javaroad

Appearance

近实时查询(NRT)详解

要理解Elasticsearch(以下简称ES)的近实时查询(Near-Real-Time, NRT),必须从Lucene的底层结构ES的写入流程refresh机制分段管理这几个核心维度展开——近实时的本质,是ES在数据持久化查询可见性之间做的一次精妙平衡。

一、基础铺垫:Lucene的“分段”模型

ES是基于Lucene构建的,而Lucene的索引(对应ES的分片)由多个不可变的“分段(Segment)” 组成。每个分段本质是一个独立的倒排索引,包含了部分文档的完整信息。

分段的核心特性

  • 不可变性(Immutable):一旦生成,分段就不会被修改(删除操作是标记为“已删除”,更新是删除旧文档+写入新文档)。
  • 查询无锁:因为分段只读,多个查询可以同时访问同一个分段,无需加锁,这是Lucene查询性能高的关键。
  • 逐步可见:分段生成后,只要被“加载”到文件系统缓存(而非磁盘),就能被查询到——这是近实时的基础。

二、ES的写入流程:从“不可查到可查”的关键步骤

要理解近实时查询,必须先明确文档写入后如何从“不可见”变为“可见”。ES的写入流程分为以下几个关键步骤(以单分片为例):

步骤1:写入内存缓冲区+Translog

当客户端发送PUT /index/_doc/1写入文档时:

  1. 文档被路由到对应的分片(由_id或路由键决定)。
  2. 分片将文档先写入“内存缓冲区(In-Memory Buffer)”,同时追加写入“事务日志(Translog)”(Translog是磁盘上的Append-Only文件,用于保证数据不丢失)。

此时,文档不可查询——因为内存缓冲区的数据还未生成可搜索的分段。

步骤2:Refresh操作:生成可查询的分段

ES通过Refresh机制将内存中的数据转化为可查询的分段,这是近实时的核心!

2.1 Refresh的触发条件

默认情况下,ES会每1秒自动触发一次Refresh(可通过index.refresh_interval配置,比如设为30s降低频率)。此外,当内存缓冲区达到阈值(默认是堆内存的10%)或手动调用POST /index/_refresh时,也会触发Refresh。

2.2 Refresh的执行过程

当Refresh触发时:

  1. 冻结内存缓冲区:将当前的内存缓冲区“冻结”,不再接受新的写入(新写入会进入新的内存缓冲区)。
  2. 生成新分段:将冻结的内存缓冲区内容转化为一个新的Lucene分段,并将其写入文件系统缓存(File System Cache)——注意:此时分段并未持久化到磁盘(磁盘IO太慢),而是存在于操作系统的内存缓存中。
  3. 清空内存缓冲区:冻结的缓冲区被清空,准备接收新的写入。

此时,新分段中的文档立即变为可查询——因为文件系统缓存是内存映射的,Lucene可以快速访问其中的分段数据。这一步的延迟约为1秒(默认配置),这就是“近实时”的由来(不是“实时”,因为实时要求写入后立即可见,但ES选择了1秒的延迟来平衡性能)。

步骤3:Flush操作:持久化分段到磁盘

虽然Refresh让文档可查询,但分段还在文件系统缓存中——如果节点宕机,文件系统缓存中的数据会丢失。因此,ES需要Flush操作将分段持久化到磁盘,并清空Translog。

3.1 Flush的触发条件

  • Translog大小达到阈值(默认512MB);
  • 超过30分钟未触发Flush;
  • 手动调用POST /index/_flush

3.2 Flush的执行过程

  1. 强制Refresh:确保所有内存缓冲区的数据都生成分段(避免遗漏)。
  2. Fsync分段到磁盘:将文件系统缓存中的所有分段强制刷盘(fsync)——这一步是磁盘IO操作,代价较高。
  3. 清空Translog:Translog中的数据已经持久化到分段,因此可以安全清空。

Flush完成后,分段正式持久化到磁盘,数据不会因节点宕机而丢失。

步骤4:后台合并(Merge):优化查询性能

每一次Refresh都会生成一个小分段,如果分段数量过多(比如数百个),会导致查询时需要合并大量分段的结果,严重影响性能。因此,ES会在后台启动合并进程(Merge Process),将多个小分段合并为一个大分段。

4.1 合并的特点

  • 异步执行:不影响写入和查询(查询时会同时访问旧分段和合并中的分段,合并完成后旧分段会被标记为“已删除”并最终清理)。
  • 可配置:通过index.merge.*参数调整合并策略(比如合并的线程数、分段大小阈值)。

合并的核心目的是减少分段数量,提升查询效率——因为查询时需要遍历的分段越少,合并结果的代价越低。

三、近实时查询的完整流程

当用户发起查询(比如GET /index/_search?q=title:elasticsearch)时,ES的查询流程如下:

1. 路由查询到分片

ES将查询请求广播到索引的所有分片(主分片或副本分片),每个分片独立处理查询。

2. 分片内查询所有可用分段

每个分片会遍历自己的所有“可用分段”(包括:

  • 已持久化到磁盘的分段;
  • 存在于文件系统缓存中的未持久化分段(即Refresh生成的分段))。

因为分段是不可变的,查询时无需加锁,多个查询可以并行访问同一个分段。

3. 合并分段结果

每个分段查询完成后,分片会将所有分段的结果合并(Merge)

  • 按查询的排序条件(比如_scoretimestamp)排序;
  • 应用分页、过滤等操作;
  • 最终返回Top N结果给协调节点(Coordinating Node)。

4. 协调节点汇总结果

协调节点将所有分片的结果再次合并,返回最终结果给客户端。

四、近实时的关键:“可见性”与“持久性”的平衡

ES的近实时设计,本质是在查询延迟数据安全性之间做了取舍:

  • 可见性:通过Refresh(1秒一次)将数据快速加载到文件系统缓存,实现低延迟查询;
  • 持久性:通过Translog(写入即持久化)保证即使节点宕机,未Flush的分段也能通过Translog恢复;
  • 性能:通过不可变分段和后台合并,保证查询和写入的高吞吐量。

五、近实时的优化与常见问题

5.1 如何调整近实时延迟?

  • 降低延迟:将index.refresh_interval调小(比如100ms),但会增加Refresh次数,生成更多小分段,提升CPU和内存消耗;
  • 提升性能:将index.refresh_interval调大(比如30s),减少Refresh次数,降低合并压力,但查询延迟会增加。

注意:如果设置index.refresh_interval=-1,将禁用自动Refresh,此时只有手动调用_refresh或触发Flush时,数据才会可见——适用于批量写入场景(比如日志导入),减少性能开销。

5.2 为什么写入后立即查询不到?

因为文档还在内存缓冲区,未触发Refresh。解决方法:

  • 等待1秒(默认配置);
  • 手动调用POST /index/_refresh(生产环境不建议频繁使用,会影响性能)。

5.3 为什么分段数量太多会影响查询?

每个分段的查询是独立的,分段越多,合并结果的代价越高(需要排序、去重等)。可以通过:

  • 调大index.refresh_interval,减少小分段生成;
  • 调整合并策略(比如index.merge.policy.max_merged_segment,设为更大的值,合并出更大的分段)。

5.4 Translog的作用是什么?

Translog是ES的“安全绳”:

  • 写入时,先写Translog再写内存缓冲区,保证数据不丢失(即使节点宕机,重启时会从Translog恢复未Flush的分段);
  • Flush时,Translog被清空,因为数据已持久化到磁盘。

六、总结:近实时查询的原理精髓

ES的近实时查询,本质是基于Lucene的不可变分段模型,通过Refresh机制快速将内存数据转化为可查询的分段(文件系统缓存),同时通过Translog保证数据持久性,通过后台合并优化查询性能

核心逻辑链:
写入文档 → 内存缓冲区+Translog → Refresh生成分段(文件系统缓存,可查询) → Flush持久化到磁盘 → 后台合并小分段

近实时的“近”,是1秒的延迟;而“实时”的代价(比如关系型数据库的COMMIT)是磁盘IO的高开销——ES选择了近实时,换来了高写入吞吐量低查询延迟的平衡,这也是它能处理日志、监控等实时数据场景的关键。

最后一句话总结:ES的近实时,是“用1秒的延迟换来了写入和查询的双重高性能”。