[TOC] Elasticsearch 是一個高度可擴展且開源的全文檢索和分析引擎。它可以讓您快速、近實時地存儲、檢索以及分析海量數據。它通常用作那些具有複雜搜索功能和需求的應用的底層引擎或者技術。 下麵是 Elasticsearch 一些簡單的使用案例 : 你經營一家網上商店,允許你的客戶搜索你銷 ...
Elasticsearch 是一個高度可擴展且開源的全文檢索和分析引擎。它可以讓您快速、近實時地存儲、檢索以及分析海量數據。它通常用作那些具有複雜搜索功能和需求的應用的底層引擎或者技術。
下麵是 Elasticsearch 一些簡單的使用案例 :
- 你經營一家網上商店,允許你的客戶搜索你銷售的產品。在這種情況下,您可以使用 Elasticsearch 來存儲您的整個產品的目錄和庫存,並且為他們提供搜索和自動完成的建議。
- 您希望收集日誌或事務數據,並且希望分析和挖掘這些數據以查找趨勢、統計數據、摘要或異常。在這種情況下,您可以使用logstash(elasticsearch/logstash/kibana堆棧的一部分)來收集、聚合和分析您的數據,然後讓logstash將這些數據輸入elasticsearch。一旦數據進入ElasticSearch,您就可以運行搜索和聚合來挖掘您感興趣的任何信息。
- 您運行一個價格警報平臺,它允許價格精明的客戶指定一個規則,例如“我有興趣購買特定的電子小工具,如果小工具的價格在下個月內低於任何供應商$x,我希望得到通知”。在這種情況下,您可以獲取供應商價格,將其推送到ElasticSearch,並使用其反向搜索(Percolator)功能根據客戶查詢匹配價格變動,最終在找到匹配後將警報推送給客戶。
- 您有分析/商務智能需求,並且希望快速調查、分析、可視化並針對大量數據(想想數百萬或數十億條記錄)提出特別問題。在這種情況下,您可以使用ElasticSearch來存儲數據,然後使用Kibana(ElasticSearch/Logstash/Kibana堆棧的一部分)來構建自定義儀錶盤,以可視化對您重要的數據方面。此外,還可以使用ElasticSearch聚合功能對數據執行複雜的商業智能查詢。
對於本教程的其餘部分,我將引導您完成 Elasticsearch 的啟動和運行的過程,同時瞭解其原理,並執行像indexing(索引),searching(查詢)和 modifing(修改)數據的基礎操作。在本教程的最後一部分,您應該可以清楚的瞭解到 Elasticsearch 是什麼,它是如何工作的,並有希望獲得啟發。看您如何使用它來構建複雜的搜索應用程式或者從數據中挖掘出想要的信息。
1、基本概念
這裡有一些關於 Elasticsearch 的核心概念。從一開始瞭解這些概念有助於減少學習過程。
1.1 Near Realtime(NRT 近實時)
Elasticsearch 是一個近實時的搜索平臺。這意味著從您索引一個文檔開始直到它可以被查詢時會有輕微的延遲時間(通常為一秒)。
1.2 Cluster(集群)
集群是一個或者多個節點(伺服器)的集合,它們一起保存您的數據,並且所有節點提供聯合索引以及搜索功能。集群存在一個唯一的名稱標識,該名稱預設為 “elasticsearch”。這個名字非常重要,因為如果要將節點加入集群,只能通過設置相同的集群名稱加入對應的集群。
請確保在不同環境中使用不同的集群名稱,否則可能最終會將節點加入到了錯誤的集群中。例如,可以使用 logging-dev,logging-stage,以及 logging-prod 用於 development(開發),staging(演示)和 production(生產)集群。
註意,一個有效的良好運行的集群至少要有一個節點。此外,還可以有多個獨立的集群並且每個集群都有它自己唯一的cluster name(集群名)。
1.3 Node(節點)
節點是一個單獨的伺服器,它是集群的一部分,存儲數據,並參與集群中的索引和搜索功能。像集群一樣,節點也由一個名稱標識,預設情況下,該名稱是在啟動時分配的一個隨機的 UUID(通用唯一標識符)。如果不想使用預設名稱也可自定義任何節點名稱。此名稱對於管理目的很重要,因為您希望確定網路中的哪些伺服器對應於ElasticSearch集群中的哪些節點。
可以通過配置 cluster name 指定節點加入到對應的集群中。預設情況下,每個節點都會被加入到名為 elasticsearch 的集群中,這也就意味著如果您在網路中啟動許多節點(假設它們可以發現彼此),那麼它們都將自動形成並加入一個名為 elasticsearch 的集群。
在單個集群中,您可以擁有任意多個節點。此外,如果在當前網路中沒有其它 elasticsearch 結點在運行,則啟動一個結點將會預設形成一個叫 elasticsearch 的單結點集群。
1.4 Index(索引)
索引是具有某種相似特性的文檔集合。例如,您有一個消費者數據的索引,一個產品目錄的索引,和一個訂單數據的索引。索引通過一個名字(必須全部是小寫)來標識,並且該名字在對 document(文檔)執行 indexing(索引),search(搜索),update(更新)和 delete(刪除)操作時會涉及到。
在單集群中,您可以定義多個索引。
1.5 Type(類型)
在 Index(索引)中,可以定義一個或多個類型。一個類型是索引中一個邏輯的種類/分區,它的語義完全取決於您自己。一般情況下,一個類型被定義成一組常見欄位的文檔。例如,假設您運行著一個博客平臺並且在一個單獨的索引中存儲了所有的數據。在這個索引中,您也許定義了一個用戶數據類型,博客數據類型,和評論數據類型。根據規劃,Elastic 6.x 版只允許每個 Index 包含一個 Type,7.x 版將會徹底移除 Type。
一種類型曾經是索引的邏輯類別/分區,允許您在同一索引中存儲不同類型的文檔,例如一種類型用於用戶,另一種類型用於博客文章。在一個索引中不能再創建多個類型,在以後的版本中將刪除類型的整個概念。有關詳細信息,請參見刪除映射類型以獲取更多信息。
1.6 Document(文檔)
文檔是索引信息的基本單位。例如,您可以為單個客戶創建一個文檔,為單個產品創建另一個文檔,為單個訂單創建另一個文檔。文檔以 JSON 來表示,它是一種常見的互聯網數據交換格式。
在索引/類型中,您可以存儲任意多的文檔。請註意,儘管文檔實際上駐留在索引中,但文檔實際上必須被索引/分配給索引中的類型。
1.7 Shards & Replicas(分片 & 副本)
索引可以存儲大量數據,這些數據可能會超出單個節點的硬體限制。例如,占用1TB磁碟空間的10億個文檔的單個索引可能不適合單個節點的磁碟,或者速度太慢,無法單獨滿足單個節點的搜索請求。
為瞭解決這個問題,Elasticsearch 提供了把 Index(索引)拆分到多個 Shard(分片)中的功能。在創建索引時,只需要簡單的定義 Shard(分片)的數量。每個 Shard 本身就是一個 fully-functional(功能齊全)和獨立的 “Index(索引)”,可以存儲在集群中的任何節點上。
分片非常重要,主要有兩個原因:
- 它允許您水平拆分/縮放內容量
- 它允許您跨分片(可能在多個節點上)分佈和並行操作,從而提高性能/吞吐量
如何分配分片以及如何將其文檔聚合回搜索請求的機制完全由ElasticSearch管理,並且對作為用戶的您來說是透明的。
在隨時可能發生故障的網路/雲環境中,非常有用,強烈建議在分片/節點以某種方式離線或因任何原因消失時使用故障轉移機制。為此,ElasticSearch允許您將索引分片的一個或多個副本製作成所謂的副本分片,簡稱為副本。
副本非常重要,主要有兩個原因:
- 它在分片/節點發生故障時提供了高可用性。因此,副本分片永遠不會與主分片在相同的節點上。
- 它可以讓你水平擴展搜索量/吞吐量,因為搜索可以在所有的副本上並行執行。
總而言之,每個索引可以被拆分成多個分片,一個索引可以設置 0 個(沒有副本)或多個副本。開啟副本後,每個索引將有主分片(被覆制的原始分片)和副本分片(主分片的副本)。
可以在創建索引時為每個索引定義分片和副本的數量。創建索引後,您可以在任何時候動態的改變副本的數量。您還可以使用shrink(收縮)和split(拆分) API更改現有索引的分片數,但這不是一項簡單的任務,預先計劃正確數量的分片是最佳方法。
預設情況下,Elasticsearch 中的每個索引分配了 5 個主分片和 1 個副本,這也就意味著如果您的集群至少有兩個節點的話,您的索引將會有 5 個主分片和另外 5 個副本分片(1 個完整的副本),每個索引共計 10 個分片。
7.0此處變更為如下所述:
預設情況下,Elasticsearch中的每個索引都分配了一個主分片和一個副本,這意味著如果群集中至少有兩個節點,則索引將具有一個主分片和另一個副本分片(一個完整副本),每個索引總共2個分片。
註意 :
每個 Elasticsearch 分片是一個 Lucene 索引。在單個 Lucene 索引中有一個最大的文檔數量限制。從 LUCENE-5843 的時候開始,該限製為 2,147,483,519(=Interger.MAX_VALUE - 128)個文檔。您可以使用 _cat/shards api 來監控分片大小。
理解了這些基礎概念之後,讓我們開始接觸更有趣的部分
