Elasticsearch之elasticsearch5.x 新特性

 

　　其实，elasticsearch5.x 和 elasticsearch2.x 并不区别很大。

　　是因为，ELK里之前版本各种很混乱，直接升级到5.0了。

　　其实，elasticsearch5.x 按理来说是elasticsearch3.x，只是为了跟随ELK整体版本的统一。

 

 

 

 

 

　　　　　　 

 

 

下面给大家介绍一下 5.0 版里面的一些新的特性和改进

　　5.0？ 天啦噜，你是不是觉得版本跳的太快了。

　　好吧，先来说说背后的原因吧。

　　　　　　　　

　　相信大家都听说 ELK 吧，是 Elasticsearch 、 Logstash 、 Kibana 三个产品的首字母缩写，现在 Elastic 又新增了一个新的开源项目成员： Beats。

　　　　　　　　　　

 

 　　有人建议以后这么叫： ELKB ？

 

　　为了未来更好的扩展性:) ELKBS？ELKBSU？.....

　　所以我们打算将产品线命名为 ElasticStack

　　同时由于现在的版本比较混乱，每个产品的版本号都不一样， Elasticsearch和Logstash目前是2.3.4；Kibana是4.5.3；Beats是1.2.3；

　　　　　　　　

 

 

 

　　版本号太乱了有没有，什么版本的 ES 用什么版本的 Kibana ？有没有兼容性问题？

　　所以我们打算将这些的产品版本号也统一一下，即 v5.0 ，为什么是 5.0 ，因为 Kibana 都 4.x 了，下个版本就只能是 5.0 了，其他产品就跟着跳跃一把，第一个 5.0 正式版将在今年的秋季发布，目前最新的测试版本是： 5.0 Alpha 4。

　　　　　　　　　　

　　目前各团队正在紧张的开发测试中，每天都有新的功能和改进，本次分享主要介绍一下 Elasticsearch 的主要变化。

 

 

 

 

Elasticsearch5.0新增功能

　　首先来看看 5.0 里面都引入了哪些新的功能吧。

1、首先看看跟性能有关的

　　1.1 第一个就是Lucene 6.x 的支持。

　　Elasticsearch5.0率先集成了Lucene6版本，其中最重要的特性就是 Dimensional Point Fields，多维浮点字段，ES里面相关的字段如date, numeric，ip 和 Geospatial 都将大大提升性能。

　　这么说吧，磁盘空间少一半；索引时间少一半；查询性能提升25%；IPV6也支持了。

　　为什么快，底层使用的是Block k-d trees，核心思想是将数字类型编码成定长的字节数组，对定长的字节数组内容进行编码排序，然后来构建二叉树，然后依次递归构建，目前底层支持8个维度和最多每个维度16个字节，基本满足大部分场景。

　　说了这么多，看图比较直接。

　　　　　　　　　　　　 

　　图中从 2015 /10/32  total bytes 飙升是因为 es 启用了 docvalues ，我们关注红线，最近的引入新的数据结构之后，红色的索引大小只有原来的一半大小。

　　索引小了之后， merge 的时间也响应的减少了，看下图：

　　　　　　　　　　　　

 

 　　相应的 Java 堆内存占用只原来的一半：

　　　　　　　　　　 

 

　　1.2  再看看 索引的性能 ，也是飙升：

　　　　　　　　　　 

　　当然 Lucene6 里面还有很多优化和改进，这里没有一一列举。

 

 

　　1.3  我们再看看索引性能方面的其他优化。

　　ES5.0在Internal engine级别移除了用于避免同一文档并发更新的竞争锁，带来15%-20%的性能提升 #18060 。

　　　　　　　　　　

　　　　以上截图来自 ES 的每日持续性能监控： https://benchmarks.elastic.co/index.html

 

　　1.4 另一个 和 aggregation 的改进也是非常大， Instant Aggregations。

　　Elasticsearch已经在Shard层面提供了Aggregation缓存，如果你的数据没有变化，ES能够直接返回上次的缓存结果，但是有一个场景比较特殊，就是 date histogram，大家kibana上面的条件是不是经常设置的相对时间，如：from:now-30d to:now，好吧，now是一个变量，每时每刻都在变，所以query条件一直在变，缓存也就是没有利用起来。

　　经过一年时间大量的重构，现在可以做到对查询做到灵活的重写：

　　　　首先，`now`关键字最终会被重写成具体的值；

　　　　其次 ， 每个shard会根据自己的数据的范围来重写查询为 `match_all`或者是`match_none`查询，所以现在的查询能够被有效的缓存，并且只有个别数据有变化的Shard才需要重新计算，大大提升查询速度。

 

 

　　1.5   另外再看看和Scroll相关的吧。

　　现在新增了一个：Sliced Scroll类型

　　用过Scroll接口吧，很慢？如果你数据量很大，用Scroll遍历数据那确实是接受不了，现在Scroll接口可以并发来进行数据遍历了。

　　每个Scroll请求，可以分成多个Slice请求，可以理解为切片，各Slice独立并行，利用Scroll重建或者遍历要快很多倍。

　　看看这个demo

　　　　　　　　　　　　　　

　　可以看到两个 scroll 请求， id 分别是 0 和 1 ， max 是最大可支持的并行任务，可以各自独立进行数据的遍历获取。

 

 

 

 

2、我们再看看es在查询优化这块做的工作

　　2.1 新增了一个Profile API。

#https://www.elastic.co/guide/en/elasticsearch/reference/master/search-profile.html#_usage_3

　　都说要致富先修路，要调优当然需要先监控啦，elasticsearch在很多层面都提供了stats方便你来监控调优，但是还不够，其实很多情况下查询速度慢很大一部分原因是糟糕的查询引起的，玩过SQL的人都知道，数据库服务的执行计划（execution plan）非常有用，可以看到那些查询走没走索引和执行时间，用来调优，elasticsearch现在提供了Profile API来进行查询的优化，只需要在查询的时候开启profile：true就可以了，一个查询执行过程中的每个组件的性能消耗都能收集到。

　　　　　　　　　　　　

 

　　那个子查询耗时多少，占比多少，一目了然。

　　同时支持search和aggregation的profile。

　　还有一个和翻页相关的问题，就是深度分页 ，是个老大难的问题，因为需要全局排序（ number_of_shards * (from + size) ），所以需要消耗大量内存，以前的 es 没有限制，有些同学翻到几千页发现 es 直接内存溢出挂了，后面 elasticsearch 加上了限制， from+size 不能超过 1w 条，并且如果需要深度翻页，建议使用 scroll 来做。

　　但是 scroll 有几个问题，第一个是没有顺序，直接从底层 segment 进行遍历读取，第二个实时性没法保证， scroll 操作有状态， es 会维持 scroll 请求的上下文一段时间，超时后才释放，另外你在 scroll 过程中对索引数据进行了修改了，这个时候 scroll接口是拿不到的，灵活性较差， 现在有一个新的 Search After 机制，其实和 scroll 类似，也是游标的机制，它的原理是对文档按照多个字段进行排序，然后利用上一个结果的最后一个文档作为起始值，拿 size 个文档，一般我们建议使用 _uid 这个字段，它的值是唯一的 id 。

#（Search After

https://github.com/elastic/elasticsearch/blob/148f9af5857f287666aead37f249f204a870ab39/docs/reference/search/request/search-after.asciidoc ）

　　来看一个Search After 的demo 吧，比较直观的理解一下：

　　　　　　　　　　　　　　

 

　　上面的 demo ， search_after 后面带的两个参数，就是 sort 的两个结果。

　　根据你的排序条件来的，三个排序条件，就传三个参数。

 

 

3、再看看跟索引与分片管理相关的新功能吧。

　　3.1 新增了一个 Shrink  API

#https://www.elastic.co/guide/en/elasticsearch/reference/master/indices-shrink-index.html#_shrinking_an_index

　　相信大家都知道elasticsearch索引的shard数是固定的，设置好了之后不能修改，如果发现shard太多或者太少的问题，之前如果要设置Elasticsearch的分片数，只能在创建索引的时候设置好，并且数据进来了之后就不能进行修改，如果要修改，只能重建索引。

　　现在有了Shrink接口，它可将分片数进行收缩成它的因数，如之前你是15个分片，你可以收缩成5个或者3个又或者1个，那么我们就可以想象成这样一种场景，在写入压力非常大的收集阶段，设置足够多的索引，充分利用shard的并行写能力，索引写完之后收缩成更少的shard，提高查询性能。

　　这里是一个API调用的例子

　　　　　　　　

　　上面的例子对 my_source_index 伸缩成一个分片的 my_targe_index, 使用了最佳压缩。

　　有人肯定会问慢不慢？非常快！ Shrink的过程会借助操作系统的Hardlink进行索引文件的链接，这个操作是非常快的，毫秒级Shrink就可收缩完成，当然windows不支持hard link，需要拷贝文件，可能就会很慢了。

 

 

　　再来看另外一个比较有意思的新特性，除了有意思，当然还很强大。

　　3.2 新增了一个Rollover API。

https://www.elastic.co/guide/en/elasticsearch/reference/master/indices-rollover-index.html#indices-rollover-index

　　前面说的这种场景对于日志类的数据非常有用，一般我们按天来对索引进行分割（数据量更大还能进一步拆分），我们以前是在程序里设置一个自动生成索引的模板，大家用过logstash应该就记得有这么一个模板logstash-[YYYY-MM-DD]这样的模板，现在es5.0里面提供了一个更加简单的方式：Rollover API

　　API调用方式如下：

　　　　　　　　　　　　　　

 

 

　　从上面可以看到，首先创建一个 logs-0001 的索引，它有一个别名是 logs_write, 然后我们给这个 logs_write 创建了一个 rollover 规则，即这个索引文档不超过 1000 个或者最多保存 7 天的数据，超过会自动切换别名到 logs-0002, 你也可以设置索引的 setting 、 mapping 等参数 , 剩下的 es 会自动帮你处理。这个特性对于存放日志数据的场景是极为友好的。

 

 

　　3.3  新增：Reindex。

　　另外关于索引数据，大家之前经常重建，数据源在各种场景，重建起来很是头痛，那就不得不说说现在新加的Reindex接口了，Reindex可以直接在Elasticsearch集群里面对数据进行重建，如果你的mapping因为修改而需要重建，又或者索引设置修改需要重建的时候，借助Reindex可以很方便的异步进行重建，并且支持跨集群间的数据迁移。

　　比如按天创建的索引可以定期重建合并到以月为单位的索引里面去。

　　当然索引里面要启用_source。

　　来看看这个demo吧，重建过程中，还能对数据就行加工。

　　　　　　　　　　　　

 

 

　　3.4  再看看跟Java开发者最相关的吧，就是 RestClient了

　　5.0里面提供了第一个Java原生的REST客户端SDK，相比之前的TransportClient，版本依赖绑定，集群升级麻烦，不支持跨Java版本的调用等问题，新的基于HTTP协议的客户端对Elasticsearch的依赖解耦，没有jar包冲突，提供了集群节点自动发现、日志处理、节点请求失败自动进行请求轮询，充分发挥Elasticsearch的高可用能力，并且性能不相上下。 #19055 。

 

　　

 

4、然后我们再看看其他的特性吧：

　　4.1 新增了一个 Wait for refresh 功能。

　　简单来说相当于是提供了文档级别的Refresh： https://www.elastic.co/guide/en/elasticsearch/reference/master/docs-refresh.html。

　　索引操作新增refresh参数，大家知道elasticsearch可以设置refresh时间来保证数据的实时性，refresh时间过于频繁会造成很大的开销，太小会造成数据的延时，之前提供了索引层面的_refresh接口，但是这个接口工作在索引层面，我们不建议频繁去调用，如果你有需要修改了某个文档，需要客户端实时可见怎么办？

　　在 5.0中，Index、Bulk、Delete、Update这些数据新增和修改的接口能够在单个文档层面进行refresh控制了，有两种方案可选，一种是创建一个很小的段，然后进行刷新保证可见和消耗一定的开销，另外一种是请求等待es的定期refresh之后再返回。

　　调用例子：

 

　　　　　　　　　　

 

 

 

 

　　4.2 # 新增： Ingest Node #

　　#https://www.elastic.co/guide/en/elasticsearch/reference/master/ingest.html#

　　再一个比较重要的特性就是IngestNode了，大家之前如果需要对数据进行加工，都是在索引之前进行处理，比如logstash可以对日志进行结构化和转换，现在直接在es就可以处理了，目前es提供了一些常用的诸如convert、grok之类的处理器，在使用的时候，先定义一个pipeline管道，里面设置文档的加工逻辑，在建索引的时候指定pipeline名称，那么这个索引就会按照预先定义好的pipeline来处理了；

　　Demo again：

　　　　　　　　　　　　

 

 

　　上图首先创建了一个名为my-pipeline-id的处理管道，然后接下来的索引操作就可以直接使用这个管道来对foo字段进行操作了，上面的例子是设置foo字段为bar值。

　　上面的还不太酷，我们再来看另外一个例子，现在有这么一条原始的日志，内容如下：

{

"message": "55.3.244.1 GET /index.html 15824 0.043”

}

　　google之后得知其Grok的pattern如下：）

%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}

　　那么我们使用Ingest就可以这么定义一个pipeline：

　　　　　　　　　　 　　

　　那么通过我们的 pipeline 处理之后的文档长什么样呢，我们获取这个文档的内容看看：

　　　　　　　　　　

 

 

　　很明显，原始字段 message 被拆分成了更加结构化的对象了。

　　

 

 

5、再看看脚本方面的改变

　　5.1  #新增Painless Scripting#

　　还记得Groove脚本的漏洞吧，Groove脚本开启之后，如果被人误用可能带来的漏洞，为什么呢，主要是这些外部的脚本引擎太过于强大，什么都能做，用不好或者设置不当就会引起安全风险，基于安全和性能方面，我们自己开发了一个新的脚本引擎，名字就叫Painless，顾名思义，简单安全，无痛使用，和Groove的沙盒机制不一样，Painless使用白名单来限制函数与字段的访问，针对es的场景来进行优化，只做es数据的操作，更加轻量级，速度要快好几倍，并且支持Java静态类型，语法保持Groove类似，还支持Java的lambda表达式。

　　我们对比一下性能，看下图

　　　　　　　　　　

 

 

 

　　Groovy 是弱弱的绿色的那根。

　　再看看如何使用：

def first = input.doc.first_name.0;

def last  = input.doc.last_name.0;

return first + " " + last;

　　是不是和之前的写法差不多

　　或者还可以是强类型（10倍速度于上面的动态类型）

String first = (String)((List)((Map)input.get("doc")).get("first_name")).get(0);

String last  = (String)((List)((Map)input.get("doc")).get("last_name")).get(0);

return first + " " + last;

　　脚本可以在很多地方使用，比如搜索自定义评分；更新时对字段进行加工等

　　如：

　　　　　　　　　　

 

 

 

 

 6、再来看看基础架构方面的变化

　　6.1 新增：Task Manager

　　这个是5.0 引入任务调度管理机制，用来做 离线任务的管理，比如长时间运行的reindex和update_by_query等都是运行在TaskManager机制之上的，并且任务是可管理的，你可以随时cancel掉，并且任务状态持久化，支持故障恢复；

　　6.2 还新增一个： Depreated logging

　　大家在用ES的时候，其实有些接口可能以及打上了Depreated标签，即废弃了，在将来的某个版本中就会移除，你当前能用是因为一般废弃的接口都不会立即移除，给足够的时间迁移，但是也是需要知道哪些不能用了，要改应用代码了，所以现在有了Depreated日志，当打开这个日志之后，你调用的接口如果已经是废弃的接口，就会记录下日志，那么接下来的事情你就知道你应该怎么做了。

　　6.3 新增 : Cluster allocation explain API

　　『谁能给我一个shard不能分配的理由』，现在有了，大家如果之前遇到过分片不能正常分配的问题，但是不知道是什么原因，只能尝试手动路由或者重启节点，但是不一定能解决，其实里面有很多原因，现在提供的这个explain接口就是告诉你目前为什么不能正常分配的原因，方便你去解决。

　　6.4 另外在数据结构这块，新增 : half_float 类型

https://www.elastic.co/guide/en/elasticsearch/reference/master/number.html

　　只使用 16 位 足够满足大部分存储监控数值类型的场景，支持范围：2负24次方 到 65504，但是只占用float一半的存储空间。

　　6.5 Aggregation 新增 : Matrix Stats Aggregation # 18300

金融领域非常有用的，可计算多个向量元素协方差矩阵、相关系数矩阵等等

　　6.6 另外一个重要的特性：为索引写操作添加顺序号 # 10708

　　大家知道es是在primary上写完然后同步写副本，这些请求都是并发的，虽然可以通过version来控制冲突，

　　但是没法保证其他副本的操作顺序，通过写的时候产生顺序号，并且在本地也写入checkpoint来记录操作点，

　　这样在副本恢复的时候也可以知道当前副本的数据位置，而只需要从指定的数据开始恢复就行了，而不是像以前的粗暴的做完整的文件同步 ，另外这些顺序号也是持久化的，重启后也可以快速恢复副本信息，想想以前的大量无用拷贝吧和来回倒腾数据吧。

 

 

7、Elasticsearch5.0其他方面的改进

　　7.1 我们再看看 mapping 这块的改进 吧。

　　　　引入新的字段类型 Text/Keyword 来替换  String

　　以前的string类型被分成Text和Keyword两种类型，keyword类型的数据只能完全匹配，适合那些不需要分词的数据，

　　对过滤、聚合非常友好，text当然就是全文检索需要分词的字段类型了。将类型分开的好处就是使用起来更加简单清晰，以前需要设置analyzer和index，并且有很多都是自定义的分词器，从名称根本看不出来到底分词没有，用起来很麻烦。

　　另外string类型暂时还在的，6.0会移除。

　　7.2 还有关于 Index Settings 的改进

　　Elasticsearch的配置实在太多，在以前的版本间，还移除过很多无用的配置，经常弄错有没有？

　　现在，配置验证更加严格和保证原子性，如果其中一项失败，那个整个都会更新请求都会失败，不会一半成功一半失败。下面主要说两点：

　　　　1.设置可以重设会默认值，只需要设置为 `null`即可

　　　　2.获取设置接口新增参数`?include_defaults`,可以直接返回所有设置和默认值

　　7.3 集群处理的改进 : Deleted Index Tombstones

　　在以前的es版本中，如果你的旧节点包含了部分索引数据，但是这个索引可能后面都已经删掉了，你启动这个节点之后，会把索引重新加到集群中，是不是觉得有点阴魂不散，现在es5.0会在集群状态信息里面保留500个删除的索引信息，所以如果发现这个索引是已经删除过的就会自动清理，不会再重复加进来了。

　　文档对象的改进 : 字段名重新支持英文句号，再 2.0 的时候移除过 dot 在字段名中的支持，现在问题解决了，又重新支持了。

　　es会认为下面两个文档的内容一样：

　　　　　　　　　　　　 

 

 

 　　7.4 还有其他的一些改进

　　Cluster state 的修改现在会和所有节点进行 ack 确认。

　　Shard 的一个副本如果失败了， Primary 标记失败的时候会和 Master 节点确认完毕再返回。

　　使用 UUID 来作为索引的物理的路径名，有很多好处，避免命名的冲突。

　　_timestamp 和 _ttl 已经移除，需要在 Ingest 或者程序端处理。

　　ES 可直接用 HDFS 来进行备份还原（ Snapshot/Restore ）了 #15191 。

　　Delete-by-query 和 Update-by-query 重新回到 core ，以前是插件，现在可以直接使用了，也是构建在 Reindex 机制之上。(es1.x版本是直接支持，在es2.x中提取为插件，5.x继续回归直接支持)

　　HTTP 请求默认支持压缩，当然 http 调用端需要在 header 信息里面传对应的支持信息。

　　创建索引不会再让集群变红了，不会因为这个卡死集群了。

　　默认使用 BM25 评分算法，效果更佳，之前是 TF/IDF。

　　快照 Snapshots 添加 UUID 解决冲突 #18156 。

　　限制索引请求大小，避免大量并发请求压垮 ES #16011。

　　限制单个请求的 shards 数量，默认 1000 个 #17396。

　　移除 site plugins ，就是说 head 、 bigdesk 都不能直接装 es 里面了，不过可以部署独立站点（反正都是静态文件）或开发 kibana 插件 #16038 。

　　允许现有 parent 类型新增 child 类型 #17956。

　　这个功能对于使用parent-child特性的人应该非常有用。

　　支持分号（；）来分割 url 参数，与符号（ & ）一样 #18175 。

　　比如下面这个例子：

curl http://localhost:9200/_cluster/health?level=indices;pretty=true

　　好吧，貌似很多，其实上面说的还只是众多特性和改进的一部分， es5.0 做了非常非常多工作，本来还打算讲讲 bug 修复的，但是太多了，时间有限， 一些重要的 bug在 2.x 都已经第一时间解决了。

 

 

 

 

 

8、大家可以查看下面的链接了解更多更详细的更新日志

https://www.elastic.co/guide/en/elasticsearch/reference/master/release-notes-5.0.0-alpha1-2x.html

https://www.elastic.co/guide/en/elasticsearch/reference/master/release-notes-5.0.0-alpha1.html

https://www.elastic.co/guide/en/elasticsearch/reference/master/release-notes-5.0.0-alpha2.html

https://www.elastic.co/guide/en/elasticsearch/reference/master/release-notes-5.0.0-alpha3.html

https://www.elastic.co/guide/en/elasticsearch/reference/master/release-notes-5.0.0-alpha4.html

 

下载体验最新的版本 ： https://www.elastic.co/v5

升级向导：https://github.com/elastic/elasticsearch-migration/blob/2.x/README.asciidoc