全文搜索引擎Elasticsearch，這篇文章給講透了！-有解無憂

于elasticsearch的深度好文，

生活中的資料

搜索引擎是對資料的檢索，所以我們先從生活中的資料說起，我們生活中的資料總體分為兩種：
- 結構化資料
- 非結構化資料
結構化資料：也稱作行資料，是由二維表結構來邏輯表達和實作的資料，嚴格地遵循資料格式與長度規范，主要通過關系型資料庫進行存盤和管理，指具有固定格式或有限長度的資料，如資料庫，元資料等，

非結構化資料：又可稱為全文資料，不定長或無固定格式，不適于由資料庫二維表來表現，包括所有格式的辦公檔案、XML、HTML、Word 檔案，郵件，各類報表、圖片和咅頻、視頻資訊等，

說明：如果要更細致的區分的話，XML、HTML 可劃分為半結構化資料，因為它們也具有自己特定的標簽格式，所以既可以根據需要按結構化資料來處理，也可抽取出純文本按非結構化資料來處理，

根據兩種資料分類，搜索也相應的分為兩種：
- 結構化資料搜索
- 非結構化資料搜索
對于結構化資料，因為它們具有特定的結構，所以我們一般都是可以通過關系型資料庫（MySQL，Oracle 等）的二維表（Table）的方式存盤和搜索，也可以建立索引，

對于非結構化資料，也即對全文資料的搜索主要有兩種方法：
- 順序掃描
- 全文檢索
順序掃描：通過文字名稱也可了解到它的大概搜索方式，即按照順序掃描的方式查詢特定的關鍵字，

例如給你一張報紙，讓你找到該報紙中“平安”的文字在哪些地方出現過，你肯定需要從頭到尾把報紙閱讀掃描一遍然后標記出關鍵字在哪些版塊出現過以及它的出現位置，

這種方式無疑是最耗時的最低效的，如果報紙排版字體小，而且版塊較多甚至有多份報紙，等你掃描完你的眼睛也差不多了，

全文搜索：對非結構化資料順序掃描很慢，我們是否可以進行優化？把我們的非結構化資料想辦法弄得有一定結構不就行了嗎？

將非結構化資料中的一部分資訊提取出來，重新組織，使其變得有一定結構，然后對此有一定結構的資料進行搜索，從而達到搜索相對較快的目的，

這種方式就構成了全文檢索的基本思路，這部分從非結構化資料中提取出的然后重新組織的資訊，我們稱之為索引，

這種方式的主要作業量在前期索引的創建，但是對于后期搜索卻是快速高效的，

先說說 Lucene

通過對生活中資料的型別作了一個簡短了解之后，我們知道關系型資料庫的 SQL 檢索是處理不了這種非結構化資料的，

這種非結構化資料的處理需要依賴全文搜索，而目前市場上開放源代碼的最好全文檢索引擎工具包就屬于 Apache 的 Lucene了，

但是 Lucene 只是一個工具包，它不是一個完整的全文檢索引擎，Lucene 的目的是為軟體開發人員提供一個簡單易用的工具包，以方便的在目標系統中實作全文檢索的功能，或者是以此為基礎建立起完整的全文檢索引擎，

目前以 Lucene 為基礎建立的開源可用全文搜索引擎主要是 Solr 和 Elasticsearch，

Solr 和 Elasticsearch 都是比較成熟的全文搜索引擎，能完成的功能和性能也基本一樣，

但是 ES 本身就具有分布式的特性和易安裝使用的特點，而 Solr 的分布式需要借助第三方來實作，例如通過使用 ZooKeeper 來達到分布式協調管理，

不管是 Solr 還是 Elasticsearch 底層都是依賴于 Lucene，而 Lucene 能實作全文搜索主要是因為它實作了倒排索引的查詢結構，

如何理解倒排索引呢？假如現有三份資料檔案，檔案的內容如下分別是：
- Java is the best programming language.
- PHP is the best programming language.
- Javascript is the best programming language.
為了創建倒排索引，我們通過分詞器將每個檔案的內容域拆分成單獨的詞（我們稱它為詞潭訓 Term），創建一個包含所有不重復詞條的排序串列，然后列出每個詞條出現在哪個檔案，

結果如下所示：

這種結構由檔案中所有不重復詞的串列構成，對于其中每個詞都有一個檔案串列與之關聯，

這種由屬性值來確定記錄的位置的結構就是倒排索引，帶有倒排索引的檔案我們稱為倒排檔案，

我們將上面的內容轉換為圖的形式來說明倒排索引的結構資訊，如下圖所示：

其中主要有如下幾個核心術語需要理解：
- 詞條（Term）：索引里面最小的存盤和查詢單元，對于英文來說是一個單詞，對于中文來說一般指分詞后的一個詞，
- 詞典（Term Dictionary）：或字典，是詞條 Term 的集合，搜索引擎的通常索引單位是單詞，單詞詞典是由檔案集合中出現過的所有單詞構成的字串集合，單詞詞典內每條索引項記載單詞本身的一些資訊以及指向“倒排串列”的指標，
- 倒排表（Post list）：一個檔案通常由多個詞組成，倒排表記錄的是某個詞在哪些檔案里出現過以及出現的位置，
  
  每條記錄稱為一個倒排項（Posting），倒排表記錄的不單是檔案編號，還存盤了詞頻等資訊，
- 倒排檔案（Inverted File）：所有單詞的倒排串列往往順序地存盤在磁盤的某個檔案里，這個檔案被稱之為倒排檔案，倒排檔案是存盤倒排索引的物理檔案，
從上圖我們可以了解到倒排索引主要由兩個部分組成：
- 詞典
- 倒排檔案
詞典和倒排表是 Lucene 中很重要的兩種資料結構，是實作快速檢索的重要基石，詞典和倒排檔案是分兩部分存盤的，詞典在記憶體中而倒排檔案存盤在磁盤上，

ES 核心概念

一些基礎知識的鋪墊之后我們正式進入今天的主角 Elasticsearch 的介紹，

ES 是使用 Java 撰寫的一種開源搜索引擎，它在內部使用 Lucene 做索引與搜索，通過對 Lucene 的封裝，隱藏了 Lucene 的復雜性，取而代之的提供一套簡單一致的 RESTful API，

然而，Elasticsearch 不僅僅是 Lucene，并且也不僅僅只是一個全文搜索引擎，

它可以被下面這樣準確的形容：
- 一個分布式的實時檔案存盤，每個欄位可以被索引與搜索，
- 一個分布式實時分析搜索引擎，
- 能勝任上百個服務節點的擴展，并支持 PB 級別的結構化或者非結構化資料，
我們通過一些核心概念來看下 Elasticsearch 是如何做到分布式，可擴展和近實時搜索的，

官網對 Elasticsearch 的介紹是 Elasticsearch 是一個分布式、可擴展、近實時的搜索與資料分析引擎，

集群（Cluster）

ES 的集群搭建很簡單，不需要依賴第三方協調管理組件，自身內部就實作了集群的管理功能，

ES 集群由一個或多個 Elasticsearch 節點組成，每個節點配置相同的 cluster.name 即可加入集群，默認值為 “elasticsearch”，

確保不同的環境中使用不同的集群名稱，否則最侄訓導致節點加入錯誤的集群，

一個 Elasticsearch 服務啟動實體就是一個節點（Node），節點通過 node.name 來設定節點名稱，如果不設定則在啟動時給節點分配一個隨機通用唯一識別符號作為名稱，

①發現機制

那么有一個問題，ES 內部是如何通過一個相同的設定 cluster.name 就能將不同的節點連接到同一個集群的？答案是 Zen Discovery，

Zen Discovery 是 Elasticsearch 的內置默認發現模塊（發現模塊的職責是發現集群中的節點以及選舉 Master 節點），

它提供單播和基于檔案的發現，并且可以擴展為通過插件支持云環境和其他形式的發現，

Zen Discovery 與其他模塊集成，例如，節點之間的所有通信都使用 Transport 模塊完成，節點使用發現機制通過 Ping 的方式查找其他節點，

Elasticsearch 默認被配置為使用單播發現，以防止節點無意中加入集群，只有在同一臺機器上運行的節點才會自動組成集群，

如果集群的節點運行在不同的機器上，使用單播，你可以為 Elasticsearch 提供一些它應該去嘗試連接的節點串列，

當一個節點聯系到單播串列中的成員時，它就會得到整個集群所有節點的狀態，然后它會聯系 Master 節點，并加入集群，

這意味著單播串列不需要包含集群中的所有節點，它只是需要足夠的節點，當一個新節點聯系上其中一個并且說上話就可以了，

如果你使用 Master 候選節點作為單播串列，你只要列出三個就可以了，這個配置在 elasticsearch.yml 檔案中：
```
discovery.zen.ping.unicast.hosts: ["host1", "host2:port"]
```
節點啟動后先 Ping ，如果 discovery.zen.ping.unicast.hosts 有設定，則 Ping 設定中的 Host ，否則嘗試 ping localhost 的幾個埠，

Elasticsearch 支持同一個主機啟動多個節點，Ping 的 Response 會包含該節點的基本資訊以及該節點認為的 Master 節點，

選舉開始，先從各節點認為的 Master 中選，規則很簡單，按照 ID 的字典序排序，取第一個，如果各節點都沒有認為的 Master ，則從所有節點中選擇，規則同上，

這里有個限制條件就是 discovery.zen.minimum_master_nodes ，如果節點數達不到最小值的限制，則回圈上述程序，直到節點數足夠可以開始選舉，

最后選舉結果是肯定能選舉出一個 Master ，如果只有一個 Local 節點那就選出的是自己，

如果當前節點是 Master ，則開始等待節點數達到 discovery.zen.minimum_master_nodes，然后提供服務，

如果當前節點不是 Master ，則嘗試加入 Master ，Elasticsearch 將以上服務發現以及選主的流程叫做 Zen Discovery ，

由于它支持任意數目的集群（ 1- N ），所以不能像 Zookeeper 那樣限制節點必須是奇數，也就無法用投票的機制來選主，而是通過一個規則，

只要所有的節點都遵循同樣的規則，得到的資訊都是對等的，選出來的主節點肯定是一致的，

但分布式系統的問題就出在資訊不對等的情況，這時候很容易出現腦裂（Split-Brain）的問題，

大多數解決方案就是設定一個 Quorum 值，要求可用節點必須大于 Quorum（一般是超過半數節點），才能對外提供服務，

而 Elasticsearch 中，這個 Quorum 的配置就是 discovery.zen.minimum_master_nodes ，

②節點的角色

每個節點既可以是候選主節點也可以是資料節點，通過在組態檔 ../config/elasticsearch.yml 中設定即可，默認都為 true，
```
node.master: true  //是否候選主節點
node.data: true    //是否資料節點
```
資料節點負責資料的存盤和相關的操作，例如對資料進行增、刪、改、查和聚合等操作，所以資料節點（Data 節點）對機器配置要求比較高，對 CPU、記憶體和 I/O 的消耗很大，

通常隨著集群的擴大，需要增加更多的資料節點來提高性能和可用性，

候選主節點可以被選舉為主節點（Master 節點），集群中只有候選主節點才有選舉權和被選舉權，其他節點不參與選舉的作業，

主節點負責創建索引、洗掉索引、跟蹤哪些節點是群集的一部分，并決定哪些分片分配給相關的節點、追蹤集群中節點的狀態等，穩定的主節點對集群的健康是非常重要的，

一個節點既可以是候選主節點也可以是資料節點，但是由于資料節點對 CPU、記憶體核 I/O 消耗都很大，

所以如果某個節點既是資料節點又是主節點，那么可能會對主節點產生影響從而對整個集群的狀態產生影響，

因此為了提高集群的健康性，我們應該對 Elasticsearch 集群中的節點做好角色上的劃分和隔離，可以使用幾個配置較低的機器群作為候選主節點群，

主節點和其他節點之間通過 Ping 的方式互檢查，主節點負責 Ping 所有其他節點，判斷是否有節點已經掛掉，其他節點也通過 Ping 的方式判斷主節點是否處于可用狀態，

雖然對節點做了角色區分，但是用戶的請求可以發往任何一個節點，并由該節點負責分發請求、收集結果等操作，而不需要主節點轉發，

這種節點可稱之為協調節點，協調節點是不需要指定和配置的，集群中的任何節點都可以充當協調節點的角色，

③腦裂現象

同時如果由于網路或其他原因導致集群中選舉出多個 Master 節點，使得資料更新時出現不一致，這種現象稱之為腦裂，即集群中不同的節點對于 Master 的選擇出現了分歧，出現了多個 Master 競爭，

“腦裂”問題可能有以下幾個原因造成：
- 網路問題：集群間的網路延遲導致一些節點訪問不到 Master，認為 Master 掛掉了從而選舉出新的 Master，并對 Master 上的分片和副本標紅，分配新的主分片，
- 節點負載：主節點的角色既為 Master 又為 Data，訪問量較大時可能會導致 ES 停止回應（假死狀態）造成大面積延遲，此時其他節點得不到主節點的回應認為主節點掛掉了，會重新選取主節點，
- 記憶體回收：主節點的角色既為 Master 又為 Data，當 Data 節點上的 ES 行程占用的記憶體較大，引發 JVM 的大規模記憶體回收，造成 ES 行程失去回應，
為了避免腦裂現象的發生，我們可以從原因著手通過以下幾個方面來做出優化措施：
- 適當調大回應時間，減少誤判，通過引數 discovery.zen.ping_timeout 設定節點狀態的回應時間，默認為 3s，可以適當調大，
  
  如果 Master 在該回應時間的范圍內沒有做出回應應答，判斷該節點已經掛掉了，調大引數（如 6s，discovery.zen.ping_timeout:6），可適當減少誤判，
- 選舉觸發，我們需要在候選集群中的節點的組態檔中設定引數 discovery.zen.munimum_master_nodes 的值，
  
  這個引數表示在選舉主節點時需要參與選舉的候選主節點的節點數，默認值是 1，官方建議取值(master_eligibel_nodes/2)+1，其中 master_eligibel_nodes 為候選主節點的個數，
  
  這樣做既能防止腦裂現象的發生，也能最大限度地提升集群的高可用性，因為只要不少于 discovery.zen.munimum_master_nodes 個候選節點存活，選舉作業就能正常進行，
  
  當小于這個值的時候，無法觸發選舉行為，集群無法使用，不會造成分片混亂的情況，
- 角色分離，即是上面我們提到的候選主節點和資料節點進行角色分離，這樣可以減輕主節點的負擔，防止主節點的假死狀態發生，減少對主節點“已死”的誤判，
分片（Shards）

ES 支持 PB 級全文搜索，當索引上的資料量太大的時候，ES 通過水平拆分的方式將一個索引上的資料拆分出來分配到不同的資料塊上，拆分出來的資料庫塊稱之為一個分片，

這類似于 MySQL 的分庫分表，只不過 MySQL 分庫分表需要借助第三方組件而 ES 內部自身實作了此功能，

在一個多分片的索引中寫入資料時，通過路由來確定具體寫入哪一個分片中，所以在創建索引的時候需要指定分片的數量，并且分片的數量一旦確定就不能修改，

分片的數量和下面介紹的副本數量都是可以通過創建索引時的 Settings 來配置，ES 默認為一個索引創建 5 個主分片, 并分別為每個分片創建一個副本，
```
PUT /myIndex
{
   "settings" : {
      "number_of_shards" : 5,
      "number_of_replicas" : 1
   }
}
```
ES 通過分片的功能使得索引在規模上和性能上都得到提升，每個分片都是 Lucene 中的一個索引檔案，每個分片必須有一個主分片和零到多個副本，

副本（Replicas）

副本就是對分片的 Copy，每個主分片都有一個或多個副本分片，當主分片例外時，副本可以提供資料的查詢等操作，

主分片和對應的副本分片是不會在同一個節點上的，所以副本分片數的最大值是 N-1（其中 N 為節點數），

對檔案的新建、索引和洗掉請求都是寫操作，必須在主分片上面完成之后才能被復制到相關的副本分片，

ES 為了提高寫入的能力這個程序是并發寫的，同時為了解決并發寫的程序中資料沖突的問題，ES 通過樂觀鎖的方式控制，每個檔案都有一個 _version （版本）號，當檔案被修改時版本號遞增，

一旦所有的副本分片都報告寫成功才會向協調節點報告成功，協調節點向客戶端報告成功，

從上圖可以看出為了達到高可用，Master 節點會避免將主分片和副本分片放在同一個節點上，

假設這時節點 Node1 服務宕機了或者網路不可用了，那么主節點上主分片 S0 也就不可用了，

幸運的是還存在另外兩個節點能正常作業，這時 ES 會重新選舉新的主節點，而且這兩個節點上存在我們所需要的 S0 的所有資料，

我們會將 S0 的副本分片提升為主分片，這個提升主分片的程序是瞬間發生的，此時集群的狀態將會為 Yellow，

為什么我們集群狀態是 Yellow 而不是 Green 呢？雖然我們擁有所有的 2 個主分片，但是同時設定了每個主分片需要對應兩份副本分片，而此時只存在一份副本分片，所以集群不能為 Green 的狀態，

如果我們同樣關閉了 Node2 ，我們的程式依然可以保持在不丟失任何資料的情況下運行，因為 Node3 為每一個分片都保留著一份副本，

如果我們重新啟動 Node1 ，集群可以將缺失的副本分片再次進行分配，那么集群的狀態又將恢復到原來的正常狀態，

如果 Node1 依然擁有著之前的分片，它將嘗試去重用它們，只不過這時 Node1 節點上的分片不再是主分片而是副本分片了，如果期間有更改的資料只需要從主分片上復制修改的資料檔案即可，

小結：
- 將資料分片是為了提高可處理資料的容量和易于進行水平擴展，為分片做副本是為了提高集群的穩定性和提高并發量，
- 副本是乘法，越多消耗越大，但也越保險，分片是除法，分片越多，單分片資料就越少也越分散，
- 副本越多，集群的可用性就越高，但是由于每個分片都相當于一個 Lucene 的索引檔案，會占用一定的檔案句柄、記憶體及 CPU，
  
  并且分片間的資料同步也會占用一定的網路帶寬，所以索引的分片數和副本數也不是越多越好，
映射（Mapping）

映射是用于定義 ES 對索引中欄位的存盤型別、分詞方式和是否存盤等資訊，就像資料庫中的 Schema ，描述了檔案可能具有的欄位或屬性、每個欄位的資料型別，

只不過關系型資料庫建表時必須指定欄位型別，而 ES 對于欄位型別可以不指定然后動態對欄位型別猜測，也可以在創建索引時具體指定欄位的型別，

對欄位型別根據資料格式自動識別的映射稱之為動態映射（Dynamic Mapping），我們創建索引時具體定義欄位型別的映射稱之為靜態映射或顯示映射（Explicit Mapping），

在講解動態映射和靜態映射的使用前，我們先來了解下 ES 中的資料有哪些欄位型別？之后我們再講解為什么我們創建索引時需要建立靜態映射而不使用動態映射，

ES（v6.8）中欄位資料型別主要有以下幾類：

Text 用于索引全文值的欄位，例如電子郵件正文或產品說明，這些欄位是被分詞的，它們通過分詞器傳遞，以在被索引之前將字串轉換為單個術語的串列，

分析程序允許 Elasticsearch 搜索單個單詞中每個完整的文本欄位，文本欄位不用于排序，很少用于聚合，

Keyword 用于索引結構化內容的欄位，例如電子郵件地址，主機名，狀態代碼，郵政編碼或標簽，它們通常用于過濾，排序，和聚合，Keyword 欄位只能按其確切值進行搜索，

通過對欄位型別的了解我們知道有些欄位需要明確定義的，例如某個欄位是 Text 型別還是 Keyword 型別差別是很大的，時間欄位也許我們需要指定它的時間格式，還有一些欄位我們需要指定特定的分詞器等等，

如果采用動態映射是不能精確做到這些的，自動識別常常會與我們期望的有些差異，

所以創建索引的時候一個完整的格式應該是指定分片和副本數以及 Mapping 的定義，如下：
```
PUT my_index 
{
   "settings" : {
      "number_of_shards" : 5,
      "number_of_replicas" : 1
   }
  "mappings": {
    "_doc": { 
      "properties": { 
        "title":    { "type": "text"  }, 
        "name":     { "type": "text"  }, 
        "age":      { "type": "integer" },  
        "created":  {
          "type":   "date", 
          "format": "strict_date_optional_time||epoch_millis"
        }
      }
    }
  }
}
```
ES 的基本使用

在決定使用 Elasticsearch 的時候首先要考慮的是版本問題，Elasticsearch （排除 0.x 和 1.x）目前有如下常用的穩定的主版本：2.x，5.x，6.x，7.x（current），

你可能會發現沒有 3.x 和 4.x，ES 從 2.4.6 直接跳到了 5.0.0，其實是為了 ELK（ElasticSearch，Logstash，Kibana）技術堆疊的版本統一，免的給用戶帶來混亂，

在 Elasticsearch 是 2.x （2.x 的最后一版 2.4.6 的發布時間是 July 25, 2017）的情況下，Kibana 已經是 4.x（Kibana 4.6.5 的發布時間是 July 25, 2017），

那么在 Kibana 的下一主版本肯定是 5.x 了，所以 Elasticsearch 直接將自己的主版本發布為 5.0.0 了，

統一之后，我們選版本就不會猶豫困惑了，我們選定 Elasticsearch 的版本后再選擇相同版本的 Kibana 就行了，不用擔憂版本不兼容的問題，

Elasticsearch 是使用 Java 構建，所以除了注意 ELK 技術的版本統一，我們在選擇 Elasticsearch 的版本的時候還需要注意 JDK 的版本，

因為每個大版本所依賴的 JDK 版本也不同，目前 7.2 版本已經可以支持 JDK11，

安裝使用

①下載和解壓 Elasticsearch，無需安裝解壓后即可用，解壓后目錄如上圖：
- bin：二進制系統指令目錄，包含啟動命令和安裝插件命令等，
- config：組態檔目錄，
- data：資料存盤目錄，
- lib：依賴包目錄，
- logs：日志檔案目錄，
- modules：模塊庫，例如 x-pack 的模塊，
- plugins：插件目錄，
②安裝目錄下運行 bin/elasticsearch 來啟動 ES，

③默認在 9200 埠運行，請求 curl http://localhost:9200/ 或者瀏覽器輸入 http://localhost:9200，得到一個 JSON 物件，其中包含當前節點、集群、版本等資訊，
```
{
  "name" : "U7fp3O9",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "-Rj8jGQvRIelGd9ckicUOA",
  "version" : {
    "number" : "6.8.1",
    "build_flavor" : "default",
    "build_type" : "zip",
    "build_hash" : "1fad4e1",
    "build_date" : "2019-06-18T13:16:52.517138Z",
    "build_snapshot" : false,
    "lucene_version" : "7.7.0",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}
```
集群健康狀態

要檢查群集運行狀況，我們可以在 Kibana 控制臺中運行以下命令 GET /_cluster/health，得到如下資訊：
```
{
  "cluster_name" : "wujiajian",
  "status" : "yellow",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 9,
  "active_shards" : 9,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 5,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 64.28571428571429
}
```
集群狀態通過綠，黃，紅來標識：
- 綠色：集群健康完好，一切功能齊全正常，所有分片和副本都可以正常作業，
- 黃色：預警狀態，所有主分片功能正常，但至少有一個副本是不能正常作業的，此時集群是可以正常作業的，但是高可用性在某種程度上會受影響，
- 紅色：集群不可正常使用，某個或某些分片及其副本例外不可用，這時集群的查詢操作還能執行，但是回傳的結果會不準確，對于分配到這個分片的寫入請求將會報錯，最侄訓導致資料的丟失，
當集群狀態為紅色時，它將會繼續從可用的分片提供搜索請求服務，但是你需要盡快修復那些未分配的分片，

ES 機制原理

ES 的基本概念和基本操作介紹完了之后，我們可能還有很多疑惑：
- 它們內部是如何運行的？
- 主分片和副本分片是如何同步的？
- 創建索引的流程是什么樣的？
- ES 如何將索引資料分配到不同的分片上的？以及這些索引資料是如何存盤的？
- 為什么說 ES 是近實時搜索引擎而檔案的 CRUD (創建-讀取-更新-洗掉) 操作是實時的？
- 以及 Elasticsearch 是怎樣保證更新被持久化在斷電時也不丟失資料？
- 還有為什么洗掉檔案不會立刻釋放空間？
帶著這些疑問我們進入接下來的內容，

寫索引原理

下圖描述了 3 個節點的集群，共擁有 12 個分片，其中有 4 個主分片（S0、S1、S2、S3）和 8 個副本分片（R0、R1、R2、R3），每個主分片對應兩個副本分片，節點 1 是主節點（Master 節點）負責整個集群的狀態，

寫索引是只能寫在主分片上，然后同步到副本分片，這里有四個主分片，一條資料 ES 是根據什么規則寫到特定分片上的呢？

這條索引資料為什么被寫到 S0 上而不寫到 S1 或 S2 上？那條資料為什么又被寫到 S3 上而不寫到 S0 上了？

首先這肯定不會是隨機的，否則將來要獲取檔案的時候我們就不知道從何處尋找了，

實際上，這個程序是根據下面這個公式決定的：
```
shard = hash(routing) % number_of_primary_shards
```
Routing 是一個可變值，默認是檔案的 _id ，也可以設定成一個自定義的值，

Routing 通過 Hash 函式生成一個數字，然后這個數字再除以 number_of_primary_shards （主分片的數量）后得到余數，

這個在 0 到 number_of_primary_shards-1 之間的余數，就是我們所尋求的檔案所在分片的位置，

這就解釋了為什么我們要在創建索引的時候就確定好主分片的數量并且永遠不會改變這個數量：因為如果數量變化了，那么所有之前路由的值都會無效，檔案也再也找不到了，

由于在 ES 集群中每個節點通過上面的計算公式都知道集群中的檔案的存放位置，所以每個節點都有處理讀寫請求的能力，

在一個寫請求被發送到某個節點后，該節點即為前面說過的協調節點，協調節點會根據路由公式計算出需要寫到哪個分片上，再將請求轉發到該分片的主分片節點上，

假如此時資料通過路由計算公式取余后得到的值是 shard=hash(routing)%4=0，

則具體流程如下：
- 客戶端向 ES1 節點（協調節點）發送寫請求，通過路由計算公式得到值為 0，則當前資料應被寫到主分片 S0 上，
- ES1 節點將請求轉發到 S0 主分片所在的節點 ES3，ES3 接受請求并寫入到磁盤，
- 并發將資料復制到兩個副本分片 R0 上，其中通過樂觀并發控制資料的沖突，一旦所有的副本分片都報告成功，則節點 ES3 將向協調節點報告成功，協調節點向客戶端報告成功，
存盤原理

上面介紹了在 ES 內部索引的寫處理流程，這個流程是在 ES 的記憶體中執行的，資料被分配到特定的分片和副本上之后，最終是存盤到磁盤上的，這樣在斷電的時候就不會丟失資料，

具體的存盤路徑可在組態檔 ../config/elasticsearch.yml 中進行設定，默認存盤在安裝目錄的 Data 檔案夾下，

建議不要使用默認值，因為若 ES 進行了升級，則有可能導致資料全部丟失：
```
path.data: /path/to/data  //索引資料
path.logs: /path/to/logs  //日志記錄
```
①分段存盤

索引檔案以段的形式存盤在磁盤上，何為段？索引檔案被拆分為多個子檔案，則每個子檔案叫作段，每一個段本身都是一個倒排索引，并且段具有不變性，一旦索引的資料被寫入硬碟，就不可再修改，

在底層采用了分段的存盤模式，使它在讀寫時幾乎完全避免了鎖的出現，大大提升了讀寫性能，

段被寫入到磁盤后會生成一個提交點，提交點是一個用來記錄所有提交后段資訊的檔案，

一個段一旦擁有了提交點，就說明這個段只有讀的權限，失去了寫的權限，相反，當段在記憶體中時，就只有寫的權限，而不具備讀資料的權限，意味著不能被檢索，

段的概念提出主要是因為：在早期全文檢索中為整個檔案集合建立了一個很大的倒排索引，并將其寫入磁盤中，

如果索引有更新，就需要重新全量創建一個索引來替換原來的索引，這種方式在資料量很大時效率很低，并且由于創建一次索引的成本很高，所以對資料的更新不能過于頻繁，也就不能保證時效性，

索引檔案分段存盤并且不可修改，那么新增、更新和洗掉如何處理呢？
- 新增，新增很好處理，由于資料是新的，所以只需要對當前檔案新增一個段就可以了，
- 洗掉，由于不可修改，所以對于洗掉操作，不會把檔案從舊的段中移除而是通過新增一個 .del 檔案，檔案中會列出這些被洗掉檔案的段資訊，
  
  這個被標記洗掉的檔案仍然可以被查詢匹配到，但它會在最終結果被回傳前從結果集中移除，
- 更新，不能修改舊的段來進行反映檔案的更新，其實更新相當于是洗掉和新增這兩個動作組成，會將舊的檔案在 .del 檔案中標記洗掉，然后檔案的新版本被索引到一個新的段中，
  
  可能兩個版本的檔案都會被一個查詢匹配到，但被洗掉的那個舊版本檔案在結果集回傳前就會被移除，
段被設定為不可修改具有一定的優勢也有一定的缺點，優勢主要表現在：
- 不需要鎖，如果你從來不更新索引，你就不需要擔心多行程同時修改資料的問題，
- 一旦索引被讀入內核的檔案系統快取，便會留在哪里，由于其不變性，只要檔案系統快取中還有足夠的空間，那么大部分讀請求會直接請求記憶體，而不會命中磁盤，這提供了很大的性能提升，
- 其它快取(像 Filter 快取)，在索引的生命周期內始終有效，它們不需要在每次資料改變時被重建，因為資料不會變化，
- 寫入單個大的倒排索引允許資料被壓縮，減少磁盤 I/O 和需要被快取到記憶體的索引的使用量，
段的不變性的缺點如下：
- 當對舊資料進行洗掉時，舊資料不會馬上被洗掉，而是在 .del 檔案中被標記為洗掉，而舊資料只能等到段更新時才能被移除，這樣會造成大量的空間浪費，
- 若有一條資料頻繁的更新，每次更新都是新增新的標記舊的，則會有大量的空間浪費，
- 每次新增資料時都需要新增一個段來存盤資料，當段的數量太多時，對服務器的資源例如檔案句柄的消耗會非常大，
- 在查詢的結果中包含所有的結果集，需要排除被標記洗掉的舊資料，這增加了查詢的負擔，
②延遲寫策略

介紹完了存盤的形式，那么索引寫入到磁盤的程序是怎樣的？是否是直接調 Fsync 物理性地寫入磁盤？

答案是顯而易見的，如果是直接寫入到磁盤上，磁盤的 I/O 消耗上會嚴重影響性能，

那么當寫資料量大的時候會造成 ES 停頓卡死，查詢也無法做到快速回應，如果真是這樣 ES 也就不會稱之為近實時全文搜索引擎了，

為了提升寫的性能，ES 并沒有每新增一條資料就增加一個段到磁盤上，而是采用延遲寫的策略，

每當有新增的資料時，就將其先寫入到記憶體中，在記憶體和磁盤之間是檔案系統快取，

當達到默認的時間（1 秒鐘）或者記憶體的資料達到一定量時，會觸發一次重繪（Refresh），將記憶體中的資料生成到一個新的段上并快取到檔案快取系統上，稍后再被重繪到磁盤中并生成提交點，

這里的記憶體使用的是 ES 的 JVM 記憶體，而檔案快取系統使用的是作業系統的記憶體，

新的資料會繼續的被寫入記憶體，但記憶體中的資料并不是以段的形式存盤的，因此不能提供檢索功能，

由記憶體重繪到檔案快取系統的時候會生成新的段，并將段打開以供搜索使用，而不需要等到被重繪到磁盤，

在 Elasticsearch 中，寫入和打開一個新段的輕量的程序叫做 Refresh （即記憶體重繪到檔案快取系統），

默認情況下每個分片會每秒自動重繪一次，這就是為什么我們說 Elasticsearch 是近實時搜索，因為檔案的變化并不是立即對搜索可見，但會在一秒之內變為可見，

我們也可以手動觸發 Refresh，POST /_refresh 重繪所有索引，POST /nba/_refresh 重繪指定的索引，

Tips：盡管重繪是比提交輕量很多的操作，它還是會有性能開銷，當寫測驗的時候，手動重繪很有用，但是不要在生產>環境下每次索引一個檔案都去手動重繪，而且并不是所有的情況都需要每秒重繪，

可能你正在使用 Elasticsearch 索引大量的日志檔案，你可能想優化索引速度而不是>近實時搜索，

這時可以在創建索引時在 Settings 中通過調大 refresh_interval = "30s" 的值，降低每個索引的重繪頻率，設值時需要注意后面帶上時間單位，否則默認是毫秒，當 refresh_interval=-1 時表示關閉索引的自動重繪，

雖然通過延時寫的策略可以減少資料往磁盤上寫的次數提升了整體的寫入能力，但是我們知道檔案快取系統也是記憶體空間，屬于作業系統的記憶體，只要是記憶體都存在斷電或例外情況下丟失資料的危險，

為了避免丟失資料，Elasticsearch 添加了事務日志（Translog），事務日志記錄了所有還沒有持久化到磁盤的資料，

添加了事務日志后整個寫索引的流程如上圖所示：
- 一個新檔案被索引之后，先被寫入到記憶體中，但是為了防止資料的丟失，會追加一份資料到事務日志中，
  
  不斷有新的檔案被寫入到記憶體，同時也都會記錄到事務日志中，這時新資料還不能被檢索和查詢，
- 當達到默認的重繪時間或記憶體中的資料達到一定量后，會觸發一次 Refresh，將記憶體中的資料以一個新段形式重繪到檔案快取系統中并清空記憶體，這時雖然新段未被提交到磁盤，但是可以提供檔案的檢索功能且不能被修改，
- 隨著新檔案索引不斷被寫入，當日志資料大小超過 512M 或者時間超過 30 分鐘時，會觸發一次 Flush，
  
  記憶體中的資料被寫入到一個新段同時被寫入到檔案快取系統，檔案系統快取中資料通過 Fsync 重繪到磁盤中，生成提交點，日志檔案被洗掉，創建一個空的新日志，
通過這種方式當斷電或需要重啟時，ES 不僅要根據提交點去加載已經持久化過的段，還需要工具 Translog 里的記錄，把未持久化的資料重新持久化到磁盤上，避免了資料丟失的可能，

③段合并

由于自動重繪流程每秒會創建一個新的段，這樣會導致短時間內的段數量暴增，而段數目太多會帶來較大的麻煩，

每一個段都會消耗檔案句柄、記憶體和 CPU 運行周期，更重要的是，每個搜索請求都必須輪流檢查每個段然后合并查詢結果，所以段越多，搜索也就越慢，

Elasticsearch 通過在后臺定期進行段合并來解決這個問題，小的段被合并到大的段，然后這些大的段再被合并到更大的段，

段合并的時候會將那些舊的已洗掉檔案從檔案系統中清除，被洗掉的檔案不會被拷貝到新的大段中，合并的程序中不會中斷索引和搜索，

段合并在進行索引和搜索時會自動進行，合并行程選擇一小部分大小相似的段，并且在后臺將它們合并到更大的段中，這些段既可以是未提交的也可以是已提交的，

合并結束后老的段會被洗掉，新的段被 Flush 到磁盤，同時寫入一個包含新段且排除舊的和較小的段的新提交點，新的段被打開可以用來搜索，

段合并的計算量龐大，而且還要吃掉大量磁盤 I/O，段合并會拖累寫入速率，如果任其發展會影響搜索性能，

Elasticsearch 在默認情況下會對合并流程進行資源限制，所以搜索仍然有足夠的資源很好地執行，

性能優化

存盤設備

磁盤在現代服務器上通常都是瓶頸，Elasticsearch 重度使用磁盤，你的磁盤能處理的吞吐量越大，你的節點就越穩定，

這里有一些優化磁盤 I/O 的技巧：
- 使用 SSD，就像其他地方提過的，他們比機械磁盤優秀多了，
- 使用 RAID 0，條帶化 RAID 會提高磁盤 I/O，代價顯然就是當一塊硬碟故障時整個就故障了，不要使用鏡像或者奇偶校驗 RAID 因為副本已經提供了這個功能，
- 另外，使用多塊硬碟，并允許 Elasticsearch 通過多個 path.data 目錄配置把資料條帶化分配到它們上面，
- 不要使用遠程掛載的存盤，比如 NFS 或者 SMB/CIFS，這個引入的延遲對性能來說完全是背道而馳的，
- 如果你用的是 EC2，當心 EBS，即便是基于 SSD 的 EBS，通常也比本地實體的存盤要慢，
內部索引優化

Elasticsearch 為了能快速找到某個 Term，先將所有的 Term 排個序，然后根據二分法查找 Term，時間復雜度為 logN，就像通過字典查找一樣，這就是 Term Dictionary，

現在再看起來，似乎和傳統資料庫通過 B-Tree 的方式類似，但是如果 Term 太多，Term Dictionary 也會很大，放記憶體不現實，于是有了 Term Index，

就像字典里的索引頁一樣，A 開頭的有哪些 Term，分別在哪頁，可以理解 Term Index是一棵樹，

這棵樹不會包含所有的 Term，它包含的是 Term 的一些前綴，通過 Term Index 可以快速地定位到 Term Dictionary 的某個 Offset，然后從這個位置再往后順序查找，

在記憶體中用 FST 方式壓縮 Term Index，FST 以位元組的方式存盤所有的 Term，這種壓縮方式可以有效的縮減存盤空間，使得 Term Index 足以放進記憶體，但這種方式也會導致查找時需要更多的 CPU 資源，

對于存盤在磁盤上的倒排表同樣也采用了壓縮技術減少存盤所占用的空間，

調整配置引數

調整配置引數建議如下：
- 給每個檔案指定有序的具有壓縮良好的序列模式 ID，避免隨機的 UUID-4 這樣的 ID，這樣的 ID 壓縮比很低，會明顯拖慢 Lucene，
- 對于那些不需要聚合和排序的索引欄位禁用 Doc values，Doc Values 是有序的基于 document=>field value 的映射串列，
- 不需要做模糊檢索的欄位使用 Keyword 型別代替 Text 型別，這樣可以避免在建立索引前對這些文本進行分詞，
- 如果你的搜索結果不需要近實時的準確度，考慮把每個索引的 index.refresh_interval 改到 30s ，
  
  如果你是在做大批量匯入，匯入期間你可以通過設定這個值為 -1 關掉重繪，還可以通過設定 index.number_of_replicas: 0 關閉副本，別忘記在完工的時候重新開啟它，
- 避免深度分頁查詢建議使用 Scroll 進行分頁查詢，普通分頁查詢時，會創建一個 from+size 的空優先佇列，每個分片會回傳 from+size 條資料，默認只包含檔案 ID 和得分 Score 給協調節點，
  
  如果有 N 個分片，則協調節點再對（from+size）×n 條資料進行二次排序，然后選擇需要被取回的檔案，當 from 很大時，排序程序會變得很沉重，占用 CPU 資源嚴重，
- 減少映射欄位，只提供需要檢索，聚合或排序的欄位，其他欄位可存在其他存盤設備上，例如 Hbase，在 ES 中得到結果后再去 Hbase 查詢這些欄位，
- 創建索引和查詢時指定路由 Routing 值，這樣可以精確到具體的分片查詢，提升查詢效率，路由的選擇需要注意資料的分布均衡，
JVM 調優

JVM 調優建議如下：
- 確保堆記憶體最小值（ Xms ）與最大值（ Xmx ）的大小是相同的，防止程式在運行時改變堆記憶體大小，
  
  Elasticsearch 默認安裝后設定的堆記憶體是 1GB，可通過 ../config/jvm.option 檔案進行配置，但是最好不要超過物理記憶體的50%和超過 32GB，
- GC 默認采用 CMS 的方式，并發但是有 STW 的問題，可以考慮使用 G1 收集器，
- ES 非常依賴檔案系統快取（Filesystem Cache），快速搜索，一般來說，應該至少確保物理上有一半的可用記憶體分配到檔案系統快取，
來源：https://www.cnblogs.com/jajian/p/11223992.html