记录 Elastic Stack 的升级过程（一）

一、背景

公司生产环境的ELK集群上线于2016年10月，当时使用的稳定版本如下：

Elasticsearch  2.3.4
Logstash 2.3.4-1 
Filebeat 2.3.4
Kibana 4.5.3-1

可以看到，上面虽然都同属于Elastic公司的开源产品，但版本号较为混乱。于是Elastic公司在主版本2之后，统一了Elastic Stack所有的产品版本号，直接跳到5。并且，5版本相较于2版本，有了较大幅度的优化和更新。

截止本文完成时，Elastic Stack的最新稳定版本刚刚更新至6.2.1。考虑到产品稳定性和升级难度，我们决定将整个ELK集群统一升级至次新版本5.6.7，该版本是5版本的最新稳定版本。

本次升级首先在开发环境的ELK集群上操作。在升级的过程中，主要参考了Elastic Stack的官方文档，但是也踩到了很多文档中没有提到的坑。因此 ，我决定将这次的升级过程较为完整的记录下来，以备升级生产环境时使用。

本次升级按照如下顺序：

Elasticsearch
Kibana 
Logstash 
Filebeat

二、Elasticsearch

Elasticsearch 升级主要参考：https://www.elastic.co/guide/en/elasticsearch/reference/5.6/rolling-upgrades.html#upgrade-node

1. JDK版本要求

Elasticsearch 5.6.7 要求JDK版本最低为1.8，而当前为1.7，故需要先升级JDK，步骤：

下载JDK 1.8
地址：http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

卸载旧JDK
rpm -e jdk

安装新JDK
rpm -ivh XX.rpm

修改环境变量
修改/etc/profile中的路径为1.8的路径：

image.png

重启或执行 source /etc/profile使之生效

2. 升级前准备

具体步骤如下：

停止Logstash
升级Elasticsearch前，先停止Logstash服务，对外不再接受Filebeat的日志（Filebeat服务无需关闭）。

禁用集群的分片自动分配功能

curl -XPUT http://IP:9200/_cluster/settings -d' 
{ 
"transient" : { 
"cluster.routing.allocation.enable" : "none" 
} 
}' 

同步数据
curl -XPOST http://IP:9200/_flush/synced

关闭所有节点的服务
service elasticsearch stop

升级Elasticsearch

注意，这里使用rpm安装时，不要使用-Uvh选项升级，而是先卸载旧的版本，再使用-ivh安装。另外，旧的配置文件不建议继续使用，而是将所配置内容替换到新版的配置文件中，除了个别配置外大部分仍然兼容。

对每一个Elasticsearch节点， 我们都要执行如下操作：
卸载旧版本
rpm -e elasticsearch
注意，卸载后，旧的配置文件会以rpmsave后缀保留。

安装新版本
rpm -ivh XX.rpm

卸载所有插件
进入/usr/share/elasticsearch目录，执行bin/elasticsearch-plugin list列出所有插件，然后执行 bin/elasticsearch-plugin remove xxx 卸载对应的插件即可。

禁用ES_HEAP_SIZE配置
Elasticsearch 2.4中的内存调优参数ES_HEAP_SIZE现已不再支持，即配置文件/etc/sysconfig/elasticsearch中的ES_HEAP_SIZE配置，已经挪至/etc/sysconfig/jvm.options中。具体请参考：
https://www.elastic.co/guide/en/elasticsearch/reference/current/heap-size.html
https://www.elastic.co/guide/en/elasticsearch/reference/current/jvm-options.html

删除配置bootstrap.mlockall
配置文件/etc/elasticsearch/elasticsearch.yml中，配置bootstrap.mlockall : true在新版中已不再被支持，需要删除，否则会出现如下错误：

image.png

启动Elasticsearch
service elasticsearch start

开启集群的分片自动分配功能

curl -XPUT http://IP:9200/_cluster/settings -d' 
{ 
"transient" : { 
"cluster.routing.allocation.enable" : "all" 
} 
}' 

等待集群恢复完毕
恢复完毕后，执行curl 'IP:9200/_cat/health?v'，如果显示状态为green，表示恢复正常，升级成功：

image.png

启动Elasticsearch时遇到的问题

升级Elasticsearch后，启动时可能会出现一些问题，包括：

node.lock错误

启动失败，日志中出现如下错误：

image.png

该错误是由于elasticsearch使用到的相关路径的权限有问题，执行：chown -R elasticsearch:root path，将日志路径、数据文件路径、配置路径都进行权限设置。

bootstrap checks错误

启动失败，执行service elasticsearch status出现elasticsearch dead but subsys locked, 并且日志中出现如下错误：

image.png

或

image.png

上面的错误，是因为有些必要的配置没有通过Elasticsearch的检查，我们首先保证启用如下配置：

max file descriptors
修改/etc/security/limits.conf,如下：

image.png

max number of threads
修改/etc/security/limits.d/90-nproc.conf中* soft nproc 1024 为 * soft nproc 2048

memory locking
在/etc/elasticseach/elasticsearch.yml中，添加配置 bootstrap.system_call_filter=false
最后，确保/etc/sysconfig/elasticsearch中启用如下三个配置：

image.png

三、Kibana

Kibana5 已不再兼容Elasticsearch 2。因此，升级Elasticsearch 后，必须也要升级Kibana。

升级Kibana

具体步骤如下：

• 停止Kibana
  service kibana stop

• 卸载旧版本
  rpm -e kibana

• 安装新版本
  rpm -ivh XX.rpm

• 升级配置
  手动将旧的配置文件中的配置，替换到新版配置文件中的对应条目中，但注意要确定这些配置在新版本中能否兼容。

• 启动Kibana
  service kibana start

注意事项

升级过程中，有如下几点需要注意：

• 注意Kibana的安装路径变为/usr/share/kibana
• 版本必须要适配，若Kibana是5.6.7， Elasticsearch也要是5.6.7
• 若启动时出现权限问题，参考https://github.com/elastic/kibana/issues/7924解决：

[root@elk kibana]# adduser kibana
[root@elk kibana]# chown -R kibana:kibana /opt/kibana/optimize
[root@elk kibana]# service kibana start

启动Kibana时遇到的问题

依次升级完Elasticsearch和Kibana后，查看Kibana，可能会出现如下错误：

image.png

解决办法可以参考https://github.com/elastic/kibana/issues/9888，执行curl -XDELETE http://ip:port/.kibana删除以前创建的Kibana索引，然后重启Kibana。

四、Logstash

Logstash的升级主要参考：https://www.elastic.co/guide/en/logstash/5.6/upgrading-logstash-5.0.html

升级Logstash

开发环境部署了两套Logstash作为负载均衡，我们需要依次进行升级：

• 升级JDK至1.8
  同Elasticsearch，Logstash也需要JDK1.8，升级方法参考Elasticsearch。

• 卸载旧版本
  rpm -e logstash

• 安装新版本
  rpm -ivh XX.rpm

配置Logstash

安装完毕后，可以发现，Logstash的配置目录中有些变化，多了jvm.options、log4j2.properties、logstash.yml、startip.options：

image.png

我们可以按需修改logstash.yml中的日志和数据路径：

image.png

image.png

注意，这些路径需要提前建立好，并执行chown -R logstash:root path授予logstash:root权限。

启动Logstash

一定要注意，新版的Logstash不再支持service启动方式，需要使用sudo initctl start logstash，具体参考：https://www.elastic.co/guide/en/logstash/6.2/running-logstash.html

另外，新版Logstash的conf配置中，也不再支持workers这个参数设置，需要删掉，否则会出现如下错误：

image.png

Logstash成功启动后，若Filebeat上传了新的日志，就可以在新版的Kibana中查询到。

五、Filebeat

由于某些原因，Filebeat 在2017已经由2.3.4升级到了的5.0.0。因此，本次属于次版本升级，较为方便。Filebeat的升级主要参考：https://www.elastic.co/guide/en/beats/libbeat/5.6/upgrading-minor-versions.html

运行rpm -Uvh XX.rpm进行升级，然后重启Filebeat即可。另外，由于Filebeat服务部署在了很多节点上，一个个升级非常麻烦，所以可以利用Fabric或Ansible等工具进行远程批量的升级。

六、总结

除了上面提到的一些问题，可能还有很多坑暂时没有发现，需要一步一步填。另外，ELK集群的4个重要组件升级完毕后，还有一些辅助的组件或插件也需要升级，如Elasticsearch的管理工具Curator、Kopf等，我将在下一篇文章中进行阐述。

欢迎关注本人微信公众号：

爱你之心.jpg