DevOps Wissensdatenbank
DevOps Wissensdatenbank

Optimierung langsamer Elasticsearch-Abfragen: Best Practices für die Leistungsabstimmung

Schöpfen Sie die Spitzenleistung Ihrer Elasticsearch-Abfragen aus. Dieser Leitfaden bietet umsetzbare Strategien zur Bekämpfung träger Suchleistung und behandelt wesentliche Techniken, von der Optimierung der Abfragestruktur und der Nutzung leistungsstarker Caching-Mechanismen (Knoten, Shard und Dateisystem) bis hin zur präzisen Identifizierung von Engpässen mithilfe der Profile API. Erfahren Sie, wie Sie effiziente Abfragen erstellen, `_source`-Filterung nutzen, die `search_after`-Paginierung implementieren und Profilergebnisse interpretieren, um Leistungsprobleme in Produktionsumgebungen zu diagnostizieren und zu beheben. Steigern Sie Ihr Elasticsearch-Know-how und sorgen Sie für ein blitzschnelles Benutzererlebnis.

42 Aufrufe

Langsame Elasticsearch-Abfragen optimieren: Best Practices für Leistungsoptimierung

Elasticsearch ist eine leistungsstarke, verteilte Such- und Analyse-Engine, die große Datenmengen verarbeiten kann. Doch selbst mit ihrer robusten Architektur können ineffiziente Abfragen zu einer trägen Leistung führen, was die Benutzererfahrung und die Reaktionsfähigkeit der Anwendung beeinträchtigt. Die Identifizierung und Behebung dieser Engpässe ist entscheidend für die Aufrechterhaltung eines gesunden und leistungsstarken Elasticsearch-Clusters.

Dieser Artikel befasst sich eingehend mit praktischen Strategien zur Verbesserung einer langsamen Suchleistung. Wir werden untersuchen, wie Sie Ihre Abfragestruktur optimieren, verschiedene Caching-Mechanismen effektiv nutzen und die integrierte Profile API von Elasticsearch einsetzen, um die genaue Ursache von Leistungsproblemen zu ermitteln. Durch die Anwendung dieser Best Practices können Sie die Abfragelatenz erheblich reduzieren und sicherstellen, dass Ihr Elasticsearch-Cluster mit höchster Effizienz arbeitet.

Engpässe bei der Abfrageleistung verstehen

Bevor wir uns den Lösungen widmen, ist es hilfreich, die häufigsten Gründe für langsame Elasticsearch-Abfragen zu verstehen. Dazu gehören oft:

  • Komplexe Abfragen: Abfragen mit mehreren bool-Klauseln, verschachtelte Abfragen oder ressourcenintensive Operationen wie wildcard oder regexp auf großen Datensätzen.
  • Ineffiziente Datenabfrage: Unnötiges Abrufen von _source oder das Abrufen großer Dokumentmengen für die Paginierung.
  • Ressourcenengpässe: Unzureichende CPU, Arbeitsspeicher oder Disk-I/O auf Datenknoten.
  • Suboptimale Mappings: Verwendung falscher Datentypen oder Nichtnutzung von doc_values für Aggregationen.
  • Shard-Ungleichgewicht oder Überlastung: Zu viele Shards, zu wenige Shards oder ungleichmäßige Verteilung von Shards/Daten.
  • Mangelndes Caching: Nichtnutzung der integrierten Caching-Mechanismen von Elasticsearch oder externer Caches auf Anwendungsebene.

Abfragestruktur optimieren

Die Art und Weise, wie Sie Ihre Abfragen konstruieren, hat einen tiefgreifenden Einfluss auf deren Leistung. Kleine Änderungen können zu erheblichen Verbesserungen führen.

1. Nur benötigte Felder abrufen (_source Filtering & stored_fields)

Standardmäßig gibt Elasticsearch das gesamte _source-Feld für jedes übereinstimmende Dokument zurück. Wenn Ihre Anwendung nur wenige Felder benötigt, ist das Abrufen des gesamten _source eine Verschwendung von Netzwerkbandbreite und Parsing-Zeit.

  • _source Filtering: Verwenden Sie den Parameter _source, um ein Array von Feldern anzugeben, die eingeschlossen oder ausgeschlossen werden sollen.

    json GET /my-index/_search { "_source": ["title", "author", "publish_date"], "query": { "match": { "content": "Elasticsearch performance" } } }

  • stored_fields: Wenn Sie bestimmte Felder in Ihrem Mapping explizit gespeichert haben (z. B. "store": true), können Sie diese direkt mit stored_fields abrufen. Dies umgeht das _source-Parsing und kann schneller sein, wenn _source groß ist.

    json GET /my-index/_search { "stored_fields": ["title", "author"], "query": { "match": { "content": "Elasticsearch performance" } } }

2. Effiziente Abfragetypen bevorzugen

Einige Abfragetypen sind von Natur aus ressourcenintensiver als andere.

  • Führende Wildcards und Regexps vermeiden: wildcard-, regexp- und prefix-Abfragen sind rechenintensiv, insbesondere wenn sie mit einem führenden Wildcard (z. B. *test) verwendet werden. Sie müssen das gesamte Term-Wörterbuch nach übereinstimmenden Begriffen durchsuchen. Falls möglich, gestalten Sie Ihre Anwendung so um, dass diese vermieden werden, oder verwenden Sie completion suggesters für die Präfixsuche.

    ```json

    Ineffizient - führende Wildcard vermeiden

    {
    "query": {
    "wildcard": {
    "name.keyword": {
    "value": "*search"
    }
    }
    }
    }

    Besser - wenn Sie das Präfix kennen

    {
    "query": {
    "prefix": {
    "name.keyword": {
    "value": "Elastic"
    }
    }
    }
    }
    ```

  • match_phrase anstelle mehrerer match-Klauseln für Phrasen verwenden: Für die genaue Phrasenübereinstimmung ist match_phrase effizienter als die Kombination mehrerer match-Abfragen innerhalb einer bool-Abfrage.

  • constant_score zum Filtern: Wenn Sie nur wissen müssen, ob ein Dokument einem Filter entspricht und nicht, wie gut es bewertet wird, verpacken Sie Ihre Abfrage in eine constant_score-Abfrage. Dies umgeht Bewertungsberechnungen, was CPU-Zyklen sparen kann.

    json GET /my-index/_search { "query": { "constant_score": { "filter": { "term": { "status": "active" } } } } }

3. Boolesche Abfragen optimieren

  • Reihenfolge der Klauseln: Platzieren Sie die restriktivsten Klauseln (diejenigen, die die meisten Dokumente herausfiltern) am Anfang Ihrer bool-Abfrage. Elasticsearch verarbeitet Abfragen von links nach rechts, und ein frühes Beschneiden kann die Anzahl der von nachfolgenden Klauseln verarbeiteten Dokumente erheblich reduzieren.
  • minimum_should_match: Verwenden Sie minimum_should_match in bool-Abfragen, um die Mindestanzahl der should-Klauseln anzugeben, die übereinstimmen müssen. Dies kann helfen, Ergebnisse frühzeitig zu filtern.

4. Effiziente Paginierung (search_after und scroll)

Die traditionelle from/size-Paginierung wird bei tiefen Seiten (z. B. from: 10000, size: 10) sehr ineffizient. Elasticsearch muss alle Dokumente bis from + size auf jedem Shard abrufen und sortieren und dann from Dokumente verwerfen.

  • search_after: Für die Echtzeit-Tiefenpaginierung wird search_after empfohlen. Es verwendet die Sortierreihenfolge des letzten Dokuments der vorherigen Seite, um den nächsten Satz von Ergebnissen zu finden, ähnlich wie Cursor in traditionellen Datenbanken. Es ist zustandslos und skaliert besser.

    ```json

    Erste Anfrage

    GET /my-index/_search
    {
    "size": 10,
    "query": {"match_all": {}},
    "sort": [{"timestamp": "asc"}, {"_id": "asc"}]
    }

    Nachfolgende Anfrage unter Verwendung der Sortierwerte des letzten Dokuments der ersten Anfrage

    GET /my-index/_search
    {
    "size": 10,
    "query": {"match_all": {}},
    "search_after": [1678886400000, "doc_id_XYZ"],
    "sort": [{"timestamp": "asc"}, {"_id": "asc"}]
    }
    ```

  • scroll API: Für den Massenabruf großer Datensätze (z. B. für Reindexing oder Datenmigration) ist die scroll API ideal. Sie erstellt einen Schnappschuss des Indexes und gibt eine Scroll-ID zurück, die dann verwendet wird, um nachfolgende Batches abzurufen. Sie ist nicht für die Echtzeit-Benutzer-Paginierung geeignet.

5. Aggregationen optimieren

Aggregationen können ressourcenintensiv sein, insbesondere bei Feldern mit hoher Kardinalität.

  • Aggregationen vorab berechnen: Erwägen Sie, komplexe, nicht-Echtzeit-Aggregationen während der Indizierung oder nach einem Zeitplan auszuführen, um Ergebnisse vorab zu berechnen und in einem separaten Index zu speichern.
  • doc_values: Stellen Sie sicher, dass für Felder, die in Aggregationen verwendet werden, doc_values aktiviert sind (was der Standard für die meisten Nicht-Text-Felder ist). Dadurch kann Elasticsearch Daten für Aggregationen effizient laden, ohne _source laden zu müssen.
  • eager_global_ordinals: Für keyword-Felder, die häufig in terms-Aggregationen verwendet werden, kann das Setzen von eager_global_ordinals: true im Mapping die Leistung verbessern, indem globale Ordnungszahlen vorab erstellt werden. Dies verursacht Kosten zum Zeitpunkt der Indexaktualisierung, beschleunigt aber Aggregationen zur Abfragezeit.

Caching-Techniken nutzen

Elasticsearch bietet mehrere Caching-Ebenen, die wiederholte Abfragen erheblich beschleunigen können.

1. Node Query Cache

  • Mechanismus: Speichert die Ergebnisse von Filterklauseln innerhalb von bool-Abfragen, die häufig verwendet werden. Es ist ein In-Memory-Cache auf Knotenebene.
  • Effektivität: Am effektivsten für Filter, die über viele Abfragen hinweg konstant sind und eine relativ geringe Anzahl von Dokumenten (weniger als 10.000 Dokumente) betreffen.
  • Konfiguration: Standardmäßig aktiviert. Die Größe kann mit indices.queries.cache.size (standardmäßig 10 % des Heaps) gesteuert werden.

2. Shard Request Cache

  • Mechanismus: Speichert die gesamte Antwort einer Suchanfrage (einschließlich Treffer, Aggregationen und Vorschläge) pro Shard. Es funktioniert nur für Anfragen mit size=0 und für Anfragen, die nur Filterklauseln verwenden (keine Bewertung).
  • Effektivität: Hervorragend geeignet für Dashboard-Abfragen oder analytische Anwendungen, bei denen dieselbe Anfrage (einschließlich Aggregationen) wiederholt mit identischen Parametern ausgeführt wird.

  • Verwendung: Aktivieren Sie es explizit in Ihrer Abfrage mit "request_cache": true.

    json GET /my-index/_search?request_cache=true { "size": 0, "query": { "bool": { "filter": [ {"term": {"status.keyword": "active"}}, {"range": {"timestamp": {"gte": "now-1h"}}} ] } }, "aggs": { "messages_per_minute": { "date_histogram": { "field": "timestamp", "fixed_interval": "1m" } } } }

  • Hinweise: Der Cache wird jedes Mal ungültig, wenn ein Shard aktualisiert wird (neue Dokumente indiziert oder bestehende aktualisiert werden). Nur nützlich für Abfragen, die häufig identische Ergebnisse liefern.

3. Filesystem Cache (OS-Ebene)

  • Mechanismus: Der Filesystem-Cache des Betriebssystems spielt eine entscheidende Rolle. Elasticsearch verlässt sich stark darauf, um häufig genutzte Indexsegmente zu cachen.
  • Effektivität: Entscheidend für die Abfrageleistung. Befinden sich Indexsegmente im RAM, wird die Disk-I/O vollständig umgangen, was zu einer viel schnelleren Abfrageausführung führt.
  • Best Practice: Weisen Sie mindestens die Hälfte des Arbeitsspeichers Ihres Servers dem Filesystem-Cache und die andere Hälfte dem Elasticsearch JVM-Heap zu. Wenn Sie beispielsweise 64 GB RAM haben, weisen Sie 32 GB dem Elasticsearch-Heap zu und lassen Sie 32 GB für den OS-Filesystem-Cache übrig.

4. Caching auf Anwendungsebene

  • Mechanismus: Implementierung eines Caches auf Ihrer Anwendungsebene (z. B. mit Redis, Memcached oder einem In-Memory-Cache) für häufig angefragte Suchergebnisse.
  • Effektivität: Kann die schnellsten Antwortzeiten liefern, indem Elasticsearch bei wiederholten Anfragen vollständig umgangen wird. Am besten geeignet für statische oder sich langsam ändernde Suchergebnisse.
  • Überlegungen: Die Cache-Invalidierungsstrategie ist entscheidend. Erfordert ein sorgfältiges Design, um die Datenkonsistenz zu gewährleisten.

Verwendung der Profile API zur Engpass-Identifikation

Die Profile API ist ein unschätzbares Werkzeug, um genau zu verstehen, wie Elasticsearch eine Abfrage ausführt und wo Zeit verbracht wird. Sie schlüsselt die Ausführungszeit für jede Komponente Ihrer Abfrage und Aggregation auf.

So verwenden Sie die Profile API

Fügen Sie einfach "profile": true zum Body Ihrer Suchanfrage hinzu.

GET /my-index/_search
{
  "profile": true,
  "query": {
    "bool": {
      "must": [
        {"match": {"title": "Elasticsearch"}},
        {"term": {"status.keyword": "published"}}
      ],
      "filter": [
        {"range": {"publish_date": {"gte": "2023-01-01"}}}
      ]
    }
  },
  "aggs": {
    "top_authors": {
      "terms": {
        "field": "author.keyword",
        "size": 10
      }
    }
  }
}

Interpretieren der Profile API-Ergebnisse

Die Antwort enthält einen profile-Abschnitt, der die Abfrage- und Aggregationsausführung auf jedem Shard detailliert beschreibt. Wichtige Metriken, auf die zu achten ist, sind:

  • description: Die spezifische Abfrage- oder Aggregationskomponente.
  • time_in_nanos: Die für die Ausführung dieser Komponente aufgewendete Zeit.
  • breakdown: Detaillierte Untermetriken wie build_scorer_time, collect_time, set_weight_time für Abfragen und reduce_time für Aggregationen.
  • children: Verschachtelte Komponenten, die zeigen, wie die Zeit innerhalb komplexer Abfragen verteilt ist.

Beispielinterpretation:

Wenn Sie eine hohe time_in_nanos für eine WildcardQuery sehen, bestätigt dies, dass dies ein kostspieliger Teil Ihrer Abfrage ist. Wenn collect_time hoch ist, deutet dies darauf hin, dass das Abrufen und Verarbeiten von Dokumenten nach einer Übereinstimmung ein Engpass ist, möglicherweise aufgrund von _source-Parsing oder tiefer Paginierung. Eine hohe reduce_time bei Aggregationen könnte auf eine hohe Last während der finalen Zusammenführungsphase hinweisen.

Durch die Untersuchung dieser Metriken können Sie spezifische Abfrageklauseln oder Aggregationsfelder identifizieren, die die meisten Ressourcen verbrauchen, und dann die zuvor besprochenen Optimierungstechniken anwenden.

Allgemeine Best Practices für die Leistung

Neben abfragespezifischen Optimierungen tragen auch mehrere clusterweite und indexebene Best Practices zur Gesamt-Suchleistung bei.

1. Optimale Index-Mappings

  • text vs. keyword: Verwenden Sie text für die Volltextsuche und keyword für genaue Wertübereinstimmungen, Sortierungen und Aggregationen. Falsch zugeordnete Typen können zu ineffizienten Abfragen führen.
  • doc_values: Stellen Sie sicher, dass doc_values für Felder aktiviert sind, die Sie sortieren oder aggregieren möchten. Dies ist standardmäßig für keyword und numerische Typen aktiviert, aber das explizite Deaktivieren für ein text-Feld könnte Speicherplatz sparen, auf Kosten der Aggregationsleistung, falls Sie später darauf aggregieren müssen.
  • norms: Deaktivieren Sie norms ("norms": false) für Felder, bei denen Sie keine Dokumentlängen-Normalisierung benötigen (z. B. ID-Felder). Dies spart Speicherplatz und verbessert die Indizierungsgeschwindigkeit, mit minimaler Auswirkung auf die Abfrageleistung bei nicht-bewertenden Abfragen.
  • index_options: Für text-Felder verwenden Sie index_options: docs, wenn Sie nur wissen müssen, ob ein Begriff in einem Dokument existiert, und index_options: positions (der Standard), wenn Sie Phrasenabfragen und Proximity-Suchen benötigen.

2. Cluster-Zustand und Ressourcen überwachen

  • Grüner Cluster-Status: Stellen Sie sicher, dass Ihr Cluster immer grün ist. Ein gelber oder roter Status deutet auf nicht zugewiesene oder fehlende Shards hin, was die Abfragezuverlässigkeit und -leistung erheblich beeinträchtigen kann.
  • Ressourcenüberwachung: Überwachen Sie regelmäßig CPU, RAM, Disk-I/O und Netzwerknutzung auf Ihren Datenknoten. Spitzen in diesen Metriken korrelieren oft mit langsamen Abfragen.
  • JVM Heap: Behalten Sie die JVM Heap-Nutzung im Auge. Eine hohe Auslastung kann zu häufigen Garbage Collection-Pausen führen, wodurch Abfragen langsam werden. Optimieren Sie Abfragen, um den Heap-Druck zu reduzieren.

3. Korrekte Shard-Zuweisung

  • Zu viele Shards: Jeder Shard verbraucht Ressourcen (CPU, RAM, Dateihandles). Zu viele kleine Shards auf einem Knoten können zu Overhead führen. Streben Sie Shards an, die eine angemessene Größe haben (z. B. 10 GB-50 GB für die meisten Anwendungsfälle).
  • Zu wenige Shards: Begrenzt die Parallelität. Abfragen gegen einen Index mit zu wenigen Shards können nicht alle verfügbaren Datenknoten effizient nutzen.

4. Indizierungsstrategie

  • Refresh-Intervall: Ein niedrigeres refresh_interval (Standard 1 Sekunde) macht Daten schneller sichtbar, erhöht aber den Indizierungs-Overhead. Für suchintensive Workloads sollten Sie es leicht erhöhen (z. B. 5-10 Sekunden), um den Refresh-Druck zu reduzieren.

Fazit

Die Optimierung langsamer Elasticsearch-Abfragen ist ein fortlaufender Prozess, der das Verständnis Ihrer Daten, Ihrer Zugriffsmuster und der internen Funktionsweise von Elasticsearch erfordert. Durchdachte Abfragekonstruktion, effektive Nutzung der Caching-Mechanismen von Elasticsearch und der Einsatz leistungsstarker Diagnosewerkzeuge wie der Profile API können die Leistung und Reaktionsfähigkeit Ihrer Suchanwendungen erheblich verbessern.

Regelmäßiges Monitoring, gekoppelt mit einer tiefgehenden Analyse spezifischer langsamer Abfragen mithilfe der Profile API, wird Sie befähigen, Ihr Elasticsearch-Setup kontinuierlich zu verfeinern und so ein schnelles und effizientes Sucherlebnis für Ihre Benutzer zu gewährleisten. Denken Sie daran, dass ein gut strukturierter Index und ein gesunder Cluster die Grundlagen sind, auf denen alle Abfrageoptimierungen aufbauen.