第二十章 ElasticSearch

1：ES的倒排索引是什么？

面试官：想了解你对基础概念的认知。

传统的检索是通过文章，逐个遍历找到对应关键词的位置。而倒排索引，是通过分词策略，形成了词和文章的映射关系表，这种词典+映射表 即为倒排索引。

有了倒排索引，就能实现 o(1)时间复杂度的效率检索文章了，极大的提高了 检索效率。

学术的解答方式：

倒排索引，相反于一篇文章包含了哪些词，它从词出发，记载了这个词在哪些文档中出现过，由两部分组成——词典和倒排表。

倒排索引的底层实现是基于：FST(Finite State Transducer)数据结构。

Lucene 从 4+版本后开始大量使用的数据结构是 FST。FST 有两个优点:

（1）空间占用小。通过对词典中单词前缀和后缀的重复利用，压缩了存储空间

（2）查询速度快。O(len(str))的查询时间复杂度。

 

 

 

2：描述一下 Elasticsearch 索引文档的过程

这里的索引文档应该理解为文档写入 ES，创建索引的过程。文档写入包含:单文档写入和批量 bulk 写入，这里只解释一下:单文档写入流程。

记住官方文档中的这个图。

 

第一步：客户写集群某节点写入数据，发送请求。(如果没有指定路由/协调节点， 请求的节点扮演路由节点的角色。)

    也就是客户端选择一个node发送请求过去，这个node就是coordinating node（协调节点）。

 

第二步：协调节点对document进行路由，将请求转发给对应的node（有primary shard）。

比如节点 1 接受到请求后，使用文档_id 来确定文档属于分片 0。请求会被转 到另外的节点，假定节点 3。因此分片 0 的主分片分配到节点 3 上。

文档获取分片的过程，借助路由算法获取，路由算法就是根据路由和文档 id 计算目标的分片 id 的 过程。

shard = hash(_routing) % (num_of_primary_shards)

 

第三步：实际的node上的primary shard处理请求，然后将数据同步到replica node。

比如节点 3 在主分片上执行写操作，如果成功，则将请求并行转发到节点 1 和节点 2 的副本分片上，等待结果返回。

 

第四步：所有的副本分片都报告成功，节点 3 将 向协调节点(节点 1)报告成功，节点 1 向请求客户端报告写入成功。

 

3：描述一下 Elasticsearch 搜索的过程?

搜索被执行成一个两阶段过程，称之为 Query Then Fetch。

 

 

query 阶段的目的：定位到位置，但不取数据。

步骤如下:

1：在初始查询阶段时，查询会广播到索引中每一个分片拷贝(主分片或者副本分片)。

 

2：每个分片在本地进行查询，每个分片在本地执行搜索并构建一个匹配文档的大小为 from + size 的 优先队列，结果返回到本地有序的优先队列中。

 

3：把每个分片的查询结果发送到协调节点，协调节点合并这些值到自己的优先队列中来产生一个全局排序后的结果列表。

 

取回阶段，fetch 阶段的的步骤如下：

4：协调节点辨别出哪些文档需要被取回，并向相关的分片提交多个GET请求

5：每个分片加载并丰富文档，如果有需要的话，接着返回文档给协调节点。

6：一旦所有的文档都被取回了，协调节点返回结果给客户端。

Query Then Fetch 的搜索类型在文档相关性打分的时候参考的是本分片的数据，这样在文档数量较少的时候可能不够准确，DFS Query Then Fetch 增 加了一个预查询的处理，询问 Term 和 Document frequency，这个评分更准确，但是性能会变差。

 

4：详细描述一下 Elasticsearch 更新和删除文档的过程

1：删除和更新都是写操作，但是 Elasticsearch 中的文档是不可变的，因此不能被删除或者改动以展示其变更

 

2：磁盘上的每个段都有一个相应的.del 文件。当删除请求发送后，文档并没有真的被删除，而是在.del文件中被标记为删除。该文档依然能匹配查询，但是会在结果中被过滤掉。当段合并时，在.del 文件中被标记为删除的文档将不会被写入 新段。

 

3：在新的文档被创建时，Elasticsearch 会为该文档指定一个版本号，当执行更新时，旧版本的文档在.del文件中被标记为删除，新版本的文档被索引到一个新段。 旧版本的文档依然能匹配查询，但是会在结果中被过滤掉。

 

4：也就是说ES对文档的更新操作，实际是先删除文档，然后重新 索引文档

 

5：Elasticsearch 是如何实现 master 选举的

面试官：想了解 ES 集群的底层原理，不再只关注业务层面了。

1：前置前提：

（1）只有候选主节点(master:true)的节点才能成为主节点。

（2）最小主节点数(min_master_nodes)的目的是防止脑裂。

2：选举流程大致如下：

（1）确认候选主节点数达标，elasticsearch.yml 设置的值 discovery.zen.minimum_master_nodes;

（2）比较：先判定是否具备 master 资格，具备候选主节点资格的优先返回; 若两节点都为候选主节点，则 id 小的值会主节点。注意这里的 id 为 string 类型。

 

6：Elasticsearch 在部署时，对 Linux 的设置有哪些优化方法

面试官：想了解对 ES 集群的运维能力。

常见的有：

（1）关闭缓存 swap;

（2）堆内存设置为:Min(节点内存/2, 32GB); 64 GB 内存的机器是非常理想的， 但是 32 GB 和 16 GB 机器也是很常见的。机器内存最好不少于8GB

（3）设置最大文件句柄数;

（4）线程池+队列大小根据业务需要做调整;

（5）磁盘存储 raid 方式——存储有条件使用 RAID10，增加单节点性能以及避免单 节点存储故障。

 

 

7： Elasticsearch 索引文档的原理

协调节点默认使用文档 ID 参与计算(也支持通过 routing)，以便为路由提供合适的分片。

shard = hash(document_id) % (num_of_primary_shards)

1：当分片所在的节点接收到来自协调节点的请求后，会将请求写入到 Memory Buffer，同时写入到translog ，ES 是通过 translog 的机制来保证数据的可靠性的。在buffer里的时候数据是搜索不到的。

 

2：如果buffer快满了，或者定时(默认是每隔 1 秒)，就会将buffer数据refresh到一个新的segment file中，但是此时数据不是直接进入segment file的磁盘文件的，而是先进入os 到 filesystem cache的。这个过程就是refresh。

只要buffer中的数据被refresh操作，刷入filesystem  cache中，就代表这个数据就可以被搜索到了。

为什么叫ES是准实时的？NRT，near real-time，准实时。就是因为默认是每隔1秒refresh一次，所以ES是准实时的，因为写入的数据1秒之后才能被看到。

 

3：当buffer的数据写入到filesystem cache中过后，内存中的缓冲将被清除，然后内容被写入一个segment file，段的 fsync 将创建一个新的提交点，并将内容刷新到磁盘，旧的 translog 将被删除并开始一个新的 translog。这个过程叫做 flush。

 

4：flush 触发的时机是定时触发(默认 30 分钟)或者 translog 变得太大(默认 为 512M)时

 

关于 Lucene 的 Segement：

1：Lucene 索引是由多个段组成，段本身是一个功能齐全的倒排索引。

2：段是不可变的，允许 Lucene 将新的文档增量地添加到索引中，而不用从头重建索引。

3：对于每一个搜索请求而言，索引中的所有段都会被搜索，并且每个段会消耗 CPU 的时钟周、文件句柄和内存。这意味着段的数量越多，搜索性能会越低。

4：为了解决这个问题，Elasticsearch 会合并小段到一个较大的段，提交新的合并段到磁盘，并删除那些旧的小段。

 

 

8：Elasticsearch 中的节点(比如共 20 个)，其中的 10 个 选了一个 master，另外 10 个选了另一个 master，怎么办?

当集群 master 候选数量不小于 3 个时，可以通过设置最少投票通过数量 (discovery.zen.minimum_master_nodes)超过所有候选节点一半以上来解 决脑裂问题;

当候选数量为两个时，只能修改为唯一的一个 master 候选，其他作为 data 节点，避免脑裂问题。

 

9：说说你们公司 ES 的集群架构，索引数据大小，分片有多少，以及一些调优手段

面试官：想了解应聘者之前公司接触的 ES 使用场景、规模，有没有做过比较大规模的索引设计、规划、调优。

如实结合自己的实践场景回答即可。

比如：ES 集群架构 13 个节点，索引根据通道不同共 20+索引，根据日期，每日递增 20+，索引:10 分片，每日递增 1 亿+数据， 每个通道每天索引大小控制:150GB 之内。

仅索引层面调优手段：

1：设计阶段调优

（1）根据业务增量需求，采取基于日期模板创建索引，通过 roll over API 滚动索引;

（2）使用别名进行索引管理;

（3）每天凌晨定时对索引做 force_merge 操作，以释放空间;

（4）采取冷热分离机制，热数据存储到 SSD，提高检索效率;冷数据定期进行 shrink 操作，以缩减存储;

（5）采取 curator 进行索引的生命周期管理;

（6）仅针对需要分词的字段，合理的设置分词器;

（7）Mapping 阶段充分结合各个字段的属性，是否需要检索、是否需要存储等........

2：写入调优

（1）写入前副本数设置为 0;

（2）写入前关闭 refresh_interval 设置为-1，禁用刷新机制;

（3）写入过程中:采取 bulk 批量写入;

（4）写入后恢复副本数和刷新间隔;

（5）尽量使用自动生成的 id。

3：查询调优

（1）禁用 wildcard;

（2）禁用批量 terms(成百上千的场景);

（3）充分利用倒排索引机制，能 keyword 类型尽量 keyword;

（4）数据量大时候，可以先基于时间敲定索引再检索;

（5）设置合理的路由机制。

4：其他调优

部署调优，业务调优等。

 

回答上面提及的一部分，面试者就基本对你之前的实践或者运维经验有所评估了。

 

10：Elasticsearch索引数据多了怎么办，如何调优？

面试官：想了解大数据量的运维能力。

解答：索引数据的规划，应在前期做好规划，正所谓“设计先行，编码在后”，这样才能有效的避免突如其来的数据激增导致集群处理能力不足引发的线上客户 检索或者其他业务受到影响。

1：动态索引层面

基于模板+时间+rollover api 滚动创建索引，举例:设计阶段定义:blog 索 引的模板格式为:blog_index_时间戳的形式，每天递增数据。

这样做的好处:不至于数据量激增导致单个索引数据量非常大，接近于上线 2 的 32 次幂-1，索引存储达到了 TB+甚至更大。

一旦单个索引很大，存储等各种风险也随之而来，所以要提前考虑+及早避免。

2：存储层面

冷热数据分离存储，热数据(比如最近 3 天或者一周的数据)，其余为冷数据。 对于冷数据不会再写入新数据，可以考虑定期 force_merge 加 shrink 压缩操作，节省存储空间和检索效率。

3：部署层面

一旦之前没有规划，这里就属于应急策略。

结合 ES 自身的支持动态扩展的特点，动态新增机器的方式可以缓解集群压力，如果之前主节点等规划合理，不需要重启集群也能完成动态新增的。

 

11：Elasticsearch 对于大数据量(上亿量级)的去重计算如何实现?

Elasticsearch 提供的去重计算是 cardinality 度量。它提供一个字段的基数， 即该字段的 distinct 或者 unique 值的数目。它是基于 HLL 算法的。

HLL 会先对 我们的输入作哈希运算，然后根据哈希运算的结果中的 bits 做概率估算从而得到 基数。其特点是:可配置的精度，用来控制内存的使用(更精确 = 更多内存); 小的数据集精度是非常高的;我们可以通过配置参数，来设置去重需要的固定内 存使用量。无论数千还是数十亿的唯一值，内存使用量只与你配置的精确度相关。

 

12：在并发情况下，Elasticsearch 如果保证读写一致?

1：可以通过版本号使用乐观并发控制，以确保新版本不会被旧版本覆盖，由应用层来处理具体的冲突;

 

2：另外对于写操作，一致性级别支持 quorum/one/all，默认为 quorum，即只 有当大多数分片可用时才允许写操作。但即使大多数可用，也可能存在因为网络等原因导致写入副本失败，这样该副本被认为故障，分片将会在一个不同的节点上重建。

 

3：对于读操作，可以设置 replication 为 sync(默认)，这使得操作在主分片和副本分片都完成后才会返回;如果设置 replication 为 async 时，也可以通过设置搜 索请求参数_preference 为 primary 来查询主分片，确保文档是最新版本。

 

13：如何监控 Elasticsearch 集群状态?

Marvel 让你可以很简单的通过 Kibana 监控 Elasticsearch。你可以实时查看你 的集群健康状态和性能，也可以分析过去的集群、索引和节点指标