2019年1月29日 发布

Elastic Stack 6.6.0 已发布

作者 Steve Kearns

6.6.0 闪亮登场!

本次发布包括涉及整个堆栈的崭新功能,能够简化集群的管理和扩展方式,可以让您通过更加高效的存储更加快捷地对地理图形进行索引和查询,而且针对 Elasticsearch SQL、Machine Learning、Auditbeat 等进行了重大改进。

您既可在我们的 Elasticsearch 服务上部署集群,也可下载堆栈以轻松试用这些最新功能。

通过索引生命周期管理,大规模管理数据生命周期

拥有时序用例(例如日志、指标和 APM)的用户通常在基于时间的索引中存储数据。随着数据存储的时间越来越长,有很多种方法可以确保以最具有成本效益的方法存储数据。举例来说,随着索引存储的时间越来越长,用户可能希望缩减分片数量,减少用来存储索引的副本分片的数量,或者将索引转移到在费用较低的硬件上所部署的节点。又或者,他们希望将超过一定时限的索引删除。在定义策略来管理索引生命周期时,既有的方法是使用外部工具(例如 Curator 或者定制自动化脚本),这些方法存在局限性,而且会在配置和监测方面产生管理开销。新的索引生命周期管理功能提供了一种更加集成、更加简单的方式来管理此数据,让用户能够更轻轻松地应用最佳实践。

索引生命周期管理功能会将索引的生命周期分为四个阶段:火热、温暖、冰冻和删除阶段。 您可以定义索引生命周期策略,此策略能够让您:

  • 在每个火热节点上拥有一个主分片,以最大化索引吞吐量。
  • 一旦既有索引 “已满” 或者经过特定时间后,使用新的空白索引来替代火热索引。
  • 将旧索引转移至温暖节点,用户可在温暖节点上将其缩减为单一分片,并将其强制合并为单一节段,从而优化存储和查询。
  • 然后,将索引转移至冰冻节点,以降低存储费用。

在未来的发布版本中,您将能够 “冰冻” 索引,在这种状态下,存储密度将会提高,但会增加搜索延迟。最后,如果索引已完全没有用处,您可将其删除。

所有这些都会由索引生命周期管理自动进行处理。

冰冻索引可以实现更高的硬盘存储与内存比

Elasticsearch 经过高度优化,能够以尽可能快捷高效的方式执行搜索。所以过去,每个开启状态的(亦即可搜索)索引会使用少量内存来确保所有命中此索引的查询都能够快速执行。特定节点上的索引规模越大,索引数量越多,就需要越多的内存来使索引保持在此开放状态。这实际上意味着,特定节点使用单一 JVM 能够处理的存储量在现实中存在限制。对大部分用户和用例而言,这并不构成问题。然而在某些用例中,例如出于法规要求而需对多年数据进行长期存档的用例,人们希望让数据保持在线和可搜索状态,但是对于需要使用较早数据的请求,对峰值性能的要求会低一些。

通过冰冻索引,能够大大提高硬盘存储与内存比,但是搜索延时性会受到影响。索引处于冰冻状态时,由于其不会占用内存,所以允许使用单一节点来轻松管理数千个索引,从而大大降低管理开销。如果搜索定位到冰冻索引,此查询将会按照顺序完全开启、搜索并关闭每个索引。与关闭索引不同,冰冻索引是支持副本复制的。对于如何根据需求优化集群成本和性能,冰冻索引提供了一套全新选择。

由 Bkd 树提供支持的地理图形,更快捷,更小巧

Bkd 树数据结构持续提供卓越效果。早在 5.0 版本中,我们便引入了由 Bkd 树提供支持的地理坐标点,可为查询地理位置大幅改善存储占用、内存开销和查询性能。在 6.6.0 中,我们在地理图形中也同样实现了基于 Bkd 树的相关优势!我们实现了搜索的三冠王:索引速度更快,所占磁盘空间更少,使用内存也更少。

Elasticsearch SQL 新增针对日期直方图的支持

Elasticsearch SQL 推出了大量改进以应对时间查询,包括使用 SQL 语法针对日期直方图的原生支持,在朝正式发布版本前进的道路上又迈进了一步。这些改进对于使用 Elasticsearch SQL 的所有用户而言都特别棒,但是我们预计针对日期直方图的支持对于 Canvas 用户来说影响最为深远,因为这能够允许用户更加轻松地在 Kibana 中创建时序图表。

Machine Learning 引入注释

调查潜在的系统或安全问题时,用户当然希望记录发现结果和调查进度,亦即记录系统问题的根本原因,以及为解决这一问题而采取的步骤,等等。现在,您可以在 Machine Learning UI 中直接创建所有用户均可看到的注释。这简化了协作过程,能够允许您在不离开 Kibana 的情况下记录已采取的行动。

Elastic APM 新增代理程序指标

APM 在 6.6 发布版本中引入了代理指标。我们最新版本的代理程序现在会自动报告系统层面和进程层面的 CPU 和内存指标,同时还会报告跟踪信息和错误。

同时,分布式跟踪已推出正式版本,所有代理程序均符合 OpenTracing 要求。最后一点,通过 APM UI,用户能够轻松地从 APM 跳至相关的日志和基础架构视图,Java 代理程序新推出了两大杰出功能。 阅读 APM 博文了解所有详情。

除了这些变更外,我们还十分激动地宣布 Elastic APM 现在可在 Elasticsearch 服务(阅读博文)和 Elastic Cloud Enterprise(阅读博文)上的部署中使用。

但是等等,还有更多呢……

除了上述所有内容,我们还在 Beats、Logstash 和 Kibana 中推出了数项新功能和改进。

Auditbeat 新增了一个系统模块来从系统中收集各种安全相关信息。这包括特定主机上既有操作系统、进程、套接字和用户的相关数据。您可以在此篇专门博文中阅读有关 Auditbeat 系统模块的详细信息。

Machine Learning 现已预装适用于 Auditbeat 数据的 Machine Learning 作业,让用户能够快速开始检测他们审计数据中的常见异常。

Filebeat 增加了一个新型 NetFlow 输入,此输入可用来通过 UDP 接收这些 Netflow 和 IPFIX 记录。其支持 NetFlow v1、v5、v6、v7、v8、v9 和 IPFIX。

使用 Beats Central Management 时,您现在可以对 Metricbeat 和 Filebeat 进行配置,以拒绝对其配置中某些部分进行的更改。这能够允许在处于运行状态的 Beat 层面有效地执行操作,通过远程配置对这些 Beat 进行更改。为增强安全运行,我们现在默认阻止对控制台输出和文件输出部分进行更改。

说到 Logstash,在 6.1 中推出的公测版 Java 执行引擎现已推出正式版本,性能变得更加强大。

至于 Kibana,我们推出了用户十分渴求的一项功能,此功能可允许多个 Elasticsearch 节点使用同一个 Kibana 实例;之前在 Kibana <> Elasticsearch 连接上发生单点故障时会造成一些难题,而现在此功能则可避免这些问题。在可视化方面,Kibana 仪表板现在可导出为 PNG 格式。有关这些以及其他变更的详细信息,请参阅 Kibana 6.6 发布亮点

立即试用

您既可在我们的 Elasticsearch 服务上部署集群,也可下载堆栈以轻松试用这些最新功能。

enter code here