Elasticsearch 官网阅读学习笔记01

Elasticsearch 官网阅读学习笔记01

什么是 Elasticsearch？

• Elasticsearch 是位于 Elastic Stack 核心的分布式搜索和分析引擎。
• Elasticsearch 可为所有类型的数据提供近乎实时的搜索和分析。无论您拥有的是结构化或非结构化文本、数值数据还是地理空间数据

Elasticsearch 使用可以做什么

• 在应用程序或网站中添加搜索框
• 存储和分析日志、指标和安全事件数据
• 使用 Elasticsearch 作为存储引擎，实现业务工作流程自动化
• 将 Elasticsearch 作为地理信息系统 (GIS) 来管理、整合和分析空间信息

数据：文件和索引

• 关键内容提取

  • Elasticsearch 是一种分布式文档存储。Elasticsearch 存储的是序列化为 JSON 文档的复杂数据结构，而不是以列数据行的形式存储信息

  • 文档存储后，会在 1 秒钟内编制索引并进行完全实时搜索Elasticsearch 使用一种称为倒排索引的数据结构，支持非常快速的全文检索

  • 索引可以看作是文档的优化集合，而每个 文档又是字段的集合 ，即包含数据的键值对

  • Elasticsearch 会为每个字段中的所有数据建立索引，每个索引字段都有一个专用的优化数据结构。

    • 文本字段存储在倒排索引中
    • 数字和地理字段存储在 BKD 树中

  • 启用动态映射后，Elasticsearch 会自动检测新字段并将其添加到索引中

  • 定义映射可以作什么

    • 区分全文字符串字段和精确值字符串字段
    • 进行特定语言的文本分析
    • 优化字段以进行部分匹配
    • 使用自定义日期格式
    • 使用 geo_point^(用于存储单个地理坐标点（经纬度），例如：一个商店的位置、用户的实时坐标等。 适合场景：快速查询"附近的地点"、计算两点距离、聚合地理位置数据。)^ 和 geo_shape ^(用于存储复杂的地理形状（如多边形、线、圆形等），例如：国家边界、配送区域、地理围栏。 适合场景：判断地理空间关系（如"某个点是否在某个区域内"或"两个区域是否相交"）。)^等无法自动检测的数据类型

• 总结:

  • 文档存储架构

    • 分布式文档存储，数据以序列化JSON文档形式存储
    • 支持跨节点分布式存储，数据可被集群内任意节点实时访问
    • 近实时搜索（1秒内完成索引）

  • 倒排索引机制

    • 核心数据结构支持快速全文搜索

    • 通过记录单词与文档的映射关系实现快速检索

    • 所有字段默认被索引，不同字段类型使用不同数据结构：

      • 文本字段 → 倒排索引
      • 数值/地理位置 → BKD树

  • 动态映射（Schema-less）

    • 自动检测字段类型（布尔值、数值、日期、字符串等）
    • 自动添加新字段到索引
    • 适合快速探索数据的场景

  • 自定义映射控制

    • 可覆盖自动映射规则，实现更精确控制：

      • 区分全文检索(text)与精确值(keyword)字段
      • 执行语言特定的文本分析
      • 优化部分匹配
      • 自定义日期格式
      • 支持特殊类型（geo_point/geo_shape）

  • 字段多用途索引

    • 持同一字段不同索引方式：

      • 文本字段同时用于全文搜索和排序/聚合
      • 多语言分析器处理混合语言内容

    • 索引和分析链在查询时保持一致

  • 搜索优化特性

    • 查询文本会经过与索引时相同的分析处理
    • 字段级数据结构优化查询性能
    • 支持复杂数据类型的地理空间查询

信息输出：搜索和分析

• 基于 Apache Lucene 搜索引擎库的全套搜索功能。

• Elasticsearch 提供了一个简单、连贯的 REST API，用于管理集群以及索引和搜索数据

  • 简短说明 REST请求 RESTful 风格

    • 资源导向 : 所有数据/服务抽象为资源 ，通过URI唯一标识 示例：/users/123​ 表示ID为123的用户资源

    • HTTP方法映射操作

      • 通过标准HTTP方法实现CRUD：

        • GET → 获取资源
        • POST → 创建资源
        • PUT → 更新资源
        • DELETE → 删除资源

  • 说明应用程序可以通过简单网络请求获取到数据

  • Elasticsearch 客户端：Java 、JavaScript、Go、.NET、PHP、Perl、Python 或 Ruby

• 数据搜索

  • Elasticsearch REST API 支持结构化查询、全文本查询以及将二者结合起来的复杂查询

    • 结构化查询类似于在 SQL 中构建的查询类型。例如，您可以搜索 employee 索引中的 gender 和 age 字段，并根据 hire_date 字段对匹配结果进行排序
    • 全文查询可查找与查询字符串匹配的所有文档，并按相关性（即与搜索条件的匹配程度）排序返回。

  • 支持 支持高性能地理和数值查询。

  • 查询方式

    • Elasticsearch 的综合 JSON 风格查询语言（ 查询 DSL ）访问所有这些搜索功能
    • 内部构建 SQL 风格 的查询
    • JDBC 和 ODBC 驱动程序可让大量第三方应用程序通过 SQL 与 Elasticsearch 进行交互。

• 分析数据

  • 概述 : Elasticsearch 聚合使您能够建立复杂的数据摘要，并深入了解关键指标、模式和趋势

• 总结:

  1. 核心搜索能力
  • 支持结构化查询（类SQL）与全文搜索（基于相关性排序）
  • 提供短语搜索、模糊匹配、前缀搜索及自动补全功能
  • 专为地理空间/数值数据优化，支持高性能地理查询
  • 提供Query DSL（JSON风格）和SQL双查询模式
  • 支持JDBC/ODBC驱动实现第三方工具集成
  2. 实时数据分析
  • 聚合分析功能可生成多维数据洞察：
    ▪ 统计聚合（数量/平均值/中位数）
    ▪ 时间趋势分析（如按月统计）
    ▪ 制造商分布等商业洞察
  • 搜索与聚合在单请求中同步执行
  • 分析结果实时更新，支持动态数据可视化

可扩展性和弹性：集群、节点和碎片

核心概念

• Cluster（集群）

  • 分布式架构，支持横向扩展和高可用性。
  • 自动分配数据和查询负载到所有节点。
  • 节点增减时自动重平衡分片（Shard）分布。

• Node（节点）

  • 集群中的单个服务器，可动态加入或移除。
  • 节点越多，集群容量和查询能力越强（冗余性提升）。

• Shard（分片）

  • 逻辑索引（Index）由多个物理分片组成。

  • 分片分为两类：

    • Primary Shard（主分片） ：存储文档的唯一副本，数量在索引创建时固定。
    • Replica Shard（副本分片） ：主分片的冗余副本，提供数据保护和读请求负载均衡，数量可动态调整。

  • 分片分布在多个节点上，实现冗余和性能优化。

---

2. 分片设计原则

• 分片大小

  • 推荐范围：几GB到几十GB（时间序列数据建议20-40GB）。
  • 过大问题：集群重平衡时迁移时间变长。
  • 过小问题：维护开销高（如大量小分片导致查询性能下降）。

• 分片数量

  • 主分片数：索引创建时确定，不可修改。
  • 副本分片数：可随时调整，不影响读写操作。
  • 分片与堆内存关系：每GB堆内存建议不超过20个分片（避免"海量分片"问题）。
  • 测试验证：需根据实际数据和查询场景测试最佳配置。

---

3. 高可用与容灾

• 跨集群复制（CCR, Cross-Cluster Replication）

  • 作用：主集群（Active Leader）到备用集群（Passive Follower）的热备份，支持故障转移和地理邻近读请求。

  • 模式：

    • 主集群处理写请求，副本集群只读。
    • 主集群故障时，副本集群可接管。

---

4. 运维与管理

• 节点部署

  • 节点间需高可靠、低延迟连接（建议同数据中心或邻近数据中心）。
  • 避免单点故障（多区域部署需结合CCR）。

• 工具与功能

  • Kibana：集群管理控制中心，集成安全、监控、管理功能。
  • 索引生命周期管理：自动管理数据（如滚动更新、归档）。
  • 数据汇总（Rollups） ：优化历史数据存储与查询效率。

‍