Elasticsearch 快速开始
Elasticsearch 是一个分布式的 RESTful 风格的搜索和数据分析引擎。
准备开始Elasticsearch是一个高度可伸缩的开源全文搜索和分析引擎。它允许您快速和接近实时地存储、搜索和分析大量数据。 这里有一些使用Elasticsearch的用例:
基本概念Near Realtime (NRT) Elasticsearch是一个近乎实时的搜索平台。这意味着从索引文档到可以搜索的时间只有轻微的延迟(通常是1秒)。 Cluster 集群是一个或多个节点(服务器)的集合,它们共同保存你的整个数据,并提供跨所有节点的联合索引和搜索功能。一个集群由一个唯一的名称标识,默认这个唯一标识的名称是"elasticsearch"。这个名称很重要,因为如果节点被设置为按其名称加入集群,那么节点只能是集群的一部分。 确保不要在不同的环境中用相同的集群名称,否则可能导致节点加入到错误的集群中。例如,你可以使用"logging-dev","logging-test","logging-prod"分别用于开发、测试和正式集群的名字。 Node 节点是一个单独的服务器,它是集群的一部分,存储数据,并参与集群的索引和搜索功能。就像集群一样,节点由一个名称来标识,默认情况下,该名称是在启动时分配给节点的随机通用唯一标识符(UUID)。如果不想用默认的节点名,可以定义任何想要的节点名。这个名称对于管理来说很重要,因为你希望识别网络中的哪些服务器对应于你的Elasticsearch集群中的哪些节点。 一个节点可以通过配置集群名称来加入到一个特定的集群中。默认情况下,每个节点都被设置加入到一个名字叫"elasticsearch"的集群中,这就意味着如果你启动了很多个节点,并且假设它们彼此可以互相发现,那么它们将自动形成并加入到一个名为"elasticsearch"的集群中。 一个集群可以有任意数量的节点。此外,如果在你的网络上当前没有运行任何节点,那么此时启动一个节点将默认形成一个单节点的名字叫"elasticsearch"的集群。 Index 索引是具有某种相似特征的文档的集合。例如,你可以有一个顾客数据索引,产品目录索引和订单数据索引。索引有一个名称(必须是小写的)标识,该名称用于在对其中的文档执行索引、搜索、更新和删除操作时引用索引。 Document 文档是可以被索引的基本信息单元。文档用JSON表示。 Shards & Replicas 一个索引可能存储大量数据,这些数据可以超过单个节点的硬件限制。例如,一个包含10亿条文档占用1TB磁盘空间的索引可能不适合在单个节点上,或者可能太慢而不能单独处理来自单个节点的搜索请求。 为了解决这个问题,Elasticsearch提供了将你的索引细分为多个碎片(或者叫分片)的能力。在创建索引时,可以简单地定义所需的分片数量。每个分片本身就是一个功能完全独立的“索引”,可以驻留在集群中的任何节点上。 分片之所以重要,主要有两个原因:
在一个网络/云环境中随时都有可能出现故障,强烈推荐你有一个容灾机制。Elasticsearch允许你将一个或者多个索引分片复制到其它地方,这被称之为副本。 复制之所以重要,有两个主要原因:
总而言之,每个索引都可以分割成多个分片。索引也可以被复制零(意味着没有副本)或更多次。一旦被复制,每个索引都将具有主分片(被复制的原始分片)和副本分片(主分片的副本)。在创建索引时,可以为每个索引定义分片和副本的数量。创建索引后,您可以随时动态地更改副本的数量,但不能更改事后分片的数量。 在默认情况下,Elasticsearch中的每个索引都分配了5个主分片和1个副本,这意味着如果集群中至少有两个节点,那么索引将有5个主分片和另外5个副本分片(PS:这5个副本分片组成1个完整副本),每个索引总共有10个分片。 (画外音:副本是针对索引而言的,同时需要注意索引和节点数量没有关系,我们说2个副本指的是索引被复制了2次,而1个索引可能由5个分片组成,那么在这种情况下,集群中的分片数应该是 5 × (1 + 2) = 15 ) 安装tar -zxf elasticsearch-6.3.2.tar.gz cd elasticsearch-2/bin ./elasticsearch
检查Elasticsearch是否正在运行: curl http://localhost:9200/
The REST API集群健康请求: curl -X GET "localhost:9200/_cat/health?v" 响应: epoch timestamp cluster status node.total node.data shards pri relo init unassign pending_tasks max_task_wait_time active_shards_percent 1533625274 15:01:14 elasticsearch green 1 1 0 0 0 0 0 0 - 100.0% 我们可以看到,我们命名为“elasticsearch”的集群现在是green状态。 无论何时我们请求集群健康时,我们会得到green,yellow,或者 red 这三种状态。
从上面的响应中我们可以看到,集群"elasticsearch"总共有1个节点,0个分片因为还没有数据。 下面看一下集群的节点列表: 请求: curl -X GET localhost:9200/_cat/nodes?v" 响应: ip heap.percent ram.percent cpu load_1m load_5m load_15m node.role master name 127.0.0.1 15 53 0 0.03 0.03 0.05 mdi * Px524Ts 可以看到集群中只有一个节点,它的名字是“Px524Ts” 查看全部索引请求: curl -X GET localhost:9200/_cat/indices?v" 响应: health status index uuid pri rep docs.count docs.deleted store.size pri.store.size 上面的输出意味着:我们在集群中没有索引 创建一个索引现在,我们创建一个名字叫“customer”的索引,然后查看索引: 请求: curl -X PUT localhost:9200/customer?pretty" (画外音:pretty的意思是响应(如果有的话)以JSON格式返回) 响应: { "acknowledged" : true,"shards_acknowledged" : true,"index" : "customer" } 请求: curl -X GET "
响应: health status index uuid pri rep docs.count docs.deleted store.size pri.store.size yellow open customer rG5fxdruTNmD-bdYIF5zOg 5 1 0 0 1.1kb 1.1kb 结果的第二行告诉我们,我们现在有叫"customer"的索引,并且他有5个主分片和1个副本(默认是1个副本),有0个文档。 可能你已经注意到这个"customer"索引的健康状态是yellow。回想一下我们之前的讨论,yellow意味着一些副本(尚未)被分配。 之所以会出现这种情况,是因为Elasticsearch默认情况下为这个索引创建了一个副本。由于目前我们只有一个节点在运行,所以直到稍后另一个节点加入集群时,才会分配一个副本(对于高可用性)。一旦该副本分配到第二个节点上,该索引的健康状态将变为green。 索引并查询一个文档现在,让我们put一些数据到我们的"customer"索引: 请求: curl -X PUT localhost:9200/customer/_doc/1?pretty" -H 'Content-Type: application/json' -d{"name": "John Doe"}' 响应: { "_index" : "customer","_type" : "_doc","_id" : "1","_version" : 1,"result" : "created","_shards" : { "total" : 2,"successful" : 1,"failed" : 0 },"_seq_no" : 0,"_primary_term" : 1 } 从上面的响应可以看到,我们在"customer"索引下成功创建了一个文档。这个文档还有一个内部id为1,这是我们在创建的时候指定的。 需要注意的是,Elasticsearch并不要求你在索引文档之前就先创建索引,然后才能将文档编入索引。在前面的示例中,如果事先不存在"customer"索引,Elasticsearch将自动创建"customer"索引。 (画外音:也就是说,在新建文档的时候如果指定的索引不存在则会自动创建相应的索引) 现在,让我重新检索这个文档: 请求: curl -X GET "
响应: { "_index" : "customer","found" : true,"_source" : { "name" : "John Doe" } } 可以看到除了"found"字段外没什么不同,"_source"字段返回了一个完整的JSON文档。 删除一个索引现在,让我们删除前面创建的索引,然后查看全部索引 请求: curl -X DELETE "
响应: { "acknowledged" : true } 接下来,查看一下 curl -X GET "
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size 到现在为止,我们已经学习了创建/删除索引、索引/查询文档这四个命令 curl -X PUT localhost:9200/customer" curl -X PUT localhost:9200/customer/_doc/1' curl -X GET curl -X DELETE " 如果我们仔细研究上面的命令,我们实际上可以看到如何在Elasticsearch中访问数据的模式。这种模式可以概括如下: <REST Verb> /<Index>/<Type>/<ID> 修改数据更新文档事实上,每当我们执行更新时,Elasticsearch就会删除旧文档,然后索引一个新的文档。 下面这个例子展示了如何更新一个文档(ID为1),改变name字段为"Jane Doe",同时添加一个age字段: 请求: curl -X POST localhost:9200/customer/_doc/1/_update?pretty' { doc": { name": Jane Doe",age20 } } 下面这个例子用脚本来将age增加5 请求: curl -X POST script" : ctx._source.age += 5 } ' 在上面例子中,ctx._source引用的是当前源文档 响应: { "_index" : "customer","_version" : 3,"_seq_no" : 2,"_primary_term" : 1 } 删除文档删除文档相当简单。这个例子展示了如何从"customer"索引中删除ID为2的文档: 请求: curl -X DELETE localhost:9200/customer/_doc/2?pretty 批处理除了能够索引、更新和删除单个文档之外,Elasticsearch还可以使用_bulk API批量执行上述任何操作。 这个功能非常重要,因为它提供了一种非常有效的机制,可以在尽可能少的网络往返的情况下尽可能快地执行多个操作。 下面的例子,索引两个文档(ID 1 - John Doe 和 ID 2 - Jane Doe) 请求: curl -X POST localhost:9200/customer/_doc/_bulk?pretty' {index":{_id":1}} {John Doe } {2 } ' 响应: { "took" : 5,"errors" : false,"items" : [ { "index" : { "_index" : "customer","_version" : 4,"_shards" : { "total" : 2,"failed" : 0 },"_seq_no" : 3,"_primary_term" : 1,"status" : 200 } },{ "index" : { "_index" : "customer","status" : 201 } } ] } 接下来的例子展示了,更新第一个文档(ID为1),删除第二个文档(ID为2): 请求: curl -X POST updateJohn Doe becomes Jane Doe } } {delete}} ' 响应: { "took" : 8,"items" : [ { "update" : { "_index" : "customer","_version" : 5,"_seq_no" : 4,{ "delete" : { "_index" : "customer","result" : "deleted","status" : 200 } } ] } 现在,我们来重新查看一下索引文档 curl -X GET "
检索数据示例数据现在我们已经了解了基础知识,让我们尝试处理一个更真实的数据集。我准备了一个关于客户银行账户信息的虚构JSON文档示例。每个文档都有以下格式: { "account_number": 0,"balance": 16623 } 加载示例数据你可以从这里下载示例数据 提取它到我们的当前目录,并且加载到我们的集群中: 新建一个文件accounts.json,然后将数据复制粘贴到该文件中,保存退出 在这个accounts.json文件所在目录下执行如下命令: curl -H " -XPOST localhost:9200/bank/_doc/_bulk?pretty&refresh" --data-binary @accounts.json" 此时,accounts.json中的文档数据便被索引到"bank"索引下 让我们查看一下索引: 请求: curl "
响应: health status index uuid pri rep docs.count docs.deleted store.size pri.store.size yellow open customer DoM-O7QmRk-6f3Iuls7X6Q 5 1 1 0 4.5kb 4.5kb yellow open bank 59jD3B4FR8iifWWjrdMzUg 5 1 1000 0 474.7kb 474.7kb 可以看到,现在我们的集群中有两个索引,分别是"customer"和"bank" "customer"索引,1个文档,"bank"索引有1000个文档 The Search API现在让我们从一些简单的搜索开始。运行搜索有两种基本方法:一种是通过REST请求URI发送检索参数,另一种是通过REST请求体发送检索参数。 (画外音:一种是把检索参数放在URL后面,另一种是放在请求体里面。相当于HTTP的GET和POST请求) 请求体方法允许你更有表现力,也可以用更可读的JSON格式定义搜索。 用于搜索的REST API可从_search端点访问。下面的例子返回"bank"索引中的所有文档: curl -X GET localhost:9200/bank/_search?q=*&sort=account_number:asc&pretty" 让我们来剖析一下上面的请求。 我们在"bank"索引中检索,q=*参数表示匹配所有文档;sort=account_number:asc表示每个文档的account_number字段升序排序;pretty参数表示返回漂亮打印的JSON结果。 响应结果看起来是这样的: { "took" : 96,"timed_out" : false,"_shards" : { "total" : 5,"successful" : 5,"skipped" : 0,"hits" : { "total" : 1000,"max_score" : null,"hits" : [ { "_index" : "bank","_id" : "0","_score" : null,"_source" : { "account_number" : 0,"balance" : 16623,"firstname" : "Bradshaw","lastname" : "Mckenzie","age" : 29,"gender" : "F","address" : "244 Columbus Place","employer" : "Euron","email" : "bradshawmckenzie@euron.com","city" : "Hobucken","state" : "CO" },"sort" : [ 0 ] },{ "_index" : "bank","_source" : { "account_number" : 1,"balance" : 39225,"firstname" : "Amber","lastname" : "Duke","age" : 32,"gender" : "M","address" : "880 Holmes Lane","employer" : "Pyrami","email" : "amberduke@pyrami.com","city" : "Brogan","state" : "IL" },"sort" : [ 1 ] },"_source" : { "account_number" : 2,"balance" : 28838,"firstname" : "Roberta","lastname" : "Bender","age" : 22,"address" : "560 Kingsway Place","employer" : "Chillium","email" : "robertabender@chillium.com","city" : "Bennett","state" : "LA" },"sort" : [ 2 ] },...... ] } 可以看到,响应由下列几部分组成:
下面是一个和上面相同,但是用请求体的例子: curl -X GET localhost:9200/bank/_searchquerymatch_all: {} },sort: [ { account_numberasc } ] } ' 区别在于,我们没有在URI中传递q=*,而是向_search API提供json风格的查询请求体 很重要的一点是,一旦返回搜索结果,Elasticsearch就完全完成了对请求的处理,不会在结果中维护任何类型的服务器端资源或打开游标。这是许多其他平台如SQL形成鲜明对比。 查询语言Elasticsearch提供了一种JSON风格的语言,您可以使用这种语言执行查询。这被成为查询DSL。 查询语言非常全面,乍一看可能有些吓人,但实际上最好的学习方法是从几个基本示例开始。 回到我们上一个例子,我们执行这样的查询: curl -X GET : {} } } ' 查询部分告诉我们查询定义是什么,match_all部分只是我们想要运行的查询类型。这里match_all查询只是在指定索引中搜索所有文档。 除了查询参数外,我们还可以传递其他参数来影响搜索结果。在上面部分的例子中,我们传的是sort参数,这里我们传size: curl -X GET size1' 注意:如果size没有指定,则默认是10 下面的例子执行match_all,并返回第10到19条文档: curl -X GET from10' from参数(从0开始)指定从哪个文档索引开始,并且size参数指定从from开始返回多少条。这个特性在分页查询时非常有用。 注意:如果没有指定from,则默认从0开始 这个示例执行match_all,并按照帐户余额降序对结果进行排序,并返回前10个(默认大小)文档。 curl -X GET balanceorderdesc } } } ' 搜索继续学习查询DSL。首先,让我们看一下返回的文档字段。默认情况下,会返回完整的JSON文档(PS:也就是返回所有字段)。这被成为source(hits._source) 如果我们不希望返回整个源文档,我们可以从源文档中只请求几个字段来返回。 下面的例子展示了只返回文档中的两个字段:account_number 和 balance字段 curl -X GET _source": [] } ' (画外音:相当于SELECT account_number, balance FROM bank) 现在让我们继续查询部分。以前,我们已经看到了如何使用match_all查询匹配所有文档。现在让我们引入一个名为match query的新查询,它可以被看作是基本的字段搜索查询(即针对特定字段或字段集进行的搜索)。 下面的例子返回account_number为20的文档 curl -X GET match(画外音:相当于SELECT * FROM bank WHERE account_number = 20) |