倒排索引是 ES 实现全文检索的核心,和传统数据库正排索引刚好相反。正排是按文档找关键词,倒排是按关键词找文档。比如一篇文档里有“ES、存储、检索”,会先把文本分词,然后记录每个词对应的文档 ID、位置、词频。写入数据时,ES 会自动对文本字段分词,构建倒排索引表。查询时,输入关键词直接查表,快速定位所有包含该词的文档,不用全表扫描。它还会存储词频、偏移量等信息,用来做相关性打分,这也是 ES 全文搜索快、准的核心原因,支撑海量数据下的秒级检索。
主节点是集群的大脑,负责集群管理工作,不存业务数据。主要做元数据管理、索引创建删除、分片分配、主分片选举、集群状态维护,要求稳定、CPU 算力充足。数据节点是干活的,负责存储实际数据,处理数据的写入、检索、聚合、排序等请求,占用磁盘、内存、IO 资源高。主节点保证集群整体稳定,数据节点支撑业务读写性能,两者分工明确。生产中一般专用主节点,避免数据节点负载高影响集群稳定,这是 ES 集群高可用的基础架构。
分片(Shard)是 ES 分布式存储的核心,把一个索引拆分成多个小的独立数据单元,分散在不同节点。创建索引时指定主分片数,后期无法修改。数据写入时,通过路由公式shard = hash(routing) % 主分片数,计算出目标主分片,均匀分发数据。每个分片都是独立的 Lucene 索引,具备完整的读写能力。分片让数据水平扩展,突破单节点存储、性能瓶颈,多个分片并行处理读写请求,提升集群吞吐。副本分片是主分片的备份,实现高可用,主分片故障时副本会升级为主分片。
Mapping 就是 ES 里的表结构定义,规定索引里字段的类型、是否分词、是否索引、存储格式等。比如指定字段是 text、keyword、integer、date,text 字段用什么分词器。ES 虽能自动识别字段类型,但自动 mapping 容易出错,比如把数字识别成文本,导致无法聚合排序。精准的 mapping 能提升检索效率、节省存储空间,保证数据类型正确,避免查询异常。分词规则、是否索引、字段格式都靠 mapping 控制,它是索引设计的核心,直接影响搜索准确性和性能,生产环境必须手动定义。
聚合是 ES 的数据分析统计能力,类似 SQL 的 group by、sum、avg,比 SQL 更强大。分为桶聚合、指标聚合、管道聚合三类。桶聚合用来分组,比如按地区、时间、分类分组;指标聚合做计算,比如求销量总和、平均价格、最大值;管道聚合对聚合结果再计算。支持嵌套聚合,比如先按日期分组,再统计每组的销售额。常用于报表统计、用户画像、日志分析、业务大盘,无需借助大数据组件,ES 就能直接在检索数据上做实时分析,秒级出结果,是日志、电商、运营分析的核心功能。
节点就是一台运行 ES 进程的服务器,是集群的最小单元。每个节点有唯一名称,启动后自动加入集群,不同节点承担不同角色,比如主节点、数据节点、协调节点。集群是多个节点的组合,通过网络互联,共享数据和负载,对外提供统一服务。集群有唯一名称,节点通过集群名加入。集群能水平扩展,提升存储、性能、高可用,单个节点故障,其他节点顶替,不影响服务。节点分工协作,集群统一调度,这是 ES 支撑海量数据、高并发的分布式基础架构。
文本分析就是把原始文本拆分成索引词的过程,由分析器完成,分三步:字符过滤、分词、词过滤。首先字符过滤器清理文本,比如去掉 HTML 标签、特殊符号;然后分词器按规则拆分,比如中文分词、英文按空格拆分;最后词过滤器处理,转小写、去停用词、同义词替换、词根还原。分析结果就是索引的关键词,直接决定搜索效果。不同字段用不同分析器,比如标题用精细分词,标签用不分词的 keyword。文本分析是全文搜索的基础,分析器选得好,搜索才精准。
ES 是分布式系统,不支持强事务,用最终一致性 + 写入参数保证数据可靠。写入时可配置一致性级别,比如主分片写入成功即返回,或主分片 + 部分副本成功。通过版本号控制并发更新,修改文档时版本不匹配则失败,避免覆盖。主分片写入后同步到副本,同步完成后数据一致。集群通过主节点维护元数据一致性,保证分片分配、副本状态统一。ES 不支持分布式事务,适合搜索、日志等非强事务场景,通过写入策略、版本控制,满足绝大多数业务的一致性需求。
ES 的近实时是指数据写入后,秒级内可检索,不是实时。数据写入时先存到内存缓冲区,默认每 1 秒 refresh 一次,把缓冲区数据生成 segment 段,写入文件系统缓存,此时就能搜索。refresh 是轻量级操作,不刷盘,速度快。数据最终通过 flush 写入磁盘,保证持久化。1 秒的 refresh 间隔,让写入后几乎立刻能查到,同时兼顾性能。如果需要更实时,可手动 refresh,牺牲少量性能。NRT 是 ES 兼顾写入性能和搜索实时性的核心设计。
索引性能优化从写入、分片、参数三方面入手。写入端用批量 API,减少请求次数;关闭实时刷新,增大 refresh 间隔;关闭副本,写入完成后再开启。分片设计合理,主分片数匹配节点数,避免分片过多或过少。参数调优:增大内存缓冲区,调整 Lucene 段合并策略,使用 SSD 磁盘。路由机制让数据集中存储,减少分片查询。禁用不必要的字段索引、存储,节省资源。还可采用滚动索引,拆分大索引。优化后能大幅提升写入速度,支撑海量数据的高并发索引。
索引别名是指向一个或多个索引的虚拟名称,类似数据库的视图。业务系统只用别名操作,不用关心实际索引名。核心作用:零停机切换索引,比如重建索引后,别名直接切换到新索引,业务无感知;合并多索引查询,给多个索引设置同一别名,一次性查询所有数据;按时间拆分的索引,用别名统一管理,方便查询。别名支持过滤、路由,可设置只读权限。它是 ES 生产环境必备功能,解决索引重构、扩容、查询统一的问题,全程无停机、无业务影响。
相关性打分是给搜索结果排序的分数,分数越高越匹配。ES 默认用 BM25 算法,替代了传统 TF-IDF。打分参考:词频,文档里关键词出现越多分越高;逆文档频率,关键词越少见分越高;字段长度,短字段匹配分更高;关键词匹配位置、是否完全匹配。还可手动调整权重,比如标题权重高于内容,提升精准度。查询时可自定义打分规则,结合业务需求优化排序。打分机制让最相关的结果排在前面,是全文搜索精准、好用的核心。
集群健康分绿、黄、红三个状态,通过_cat/health查看。绿色:所有主分片和副本都正常分配,集群完全健康,可正常读写。黄色:所有主分片正常,但部分副本未分配,比如节点故障,读写正常,但存在单点风险。红色:部分主分片未分配,数据不可用,写入查询会失败,集群故障。健康状态反映集群的分片可用性,生产中要监控状态,黄色及时排查节点、磁盘问题,红色紧急恢复故障节点,保证集群稳定运行。
跨集群搜索是同时查询多个独立 ES 集群,不用把数据汇总到一个集群。配置远程集群信息后,查询时在索引名前加集群别名,就能跨集群检索。比如北京、上海两个集群,可一次性查询两地数据,结果合并返回。适合多地域部署、业务拆分集群的场景,不用迁移数据,实现统一检索。协调节点会把查询分发到各集群,汇总结果返回。它轻量易用,不影响集群独立运行,是多集群统一查询的核心方案。
滚动索引是按时间 / 大小自动拆分索引,比如每天、每月生成新索引,旧索引保留或删除。用索引别名统一指向当前活跃索引,查询时通过别名查所有索引。适合日志、监控、时序数据,这类数据只增不改,旧数据很少查询。滚动索引可单独管理旧索引,比如关闭、删除、归档,节省资源;查询时只查近期索引,提升速度。配合 ILM 索引生命周期管理,自动完成创建、滚动、删除,无需人工操作,是时序数据存储的最佳实践。
ES 通过安全插件 + 权限体系保障安全,基础版有免费安全功能。开启密码认证,设置集群、索引、文档级权限。角色权限细分:集群管理、索引读写、搜索、查看等,给用户分配角色,实现最小权限。支持 IP 白名单、HTTPS 加密传输,防止数据泄露。还可设置字段级权限,隐藏敏感字段。生产环境必须开启安全认证,避免未授权访问,保护日志、业务数据安全,符合合规要求。
快照是 ES 的数据备份功能,把索引、集群状态备份到远程存储,比如 S3、HDFS、共享磁盘。快照是增量备份,只备份变化数据,速度快、占用空间小。可手动或定时创建快照,备份整个集群或指定索引。恢复时从远程存储加载快照,还原索引和数据。快照是数据灾备的核心,防止误删、数据损坏、集群故障。生产中必须定期备份,设置保留策略,出现问题快速恢复,保证数据不丢失。
文档是 ES 里最小的数据单元,是一条 JSON 格式的数据,类似数据库的一行记录,有唯一 ID,可被索引、检索。每个文档属于一个索引,包含多个字段。Type 是旧版 ES 里索引下的逻辑分类,类似数据库的表,但底层存储和分片无区别,会导致数据稀疏、性能差。ES 7.x 开始移除 Type,默认_doc,8.x 完全废弃。现在一个索引只存一类文档,结构更清晰,性能更好,这是 ES 简化架构、提升性能的重要调整。
路由是决定数据存在哪个分片的规则,默认用文档 ID 哈希取模计算分片。可自定义路由值,比如用户 ID、订单 ID,让同一业务数据存到同一个分片。查询时指定相同路由值,只查目标分片,不用广播所有分片,大幅提升查询速度。写入时也能减少分片切换,提升写入性能。适合按用户、店铺、地域隔离数据的场景,比如电商按店铺路由,查询时只查对应店铺的分片,降低集群负载,提升读写效率。
Nested 类型用来解决数组对象数据关联错误的问题。普通数组对象会被扁平化存储,查询时会出现跨对象匹配错误。Nested 把数组里的每个对象当成独立的隐藏文档,保留内部关联关系,查询时精准匹配同一对象内的字段。比如商品的规格数组,颜色红、价格 100,不会匹配到颜色蓝、价格 100 的错误结果。适合存储有内部关联的对象数组,比如订单商品、用户标签、多维度属性,保证查询结果准确。
父子模型是 ES 里两个文档的关联关系,父文档和子文档存于同一索引的不同分片,通过路由绑定。父文档是主数据,子文档是附属数据,比如博客(父)和评论(子)。可单独查询父、子文档,或联合查询,比如查有好评的博客。相比嵌套,父子模型可独立增删改子文档,不影响父文档,性能更好。适合一对多、子数据频繁变更的场景,比如文章 - 评论、商品 - 评价、用户 - 订单,灵活维护关联数据。
大数据量聚合靠分片并行 + 结果合并 + 优化策略。聚合请求分发到所有分片,各分片独立计算,返回结果后协调节点合并。优化:用 filter 提前过滤数据,减少聚合量;用 terms 聚合的 shard_size 参数,提升精准度;关闭不必要的计算;按时间拆分索引,只聚合近期数据;增大节点内存,使用 SSD。还可采用采样聚合、折叠聚合,降低计算量。配合冷热架构,热节点存新数据做聚合,冷节点存旧数据,支撑海量数据的实时聚合分析。
复制是主分片把数据同步到副本分片的过程。同步复制:主分片写入后,等待所有副本写入成功,才返回客户端确认,数据强一致,不会丢失,但写入延迟高、吞吐低,适合核心业务数据。异步复制:主分片写入成功就返回,后台异步同步到副本,写入速度快、吞吐高,但主分片故障时,未同步的副本会丢少量数据,适合日志、监控等非核心数据。生产中按数据重要性选择,核心数据用同步,普通数据用异步。
ES 高可用靠副本机制 + 故障转移 + 集群冗余。索引设置副本分片,主分片故障时,集群自动把副本升级为主分片,重新分配新副本,服务不中断。集群多节点部署,避免单点故障,主节点、数据节点冗余,单个节点宕机,其他节点顶替。数据持久化到磁盘,结合快照备份,防止数据丢失。路由、负载均衡让请求均匀分发,避免节点过载。全链路冗余、自动故障转移,保证 ES 7×24 小时稳定提供读写服务。
跨集群复制是把一个集群的数据同步到另一个集群,实现数据灾备、多地域分发。分为主集群和从集群,主集群写入数据,自动异步同步到从集群,从集群只读。支持增量同步,只复制变化数据,性能损耗小。适合多地域部署、异地灾备、读写分离,主集群写,从集群读,提升查询速度。复制过程自动,无需人工干预,从集群可随时切换为主集群,故障时快速切换,保证业务不中断。
热温冷架构是按数据访问频率分层存储,优化成本和性能。热节点:高配 CPU、内存、SSD,存近期高频访问数据,支撑高并发读写。温节点:中等配置,存中期数据,访问频率低,只做查询。冷节点:低配、大容量机械硬盘,存历史低频数据,归档存储。通过索引生命周期管理,自动把数据从热节点迁移到温、冷节点,无需人工操作。兼顾性能和成本,适合日志、时序、海量历史数据存储,是生产集群的标准架构。
场景查询是结合上下文、业务场景的精准检索,不是简单关键词匹配。比如电商搜索,结合用户历史、地域、商品分类、价格区间,返回个性化结果;日志检索结合时间、服务、级别过滤。通过布尔查询、过滤、权重调整、聚合筛选,把上下文条件融入查询语句。ES 支持多条件组合、嵌套查询、函数打分,根据业务场景定制查询逻辑,让结果更符合用户意图,比普通关键词搜索更精准、更贴合业务。
管道聚合是对聚合结果再计算,基于其他聚合的输出,不直接操作原始数据。比如先按日期统计销售额(桶聚合),再用管道聚合计算环比、同比、移动平均、累计总和。常用的有累计求和、导数、移动平均、bucket_script 自定义计算。使用时先定义基础聚合,再在同级定义管道聚合,引用基础聚合的结果。适合复杂报表计算,比如业务趋势、环比分析、累计统计,不用业务代码二次计算,ES 直接输出最终结果。
ES 数据实时同步分接入端同步和变更同步。接入端:业务系统写入 DB 后,同步写入 ES,或用消息队列异步同步。变更同步:用 Canal、Debezium 监听数据库 binlog,捕获增删改,实时同步到 ES,无侵入。ES 自身的变更可通过 Watcher、订阅接口通知外部系统。还可使用 Logstash、Flink-ES 连接器,实时采集日志、数据同步。根据业务延迟要求,选同步或异步方式,保证 DB 和 ES 数据一致,秒级实时同步。
ES 节点分四类:主节点:负责集群元数据、分片管理、选举,保证集群稳定。数据节点:存储数据,处理写入、检索、聚合,核心工作节点。协调节点:转发请求、合并结果,不存数据、不管理集群,分担客户端请求。 ingest 节点:数据预处理,写入前清洗、转换数据。生产中一般专用主节点,数据节点独立,协调节点按需部署,节点分工明确,避免角色冲突导致集群不稳定,是集群标准化部署的核心。
主节点选举是集群启动、故障时的自动竞选,基于 Bully 算法。只有配置为候选主节点的节点才能参与竞选。节点启动后,互相通信,发现集群状态,选择版本最新、节点 ID 最小的节点作为主节点。集群运行中,主节点故障,其他候选节点检测到心跳断开,触发重新选举,快速选出新主节点。选举过程自动,毫秒级完成,保证集群管理不中断。要求候选节点至少 3 个,避免脑裂,保证选举稳定。
ES 全文搜索基于倒排索引 + 文本分析。写入时,对文本字段分词,构建倒排索引,记录关键词对应的文档。查询时,对搜索词做相同分词处理,通过倒排索引快速定位匹配文档,再按相关性打分排序。支持布尔查询、模糊查询、通配符、短语查询、高亮显示。可过滤、分页、聚合,组合复杂查询逻辑。整个过程分布式并行处理,海量数据下秒级出结果,支持多字段、多语言、精准 / 模糊检索,满足各类全文搜索需求。
