Elasticsearch:如何轻松安全地对实时 Elasticsearch 索引重新索引你的数据

Posted Elastic 中国社区官方博客

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Elasticsearch:如何轻松安全地对实时 Elasticsearch 索引重新索引你的数据相关的知识,希望对你有一定的参考价值。

 

在很多的时候,由于一些需求,我们不得不修改索引的映射,也即 mapping,这个时候我们需要重新索引(reindex)来把之前的数据索引到新的索引中。槽糕的是,我们的这个索引还在不断地收集实时数据,那么我们该如何处理这种情况呢?

比如,我们有这样的一个案例。假设你有一个名为 production_logs 的索引处于活动状态,这意味着它不断接收新数据。现在假设你想要以需要重新索(reindex)引该索引的所有数据的方式更新其映射:通常,当你想要更改现有字段的数据类型(例如从keyword 到 integer)时,会发生这种情况。

好的,现在你拥有的选项将取决于你首先如何设置索引。

你需要一个 index template

如果你没有自己创建索引,Elasticsearch 能够创建索引,这意味着如果你尝试索引 foo 索引中的某些数据,Elasticsearch 将创建它(如果它尚不存在)。

通过这样做,它使用称为动态映射的功能为这个新索引创建默认映射。

这就是你需要索引模板的原因! 此功能允许你定义 Elasticsearch 自动创建的索引将获得的所有属性,包括其设置和映射。

因此,如果你的 production_logs 索引没有索引模板,仍然是时候创建它了。 我们称它为 production_logs_template 并将此模板的模式设置为 production_logs* ,这意味着每次 Elasticearch 将自动创建名称与模式 production_logs* 匹配的索引时,它将应用该模板(请参阅完整文档)。

以下是索引模板创建请求的示例:

PUT _index_template/production_logs_template

  "index_patterns": [ "production_logs*"],
  "template": 
    "settings": 
      ...
    ,
    "mappings": 
      ...
    
  

案例 1:你已经有一个 index alias

将真实索引隐藏在索引别名后面始终是一个好习惯。

它引入的抽象级别可帮助你在后台执行修改,而不会影响索引的用户(无论是人还是软件)。

因此,假设你获得了当前链接到要修改的 production_logs 索引的日志别名,并且你想要根据 production_logs_template 更新索引的映射。

这里的方法很简单:

  • 更新索引模板以定义新映射
  • 创建一个新索引,其名称与 production_logs* 匹配(例如 production_logs_1 )
  • 切换日志别名以指向这个新索引
POST _aliases

  "actions": [
    
      "add": 
        "index": "production_logs_1",
        "alias": "logs"
      
    ,
    
      "remove": 
        "index": "production_logs",
        "alias": "logs"
      
    
  ]

在上面我们的 add 及 remove 是一个原子操作,也即同时起作用。中间不会有其它的操作,这样保证在删除的同时,向我们的索引别名 logs 写入的数据能够正确地写入到新的索引中。

  • 将数据从 production_logs 重新索引到 production_logs_1
POST _reindex?wait_for_completion=false

  "source": 
    "index": "production_logs"
  ,
  "dest": 
    "index": "production_logs_1"
  

此请求将返回一个 task_id,你可以使用它来监视重建索引过程的进度。

以下是你收到的响应示例:


  "task": "<task_id>"

你可以发出请求以利用任务管理 API

GET _tasks/<task_id>?human

上述命令可以让我们知道任务的进度。就是这么简单! 在重建索引过程结束时,你的 production_logs_1 索引将包含所有新旧数据,并具有正确的映射。 👏

案例2:你还没有一个 index alias

嗯,这会更难,但没有什么是不可能的,对吧?

从现在开始,我们仍然可以面临(至少)两种不同的情况:你是否使用摄入管道(ingest pipeline)。

在下文中,请记住我们已经创建了一个驱动 production_logs* 索引的索引模板。

案例 2.1:你正在使用一个 ingest pipeline

 

假设使用 production_logs_pipeline 将数据索引到 Elasticsearch,该管道处理任何传入事件,然后再将其索引到 production_logs 索引中。

以下是你想要更新实时索引的几个步骤。

首先,修改 production_logs_pipeline,在末尾添加 set processor。


  "set": 
    "field": "_index",
    "value": "_index_1"
  

现在,所有通过此摄取管道的文档都将重定向到 production_logs_1 索引。

然后,你可以将所有数据从 production_logs 重新索引到名为 production_logs_orig 的新索引索引。

POST _reindex?wait_for_completion=false

  "source": 
    "index": "production_logs"
  ,
  "dest": 
    "index": "production_logs_orig"
  

这里请注意,索引 production_logs_1 和 production_logs_orig 都将根据索引模板 production_logs_template 创建!

重新索引任务完成后,你可以安全地删除 production_logs 索引(它的所有数据都已存储在 production_logs_orig 索引中)。

现在我们可以创建一个新的索引别名,它将被命名为 production_logs 并将同时针对 production_logs_orig 和 production_logs_1 索引,后者将是写入索引。

POST _aliases

  "actions": [
    
      "add": 
        "index": "production_logs_orig",
        "alias": "production_logs"
      
    ,
    
      "add": 
        "index": "production_logs_1",
        "alias": "production_logs",
        "is_write_index": true
      
    
  ]

最后,你需要返回到以前版本的 production_logs_pipeline,以便传入的数据从现在开始将使用新创建的 production_logs 别名。

作为最终结果,我们现在有一个索引别名指向两个具有预期映射的索引👏

💡 有可能再次从 production_logs_orig 重新索引到 production_logs_1 最后只有一个索引。

案例 2.2:索引是直接对索引进行的,没有摄取管道

 

在这种情况下,需要执行更多步骤,遗憾的是无法创建别名来替换原始索引,但你仍然可以将新映射应用于实时索引。

因此,首先你必须创建一个新的摄取管道,我们将其命名为 temp_pipeline:

PUT _ingest/pipeline/temp_pipeline

  "processors": [
    
      "set": 
        "field": "_index",
        "value": "_index_1"
      
    
  ]

它只有一个处理器,其作用是将传入的文档重定向到一个新索引,该索引的名称是原始索引并以 _1 为后缀。

现在我们要表明任何进入 production_logs 索引的文档现在都应该使用这个新的摄取管道。 我们可以在我们的索引上利用 index.default_pipeline 设置,这将允许我们应用管道,即使原始索引请求没有提到它。

PUT production_logs/_settings

  "index": 
    "default_pipeline": "temp_pipeline"
  

从现在开始,每个传入的文档都将被重定向到 production_logs_1 索引,该索引将使用 production_logs_template 索引模板自动创建。

production_logs 索引不会获得任何新文档,因此我们可以将数据从该索引重新索引到一个名为 production_logs_orig 的新文档。

POST _reindex?wait_for_completion=false

  "source": 
    "index": "production_logs"
  ,
  "dest": 
    "index": "production_logs_orig"
  

和以前一样,我们可以使用任务管理 API来监控重建索引过程。

完成后,我们删除 production_logs,下一个传入文档到达后将立即重新创建! 它将获得预期的映射(感谢索引模板)所以我们处于这种情况:

  • production_logs_orig 索引包含在我们开始操作之前索引的所有数据
  • production_logs_1 索引包含从迁移开始到删除之前的 production_logs 索引之间已编制索引的所有数据
  • production_logs 索引已重新创建并收集所有新数据(在如下的步骤中进行操作)

要回到单索引状态,我们只需将数据从 production_logs_orig 和 production_logs_1 重新索引到 production_logs 。

POST _reindex?wait_for_completion=false

  "source": 
    "index": "production_logs_1, production_logs_orig"
  ,
  "dest": 
    "index": "production_logs"
  

作为最终结果,我们将所有以前的数据(以及所有新数据)与新映射一起存储在 production_logs 索引中 👏

结论

本文可以帮助实现一些数据操作,但请记住当前在 Elasticsearch 中处理数据时的最佳实践:

  • 始终使用别名从你用来与之交互的资源中抽象出你的真实索引
  • 如果处理时间序列,最好是使用数据流

以上是关于Elasticsearch:如何轻松安全地对实时 Elasticsearch 索引重新索引你的数据的主要内容,如果未能解决你的问题,请参考以下文章

ElasticSearch--1

ElasticSearch

ElasticSearch

Elasticsearch——简介 & 安装

Elasticsearch——简介 & 安装

Elasticsearch简介以及增删改查入门(学习笔记)