Elasticsearch知识大纲

/search

/index1/search

/inde1,index2/search

/index*/_search

格式

基本示例

"_source":["name"]

脚本字段

Match

Query String

Simple Query String 

term查询中term中是最小的查询单位

通过constant score转为filter

全文本查询

Information Retrieval

算分

数字 日期 布尔值都是结构化数据

一些文本也是结构化数据

可以用term来搜索

不需要算分的话就利用constant score

修改模板不会影响已经创建的索引

这些设置会被merge在一起？

举例

index buffer

segment

transcation log

refresh

flush

merge

倒排索引不可变性

Lucene index

为什么说是近实时 

如何保证断点也不丢失数据

为什么删除文档也不立刻释放空间

可以通过API手动refresh让数据能够立即被搜索到

若要优化索引速度 而不注重实时性，可降低refresh频率

当数据从hot移动到warm，官方建议手工执行一下_forcemerge

当节点数据量很大时，有重启节点的需要时，先手动flush，会为你节省很多时间。

trans log落盘的频率影响了数据的安全性

segment refresh的频率影响了数据的实时性

请求过来，打到协调节点
查询from + size

协调节点会从6个主副分片中随机选3个分片查询
每个分片上都会查from+size 个数据

然后返回文档id和排序值

协调节点接收到文档id和排序值
汇总到一起进行排序从from取size个数据
通过mget从相应分片获取数据
返回给用户

每个分片上都要查from size

最终协调节点需要处理number_of_shard *(from +size)

深度分页

由于算分的时候是每个分片独立的

所以分片数量多，文档总数过少会导致算分不准确

因此数据量小就1个分片，数据量大了，就尽量保证文档是均匀分布在分片上的，这样算分就准

可以通过_search?search_type=dfs_query_then_fetch
这样它会把词频啥的汇总到协调节点上
一起算完分再返回结果
但这样势必性能差CPU 内存

Character Filters

Tokenizer

Token Filters

中文分词器

指定分词器，输入文本，可以查看该分词器是如何对文本分词

指定采用某索引的某字段的分析器进行分词分析

自己定义一个分词器进行文本分词分析  可以看到 I 被转了小写

子主题

归一化词元 清除变音符号

抽取词根：清除单复数和时态差异

包含同义词

拼写错误或同音异形

具体多语言场景

挑战

you're half-baked怎么分？

中文有歧义性

more about keyword

匹配日期 设置成Date

数字则设置为float long

设置为text

由第一个非空数值的类型决定

忽略

dynamic设置为true

false

strict

PUT user/_mapping
{
  "properties": {
    "qq": {
      "type": "keyword"
      , "null_value": "NULL"
    }
  }
}

必须删除索引重建

即reindex

默认true

false

不需要高亮 freqs就够了  不需要算分高亮 docs就够了

为null的值数组中的null值都是不会被索引和搜索的  现在设置当可能有值为null的字段时，让它null的字段设置成"NULL"索引进去 搜索的时候搜"NULL" 这样就查的到那些为null的字段了

子主题

类似于SQL中的group

类似于SQL中的count，进行数学运算

terms

range

data range

histogram

date histogram

POST employees/_search
{
  "size": 0,
  "aggs": {
    "max_salary": {
      "max": {
        "field": "salary"
      }
    },
    "min_salary": {
      "min": {
        "field": "salary"
      }
    },
    "avg_salary": {
      "avg": {
        "field": "salary"
      }
    }
  }
}

结合结构来看 可以看到max_salary实际上就是聚合的名字
max就是具体的函数
然后指定字段

单值分析

多值分析

结果和现有分析同级

max min avg sum bucket

stats extend stats bucket

percentiles bucket

结果内嵌到现有的聚合分析结果之中

derivative求导

cumultive sum累计求和

moving function滑动窗口

可以指定具体的范围再聚合 不影响外部结果集的聚合

不影响聚合的结果  但是通过该filter 可以获取聚合结果中 你指定的数据

忽略平级的其他查询范围  对该级别所有的数据进行聚合

https://github.com/elastic/elasticsearch/issues/35987

The maximum possible doc_count for terms not returned by any bucket (this is currently considered)
The maximum possible doc_count for terms returned by some buckets but that did not make the final list (this is not currently considered)

有可能遗漏的最大的文档值

没在返回桶中的文档总数

指定返回桶的数量

对于只有一个分片的shard_size = size 

对于>1分片shard_size = size * 1.5 + 10

脚本文件

配置文件

基于Java运行

存储的数据

Java类库

运行日志

ES各模块

安装的插件

https://www.elastic.co/blog/a-heap-of-trouble

堆太小，频繁GC

堆太大，STW时间过长，响应过长，影响集群状态

尽量设置4G，但实际情况下太小

尽量30G以下

为啥xms xmx设置成一样的

{
    "_index": "kibana_sample_data_ecommerce",
    "_type": "_doc",
    "_id": "wxixFnsBLCFlaFcii2QF",
    "_score": 1.0,
    "_source": {
        "category": [
            "Men's Clothing"
        ],
        "currency": "EUR",
        "customer_first_name": "Eddie",
        "customer_full_name": "Eddie Underwood",
        "customer_gender": "MALE",
        "customer_id": 38,
        "customer_last_name": "Underwood",
        "customer_phone": "",
        "day_of_week": "Monday",
        "day_of_week_i": 0,
        "email": "eddie@underwood-family.zzz"
    }
}

cluster

分片的副本

保证高可用和分布式（扩展）

Primary Shard 主分片

Replica Shard 副本分片

master node

master eligible node

data node

coordinating node

hot&warm node

machine learning node

节点设置

ingest node

生产中尽量让一个节点 单一职责

7.0开始 一个mapping下默认只有一个type即_doc

POST news/_search
{
  "query": {
    "boosting": {
      "positive": {
        "match": {
          "content": "apple"
        }
      },
      "negative": {
        "match": {
          "content": "pie"
        }
      },
      "negative_boost": 0.5
    }
  }
}

提供算分权重

对某些搜索做特定性优化

必须匹配

提供算分

是个数组

其中一个满足就可以

提供算分

如果没有must 则必须满足一条should

必须匹配

不提供算分

must_not

should not 多个情况下 有一个不满足就可以

>1

0-1

<0

用在单字符串多字段上的查询

dismaxquery的作用就是把多个查询中 分最大的那个返回

如果简单的用should match来匹配
算分过程是这样的
查询should语句中的两个查询
加和两个查询的平台
乘以匹配语句的总数
除以所有语句的总数
所以尽管fox没在文档1中出现
但是文档1中出现了两次brown导致算分比文档2大
但实际上文档2是我们的最相关的返回

POST blogs/_search
{
    "query": {
        "dis_max": {
            "queries": [
                { "match": { "title": "Quick pets" }},
                { "match": { "body":  "Quick pets" }}
            ]
        }
    }
}


POST blogs/_search
{
    "query": {
        "dis_max": {
            "queries": [
                { "match": { "title": "Quick pets" }},
                { "match": { "body":  "Quick pets" }}
            ],
            "tie_breaker": 0.2
        }
    }
}

这样查 按理来说是文档2最高最合适
但是文档1 2的得分一样 是因为两个文档各取了一个最高分返回
没能区分出来
加入tie_breaker参数 能提升非最高分的权重

1、获得最佳匹配语句的score
2、将其他语句的评分与该参数相乘
3、对以上评分求和并规范化
0-1之间的浮点数
0代表用最佳匹配
1代表所有语句同等重要

If the tie_breaker value is greater than 0.0, all matching clauses count, but the clause with the highest score counts most.

提供了算分函数，可以进行不同方式的算分

Weight

Field Value Factor

Random Score

衰减函数

Script Score

即指定老算分与函数分的计算方式
默认是multipy 即相乘

multiply

sum

min/max

replace

另：max boost可以想分数控制在一个最大值

POST /blogs/_search
{
  "query": {
    "function_score": {
      "query": {
        "multi_match": {
          "query":    "popularity",
          "fields": [ "title", "content" ]
        }
      },
      "field_value_factor": {
        "field": "votes",
        "modifier": "log1p" ,
        "factor": 0.1
      },
      "boost_mode": "sum",
      "max_boost": 3
    }
  }
}

场景：每个用户访问广告，广告随机展示，每次排序对于用户都一样

POST /blogs/_search
{
  "query": {
    "function_score": {
      "random_score": {
        "seed": 911119
      }
    }
  }
}
只要是seed值相同 那么就不会变

term&phrase suggester

complete  & context suggester

和dis max  query相同
匹配的时候返回在某一字段上分最高的结果
可以用tie_breaker来提升其他字段匹配分的权重

POST blogs/_search
{
  "query": {
    "multi_match": {
      "type": "best_fields",
      "query": "Quick pets",
      "fields": ["title","body"],
      "tie_breaker": 0.2,
      "minimum_should_match": "20%"
    }
  }
}

在尽可能多的字段上匹配
在越多的字段上匹配 分越高

通过匹配title 还原词根后匹配 能够尽可能多的搜索到相同词根的文档 提升了recall

通过匹配title.std 弥补了English分词造成的信息丢失的问题 提高了准确率

这里还可以给字段加权重title^10

PUT /titles
{
  "mappings": {
    "properties": {
      "title": {
        "type": "text",
        "analyzer": "english",
        "fields": {"std": {"type": "text","analyzer": "standard"}}
      }
    }
  }
}

POST titles/_bulk
{ "index": { "_id": 1 }}
{ "title": "My dog barks" }
{ "index": { "_id": 2 }}
{ "title": "I see a lot of barking dogs on the road " }

GET /titles/_search
{
   "query": {
        "multi_match": {
            "query":  "barking dogs",
            "type":   "most_fields",
            "fields": [ "title", "title.std" ]
        }
    }
}

GET /_validate/query?explain
{
    "query": {
        "multi_match": {
            "query":       "peter smith",
            "type":        "cross_fields", 
            "operator":    "and",
            "fields":      [ "first_name", "last_name" ]
        }
    }
}

对于某些实体 比如姓名 地址 单个字段必须作为整体的一部分来查询
就可以用cross_fields
and的作用不是让query的term出现在每个字段中 而是保证query的term能够都出现

支持多字段排序

对text排序

docvalue和fielddata比较

docvalue可以通过mapping关闭

docvalue重新打开需要重建索引

不需要排序和聚合就可以关了docvalue

from +size<=10000

可通过index_max_windows设置更改

不支持页数 即from

只能往下翻

保证排序的值是唯一的 通过加上_id排序

通过唯一的排序值定位 每次在分片上取size个数据就可以

创建快照 指定存活时间

缺点是快照创建后 新加入的和删除的数据无法被查到

适合导出全部数据

index操作:如果id不存在,则直接索引 _version=1;如果id存在 则旧文档被删除 索引新文档 _version+1 ;不指定id id就是随机

create操作 只有id不存在时 才可以创建 id存在会报错

对于post请求，也属于index 属于先删除再索引

通过这种api 实现对原有字段的更新 或者新增字段 对原有字段的更新必须是相同字段类型

操作类型有index delete create update 通过指定index/id和requestBody实现对应操作 每个操作都有单独的响应 互不影响

批量获取文档 通过指定index和对应id

指定获取某索引中的数据

通过source选项来指定要哪些数据

指定索引名和请求体来搜索所有的匹配到的数据

ES的POST、PUT请求可以按照http请求的“幂等性”来理解
PUT方法要求是幂等的，PUT方法修改资源状态时，URL直接指示待修改资源。
POST方式不是幂等的，POST方法修改资源状态时，URL指示的是该资源的父级资源，待修改资源的信息在请求体中携带
所以，对于ES的PUT请求，URL上需要明确到document ID，即可以新增又可以更新整个文档（ES的更新都是get-有就delete-再创建），但无论如何都是这一个document
由于PUT请求既可以新增又可以更新的特性，为了提供putIfAbsent特性，即没有时才新增，增加了op_type=create的选项（op_type只有create、index）
而POST请求URL是不需要指定ID的，每次都会创建一个新的文档，就不是幂等的。
（其实PUT请求执行的操作，把PUT换成POST也是可以的，但这个官方没有说，是实验出来的）

上面是根据Http请求来区分，如果根据ES API来区分：
index： 针对整个文档，既可以新增又可以更新；
create：只是新增操作，已有报错，可以用PUT指定ID，或POST不指定ID；
update：指的是部分更新，官方只是说用POST，请求body里用script或_doc里包含文档要更新的部分；
delete和read：就是delete和get请求

不要一次发送过多文档，笼统建议是1000-5000之间，建议一次发5-15M，默认不能超过100M

度量用户行为

后台实现统计数据 比如用户查询和结果有多少被点击了

哪些搜索没有返回结果

指定seq no和term实现并发控制

指定version version_type=external

重新获取文档再更新

将数据分布到所有节点之上

7.0默认主分片为1

主分片将一份索引的数据分散在多个Data Node上实现水平扩展

主分片在索引创建的时候指定，后续默认不能修改，如果要修改，需要重建索引

主分片过少

主分片过多

副本分片保证高可用

副本分片的引入提高了数据可用性

副本分片提升系统读取性能

7.0默认副本分片为0

副本分片过多：降低集群整体写入性能

无法水平扩展

单个分片数据量太大

影响搜索打分，统计准确性

浪费资源，影响性能

划分分片

黄

红

在单集群情况下，水平扩展时，节点数不能无限增加
当集群的meta信息过多导致更新压力变大
单个active master会成为性能瓶颈导致整个集群无法正常工作

5.3引入跨集群搜索功能 cross cluster search

节点本质就是一个java进程 生产上最好一台机器一个节点
每一个节点都有名字 通过配置文件配置
每个节点启动后会分配一个UID 保存在data目录下

master node

master eligible node

data node

coordinating node

hot&warm node

machine learning node

节点设置

ingest node

生产中尽量让一个节点 单一职责

节点1 master true 其他false

节点2 data true 其他false

节点3 协调节点

节点 1 2 3 都可以访问 一位每个节点都是一个协调节点

所有节点信息

所有的索引和其相关的mapping与setting信息

分片的路由信息

每个节点上都保存了集群的状态信息

只有master节点才能修改集群的状态信息并负责同步给其他节点

互相ping对方 id的当选主节点

选主的过程应该很短，这个期间，如果有创建index或者分片reallocation有可能会出错

集群隔开后重新选举了主节点

7.0开始无需配置

通过增加删除节点

一个主分片不可用，只要设置了副本分片，其中一个副本分片立即会将自己提升为主分片。
同时会将自己的数据分配到一个新的replica上

有时候，我们只是对集群中一台机器重启，没必要做故障转移

数据会根据文档id并结合相应的hash算法将数据分发到不同的分片，即不同的shard上的数据肯定是不一样的

数据量不大，p和r上的数据应该会很快一致，数据量很小，数据从p到r需要很久，需要检查集群是否存在性能问题

故障转移期间，如果只是黄色变绿，应该不影响读写，因为副本会提升为主分片。集群变红，代表有主分片丢失，这个时候会影响读写。

数据丢失

shard= hash(_routing)%number_of_primary_shards

确保了文档均匀分散到分片中

默认routing是文档id

可以自己指定routing

由于公式中主分片的数量对公式结果的影响

请求到协调节点

hash文档id寻找分片

路由到对应分片

先删后索引

成功后返回给协调节点

协调节点响应

副本分片也会同步数据

类似

1、如果索引分片都可用，并且写入主副本都成功了，才返回给客户端。在refresh后，主副本同时对外提供查询服务。这个同步时间很短，可以认为主副本的数据是一致的。如果副本同步时间较长，甚至超过1s，在同步的时间差内，可能造成数据不一致的情况，但是对外的数据最终是一致的，所以是分布式下的最终一致性。

2、如果索引主分片不可用，将禁止写入，数据是强一致的；

3、如果索引副本分片不可用，则有部分副本写入失败，整体写入认为成功。由于不可用的副本也不提供查询服务，所以对外数据仍然是一致的。

Why doesn’t Elasticsearch support incremental resharding?edit
Going from N shards to N+1 shards, aka. incremental resharding, is indeed a feature that is supported by many key-value stores. Adding a new shard and pushing new data to this new shard only is not an option: this would likely be an indexing bottleneck, and figuring out which shard a document belongs to given its _id, which is necessary for get, delete and update requests, would become quite complex. This means that we need to rebalance existing data using a different hashing scheme.

The most common way that key-value stores do this efficiently is by using consistent hashing. Consistent hashing only requires 1/N-th of the keys to be relocated when growing the number of shards from N to N+1. However Elasticsearch’s unit of storage, shards, are Lucene indices. Because of their search-oriented data structure, taking a significant portion of a Lucene index, be it only 5% of documents, deleting them and indexing them on another shard typically comes with a much higher cost than with a key-value store. This cost is kept reasonable when growing the number of shards by a multiplicative factor as described in the above section: this allows Elasticsearch to perform the split locally, which in-turn allows to perform the split at the index level rather than reindexing documents that need to move, as well as using hard links for efficient file copying.

In the case of append-only data, it is possible to get more flexibility by creating a new index and pushing new data to it, while adding an alias that covers both the old and the new index for read operations. Assuming that the old and new indices have respectively M and N shards, this has no overhead compared to searching an index that would have M+N shards.

简单的说就是一致性哈希算法 N/1数据移动就行

但是es里面Lucene索引数据占很大比例，文档数据才占5%

这就导致了数据移动时，删除重新索引特别耗费时间性能

所以不合适

但是如果你能保证你的索引是增量的，那么可以直接建新索引，用alias cover住旧索引和新索引

减少不必要的更新

节省了存储空间

副作用

数据 flattening

不使用关联关系，在文档中保存冗余数据拷贝

优点

缺点

反范式化好处就是读取快，无需表连接，无需行锁

对象类型

嵌套对象 nested object

父子关联关系parent/child

应用端关联

包含对象数组的对象

允许对象数组中的对象被独立索引

在内部nested文档会被保存在两个Lucene文档中，在查询时做join处理

nested对象的更新删除会重新索引整个文档(根对象和嵌套对象)，所以nested适合不经常更新的对象

存储

搜索

聚合

父文档和子文档必须在相同的分片上，确保join的性能
当指定子文档的时候，必须指定它的父文档ID利用routing参数保证分配到相同的分片上

https://blog.justcoder.tech/2021/09/23/wen-dang-de-fu-zi-guan-xi/

字段类型修改

分词器更新

字典更新

主分片数改变

reindex

POST blogs/_update_by_query

为mapping增加分词器

GET _tasks?detailed=true&actions=*reindex

必须enable _source

有时候dest index中有数据

reindex时可以继续搜索。建议为索引创建alias，当reindex完成后 通过alias切到新的index

如果有数据库同步到es进程，重建的时候看时间，可能要先把同步停了

跨集群的数据迁移，如果集群的es版本不一致可行么？还有我们目前生产环境下每天新建一个索引，如何能批量进行数据迁移？

source的数据会直接覆盖到dest version基于的dest +1

source的和的dest冲突会报版本冲突 停止reindex

忽略版本冲突的  继续处理 处理完返回产生冲突的数量

只reindex不存在的 有版本冲突会报错

根据数据量 写入 和查询的吞吐量 选择合适的部署方式

建议设置单一角色的节点

要会配置

master eligible nodes

dedicated data nodes

高配CPU 中等配置RAM Low Disk

负载均衡  降低master和data nodes负载

负责搜索结果的gather/reduce

有时候无法预知客户端发送怎样的请求

生产环境中 建议为一些大的集群配置Coordinating Only Nodes

一般生产环境中配置3台

一个集群中只有1台活跃的主节点

要是不dedicate

前置一个load balance 应用和load balance 交互 lb也能帮助请求均衡地打到协调节点上

读一个lb一套协调节点  写一个lb一套ingest node用于处理数据
在实际开发中，怎么确定写请求访问写的 读请求访问读的 可能是初始化两个客户端 一个读一个写

GTM Global Traffic Manager 一种负载均衡
GTM主要来做数据的读取  对于异地多活的数据一致性 要么程序分别写入集群 要么写入一个集群 用es的跨集群复制数据保持一直

上SSD

机械硬盘

hot warm节点设置

防止机架断电

shard rebalancing

分片数大于节点数

案例1

案例2

每个分片是一个Lucene的索引会使用机器的资源过多分片导致额外性能开销

日志类

搜索类

提升update性能

merge时减少资源

丢失节点后 具备更快恢复速度 便于分片在集群内rebalancing

用处

副本会降低数据索引速度

会减缓对主分片的查询压力

机器资源充分 提高副本数 可以提高整体查询的QPS

节点上最多几个分片

一个集群多少节点？

一个索引几个分片？

机器的软硬配置

单条文档大小/文档总数据量/索引总数据量 time base数据保留的时间/副本分片数

文档是如何写入 bulk的大小

文档复杂度 文档如何进行读取的  查询和聚合

数据吞吐及性能需求

数据细节

搜索

日志

数据节点尽可能使用SSD

搜索等性能要求 高的场景SSD

日志类和查询并发第的场景

单节点数据控制在2TB

JVM配机器内存的一般 不超32G

考虑高可用

有复杂查询和聚合

搜索类型数据

时间序列

增加协调节点 ingest节点

增加数据节点