務的完成時間。
- 有大量恢復任務的時候,由於 master 是單執行緒處理的,所有任務需要排隊處理,產生大量的 pending_tasks。恢復時間變得很長。
- Elasticsearch 的任務分了優先順序,例如 put-mapping 任務優先順序低於建立、恢復索引,如果一些業務上低優先順序索引在恢復,正常索引有新欄位寫入時會被阻塞。
- master 任務處理模型,在任務執行完成後,會回撥大量 listener 處理元資料變更。其中有些回撥邏輯在索引、shard 膨脹後,會出現處理緩慢的問題,當 shard 膨脹到 5-6w 時,一些任務處理需要 8-9s 的時間,嚴重影響了叢集的恢復能力。
針對這些問題,Elasticsearch 也在不斷優化,針對相同型別的任務,比如 put-mapping 任務,master 會一次性處理所有堆積在佇列裡的相同任務。ClusterState 物件只傳遞 Diff 內容,優化回撥 listener 模組的處理耗時環節等等。
但是由於整個叢集的任務都集中在一個 master 的一個執行緒中處理,線上程中需要同步元資料變更給叢集的每個節點,並阻塞等待全部節點同步完成。這個模型在叢集規模不斷膨脹時,穩定性會不斷下降。
索引資源共享風險
Elasticsearch 索引是由多個 shard 組成,master 會動態給這些 shard 分配節點資源。 不同的索引會存在資源混部的情況。
Elasticsearch 通過 Shard Allocation Awareness 的設計,可以將叢集的節點按集合劃分成不同的 rack。在分配索引時可以指定 rack 列表,這樣索引就只會分配在指定 rack 對應的節點列表中,從而做到物理資源的隔離。
但是實際使用中,很多容量小的索引由於佔用資源有限,會混部在一些節點中。這種情況下,會因為個別索引的查詢、寫入量飆升,而影響到其他索引的穩定性。如果出現了節點故障,就會影響到整個叢集的穩定性。
整個叢集 master、ClientNode 資源是共享的,master 風險前面已經單獨提及,ClientNode 共享帶來的 GC、抖動、異常問題都會影響到叢集內的全部索引。
業務場景差異大
Elasticsearch 適用的業務場景差異特別大:
- 針對線上核心的入口搜尋,一般按城市劃分索引後,索引容量不大,資料沒有實時寫入或者實時寫入 TPS 很小,比如地圖 poi 資料採用離線更新的方式,外賣商家、菜品寫入量也很小。但是查詢的 QPS 很高,查詢對 RT 的平均時間和抖動情況要求很高。
- 針對日誌檢索的的場景,實時寫入量特別大,有些索引甚至超過了 100w/s 的 TPS,該場景對吞吐量要求很高,但對查詢 QPS 和查詢 RT 要求不高。
- 針對 Binlog 資料的檢索,寫入量相比日誌會小很多,但是對查詢的複雜度、QPS 和 RT 有一定的要求。
- 針對監控、分析類的場景,聚合查詢需求會比較多,對 Elasticsearch 記憶體壓力較大,容易引起節點的抖動和 GC 。
這些場景各異,穩定性、效能要求各不相同的場景,一個 Elasticsearch 叢集即使使用各種優化手段,很難全部滿足需求,最好的方式還是按業務場景劃分 Elasticsearch 叢集。
三、多叢集挑戰
正是單叢集面臨了非常大的穩定性風險,我們開始規劃多叢集的架構。我們在設計多叢集方案的時候,期望對業務方是零感知的。
寫入還是經過 Kafka,Sink 服務可以將不同 topic 的資料入到不同的 Elasticsearch 叢集。
查詢繼續通過 Gateway 服務,而且業務方仍然像之前一樣傳遞索引名稱,而無需感知到平臺內部的索引分佈。所有的索引在不同叢集的分佈細節,均由 Gateway 服務遮蔽。
整個改造最大的挑戰在於查詢方式的相容。Elasticsearch 查詢索引的方式非常靈活,可以支援 * 號作為萬用字元匹配。這樣一個索引 Query 可能查詢的是多個索引,比如有如下 3 個索引:
- index_a
- index_b
- index_c
使用 index* 查詢的時候,可以同時查詢到 index_a、index_b、index_c 三個索引。 Elasticsearch 這種實現方式非常簡單,由於一次 Query 最終查詢的是多個 shard 的資料,所以無論對於具體的索引,還是模糊的索引,都是先根據索引名稱得到 shard 列表,再將多個 shard 的 Query 結果 merge 到一起返回。
這樣的使用方式,對於多叢集方案就會遇到問題,比如 index_a 在 A 叢集,index_b 在 B 叢集、index_c 在 C 叢集,對於 index* 的 qQuery,就無法在一個叢集上完成。
TribeNode 介紹
經過調研,我們發現 Elasticsearch TribeNode 特性可以很好的滿足多叢集查詢的特性。
Tribenode 的實現非常巧妙。org.elasticsearch.tribe
包下只有三個檔案,核心類是 TribeService。TribeNode 的核心原理就是 merge 每個叢集的 ClusterState 物件成一個公共的 ClusterState 物件,ClusterState 包含了索引、shard 和節點資料分佈表。而 Elasticsearch 的工作邏輯都是基於 ClusterState 元資料驅動的,所以對外看起來就是一個包含全部索引的 ClientNode。
TribeNode 通過配置多個 Elasticsearch 叢集地址,然後以 ClientNode 角色分別連線每個叢集,每個叢集看起來會多了一個 ClientNode。TribeNode 通過該 ClientNode 角色獲取到叢集的 ClusterState 資訊,並繫結 listener 監聽 ClusterState 變化。TribeNode 將獲取的所有叢集的 ClusterState 資訊 merge 到一起,形成一個對外部訪問使用的 ClusterState 物件,對外提供服務。TribeNode 除了註冊 listener 和 merge ClusterState,其他的所有邏輯都是複用了 ClientNode 的程式碼。
可以看到 TribeNode 的優點:
- 能夠滿足多叢集訪問的需求,對外使用是透明的。
- 實現的簡單、優雅,可靠性有保證。
同時 TribeNode 有些不足的地方:
- TribeNode 必須以 ClientNode 加入到每個 Elasticsearch 叢集,master 的變更任務必須等待 TribeNode 的迴應才能繼續,可能影響到原叢集的穩定性。
- TribeNode 不會持久化 ClusterState 物件,重啟時需要從每個 Elasticsearch 叢集獲取元資料。而在獲取元資料期間, TribeNode 就已經能夠提供訪問,會導致查詢到還在初始化中的叢集索引訪問失敗。TribeNode 連線的叢集多了,初始化會變得很慢。針對該缺陷,我們平臺在重啟某個 TribeNode 叢集時,將 Gateway 訪問該叢集的全部流量切到備份 TribeNode 叢集解決。
- 如果多個叢集有相同的索引名稱,TribeNode 只能設定一種 perfer 規則:隨機、丟棄、prefer 指定叢集。這可能帶來查到不符合預期的異常。滴滴 Elasticsearch 平臺通過統一管控索引,避免了同一個索引名稱出現在 TribeNode 連線的多個叢集中。
正是因為 TribeNode 有了這些瑕疵,Elasticsearch 在高版本引入了 Cross Cluster Search 的設計,Cross Cluster 不會以節點的形式連線到其他叢集,只是將請求代理。目前我們還在評估 Cross Cluster 的方案,這裡不展開介紹。
四、多叢集架構拓撲
最終改造後,我們的叢集架構拓撲如下:
按照不同的應用場景,平臺將 Elasticsearch 叢集劃分成四種類型,Log 叢集、Binlog 叢集、文件資料叢集、獨立叢集。公共叢集一般最多 100 臺 datanode 為基準組成一個叢集。我們利用滴滴雲 實現了叢集的自動化部署和彈性擴縮容,可以很方便的水平擴充套件叢集。
Elasticsearch 叢集前面是多組 TribeNode 叢集,主要是為了解決 TribeNode的穩定性問題。
Gateway 會同時連線 TribeNode 叢集和 Elasticsearch 叢集,根據應用訪問的索引列表,配置應用訪問的叢集名稱,Gateway 根據叢集名稱,將請求代理到指定叢集訪問,如果訪問的是 TribeNode 叢集,則該應用可以訪問到多個叢集的索引。
Admin 服務則管控了所有的 Elasticsearch 叢集,以及索引和叢集的對應關係。一系列功能都針對多叢集做了改造。
Sink 服務已經從 Elasticsearch 平臺分離出去,成立 DSink 資料投遞平臺,DSink Manager 負責管理 DSink 節點,DSink Manager 從 Elasticsearch Admin 服務獲取索引的元資料資訊,下發給對應的 DSink節點。
五、多叢集架構實踐總結
多叢集架構收益
Elasticsearch 多叢集架構改造給 Elasticsearch 平臺帶來了如下收益:
- Elasticsearch 平臺的隔離性可以從物理節點級別上升到 Elasticsearch 叢集級別。對於核心的線上應用,可以使用獨立的 Elasticsearch 叢集支援。
- 不同型別的資料按叢集劃分,避免相互影響,減小了故障的影響面,對平臺穩定性帶來極大的提升。
- Elasticsearch 平臺的擴充套件能力進一步提升,通過新增叢集可以很好的做到水平擴充套件。
- 多叢集架構最終做到了對業務方無感知,業務看起來, Elasticsearch 平臺就像一個無限大的 Elasticsearch 叢集,而無需感知索引真實的叢集分佈。
多叢集架構實踐經驗
滴滴 Elasticsearch 平臺多叢集的架構已經演進了一年半時間,這期間也遇到一些多叢集架構帶來的挑戰:
- TribeNode 穩定性挑戰:
- 隨著叢集數量越來越多,前面提到的 TribeNode 不足越來越明顯,比如初始化的時間越來越長等等。我們採取的應對策略是部署多組 TribeNode 叢集,有幾組連線全量的叢集,互為災備,有幾組只連線核心的一些叢集,用作更為重要的跨叢集訪問場景。
- TribeNode 的 ClusterState 元資料包含了太多的索引和 shard,Elasticsearch 的 search 邏輯在有些 case 處理下容易出現耗時過長的情況。Elasticsearch 在 client 接收到 search 請求時,是在 netty 的 io 執行緒中完成請求轉發給每個 shard 的,低版本的 Elasticsearch 還沒有限制一次 Query 的 shard 數量,在一些複雜的模糊索引匹配 shard 的邏輯中,以及給每個 shard 傳送 Query 請求時,會出現較高的耗時,可能有超過 1-2s 的 case,這會影響到該 netty worker 上的其他的請求,造成部分響應飆高的情況。我們優化了 TribeNode Search 流程中一些索引、shard 膨脹之後的耗時邏輯,解決了該問題。
- 多叢集配置、版本統一的挑戰:
- 在只有一個叢集的時候,平臺只用維護一份叢集的配置和版本。當叢集數量增多後,不同叢集間的
_cluster settings
資訊會出現部分差異,這些差異,可能會導致叢集間的負載不均,恢復速度過快或者過慢等問題,每個叢集還有一份基礎的索引模板配置,這裡面也出現了部分差異。這個問題目前我們還在解決中,我們計劃將 Admin 服務分離成索引管理服務和叢集管理服務,叢集管理會專注於叢集版本、配置、部署、擴容、監控等方面對 Elasticsearch 叢集進行更全面的管控。 - 我們做的一些 Elasticsearch 原始碼優化,會先後在部分叢集上線,這樣導致了叢集間的版本混亂的問題。我們的解決方案是在 Elasticsearch 和 Lucene 內增加內部的版本號,通過公司內部的釋出系統,釋出 Elasticsearch 的更新,後續叢集管理服務會將叢集的版本管理起來。
- 在只有一個叢集的時候,平臺只用維護一份叢集的配置和版本。當叢集數量增多後,不同叢集間的
- 多叢集間容量均衡的挑戰:
- 我們主要從跨叢集索引遷移和容量規劃解決叢集間容量均衡的挑戰,在單 Elasticsearch 叢集的時候,資料遷移可以依賴 Elasticsearch 的 Rebalance 能力完成。在使用多叢集架構後,平臺內部的 Elasticsearch 叢集會出現資源分配不均的問題,例如有些索引容量增長的很快,導致所在叢集的資源緊張,有些索引資料減少,不需要佔用太多資源,導致叢集資源空閒。於是產生了索引跨叢集遷移的需求。針對這個需求,我們通過給索引新增版本號,解決了索引跨叢集遷移問題。之後我們有文章會詳細的介紹該方案。
- 滴滴 Elasticsearch 平臺實現了索引容量的自動規劃,解決了叢集間的容量均衡。Elasticsearch 平臺可以動態的規劃索引的容量。當一個叢集容量規劃不足時,平臺可以動態的遷移一部分索引到空閒的叢集中。新的索引接入需求會優先接入在空閒的叢集資源中。滴滴 Elasticsearch 平臺是如何實現索引容量的自動規劃,也請期待後續的分享。
六、總結
滴滴的多叢集架構,最初是為了解決 Elasticsearch 單叢集架構的瓶頸。為了支援多叢集架構,後面的很多元件都需要考慮連線多個叢集的場景,給平臺架構帶來了一定的複雜性。但是多 Elasticsearch 叢集帶來的穩定性和隔離性的提升,它所帶來的收益遠遠大於架構的複雜性。改造成多叢集架構後,我們扛住了 Elasticsearch 平臺規模爆炸式增長,Elasticsearch 平臺的規模翻了 5 倍多,多叢集架構很好的支撐了業務的快速發展。
本文作者:魏子珺