我之前碰到过几乎一模一样的场景：Docker部署的ELK因为服务器空间耗尽删容器重建后，ES本地curl能正常访问，但Logstash和Kibana却一直报连接超时。结合你的配置和报错信息，大概率是Docker网络残留或者服务启动顺序不匹配导致的，咱们一步步来解决：

1. 先清理Docker残留资源（最可能快速解决问题） #

容器重建后，旧的网络配置、缓存数据卷可能残留，导致容器间通信异常：

1. 先停止所有ELK相关容器：

   docker-compose down
   

2. 删除旧的elk网桥（避免残留的网络规则干扰）：

   docker network rm elk
   

3. 如果不需要保留旧的ES数据，可以清理未使用的Docker卷（注意：这会删除所有未挂载的卷，确认后执行）：

   docker volume prune
   

4. 重新启动ELK集群：

   docker-compose up -d
   

启动后观察容器日志，如果还是超时，继续下一步排查。

2. 解决服务启动顺序问题：让Logstash/Kibana等ES真正就绪再启动 #

depends_on只是保证ES容器启动了，但ES服务可能还在初始化（比如加载插件、初始化集群状态），这时候Logstash/Kibana去连接就会触发超时。咱们给ES添加健康检查，让其他组件等ES完全就绪后再启动：

修改你的docker-compose.yml：

• 给elasticsearch服务添加健康检查：

  elasticsearch:
    build:
      context: elasticsearch/
      args:
        ELK_VERSION: $ELK_VERSION
    volumes:
      - ./elasticsearch/config/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml:ro
    ports:
      - "9200:9200"
      - "9300:9300"
    environment:
      ES_JAVA_OPTS: "-Xmx512m -Xms512m"
      ELASTIC_PASSWORD: XXXXX
    networks:
      - elk
    # 添加健康检查，等待ES集群状态变为green
    healthcheck:
      test: ["CMD-SHELL", "curl -s http://elastic:${ELASTIC_PASSWORD}@localhost:9200/_cluster/health | grep -q '\"status\":\"green\"'"]
      interval: 10s
      timeout: 10s
      retries: 5
  

• 修改logstash和kibana的depends_on，等待ES健康检查通过：

  logstash:
    # ... 其他配置保持不变 ...
    depends_on:
      elasticsearch:
        condition: service_healthy
  
  kibana:
    # ... 其他配置保持不变 ...
    depends_on:
      elasticsearch:
        condition: service_healthy
  

修改完成后重新启动容器，这时候Logstash和Kibana会等ES的集群状态稳定为green后再启动，避免初始化阶段的连接超时。

3. 手动排查容器间的网络连通性 #

如果上面两步都没用，咱们直接验证容器间的通信是否正常：

1. 查看Logstash容器ID：

   docker ps | grep logstash
   

2. 进入Logstash容器，尝试ping ES的服务名：

   docker exec -it <你的logstash容器ID> ping elasticsearch
   

   如果ping不通，说明Docker网桥的DNS解析有问题，试试重启Docker服务：

   systemctl restart docker  # 适用于Linux系统
   

3. 再在Logstash容器里直接curl ES：

   docker exec -it <你的logstash容器ID> curl -GET 'http://elastic:XXXXX@elasticsearch:9200'
   

   如果这个curl操作超时，说明容器间网络存在故障，可能需要检查宿主机的防火墙规则，或者重启宿主机后再试。

4. 确认ES的监听配置 #

你的elasticsearch.yml里network.host: 0.0.0.0是正确的，但可以再验证ES容器内的监听状态：

1. 进入ES容器：

   docker exec -it <你的elasticsearch容器ID> bash
   

2. 查看9200端口的监听情况：

   netstat -tulpn | grep 9200
   

   确认输出里是0.0.0.0:9200，而不是只绑定127.0.0.1（如果是后者，容器外能访问但容器间无法连通）。

按这个流程排查下来，基本能解决你碰到的问题。

内容的提问来源于stack exchange，提问作者Louis-Clément