华为云用户手册

背景信息 Elasticsearch的ISM（Index State Management）是一个索引状态管理插件，支持通过索引使用期限、索引大小或文档数等信息的变化来自动触发周期性的管理操作。通过ISM插件可以自定义索引策略，实现自动处理索引的滚动或删除，以优化集群搜索性能或降低存储成本。ISM的使用流程： 创建生命周期策略：在Kibana创建索引的生命周期策略Policy。 索引关联生命周期策略：将索引关联上创建的生命周期策略，生成索引策略。 管理索引策略：支持对索引策略进行策略修改、重启和变更。 ISM更多功能请参见索引管理官方介绍。 创建的索引生命周期策略常用于以下场景： 通过索引生命周期管理实现Elasticsearch集群自动滚动索引 通过索引生命周期管理实现Elasticsearch集群存算分离

创建生命周期策略 登录 云搜索服务 管理控制台。 在“集群管理”页面选择需要登录的集群，单击“操作”列中的“Kibana”，登录Kibana页面。 在菜单栏选择“IM”或“Index Management”，进入索引管理页面 。 单击“Create policy”，配置生命周期策略。 “Policy ID”：自定义策略名称。 “Define policy”：基于策略示例，配置自定义策略。 图1 配置策略 单击“Create”，完成策略的创建。

约束限制 集群开启终端节点服务之后，终端节点将按需进行收费，终端节点的费用将由用户进行支付，详细的计费方式请参考终端节点计费说明。 当集群的网络配置中，“虚拟私有云”选择的是共享VPC，“子网”选择的是共享VPC下的子网，则该集群不支持配置终端节点服务。 创建终端节点需要有相关的权限，请参考 VPC终端节点 权限管理。 公网访问和终端节点服务使用的是同一个负载均衡。当集群开启了公网访问白名单，由于白名单是作用在负载均衡上面，将会同时限制公网访问集群和内网通过VPCEP访问集群的IP地址。此时需要在公网访问白名单中添加一个网络白名单“198.19.128.0/17”，通过该白名单用来放通经过VPCEP的流量。 终端节点服务开通后，在内网通过终端节点IP或内网 域名 访问 CSS 将不受集群安全组规则限制，需要配合终端节点本身的白名单功能进行访问控制。

已有集群开启终端节点服务 如果创建集群时未开启终端节点服务，集群创建成功后，可以通过如下步骤进行开启。 登录 云搜索 服务管理控制台。 在集群管理页面，单击需要开启终端节点服务的集群名称，进入集群基本信息页面。 选择“终端节点服务”，在“终端节点服务”右侧单击开关，打开集群的终端节点服务功能。 表2 配置终端节点服务 参数 说明 创建内网域名 勾选“创建内网域名”，系统除了生成一个“节点IP”还会自动创建一个“内网域名”，通过这个域名可以在同一个VPC内访问该集群。不勾选的话只会生成一个“节点IP”。 创建专业型终端节点 选择是否创建专业型终端节点。 不勾选，则创建基础型终端节点。 勾选，则创建专业型终端节点。 说明： 当集群所在区域不支持创建专业型终端节点时，该选项将不可见。默认创建的是基础型终端节点。 IPv4/IPv6双栈网络 选择是否开启IPv4/IPv6双栈网络。仅当集群的VPC“子网”已开启IPv6，且已勾选“创建专业型终端节点”时，才支持选择开启IPv4/IPv6双栈网络。 终端节点服务白名单 在“终端节点服务白名单”中添加允许通过节点IP或内网域名访问集群的账号。 单击“添加”输入授权账号ID。授权账号ID配置成“*”，则表示允许全部用户访问该集群。 单击操作列的“删除”，可以删除不允许访问的账号ID。 说明： “授权账号ID”可以在“我的凭证”中进行查看“账号ID”获取。 管理终端节点。 在终端节点服务页面下，显示所有连接当前集群的终端节点。此处可以获取终端节点的“服务地址”和“内网域名”。 图2 管理终端节点 单击操作列的“接受”或者“拒绝”可以修改节点的“状态”。如果对某个终端节点“拒绝”操作之后，其生成的内网域名将不能再访问到当前集群。

创建集群时开启终端节点服务 登录云搜索服务管理控制台。 在右上方单击“创建集群”。 在创建集群页面，“高级配置”选择“自定义”后，开启终端节点服务。 图1 开启终端节点服务 表1 配置终端节点服务 参数 说明 创建内网域名 勾选“创建内网域名”，系统除了生成一个“节点IP”还会自动创建一个“内网域名”，通过这个域名可以在同一个VPC内访问该集群。不勾选的话只会生成一个“节点IP”。 创建专业型终端节点 选择是否创建专业型终端节点。 不勾选，则创建基础型终端节点。 勾选，则创建专业型终端节点。 说明： 当集群所在区域不支持创建专业型终端节点时，该选项将不可见。默认创建的是基础型终端节点。 IPv4/IPv6双栈网络 选择是否开启IPv4/IPv6双栈网络。仅当集群的VPC“子网”已开启IPv6，且已勾选“创建专业型终端节点”时，才支持选择开启IPv4/IPv6双栈网络。 终端节点服务白名单 在“终端节点服务白名单”中添加允许通过节点IP或内网域名访问集群的账号。 单击“添加”输入授权账号ID。授权账号ID配置成“*”，则表示允许全部用户访问该集群。 单击操作列的“删除”，可以删除不允许访问的账号ID。 说明： “授权账号ID”可以在“我的凭证”中进行查看“账号ID”获取。

通过节点IP地址或内网域名访问集群 获取集群的内网域名或者节点IP地址。 登录云搜索服务控制台，进入集群列表，单击集群名称，进入集群“基本信息”页面，选择“终端节点服务”，查看“服务地址”或“内网域名”。 图3 查看终端节点服务地址或内网域名 在弹性云服务器中，直接通过Curl命令调用Elasticsearch API即可使用集群。 弹性云服务器需要满足如下要求： 为弹性云服务分配足够的磁盘空间。 此弹性云服务器的VPC需要与集群在同一个VPC中，开通终端节点服务后，可以实现跨VPC访问。 此弹性云服务器的安全组需要和集群的安全组相同。 如果不同，请修改弹性云服务器安全组或配置弹性云服务器安全组的出入规则允许集群所有安全组的访问。修改操作请参见配置安全组规则。 待接入的 CS S集群，其安全组的出方向和入方向需允许TCP协议及9200端口，或者允许端口范围包含9200端口。 例如，执行如下Curl命令，查看集群中的索引信息，集群中的内网访问地址为“vpcep-7439f7f6-2c66-47d4-b5f3-790db4204b8d.region01.huaweicloud.com”，端口为“9200”。 如果接入集群未启用安全模式，接入方式为： curl 'http://vpcep-7439f7f6-2c66-47d4-b5f3-790db4204b8d.region01.huaweicloud.com:9200/_cat/indices' 如果接入集群已启用安全模式，则需要使用https方式访问，并附加用户名和密码，在curl命令中添加-u选项。 curl -u username:password -k 'https://vpcep-7439f7f6-2c66-47d4-b5f3-790db4204b8d.region01.huaweicloud.com:9200/_cat/indices'

管理向量索引缓存 CSS的向量检索引擎使用C++实现，使用的是堆外内存，该插件提供了接口对向量索引的缓存进行管理。 查看缓存统计信息 GET /_vector/stats 在向量插件实现中，向量索引与Lucene其他类型索引一样，每一个segment构造并存储一份索引文件，在查询时，该索引文件会被加载到堆外内存中。插件使用缓存机制对这些堆外内存进行管理。上述API能够查询当前堆外内存使用量、缓存命中次数、加载次数等信息。 预加载向量索引 PUT /_vector/warmup/{index_name} 使用上述接口能将指定index_name的向量索引预加载至堆外内存供查询使用。 清除缓存 PUT /_vector/clear/cache PUT /_vector/clear/cache/index_name 在使用向量索引时，缓存机制会限制堆外内存使用量。当总索引大小超出缓存大小限制时，将会发生索引项的换进换出，此时将会影响查询的性能。通过清除缓存API能够将不再使用的索引缓存清空，保证热数据索引的查询性能。 父主题： 配置OpenSearch集群向量检索

背景信息 云搜索服务用opendistro_security安全插件对外提供安全集群能力，opendistro_security安全插件是基于RBAC（Role-Based Access Control）模型构建。RBAC包括三个重要核心概念：用户（User）、权限（Action）、角色（Role）。RBAC简化了用户和权限的关系，降低了权限管理的难度，方便权限扩展易于维护。三者之前的关系如下图所示。 图1 用户、权限和角色 表1 OpenSearch Dashboard创建用户和授权 参数 描述 Permission 权限：单个动作，例如创建索引（例如indices:admin/create）。 Action group 操作组：表示一组权限。例如，预定义的SEARCH操作组授权角色使用_search和_msearchAPI。 Role 角色：定义为权限或操作组的组合，包括对集群，索引，文档或字段的操作权限。 User 用户：可以向Elasticsearch集群发出操作请求。用户具有凭证（例如，用户名和密码）、零个或多个后端角色以及零个或多个自定义属性。 Role mapping 角色映射：用户在成功进行身份验证后会担任角色，角色映射，就是将角色映射到用户（或后端角色）。例如，kibana_user（角色）到jdoe（用户）的映射意味着John Doe在获得kibana_user身份验证后获得了所有权限。同样，all_access（角色）到admin（后端角色）的映射意味着具有后端角色admin（来自LDAP / Active Directory服务器）的任何用户都获得了all_access身份验证后的所有权限。您可以将每个角色映射到许多用户和/或后端角色。 在OpenSearch Dashboard界面的Security菜单中，您可以控制用户在OpenSearch集群中的权限，实现集群、索引、文档和字段四个级别的细粒度访问权限控制。 支持添加或删除集群的用户，并能够将用户映射到角色，实现用户关联角色权限。 角色映射功能允许配置角色的成员，通过用户名、后端角色和主机名将用户分配给相应的角色。支持为每种角色配置集群访问权限、索引和文档的访问权限，以及OpenSearch Dashboard的使用权限。 有关安全集群的更多安全配置信息以及详细的操作指导，可以参考Elasticsearch的安全模式官方介绍。

背景信息 云搜索服务的词库用于对文本进行分词，使得一些特殊词语在分词的时候能够被识别出来，便于根据关键词搜索文本数据。例如，根据公司名称来查询，如“华为”；或者根据网络流行词来查询，如“喜大普奔”。也支持基于同义词词库，根据同义词搜索文本数据。 CSS服务使用的分词器包括IK分词器和同义词分词器。IK分词器配备主词词库和停词词库；同义词分词器配备同义词词库。其中，IK分词器包含ik_max_word和ik_smart分词策略。同义词分词器使用的是ik_synonym分词策略。 ik_max_word：会将文本做最细粒度的拆分，比如会将“昨夜西风吹折千林梢”拆分为“昨夜西风,昨夜,西风,吹折千林梢,吹折,千林梢,千,林,折千林,千林,吹”，会穷尽各种可能的分词组合。 ik_smart：会做最粗粒度的拆分，比如会将“昨夜西风吹折千林梢”拆分为“昨夜西风,吹折千林梢”。 CSS服务给集群预置了静态主词词库、静态停词词库、Extra主词词库和Extra停词词库这四个词库。 当这些预置词库已满足集群业务的分词需求时，则集群无需配置自定义词库即可直接实现关键词搜索。 当预置词库不满足集群业务分词需求时，可以给集群添加主词词库、停词词库或同义词词库，亦或者是修改预置的四个词库，使集群能够实现关键词或同义词搜索。 CSS服务的各类词库介绍请参见表1。 表1 词库介绍 词库类型 说明 文件要求 自定义 主词词库 主词为用户希望进行分词的特殊词语，例如“智能手机”和“喜大普奔”。主词词库则是用户自定义的特殊词语的集合。 词库文件必须是UTF-8无BOM格式编码的文本文件，一行一个分词，主词文件最大支持100M。如果涉及单词，必须改成小写字母。 停词词库 停词为用户不希望进行分词或者关注的词语，例如“的”、“什么”、“怎么”等。停词词库是用户自定义的停词词语的集合。 词库文件必须是UTF-8无BOM格式编码的文本文件，一行一个分词，停词文件最大支持100M。 同义词词库 同义词为意义相同的一组词语，例如“开心”和“高兴”。同义词词库是用户自定义的同义词词语的集合。 词库文件必须是UTF-8无BOM格式编码的文本文件，一行一组同义词对，同义词对中的同义词间逗号隔开，同义词文件最大支持100MB。 预置 静态主词词库 静态主词词库是CSS服务预置的常用主词集合，当需要查看静态主词词库时，可以单击地址https://github.com/infinilabs/analysis-ik/blob/master/config/main.dic获取词库。 词库文件必须是UTF-8无BOM格式编码的文本文件，一行一个分词，静态主词文件最大支持100M。 静态停词词库 静态停词词库是CSS服务预置的常用停词集合，当需要查看静态停词词库时，可以单击地址https://github.com/infinilabs/analysis-ik/blob/master/config/stopword.dic获取词库。 词库文件必须是UTF-8无BOM格式编码的文本文件，一行一个分词，静态停词文件最大支持100M。 Extra主词词库 Extra主词词库是CSS服务预置的生僻主词集合，当需要查看Extra主词词库时，可以单击地址https://github.com/infinilabs/analysis-ik/blob/master/config/extra_main.dic获取词库。 词库文件必须是UTF-8无BOM格式编码的文本文件，一行一个分词，Extra主词文件最大支持100M。 Extra停词词库 Extra停词词库是CSS服务预置的生僻停词集合，当需要查看Extra停词词库时，可以单击地址https://github.com/infinilabs/analysis-ik/blob/master/config/extra_stopword.dic获取词库。 词库文件必须是UTF-8无BOM格式编码的文本文件，一行一个分词，Extra停词文件最大支持100M。

约束限制 缩容是通过下线节点减少节点数量，为了降低业务影响，建议在业务低峰期进行缩容操作。 缩容过程会涉及数据迁移，将要下线的节点数据迁移到其他节点上，数据迁移的超时阈值为5小时。当超过5小时数据还未迁移完成，那么缩容会失败。建议在集群数据量较大的情况下，分多次进行缩容。 要确保缩容之后的磁盘使用量小于80%，且集群每个节点类型中每个AZ的节点数至少为1。 关于跨AZ的集群，在不同AZ中同类型节点个数的差值要小于等于1。 当集群没有Master节点时，每次缩容的数据节点和冷数据节点个数之和要小于缩容前数据节点和冷数据节点个数之和的一半，缩容后的数据节点和冷数据节点个数之和要大于索引的最大副本个数。 当集群有Master节点时，每次缩容的Master节点个数要小于当前Master节点总数的一半，缩容后的Master节点个数必须是奇数且不小于3。 当集群没有Master节点时，数据节点数量和冷数据节点数量之和大于等于3时才支持缩容。当集群有Master节点时，数据节点数量大于等于2时才支持缩容。当集群不满足缩容条件却想减少集群节点时，建议新建集群，备份与恢复OpenSearch集群数据迁移集群数据。 当一个集群包含的节点类型不同时，各节点类型支持的节点数量不同，缩容节点数量时请参考表2。 表2 集群的节点数量取值说明 一个集群包含的节点类型 节点数量的取值范围 ess ess：1~32 ess、ess-master ess：1~200 ess-master：3~9的奇数 ess、ess-client ess：1~32 ess-client：1~32 ess、ess-cold ess：1~32 ess-cold：1~32 ess、ess-master、ess-client ess：1~200 ess-master：3~9的奇数 ess-client：1~32 ess、ess-master、ess-cold ess：1~200 ess-master：3~9的奇数 ess-cold：1~32 ess、ess-client、ess-cold ess：1~32 ess-client：1~32 ess-cold：1~32 ess、ess-master、ess-client、ess-cold ess：1~200 ess-master：3~9的奇数 ess-client：1~32 ess-cold：1~32 说明： ess：数据节点，即创建集群时必配的节点类型，其他3种节点类型都是基于业务需要可选的类型。 ess-master：Master节点。 ess-client：Client节点。 ess-cold：冷数据节点。

配置自定义词库 登录云搜索服务管理控制台。 在左侧导航栏，选择对应的集群类型，进入集群列表页面。 在“集群管理”页面，单击需要配置自定义词库的集群名称，进入集群基本信息页面。 选择“自定义词库”。 在“自定义词库”页面，配置集群的自定义词库或修改预置词库。 当需要配置用户自定义的词库时，参考表1完成配置。 表1 配置自定义词库 参数 说明 OBS桶 选择词库文件存储的OBS位置。 单击“创建桶”可以跳转到创建桶页面新建OBS桶，新建OBS桶必须和集群在相同“区域”，且“默认存储类别”只支持“标准存储”或“低频访问存储”。 主词词库 主词词库是用户自定义的词库，初始状态为空。默认选择“不更新”表示不配置该词库。 当需要添加自定义的主词词库时，单击“更新”，选择txt格式的词库文件。 当无需添加自定义的主词词库时，单击“不使用此词库”，删除词库。 停词词库 停词词库是用户自定义的词库，初始状态为空。默认选择“不更新”表示不配置该词库。 当需要添加自定义的停词词库时，单击“更新”，选择txt格式的词库文件。 当无需添加自定义的停词词库时，单击“不使用此词库”，删除词库。 同义词词库 同义词词库是用户自定义的词库，初始状态为空。默认选择“不更新”表示不配置该词库。 当需要添加自定义的同义词词库时，单击“更新”，选择txt格式的词库文件。 当无需添加自定义的同义词词库时，单击“不使用此词库”，删除词库。 当需要修改预置词库时，单击打开“修改预置词库”右侧的开关，修改对应的预置词库。 如果界面不存在静态词库和Extra词库这4个词库时，表示该集群版本不支持删除或修改这4个预置词库。如果想要使用该功能，建议升级集群版本，或者新建集群并进行数据迁移。 表2 配置预置词库 参数 说明 静态主词词库 静态主词词库是预置的常用词语的主词库。默认选择“不更新”表示使用该预置词库。 当需要修改预置的静态主词词库时，单击“更新”，选择txt格式的词库文件。 当不使用静态主词库时，单击“不使用此词库”，删除词库。 静态停词词库 静态停词词库是预置的常用词语的停词库。默认选择“不更新”表示使用该预置词库。 当需要修改预置的静态停词词库时，单击“更新”，选择txt格式的词库文件。 当不使用静态停词库时，单击“不使用此词库”，删除词库。 Extra主词词库 Extra主词词库是预置的生僻词语的主词库。默认选择“不更新”表示使用该预置词库。 当需要修改预置的Extra主词词库时，单击“更新”，选择txt格式的词库文件。 当不使用Extra主词库时，单击“不使用此词库”，删除词库。 Extra停词词库 Extra停词词库是预置的生僻词语的Extra停词库。默认选择“不更新”表示使用该预置词库。 当需要修改预置的Extra停词词库时，单击“更新”，选择txt格式的词库文件。 当不使用Extra停词库时，单击“不使用此词库”，删除词库。 单击“保存”，在弹窗中单击“确定”。词库信息在下方呈现，此时词库状态为“更新中”。请耐心等待1分钟左右，当词库配置完成后，词库状态变更为“成功”。 当删除或更新静态词库这2个词库时，需要重启集群才能使配置的词库生效；其他词库的更新为动态更新，无需重启集群。重启集群的操作指导请参见重启OpenSearch集群。

约束限制 重启过程中集群不可用，请谨慎操作。 工作中状态的集群，重启过程会主动停止Logstash进程。 当管道列表“是否保持常驻”为“否”时，重启过程中会将所有“运行中”的管道状态置为“已停止”。 当管道列表“是否保持常驻”为“是”时，重启过程中会触发Logstash进程恢复机制，将工作中的管道状态置为“恢复中”，如果十分钟内重新拉起Logstash进程，管道状态恢复为“工作中”，否则置为“失败”状态。

已有集群开启终端节点服务 如果创建集群时未开启终端节点服务，集群创建成功后，可以通过如下步骤进行开启。 登录云搜索服务管理控制台。 在集群管理页面，单击需要开启终端节点服务的集群名称，进入集群基本信息页面。 选择“终端节点服务”，在“终端节点服务”右侧单击开关，打开集群的终端节点服务功能。 表2 配置终端节点服务 参数 说明 创建内网域名 勾选“创建内网域名”，系统除了生成一个“节点IP”还会自动创建一个“内网域名”，通过这个域名可以在同一个VPC内访问该集群。不勾选的话只会生成一个“节点IP”。 创建专业型终端节点 选择是否创建专业型终端节点。 不勾选，则创建基础型终端节点。 勾选，则创建专业型终端节点。 说明： 当集群所在区域不支持创建专业型终端节点时，该选项将不可见。默认创建的是基础型终端节点。 IPv4/IPv6双栈网络 选择是否开启IPv4/IPv6双栈网络。仅当集群的VPC“子网”已开启IPv6，且已勾选“创建专业型终端节点”时，才支持选择开启IPv4/IPv6双栈网络。 终端节点服务白名单 在“终端节点服务白名单”中添加允许通过节点IP或内网域名访问集群的账号。 单击“添加”输入授权账号ID。授权账号ID配置成“*”，则表示允许全部用户访问该集群。 单击操作列的“删除”，可以删除不允许访问的账号ID。 说明： “授权账号ID”可以在“我的凭证”中进行查看“账号ID”获取。 管理终端节点。 在终端节点服务页面下，显示所有连接当前集群的终端节点。此处可以获取终端节点的“服务地址”和“内网域名”。 图2 管理终端节点 单击操作列的“接受”或者“拒绝”可以修改节点的“状态”。如果对某个终端节点“拒绝”操作之后，其生成的内网域名将不能再访问到当前集群。

通过节点IP地址或内网域名访问集群 获取集群的内网域名或者节点IP地址。 登录云搜索服务控制台，进入集群列表，单击集群名称，进入集群“基本信息”页面，选择“终端节点服务”，查看“服务地址”或“内网域名”。 图3 查看终端节点服务地址或内网域名 在弹性云服务器中，直接通过Curl命令调用Elasticsearch API即可使用集群。 弹性云服务器需要满足如下要求： 为弹性云服务分配足够的磁盘空间。 此弹性云服务器的VPC需要与集群在同一个VPC中，开通终端节点服务后，可以实现跨VPC访问。 此弹性云服务器的安全组需要和集群的安全组相同。 如果不同，请修改弹性云服务器安全组或配置弹性云服务器安全组的出入规则允许集群所有安全组的访问。修改操作请参见配置安全组规则。 待接入的CSS集群，其安全组的出方向和入方向需允许TCP协议及9200端口，或者允许端口范围包含9200端口。 例如，执行如下Curl命令，查看集群中的索引信息，集群中的内网访问地址为“vpcep-7439f7f6-2c66-47d4-b5f3-790db4204b8d.region01.huaweicloud.com”，端口为“9200”。 如果接入集群未启用安全模式，接入方式为： curl 'http://vpcep-7439f7f6-2c66-47d4-b5f3-790db4204b8d.region01.huaweicloud.com:9200/_cat/indices' 如果接入集群已启用安全模式，则需要使用https方式访问，并附加用户名和密码，在curl命令中添加-u选项。 curl -u username:password -k 'https://vpcep-7439f7f6-2c66-47d4-b5f3-790db4204b8d.region01.huaweicloud.com:9200/_cat/indices'

约束限制 一次只能选择一个节点进行替换。 节点替换过程会按照原节点的ID、IP地址、规格、AZ等信息重建节点。 节点替换过程中不会保留手动操作。例如被替换的节点手动加过回程路由，那么节点替换完成后，需要重新添加回程路由。 当替换的是数据节点或冷数据节点时，需要确认集群或节点是否满足以下条件。 替换数据节点或冷数据节点的过程中，会先将被替换节点的数据迁移到其他数据节点，因此集群中每个索引的副本数和主分片数之和的最大值要小于集群的数据节点数量和冷数据节点数量之和。替换过程耗时跟数据迁移到其他节点的耗时强相关。 版本号在7.6.2以前的集群，不能有close的索引，否则不支持替换数据节点或冷数据节点。 被替换的数据节点或冷数据节点所在的AZ需要有两个及以上的数据节点或冷数据节点。 当替换的数据节点或冷数据节点所在集群不存在Master节点时，则集群中可用的数据节点数量和冷数据节点数量之和要大于等于3。 当替换的是Master节点或Client节点时，则不受以上四条约束。 当替换的是故障节点时，不管什么节点类型都不受以上四条约束。因为故障节点不包含在“_cat/nodes”中。

约束限制 集群开启终端节点服务之后，终端节点将按需进行收费，终端节点的费用将由用户进行支付，详细的计费方式请参考终端节点计费说明。 当集群的网络配置中，“虚拟私有云”选择的是共享VPC，“子网”选择的是共享VPC下的子网，则该集群不支持配置终端节点服务。 创建终端节点需要有相关的权限，请参考VPC终端节点权限管理。 公网访问和终端节点服务使用的是同一个负载均衡。当集群开启了公网访问白名单，由于白名单是作用在负载均衡上面，将会同时限制公网访问集群和内网通过VPCEP访问集群的IP地址。此时需要在公网访问白名单中添加一个网络白名单“198.19.128.0/17”，通过该白名单用来放通经过VPCEP的流量。 终端节点服务开通后，在内网通过终端节点IP或内网域名访问CSS将不受集群安全组规则限制，需要配合终端节点本身的白名单功能进行访问控制。

创建集群时开启终端节点服务 登录云搜索服务管理控制台。 在右上方单击“创建集群”。 在创建集群页面，“高级配置”选择“自定义”后，开启终端节点服务。 图1 开启终端节点服务 表1 配置终端节点服务 参数 说明 创建内网域名 勾选“创建内网域名”，系统除了生成一个“节点IP”还会自动创建一个“内网域名”，通过这个域名可以在同一个VPC内访问该集群。不勾选的话只会生成一个“节点IP”。 创建专业型终端节点 选择是否创建专业型终端节点。 不勾选，则创建基础型终端节点。 勾选，则创建专业型终端节点。 说明： 当集群所在区域不支持创建专业型终端节点时，该选项将不可见。默认创建的是基础型终端节点。 IPv4/IPv6双栈网络 选择是否开启IPv4/IPv6双栈网络。仅当集群的VPC“子网”已开启IPv6，且已勾选“创建专业型终端节点”时，才支持选择开启IPv4/IPv6双栈网络。 终端节点服务白名单 在“终端节点服务白名单”中添加允许通过节点IP或内网域名访问集群的账号。 单击“添加”输入授权账号ID。授权账号ID配置成“*”，则表示允许全部用户访问该集群。 单击操作列的“删除”，可以删除不允许访问的账号ID。 说明： “授权账号ID”可以在“我的凭证”中进行查看“账号ID”获取。

场景描述 CSS服务支持创建多种安全模式的集群，不同集群的差异请参见表1。 表1 集群类型介绍 集群类型 集群描述 适用场景 非安全集群 非安全模式的集群 非安全模式的集群无需安全认证即可访问，采用HTTP协议明文传输数据。建议确认访问环境的安全性，勿将访问接口暴露到公网环境上。 适合内网业务，用于测试场景。 优点：简单，接入集群容易。 缺点：安全性差，任何人都可以访问集群。 安全集群 安全模式+HTTP协议的集群 安全模式的集群需要通过安全认证才能访问，且支持对集群进行授权、加密等功能。采用HTTP协议明文传输数据。建议确认访问环境的安全性，勿将访问接口暴露到公网环境上。 可以实现用户权限隔离，适用于对集群性能敏感的场景。 优点：访问集群需要安全认证，提升了集群安全性。通过HTTP协议访问集群又能保留集群的高性能。 缺点：无法公网访问集群。 安全模式+HTTPS协议的集群 安全模式的集群需要通过安全认证才能访问，且支持对集群进行授权、加密等功能。采用HTTPS协议进行通信加密，使数据更安全。 有非常高的安全要求，且需要公网访问集群的场景。 优点：访问集群需要安全认证，提升了集群安全性，且HTTPS协议的通讯加密可以实现集群公网访问功能。 缺点：通过HTTPS协议访问集群，集群的读取性能相对HTTP协议来说，会下降20%左右。 同时，CSS服务支持多种安全模式的更改场景，请参见表2。 表2 安全模式的更改场景 场景 相关文档 “非安全模式的集群”切换为“安全模式+HTTP协议的集群” 非安全模式切换为安全模式 “非安全模式的集群”切换为“安全模式+HTTPS协议的集群” “安全模式+HTTP协议的集群”切换为“非安全模式的集群” 安全模式切换为非安全模式 “安全模式+HTTPS协议的集群”切换为“非安全模式的集群” “安全模式+HTTP协议的集群”切换为“安全模式+HTTPS协议的集群” 切换安全模式下的协议 “安全模式+HTTPS协议的集群”切换为“安全模式+HTTP协议的集群”

约束限制 2022年11月之后创建的集群（且集群版本不小于6.5.4）才支持切换安全模式。 在更改集群安全模式的过程中，集群会自动重启。重启会导致业务中断，并且重启后调用集群的认证方式也会发生改变，客户端需要做相应调整。 对于已打开过Kibana会话框的集群，在更改集群安全模式后，Kibana会提示Session错误，此时需要清理缓存再打开Kibana才能正常访问。 关闭集群的安全模式时，会清理安全集群的账号，安全账号被清理后将无法恢复。

授权使用 SMN 服务 通过CSS服务的管理员账号登录云搜索服务管理控制台。 在左侧导航栏选择“服务授权”。 在服务授权页面，单击“创建SMN委托”，在弹窗中确认委托创建成功。 如果已经创建过委托，则右上角会提示“css_smn_agency exist, no need to created.”。 如果无创建权限，则右上角会提示“当前用户没有操作权限，请通过 IAM 检查账户权限！”，请确认该管理员账号是否配置了IAM使用权限。

场景描述 云搜索服务默认安装了开源的OpenSearch告警插件（opensearch-alerting），用于提供数据满足特定条件时的通知功能。该插件包含Alerts、Monitors、Destinations三个组件，CSS服务在Destinations组件中适配了 消息通知 服务SMN，且仅支持通过SMN服务作为目的端（Destination）进行告警消息发送。 本文主要介绍如何在OpenSearch Dashboards中设置OpenSearch集群的SMN告警功能。 开源OpenSearch告警插件OpenSearch Alerting的官方指导文档请参见：Alerting - OpenSearch Documentation 。

写入性能优化 关闭副本，待数据导入完成后再开启副本，减少副本构建的开销。 调整“refresh_interval”为120s或者更大，避免频繁刷新索引生成大量小的segments，同时减少merge带来的向量索引构建开销。 适当调大“native.vector.index_threads”的值（默认为4），增加向量索引构建的线程数。 PUT _cluster/settings{ "persistent": { "native.vector.index_threads": 8 }}

查询性能优化 在批量导入场景下，数据写入完成后，执行forcemerge操作能有效提升查询效率。 POST index_name/_forcemerge?max_num_segments=1 如果向量索引所需堆外内存超过了熔断线，查询时索引的缓存管理器会控制索引的换进换出，导致查询变慢，此时可适当调大熔断线的配置。 PUT _cluster/settings{ "persistent": { "native.cache.circuit_breaker.cpu.limit": "75%" }} 如果需要返回的字段较少，且均为keyword或者数值类型字段，可以通过docvalue_fields配置召回需要的字段，有效降低fetch阶段的开销。 POST my_index/_search{ "size": 2, "stored_fields": ["_none_"], "docvalue_fields": ["my_label"], "query": { "vector": { "my_vector": { "vector": [1, 1], "topk": 2 } } }}

场景描述 集群的智能运维支持以下功能： 启动检测任务：通过启动检测任务，触发系统智能诊断集群的健康状况。 查看集群风险项：检测任务完成后，可以查看集群存在的风险项详情，根据风险建议及时处理集群存在的风险。 删除检测任务：当不需要历史所创建的检测任务时，可删除检测任务。删除检测任务后，系统将删除检测任务所对应的所有诊断信息。 智能运维的检查项包含如下项目。 检查当前时刻集群的健康状态，其中red表示有主分片未分配，yellow表示有副分片未分配，green表示所有分片均已分配。 检测集群节点数与AZ(可用区)数，判定Elasticsearch分布式集群的高可用性。 检测集群索引是否开启副本，未设置副本的索引在节点发生故障后可能导致索引不可用，本地盘集群未设置副本会有数据丢失的风险。 检测集群是否存在kibana索引冲突。 检测节点磁盘用量百分比，节点磁盘存储过大可能导致节点无法分配新索引分片并影响集群性能。 检测集群数据节点/冷数据节点的存储用量是否均衡，不均衡的存储用量分布可能导致集群负载不均，读写延迟增加。 连续5分钟检测当前集群是否有节点脱离或不可用。 检测节点分片数量是否过多，单节点分片数量过多会消耗大量节点资源，读写请求时延增加，集群元数据更新缓慢等。 检测所有分片大小，分片太大可能导致查询性能下降，节点内存消耗增加，影响扩缩容以及节点故障时分片的恢复速率等。 检测当前集群是否存在可升级的版本。 检测集群7天内是否有快照备份失败，或7天内无快照备份记录。

查看集群风险项 当检测任务完成时，可以查看检测结果。 登录云搜索服务管理控制台。 在集群管理页面，单击集群名称，跳转至该集群基本信息页面。 左侧菜单栏选择“智能运维”。 在智能运维列表页面，选择已启动的检测任务。单击下方的，可查看当前检测任务的“创建时间”、“摘要”、“ID”以及检测任务所发现的“风险项”。 单击风险项左侧，可查看风险项详情，包括检测项、风险描述、风险建议。 您可以根据风险建议及时处理集群所存在的风险。 图1 风险项 单击智能运维列表操作列的“导出风险项”，支持下载检测结果。

启动检测任务 登录云搜索服务管理控制台。 在集群管理页面，单击需要进行智能运维的集群名称，跳转至该集群基本信息页面。 左侧菜单栏选择“智能运维”。 在智能运维页面，单击左上角的“启动检测”。 在对话框中填写检测任务的基本信息，单击“确定”。 表1 配置检测任务 参数 说明 名称 检测任务的名称。 描述 检测任务的简短描述。 SMN主题 当勾选“任务完成后发送SMN告警”时，需要选择当前账号已创建的SMN主题。 告警灵敏度 当勾选“任务完成后发送SMN告警”时，需要选择告警灵敏度。 当检测到的风险项存在大于等于此告警敏感度的条目，则发送SMN告警消息，消息内容则包含所有风险项。 当检测任务状态变成“完成”时，表示智能检测结束，可以查看集群风险项。

约束限制 删除集群时，会清理集群业务数据，请谨慎操作。 如果集群没有备份快照，则删除后不可恢复集群数据。当集群启用过快照功能，且OBS桶中创建的快照并未被删除，此时删除集群时，并不会释放这部分备份数据。如果有需要，可以通过OBS桶中存储的快照信息恢复数据，具体参见集群被删除后是否还能恢复？。 当集群已开通终端节点服务时，当前账号必须要有删除终端节点的权限，否则集群删除后并不会释放终端节点资源。终端节点的相关权限请参见VPCEP权限管理。

修改企业项目 针对之前已创建的集群，其绑定的企业项目可根据实际情况进行修改。 登录在云搜索服务管理控制台， 在左侧导航栏，选择对应的集群类型，进入集群管理页面。 在集群列表中，单击集群名称进入集群“基本信息”页面。 在集群“基本信息”页面，单击“企业项目”右侧的企业项目名称，进入项目管理页面。 在“资源”页签下，“区域”选项中选择当前集群所在的区域，“服务”选项中选“云搜索服务 CSS”。此时，资源列表将筛选出对应的CSS集群。 图1 筛选CSS集群 勾选需要修改企业项目的集群，然后单击“迁出”。 在“迁出资源”页面，选择“迁出方式”，再选择“请选择要迁入的企业项目”，然后单击“确定”。 迁出完成后，可以在云搜索服务管理控制台集群管理页面，查看修改后的集群企业项目信息。

访问方式 表1 集群的访问方式 访问方式 适用场景 相关文档 OpenSearch Dashboards（推荐方式） 图形化操作与展示。 监控实例。 管理数据。 不限制访问语言。 通过OpenSearch Dashboards登录OpenSearch集群 Cerebro 通过Cerebro登录OpenSearch集群 开源Elasticsearch API 通过Curl命令访问与管理OpenSearch集群。 通过Curl命令行接入OpenSearch集群 LDAP认证 在OpenSearch集群中配置轻量目录访问协议LDAP认证，实现相应角色的LDAP用户接入OpenSearch集群。 通过LDAP接入OpenSearch集群

约束限制 备份与恢复索引功能上线之前（即2018年3月10日之前）创建的集群，无法创建快照。 集群快照会导致CPU、磁盘IO上升等影响，建议在业务低峰期进行操作。 当集群处于“不可用”状态时，快照功能中除了恢复快照功能外，其他快照信息或功能只能查看，无法进行编辑。 备份与恢复过程中，支持集群扩容（如果是恢复至本集群，则本集群不支持扩容）、访问Kibana、查看监控、删除其他快照的操作。不支持重启此集群、删除此集群、删除正在创建或恢复的快照、再次创建或恢复快照的操作。当此集群正在进行创建快照或者恢复快照过程中，同时的自动创建快照任务将被取消。 CSS集群第一次快照是全量，后面再备份快照是在之前的快照基础上增量，CSS是增量快照逻辑，快照之间的文件会相互依赖。