Elasticsearch集群优化实战
版本配置:
ES版本:6.2.4
OS内存64G。
一、安装部署:
1.ES jvm内存31G,预留一半的物理内存给文件系统缓存(file system cache)。
2.禁止内存交换:
- 修改/etc/sysctl.conf 中 vm.swappiness = 1
- elasticsearch.yml中,设置这个:bootstrap.mlockall:true
3.修改ES启动用户可使用的系统文件句柄数等。
4.有条件使用更好的硬盘如ssd。
5.如果有多块盘:
- 做RAID0或者RAID5,RAID可以提高磁盘IO,建议做RAID5。
- 每个盘mount到一个目录,data path配置多个,多个path会有数据不均衡的问题。
6.节点分开部署:master、data、coordinate
7.冷热分离架构:热数据SSD存储,冷数据普通硬盘存储。
二、合理的Index Mapping:
1.特殊字段:如Boolean、IP、时间等。
2.字符串:尽量使用keyword,默认的text会被analyze。keyword最大32766字节。在仅查询的情况下,如果有 range 查询需求,使用 numeric,否则使用 keyword。
3.调整refresh间隔:refresh_interval: 30s,默认的1秒会导致大量segment产生,影响性能。
PUT /my_logs/_settings
{ "refresh_interval": "30s" }
4.调整translog刷新机制为异步:
"index": {
"translog": {
"flush_threshold_size": "512mb", (默认512M,不建议修改)
"sync_interval": "30s", (默认5s,可适当增大)
"durability": "async" (默认request,每次更新都会写trans log,修改为异步)
}
}
5.创建新索引时,可以配置每个分片中的Segment的排序方式,index sorting是优化检索性能的非常重要的方式之一:
{
"settings" : {
"index" : {
"sort.field" : "date",
"sort.order" : "desc"
}
},
"mappings": {
"properties": {
"date": {
"type": "date"
}
}
}
}
三、ES参数调整:
针对data节点,设置elasticsearch.yml中:
thread_pool.bulk.queue_size: 1024 (增大)
indices.fielddata.cache.size: 1gb (默认10%,可适当调小)
indices.queries.cache.size: 1gb(默认10%,可适当调小)
indices.memory.index_buffer_size: 15% (默认10%,会影响写入性能,写入的分片数更多,则需要更多的buffer)
cluster.routing.allocation.disk.include_relocations: false (加快shard分配,在建索引的时候,不考虑迁移的任务)
熔断circuit-breaker调整(调低,减小OOM风险):
indices.breaker.total.limit: 50%
indices.breaker.request.limit: 10%
indices.breaker.fielddata.limit: 10%
cluster.routing.allocation.same_shard.host:true
如果机器具有128 GB的RAM,可以运行两个节点,每个节点配置31GB内存,Lucene将使用剩余64GB内存。如果这样搭建data节点,在配置中设置cluster.routing.allocation.same_shard.host为true。这将阻止主副本分片被分配到同一台物理机,提高可用性。
四、设置合理的分片数和副本数:
1.对于数据量较小(100GB以下)的index:一般设置3~5个shard
2.对于数据量较大(100GB以上)的index:一般把单个shard的数据量控制在20GB~40GB
3.对于30G内存的节点,shard数量最好控制在600个(即每1GB内存的shard数在20以内)
4.副本数:一般副本数为1,对数据可用性有高要求的,可以设置为2
五、索引管理、段合并(Segment Merge)
1.基于数据大小和保存时长,按天、周、月、年去创建、关闭、删除索引。
2.索引太多时,索引预创建:每天定时任务把明天需要的索引先创建好(从6.7版本开始kibana自带索引生命周期管理ILM)。
3.关闭索引(文件仍然存在于磁盘,只是释放掉内存),需要的时候可以重新打开。
4.通过_forcemerge API进行合并,减少segments数量,同时提高查询效率:max_num_segments取值为:max_num_segments =(单个索引的大小G/分片数/2G)
5.通过_reindex API将历史小索引合并成大索引,减少索引数和分片数。
6.数据roll up(预聚合,物化视图)
六、写入:
1.使用批量请求bulk request。
2.尽量使用自动生成的ID。Elasticsearch自动生成的ID可以确保是唯一的,以避免版本查询。
3.避免索引大的document数据,如超过100M的一条document。
4.减少副本数,字段不分词,可增加写入性能。
七、查询:
1.尽量使用filter而不是query。使用filter不会计算评分score,只计算匹配。
2.如果不关心文档返回的顺序,则按_doc排序。
3.避免通配符查询。
4.不要获取太大的结果数据集,如果需要大量数据使用scroll API。
- 分页查询使用:from+size
- 遍历使用:scroll
- 并行遍历使用:scroll+slice
5.关于数据聚合去重
- terms 指定字段聚合 + topN:合理设置聚合的topN,聚合结果是不精确的,是取每个分片的Top size元素后综合排序后的值。
- ES5以后的新特性collapse:按某个字段进行“折叠”,这个collapse只针对query出来的结果,只能用在keyword或者numeric类型。
- ES6以后支持分页的聚合:Composite Aggregation,可以获取全量的聚合数据,只能用于Terms、Histogram、Date histogram、GeoTile grid。
参考:
https://www.elastic.co/blog/how-many-shards-should-i-have-in-my-elasticsearch-cluster
https://www.elastic.co/guide/en/elasticsearch/reference/6.2/general-recommendations.html
https://www.elastic.co/guide/en/elasticsearch/reference/current/tune-for-search-speed.html
https://www.elastic.co/guide/en/elasticsearch/reference/current/tune-for-indexing-speed.html
https://www.elastic.co/guide/en/elasticsearch/reference/current/tune-for-disk-usage.html
