架构 - PB级资料实时查询 滴滴Elasticsearch多丛集架构实践 Elastic 公司开源的一系列产品组成的 Elastic Stack,可以为日志服务、搜索引擎、系统监控等提供简单、易用的解决方案。 滴滴 Elasticsearch 简介 滴滴 2016 年初开始构建 Elasticsearch 平台,如今已经发展到超过 3500+Elasticsearch 例项,超过 5PB 的资料储存,峰值写入 TPS 超过了 2000w/s 的超大规模。 Elasticsearch 在滴滴有着非常丰富的使用场景,例如线上核心的打车地图搜寻,客服、运营的度查询,滴滴日志服务等近千个平台使用者。 超大的规模和丰富的场景给滴滴 Elasticsearch 平台带来了极大的挑战,我们在这期间积累了丰富经验,也取得了一些成果。本文给大家分享滴滴在 Elasticsearch 多丛集架构的实践。 单丛集架构瓶颈 介绍单丛集架构瓶颈前,先来看下滴滴 Elasticsearch 单丛集的架构。 滴滴 Elasticsearch 单丛集架构 滴滴在单丛集架构的时候,写入和查询就已经通过 Sink 服务和 Gateway 服务管控起来。 ①Sink 服务 滴滴几乎所有写入 Elasticsearch 的资料都是经由 Kafka 消费入到 Elasticsearch。 Kafka 的资料包括业务 log 资料、MySQL Binlog 资料和业务自主上报的资料,Sink 服务将这些资料实时消费入到 Elasticsearch。 最初设计 Sink 服务是想对写入 Elasticsearch 丛集进行管控,保护 Elasticsearch 丛集,防止海量的资料写入拖垮 Elasticsearch。 之后我们也一直沿用了 Sink 服务,并将该服务从 Elasticsearch 平台分离出去,成立滴滴 Sink 资料投递平台,可以从 Kafka 或者 MQ 实时同步资料到 Elasticsearch、HDFS、Ceph 等多个储存服务。 有了多丛集架构后,Elasticsearch 平台可以消费一份 MQ 资料写入多个 Elasticsearch 丛集,做到丛集级别的容灾,还能通过 MQ 回溯资料进行故障恢复。 ②Gateway 服务 所有业务的查询都是经过 Gateway 服务,Gateway 服务实现了 Elasticsearch 的 HTTP Restful 和TCP协议。 业务方可以通过 Elasticsearch 各语言版本的 SDK 直接访问 Gateway 服务,Gateway 服务还实现了 SQL 界面,业务方可以直接使用 SQL 访问 Elasticsearch 平台。 Gateway 服务最初提供了应用许可权的管控,访问记录,限流、降级等基本能力,后面随着平台演进,Gateway 服务还提供了索引储存分离、DSL 级别的限流、多丛集灾备等能力。 ③Admin 服务 整个 Elasticsearch 平台由 Admin 服务统一管控起来。Admin 服务提供了索引的生命周期管理,索引容量自动规划,索引健康分,丛集监控等丰富的平台能力,以及为 Sink、Gateway 服务提供索引、许可权等元资料资讯。 Elasticsearch 单丛集瓶颈 随着滴滴 Elasticsearch 平台规模的快速发展,Elasticsearch 丛集越来越大,最大的时候,是由几百台物理机组成丛集,当时丛集共 3000+ 的索引,超过了 50000 个 Shard,丛集总容量达到了 PB 级别。 超大的 Elasticsearch 丛集面临了很大的稳定性风险,这些风险主要来自于以下三个方面: Elasticsearch 架构瓶颈索引资源共享风险业务场景差异大 Elasticsearch 架构瓶颈 Elasticsearch 架构在丛集变大到一定的规模会遇到瓶颈,瓶颈主要跟 Elasticsearch 任务处理模型有关。 Elasticsearch 看起来是 P2P 架构,但实际上,仍然是中心化的分散式架构。 整个丛集只有一个 Active Master。Master 负责整个丛集的元资料管理。 丛集的所有元资料储存在 ClusterState 物件中,主要包括全域性的配置资讯、索引资讯和节点资讯。只要元资料发生修改,都得由 Master 完成。 ElasticsearchMaster 的任务处理是单执行绪完成的,每次处理任务,涉及到 ClusterState 的改动,都会将最新的 ClusterState 物件 Publish 给丛集的全部节点,并阻塞等待全部节点接受到变更讯息,处理完变更任务后,才完成本次任务。 这样的架构模型导致在丛集规模变大的时候出现很严重的稳定性风险: 如果有节点假死,比如 JVM 内存被打满,程序还存活着,响应 Master 任务时间会很长,影响单个任务的完成时间。有大量恢复任务的时候,由于 Master 是单执行绪处理的,所有任务需要排队处理,产生大量的 pending_tasks。恢复时间变得很长。Elasticsearch 的任务分了优先级,例如 put-mapping 任务优先级低于建立、恢复索引,如果一些业务上低优先级索引在恢复,正常索引有新字段写入时会被阻塞。Master 任务处理模型,在任务执行完成后,会回拨大量 Listener 处理元资料变更。其中有些回拨逻辑在索引、Shard 膨胀后,会出现处理缓慢的问题,当 Shard 膨胀到 5-6w 时,一些任务处理需要 8-9s 的时间,严重影响了丛集的恢复能力。 针对这些问题,Elasticsearch 也在不断优化,针对相同型别的任务,比如 put-mapping 任务,Master 会一次性处理所有堆积在伫列里的相同任务。 ClusterState 物件只传递 diff 内容,优化回拨 Listener 模组的处理耗时环节等等。 但是由于整个丛集的任务都集中在一个 Master 的一个执行绪中处理,线上程中需要同步元资料变更给丛集的每个节点,并阻塞等待全部节点同步完成。这个模型在丛集规模不断膨胀时,稳定性会不断下降。 ①索引资源共享风险 Elasticsearch 索引是由多个 Shard 组成,Master 会动态给这些 Shard 分配节点资源。不同的索引会存在资源混部的情况。 Elasticsearch 通过 Shard Allocation Awareness 的设计,可以将丛集的节点按集合划分成不同的 Rack。 在分配索引时可以指定 Rack 列表,这样索引就只会分配在指定 Rack 对应的节点列表中,从而做到物理资源的隔离。 但是实际使用中,很多容量小的索引由于占用资源有限,会混部在一些节点中。 这种情况下,会因为个别索引的查询、写入量飙升,而影响到其他索引的稳定性。如果出现了节点故障,就会影响到整个丛集的稳定性。 整个丛集 Master、Clientnode 资源是共享的,Master 风险前面已经单独提及,Clientnode 共享带来的 GC、抖动、异常问题都会影响到丛集内的全部索引。 ②业务场景差异大 Elasticsearch 适用的业务场景差异特别大: 针对线上核心的入口搜寻,一般按城市划分索引后,索引容量不大,资料没有实时写入或者实时写入 TPS 很小。比如地图 POI 资料采用离线更新的方式,外卖商家、菜品写入量也很小。但是查询的 QPS 很高,查询对 RT 的平均时间和抖动情况要求很高。针对日志检索的场景,实时写入量特别大,有些索引甚至超过了 100w/s 的 TPS,该场景对吞吐量要求很高,但对查询 QPS 和查询 RT 要求不高。针对 Binlog 资料的检索,写入量相比日志会小很多,但是对查询的复杂度、QPS 和 RT 有一定的要求。针对监控、分析类的场景,聚合查询需求会比较多,对 Elasticsearch 内存压力较大,容易引起节点的抖动和 GC。 这些场景各异,稳定性、效能要求各不相同的场景,一个 Elasticsearch 丛集即使使用各种优化手段,很难全部满足需求,最好的方式还是按业务场景划分 Elasticsearch 丛集。 多丛集挑战 正是单丛集面临了非常大的稳定性风险,我们开始规划多丛集的架构。我们在设计多丛集方案的时候,期望对业务方是零感知的。 写入还是经过 Kafka,Sink 服务可以将不同 Topic 的资料入到不同的 Elasticsearch 丛集。 查询继续通过 Gateway 服务,而且业务方仍然像之前一样传递索引名称,而无需感知到平台内部的索引分布。所有的索引在不同丛集的分布细节,均由 Gateway 服务遮蔽。 整个改造最大的挑战在于查询方式的相容。Elasticsearch 查询索引的方式非常灵活,可以支援 * 号作为万用字元匹配。 这样一个索引 Query 可能查询的是多个索引,比如有如下 3 个索引: index_aindex_bindex_c 使用 index* 查询的时候,可以同时查询到 index_a、index_b、index_c 三个索引。 Elasticsearch 这种实现方式非常简单,由于一次 Query 最终查询的是多个 Shard 的资料。 所以无论对于具体的索引,还是模糊的索引,都是先根据索引名称得到 Shard 列表,再将多个 Shard 的 Query 结果 Merge 到一起返回。 这样的使用方式,对于多丛集方案就会遇到问题,比如 index_a 在 A 丛集,index_b 在 B 丛集、index_c 在 C 丛集,对于 index* 的 Query,就无法在一个丛集上完成。 Tribenode 介绍 经过调研,我们发现 Elasticsearch Tribenode 特性可以很好的满足多丛集查询的特性。 Tribenode 的实现非常巧妙。org.elasticsearch.tribe 包下只有三个档案,核心类是 TribeService。 Tribenode 的核心原理就是 Merge 每个丛集的 ClusterState 物件成一个公共的 ClusterState 物件,ClusterState 包含了索引、Shard 和节点资料分布表。 而 Elasticsearch 的工作逻辑都是基于 ClusterState 元资料驱动的,所以对外看起来就是一个包含全部索引的 Clientnode。 Tribenode 通过配置多个 Elasticsearch 丛集地址,然后以 Clientnode 角色分别连线每个丛集,每个丛集看起来会多了一个 Clientnode。 Tribenode 通过该 Clientnode 角色获取到丛集的 ClusterState 资讯,并系结 Listener ClusterState 变化。 Tribenode 将获取的所有丛集的 ClusterState 资讯 Merge 到一起,形成一个对外部访问使用的 ClusterState 物件,对外提供服务。 Tribenode 除了注册 Listener 和 Merge ClusterState,其他的所有逻辑都是复用了 Clientnode 的程式码。 可以看到 Tribenode 的优点: 能够满足多丛集访问的需求,对外使用是透明的。实现的简单、优雅,可靠性有保证。 同时 Tribenode 有些不足的地方: Tribenode 必须以 Clientnode 加入到每个 Elasticsearch 丛集,Master 的变更任务必须等待 Tribenode 的回应才能继续,可能影响到原丛集的稳定性。Tribenode 不会持久化 ClusterState 物件,重启时需要从每个 Elasticsearch 丛集获取元资料。而在获取元资料期间,Tribenode 就已经能够提供访问,会导致查询到还在初始化中的丛集索引访问失败。Tribenode 连线的丛集多了,初始化会变得很慢。针对该缺陷,我们平台在重启某个 Tribenode 丛集时,将 Gateway 访问该丛集的全部流量切到备份 Tribenode 丛集解决。如果多个丛集有相同的索引名称,Tribenode 只能设定一种 Perfer 规则:随机、丢弃、Prefer 指定丛集。这可能带来查到不符合预期的异常。滴滴 Elasticsearch 平台通过统一管控索引,避免了同一个索引名称出现在 Tribenode 连线的多个丛集中。 正是 Tribenode 有了这些瑕疵,Elasticsearch 在高版本引入了 Cross ClusterSearch 的设计,Cross Cluster 不会以节点的形式连线到其他丛集,只是将请求代理。 目前我们还在评估 Cross Cluster 的方案,这里不展开介绍。 多丛集架构拓扑 最终改造后,我们的丛集架构拓扑如下: 按照不同的应用场景,平台将 Elasticsearch 丛集划分成四种类型:Log 丛集、Binlog 丛集、文件资料丛集、独立丛集。公共丛集一般最多 100 台 Datanode 为基准组成一个丛集。 我们利用滴滴云实现了丛集的自动化部署和弹性扩缩容,可以很方便的水平扩充套件丛集。 Elasticsearch 丛集前面是多组 Tribenode 丛集,主要是为了解决 Tribenode 的稳定性问题。 Gateway 会同时连线 Tribenode 丛集和 Elasticsearch 丛集,根据应用访问的索引列表,配置应用访问的丛集名称。 Gateway 根据丛集名称,将请求代理到指定丛集访问,如果访问的是 Tribenode 丛集,则该应用可以访问到多个丛集的索引。 Admin 服务则管控了所有的 Elasticsearch 丛集,以及索引和丛集的对应关系。一系列功能都针对多丛集做了改造。 Sink 服务已经从 Elasticsearch 平台分离出去,成立 DSink 资料投递平台。 DSink Manager 负责管理 DSink 节点,DSink Manager 从 Elasticsearch Admin 服务获取索引的元资料资讯,下发给对应的 DSink 节点。 多丛集架构实践总结 多丛集架构收益 Elasticsearch 多丛集架构改造给 Elasticsearch 平台带来了如下收益: Elasticsearch 平台的隔离性可以从物理节点级别上升到 Elasticsearch 丛集级别。对于核心的线上应用,可以使用独立的 Elasticsearch 丛集支援。不同型别的资料按丛集划分,避免相互影响,减小了故障的影响面,对平台稳定性带来极大的提升。Elasticsearch 平台的扩充套件能力进一步提升,通过新增丛集可以很好的做到水平扩充套件。多丛集架构最终做到了对业务方无感知,业务看起来,Elasticsearch 平台就像一个无限大的 Elasticsearch 丛集,而无需感知索引真实的丛集分布。 多丛集架构实践经验 滴滴 Elasticsearch 平台多丛集的架构已经演进了一年半时间,这期间也遇到一些多丛集架构带来的挑战。 ①Tribenode 稳定性挑战 随着丛集数量越来越多,前面提到的 Tribenode 不足越来越明显,比如初始化的时间越来越长等等。 我们采取的应对策略是部署多组 Tribenode 丛集,有几组连线全量的丛集,互为灾备,有几组只连线核心的一些丛集,用作更为重要的跨丛集访问场景。 Tribenode 的 ClusterState 元资料包含了太多的索引和 Shard,Elasticsearch 的 Search 逻辑在有些 Case 处理下容易出现耗时过长的情况。 Elasticsearch 在 Client 接收到 Search 请求时,是在 Netty 的 IO 执行绪中完成请求转发给每个 Shard 的,低版本的 Elasticsearch 还没有限制一次 Query 的 Shard 数量。 在一些复杂的模糊索引匹配 Shard 的逻辑中,以及给每个 Shard 传送 Query 请求时,会出现较高的耗时,可能有超过 1-2s 的 Case,这会影响到该 Netty Worker 上的其他的请求,造成部分响应飙高的情况。 我们优化了 Tribenode Search 流程中一些索引、Shard 膨胀之后的耗时逻辑,解决了该问题。 ②多丛集配置、版本统一的挑战 在只有一个丛集的时候,平台只用维护一份丛集的配置和版本。当丛集数量增多后,不同丛集间的 _cluster settings 资讯会出现部分差异。 这些差异,可能会导致丛集间的负载不均,恢复速度过快或者过慢等问题,每个丛集还有一份基础的索引模板配置,这里面也出现了部分差异。 这个问题目前我们还在解决中,我们计划将 Admin 服务分离成索引管理服务和丛集管理服务,丛集管理会专注于丛集版本、配置、部署、扩容、监控等方面对 Elasticsearch 丛集进行更全面的管控。 我们做的一些 Elasticsearch 源代码优化,会先后在部分丛集上线,这样导致了丛集间的版本混乱的问题。 我们的解决方案是在 Elasticsearch 和 Lucene 内增加内部的版本号,通过公司内部的释出系统,释出 Elasticsearch 的更新,后续丛集管理服务会将丛集的版本管理起来。 ③多丛集间容量均衡的挑战 我们主要从跨丛集索引迁移和容量规划解决丛集间容量均衡的挑战,在单 Elasticsearch 丛集的时候,资料迁移可以依赖 Elasticsearch 的 Rebalance 能力完成。 在使用多丛集架构后,平台内部的 Elasticsearch 丛集会出现资源分配不均的问题。 例如有些索引容量增长的很快,导致所在丛集的资源紧张,有些索引资料减少,不需要占用太多资源,导致丛集资源空闲。 于是产生了索引跨丛集迁移的需求。针对这个需求,我们通过给索引新增版本号,解决了索引跨丛集迁移问题。之后我们有文章会详细的介绍该方案。 滴滴 Elasticsearch 平台实现了索引容量的自动规划,解决了丛集间的容量均衡。 Elasticsearch 平台可以动态的规划索引的容量。当一个丛集容量规划不足时,平台可以动态的迁移一部分索引到空闲的丛集中。 新的索引接入需求会优先接入在空闲的丛集资源中。滴滴 Elasticsearch 平台是如何实现索引容量的自动规划,也请期待后续的分享。 总结 滴滴的多丛集架构,最初是为了解决 Elasticsearch 单丛集架构的瓶颈。为了支援多丛集架构,后面的很多元件都需要考虑连线多个丛集的场景,给平台架构带来了一定的复杂性。 但是多 Elasticsearch 丛集带来的稳定性和隔离性的提升,它所带来的收益远远大于架构的复杂性。 改造成多丛集架构后,我们扛住了 Elasticsearch 平台规模爆炸式增长,Elasticsearch 平台的规模翻了 5 倍多,多丛集架构很好的支撑了业务的快速发展。