Elasticsearch：是时候离开了！ - 在 Elasticsearch 文档上使用 TTL

作者：来自 Elastic David Pilato

想象一下，圣诞老人必须向世界上所有的孩子们分发礼物。他有很多工作要做，他需要保持高效。他有一份所有孩子的名单，并且知道他们住在哪里。他很可能会将礼物按区域分组，然后再交付。但他不会在同一个地方停留太久。他会丢下礼物然后离开。他不会等待孩子们打开礼物。他就会离开。

也许我们可以建议他列出一份他仍然需要访问的城市的清单。一旦他送出了礼物，他就可以将这些城市从名单中删除。这样，他就会知道自己还要去哪里。而且他也不会浪费时间回到同一个地方。

为此，他只需使用他必须访问的城市的 TTL（time to live - 生存时间）即可。他只需将 TTL 设置为他需要递送礼物的时间即可。一旦 TTL 过期，他就会从列表中删除这些城市。

他的旅程可能是这样的：

{ "city": "Sidney", "deliver": "ASAP", "ttl": 0 }
{ "city": "Singapore", "deliver": "1 minute", "ttl": 1 }
{ "city": "Vilnius", "deliver": "3 minutes", "ttl": 3 }
{ "city": "Paris", "deliver": "5 minutes", "ttl": 5 }
{ "city": "London", "deliver": "6 minutes", "ttl": 6 }
{ "city": "Montréal", "deliver": "7 minutes", "ttl": 7 }
{ "city": "San Francisco", "deliver": "9 minutes", "ttl": 9 }
{ "city": "North Pole", "deliver": "forever" }

ttl 包含我们的 TTL 值（以分钟为单位）：

没有值意味着该文档将永远保留
零意味着我们要尽快删除该文档
任何正值都对应于删除文档之前需要等待的分钟数

ttl 摄取管道

要实现这样的功能，你只需要一个摄取管道：

PUT /_ingest/pipeline/ttl
{"processors": [{"set": {"field": "ingest_date","value": "{{{_ingest.timestamp}}}"}},{"script": {"lang": "painless","source": """ctx['ttl_date'] = ZonedDateTime.parse(ctx['ingest_date']).plusMinutes(ctx['ttl']);""","if": "ctx?.ttl != null"}},{"remove": {"field": [ "ingest_date", "ttl" ],"ignore_missing": true}}]
}

让我们解释一下。

第一个处理器在文档中设置一个临时字段 (ingest_date)，然后我们在其中注入执行管道的时间 (_ingest.timestamp)，该时间或多或少是索引日期。

然后我们运行一个 painless 脚本：

ctx['ttl_date'] = ZonedDateTime.parse(ctx['ingest_date']).plusMinutes(ctx['ttl']);

他的脚本根据 ingest_date 字段中可用的字符串值创建一个 ZonedDateTime java 对象。然后我们只需调用 plusMinutes 方法并提供 ttl 的值作为参数。这只会将摄取日期移动几分钟。我们将结果存储在 ttl_date 新字段中。

请注意，我们需要添加一个条件，仅当 ttl 字段存在时才运行该处理器：

"if": "ctx?.ttl != null"

然后，我们只需删除不需要的字段 ingest_date 和可选的 ttl（如果我们不再需要它）。请注意，出于调试目的，保留 ttl 可能是明智之举。如果没有设置 ttl，如果丢失，我们也需要忽略它。这是通过 “ignore_missing”: true 参数完成的。

为了测试这个管道，我们可以使用 simulate API：

POST /_ingest/pipeline/ttl/_simulate?filter_path=docs.doc._source,docs.doc._ingest
{"docs": [{"_source": { "city": "Sidney", "deliver": "ASAP", "ttl": 0 }},{"_source": { "city": "Singapore", "deliver": "1 minute", "ttl": 1 }},{"_source": { "city": "Paris", "deliver": "5 minutes", "ttl": 5 }},{"_source": { "city": "North Pole", "deliver": "forever" }}]  
}

请注意在上面所显示的时间为 UTC 时间。我在当前的北京时间是下午 14点多。

我们可以看到文档删除的更改日期。

自动创建 ttl_date 字段

我们可以使用 final_pipeline 索引设置将 ttl 管道定义为在实际索引操作之前使用的管道。

PUT /ttl-demo
{"settings": {"final_pipeline": "ttl"},"mappings": {"_source": {"excludes": ["ttl_date"]},"properties": {"ttl_date": {"type": "date"}}}
}

你还可以使用 default_pipeline 索引设置，但你需要注意，如果一个用户想要使用用户管道索引文档，则不会调用 ttl 管道，例如：

POST /ttl-demo/_doc?pipeline=my-pipeline
{ "city": "Singapore", "deliver": "1 minute", "ttl": 1
}

请注意，我们从 _source 字段中删除了 ttl_date 字段。我们不想将其存储在 _source 字段中，因为它只是一个 “技术 ”字段。

索引文档

我们现在可以注入我们的数据集：

POST /ttl-demo/_bulk
{ "index": {} }
{ "city": "Sidney", "deliver": "ASAP", "ttl": 0 }
{ "index": {} }
{ "city": "Singapore", "deliver": "1 minute", "ttl": 1 }
{ "index": {} }
{ "city": "Vilnius", "deliver": "3 minutes", "ttl": 3 }
{ "index": {} }
{ "city": "Paris", "deliver": "5 minutes", "ttl": 5 }
{ "index": {} }
{ "city": "London", "deliver": "6 minutes", "ttl": 6 }
{ "index": {} }
{ "city": "Montréal", "deliver": "7 minutes", "ttl": 7 }
{ "index": {} }
{ "city": "San Francisco", "deliver": "9 minutes", "ttl": 9 }
{ "index": {} }
{ "city": "North Pole", "deliver": "forever" }

删除经过 TTL 处理的文档

现在可以轻松运行 “Delete By Query” 调用：

POST /ttl-demo/_delete_by_query
{"query": {"range": {"ttl_date": {"lte": "now"}}}
}

我们只想删除所有早于现在（即请求执行时间）的文档。

如果我们立即运行它，我们可以看到只有文档 { "city": "Sidney", "deliver": "ASAP", "ttl": 0 } 被删除。
一分钟后，{ "city": "Singapore”, "deliver": "1 minute", "ttl": 1 }。再过几分钟，就只剩下 { "city": "North Pole", "deliver": "forever" } 了。它将永远保留。

使用 Watcher 每分钟运行一次

你可以使用 crontab 每分钟运行一次这样的查询：

* * * * * curl -XPOST -u elastic:changeme https://127.0.0.1:9200/ttl-demo/_delete_by_query -H 'Content-Type: application/json' -d '{"query":{"range":{"ttl_date":{"lte":"now"}}}}'

请注意，你必须监视此作业。但如果你有商业许可证，你也可以使用 Watcher 直接从 Elasticsearch 运行它：

PUT _watcher/watch/ttl
{"trigger": {"schedule": {"interval": "1m"}},"input": {"simple" : {}},"condition": {"always" : {}},"actions": {"call_dbq": {"webhook": {"url": "https://127.0.0.1:9200/ttl-demo/_delete_by_query","method": "post","body": "{\"query\":{\"range\":{\"ttl_date\":{\"lte\":\"now\"}}}}","auth": {"basic": {"username": "elastic","password": "changeme"}}}}}
}

请注意，我们使用 interval 参数每分钟运行此操作。我们使用 Webhook 来调用按查询删除 API。另请注意，我们需要提供身份验证信息。在上面，你需要根据自己的用户账号修改上面的身份信息。

如果你不是在 cloud.elastic.co 上运行，而是在本地使用自签名证书运行，因为 Elasticsearch 默认情况下是安全的，你需要将 xpack.http.ssl.verification_mode 设置为 none。否则 Elasticsearch 将不会接受自签名证书。当然，这只是为了测试目的。不要在生产中这样做！如果我们不设置这个参数为 none，我们可以看到如下的错误信息：

最多一分钟后，圣诞老人就会看到他必须访问的城市已从列表中删除：

GET /ttl-demo/_search

{"took": 1,"timed_out": false,"_shards": {"total": 1,"successful": 1,"skipped": 0,"failed": 0},"hits": {"total": {"value": 6,"relation": "eq"},"max_score": 1,"hits": [{"_index": "ttl-demo","_id": "IBTn-4sBOKvQy-0aU35M","_score": 1,"_source": {"deliver": "3 minutes","city": "Vilnius"}},{"_index": "ttl-demo","_id": "IRTn-4sBOKvQy-0aU35M","_score": 1,"_source": {"deliver": "5 minutes","city": "Paris"}},{"_index": "ttl-demo","_id": "IhTn-4sBOKvQy-0aU35M","_score": 1,"_source": {"deliver": "6 minutes","city": "London"}},{"_index": "ttl-demo","_id": "IxTn-4sBOKvQy-0aU35M","_score": 1,"_source": {"deliver": "7 minutes","city": "Montréal"}},{"_index": "ttl-demo","_id": "JBTn-4sBOKvQy-0aU35M","_score": 1,"_source": {"deliver": "9 minutes","city": "San Francisco"}},{"_index": "ttl-demo","_id": "JRTn-4sBOKvQy-0aU35M","_score": 1,"_source": {"city": "North Pole","deliver": "forever"}}]}
}

到最后，这里就只剩下他的家了：

{"took": 1,"timed_out": false,"_shards": {"total": 1,"successful": 1,"skipped": 0,"failed": 0},"hits": {"total": {"value": 1,"relation": "eq"},"max_score": 1,"hits": [{"_index": "ttl-demo","_id": "JRTn-4sBOKvQy-0aU35M","_score": 1,"_source": {"city": "North Pole","deliver": "forever"}}]}
}

这是一个简单快速但不够规范的解决方案，用于从 Elasticsearch 集群中删除旧数据。但请注意，你永远不应该将此技术应用于日志或任何基于时间的索引，或者如果要以这种方式删除的数据量超过数据集的 10%。

相反，你应该更喜欢使用 delete index API 立即删除完整索引，而不是删除整套文档。这是一种更有效的方式。

删除索引（首选）

为此，我们实际上可以更改管道以将数据发送到名称包含 ttl 日期的索引：

PUT /_ingest/pipeline/ttl
{"processors": [{"set": {"field": "ingest_date","value": "{{{_ingest.timestamp}}}"}},{"script": {"lang": "painless","source": """ctx['ttl_date'] = ZonedDateTime.parse(ctx['ingest_date']).plusDays(ctx['ttl']);""","ignore_failure": true}},{"date_index_name" : {"field" : "ttl_date","index_name_prefix" : "ttl-demo-","date_rounding" : "d","date_formats": ["yyyy-MM-dd'T'HH:mm:ss.nz"],"index_name_format": "yyyy-MM-dd","if": "ctx?.ttl_date != null"}},{"set": {"field" : "_index","value": "ttl-demo-forever","if": "ctx?.ttl_date == null"}},{"remove": {"field": [ "ingest_date", "ttl", "ttl_date" ],"ignore_missing": true}}]
}

在此示例中，我切换到每日索引，因为它比你在生产中看到的要准确得多，因为通常数据不会在几分钟后过期，但会在几天或几个月后过期。有关 date_index_name 的用法，请阅读文章 “Elasticsearch：使用 pipelines 路由文档到想要的 Elasticsearch 索引中去”。

我们更改了脚本以添加天数：

ctx['ttl_date'] = ZonedDateTime.parse(ctx['ingest_date']).plusDays(ctx['ttl']);

如果 ttl_date 字段存在，我们使用 date_index_name 处理器根据 ttl_date 字段创建一个新的索引名称。我们使用 date_rounding 参数将日期四舍五入到当天。我们使用 index_name_format 参数将日期格式化为 yyyy-MM-dd。这将使用索引名称，例如 ttl-demo-2023-11-27：

{"date_index_name" : {"field" : "ttl_date","index_name_prefix" : "ttl-demo-","date_rounding" : "d","date_formats": ["yyyy-MM-dd'T'HH:mm:ss.nz"],"index_name_format": "yyyy-MM-dd","if": "ctx?.ttl_date != null"}
}

如果 ttl_date 字段不存在，我们只需将索引名称设置为 ttl-demo-forever：

{"set": {"field" : "_index","value": "ttl-demo-forever","if": "ctx?.ttl_date == null"}
}

我们可以重新索引我们的数据集：

POST /ttl-demo/_bulk?pipeline=ttl
{ "index": {} }
{ "city": "Sidney", "deliver": "ASAP", "ttl": 0 }
{ "index": {} }
{ "city": "Singapore", "deliver": "1 day", "ttl": 1 }
{ "index": {} }
{ "city": "Vilnius", "deliver": "3 days", "ttl": 3 }
{ "index": {} }
{ "city": "Paris", "deliver": "5 days", "ttl": 5 }
{ "index": {} }
{ "city": "North Pole", "deliver": "forever" }

我们可以看到这些文档现在位于不同的索引中：

GET /ttl-demo-*/_search?filter_path=hits.hits._index,hits.hits._source.deliver

索引名称不再引用，因为我们习惯于查看数据的日期，而是删除数据的日期。因此我们可以每天再次运行 crontab 来删除旧索引。以下脚本旨在在 Mac OS X 系统上运行：

0 0 * * * curl -XDELETE -u elastic:changeme https://127.0.0.1:9200/ttl-demo-$(date -v -1d -j +%F)

总结起来

我们看到了在 Elasticsearch 文档上执行 TTL 的两种方法。第一个是使用 TTL 字段并使用 “Delete By Query ” 调用来删除文档。第二种（效率更高，需要删除大量数据）是使用 TTL 字段将文档路由到不同的索引，然后使用 crontab 删除索引。

但对于这两种解决方案，在 contrab 运行之前文档仍然可见。

你可以考虑使用索引过滤别名来隐藏旧文档：

POST _aliases
{"actions": [{"add": {"index": "ttl-demo","alias": "ttl-filtered","filter": {"bool": {"filter": [{"range": {"ttl_date": {"gt": "now/m"}}}]}}}}]
}

即使批处理（crontab 或 watcher）尚未删除过期文档，在 ttl-filtered 别名内搜索也只会返回尚未过期的文档。

圣诞老人现在可以知道接下来安全地去哪里，然后享受当之无愧的休息一年！