Un argomento di importazione ti consente di importare i dati da origini esterne in Pub/Sub. Puoi quindi trasmettere i flussi di dati in qualsiasi destinazione supportata da Pub/Sub.
Pub/Sub supporta Stream di dati Amazon Kinesis come origine esterna per l'importazione di dati in un argomento di importazione.
Importa panoramica argomento
In un argomento di importazione è abilitata l'importazione per l'argomento come proprietà. Ciò consente a un argomento di importare i flussi di dati. Puoi abilitare l'importazione per un argomento utilizzando la console, Google Cloud CLI, le chiamate REST o le librerie client. Nell'ambito della gestione dell'argomento di importazione, Google Cloud fornisce il monitoraggio e la scalabilità della pipeline di importazione.
Senza un argomento di importazione, il trasferimento di flussi di dati in Pub/Sub da un'origine dati richiede un servizio aggiuntivo. Questo servizio aggiuntivo estrae i dati dall'origine originale e li pubblica in Pub/Sub. Il servizio aggiuntivo può essere un motore di flussi di dati come Apache Spark o un servizio personalizzato. Devi inoltre configurare, eseguire il deployment, eseguire, scalare e monitorare questo servizio.
Di seguito è riportato un elenco di importanti informazioni riguardanti gli argomenti relativi all'importazione:
Analogamente a un argomento standard, puoi comunque pubblicare manualmente in un argomento di importazione.
Puoi collegare una sola origine di importazione a un argomento di importazione.
Ti consigliamo di importare gli argomenti per i flussi di dati. Se stai prendendo in considerazione l'importazione dati in batch in BigQuery anziché l'importazione dati, puoi provare BigQuery Data Transfer Service (BQ DTS). Se vuoi importare dati in Cloud Storage, Storage Transfer Service (STS) è una buona opzione.
Prima di iniziare
Scopri di più sul servizio Pub/Sub e sulla sua terminologia.
Scopri di più sul processo di pubblicazione di Pub/Sub.
Configura i ruoli e le autorizzazioni necessari per gestire gli argomenti di importazione, ad esempio aggiungendo il ruolo di publisher Pub/Sub all'account di servizio Pub/Sub e l'aggiunta del ruolo utente dell'account di servizio all'account di servizio.
Configura la federazione delle identità per i carichi di lavoro in modo che Google Cloud possa accedere al servizio di streaming esterno.
Autorizzazioni e ruoli richiesti per gestire gli argomenti di importazione
Per ottenere le autorizzazioni necessarie per creare e gestire gli argomenti di importazione,
chiedi all'amministratore di concederti il
ruolo IAM Editor Pub/Sub(roles/pubsub.editor
)
per il tuo argomento o progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questo ruolo predefinito contiene le autorizzazioni necessarie per creare e gestire gli argomenti di importazione. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per creare e gestire gli argomenti di importazione sono necessarie le seguenti autorizzazioni:
-
Crea un argomento di importazione:
pubsub.topics.create
-
Elimina un argomento di importazione:
pubsub.topics.delete
-
Ottieni un argomento di importazione:
pubsub.topics.get
-
Elenca un argomento di importazione:
pubsub.topics.list
-
Pubblica in un argomento di importazione:
pubsub.topics.publish
-
Aggiorna un argomento di importazione:
pubsub.topics.update
-
Ottieni il criterio IAM per un argomento di importazione:
pubsub.topics.getIamPolicy
-
Configura il criterio IAM per un argomento di importazione:
pubsub.topics.setIamPolicy
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Puoi configurare il controllo dell'accesso a livello di progetto e di singola risorsa.
Configura l'identità federata per accedere a Kinesis Data Streams
La federazione di Workload Identity consente ai servizi Google Cloud di accedere ai carichi di lavoro in esecuzione al di fuori di Google Cloud. Con la federazione delle identità, non è necessario gestire o passare le credenziali a Google Cloud per accedere alle risorse in altri cloud. Puoi invece utilizzare le identità dei carichi di lavoro per eseguire l'autenticazione in Google Cloud e accedere alle risorse.
Creare un account di servizio in Google Cloud
Questo passaggio è facoltativo. Se hai già un account di servizio, puoi utilizzarlo in questa procedura anziché crearne uno nuovo. Se utilizzi un account di servizio esistente, vai a Registrare l'ID univoco dell'account di servizio per il passaggio successivo.
Per un argomento di importazione, Pub/Sub utilizza l'account di servizio come identità per accedere alle risorse da AWS.
Per maggiori informazioni sulla creazione di un account di servizio, inclusi prerequisiti, ruoli e autorizzazioni richiesti e linee guida per la denominazione, consulta la pagina Creare account di servizio. Dopo aver creato un account di servizio, potrebbe essere necessario attendere almeno 60 secondi prima di utilizzarlo. Questo comportamento si verifica perché le operazioni di lettura sono alla fine coerenti. Può essere necessario del tempo prima che il nuovo account di servizio diventi visibile.
Registra l'ID univoco dell'account di servizio
Per configurare un ruolo nella console AWS, devi avere un ID univoco dell'account di servizio.
Nella console Google Cloud, vai alla pagina dei dettagli dell'Account di servizio.
Fai clic sull'account di servizio appena creato o su quello che prevedi di utilizzare.
Nella pagina Dettagli account di servizio, registra il numero ID univoco.
Ti servirà in quanto parte della sezione Crea un ruolo in AWS utilizzando un criterio di attendibilità personalizzato.
Aggiungere il ruolo Creatore token account di servizio all'account di servizio Pub/Sub
Il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator
) consente alle entità di creare credenziali di breve durata per un account di servizio. Questi token o credenziali vengono utilizzati
per rappresentare l'account di servizio.
Per ulteriori informazioni sulla simulazione dell'identità degli account di servizio, consulta Impersonificazione degli account di servizio.
Puoi anche aggiungere il ruolo di publisher Pub/Sub (roles/pubsub.publisher
) durante questa procedura. Per ulteriori informazioni sul ruolo e sul motivo per cui lo stai aggiungendo, consulta Aggiungere il ruolo di publisher Pub/Sub all'account di servizio Pub/Sub.
Nella console Google Cloud, vai alla pagina IAM.
Attiva l'opzione Includi concessioni di ruoli fornite da Google.
Cerca l'account di servizio con il formato
service-{PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com
.Per questo account di servizio, fai clic sul pulsante Modifica entità.
Se necessario, fai clic su Aggiungi un altro ruolo.
Cerca e seleziona il ruolo Creatore token account di servizio (
roles/iam.serviceAccountTokenCreator
).Fai clic su Salva.
Crea un criterio in AWS
È necessario un criterio in AWS per consentire a Pub/Sub di eseguire l'autenticazione con AWS in modo che Pub/Sub possa importare i dati da un flusso di dati AWS Kinesis. Prima di creare un criterio AWS, crea uno stream di dati Kinesis e un consumer registrato. Ti consigliamo questa pratica in modo da poter limitare le autorizzazioni allo stream specifico.
Per ulteriori informazioni su come creare uno stream di dati AWS Kinesis, consulta Stream di dati Kinesis.
Per ulteriori informazioni sull'API AWS Kinesis stream di dati utilizzata per registrare i consumer, consulta RegisterStreamConsumer.
Per ulteriori metodi e informazioni su come creare un criterio in AWS, consulta Creazione di criteri IAM.
Per creare un criterio in AWS, segui questi passaggi:
Accedi alla console di gestione AWS e apri la console IAM.
Nel riquadro di navigazione della console per IAM, fai clic su Access Management > Criteri.
Fai clic su Crea criterio.
In Seleziona un servizio, scegli Kinesis.
Per azione consentita, seleziona quanto segue:
Elenco > ListShards.
Questa azione concede l'autorizzazione per elencare gli shard in un flusso e fornisce informazioni su ciascuno shard.
Read (Leggi) > SubscribeToShard.
Questa azione concede l'autorizzazione per ascoltare uno shard specifico con fan-out migliorato.
Leggi > DescribeStreamConsumer.
Questa azione concede l'autorizzazione per ottenere la descrizione di un consumer di streaming registrato.
Queste autorizzazioni coprono la lettura dallo stream. Pub/Sub supporta solo la lettura da un flusso Kinesis con Enhanced Fan-Out, utilizzando l'API SubscribeToShard per i flussi di dati.
In Risorse, se vuoi limitare il criterio a uno specifico flusso o consumer (consigliato), specifica l'ARN del consumatore e l'ARN dello stream.
Fai clic su Aggiungi altre autorizzazioni.
In Seleziona un servizio, inserisci e seleziona STS.
Per azione consentita, seleziona Write > AssumeRoleWithWebIdentity.
Questa azione concede l'autorizzazione per ottenere un set di credenziali di sicurezza temporanee per Pub/Sub per l'autenticazione nel flusso di dati di Kinesis utilizzando la federazione delle identità.
Tocca Avanti.
Inserisci un nome e una descrizione per il criterio.
Fai clic su Crea criterio.
Crea un ruolo in AWS utilizzando un criterio di attendibilità personalizzato
Devi creare un ruolo in AWS in modo che Pub/Sub possa eseguire l'autenticazione in AWS per importare i dati da Kinesis Data Streams.
Per creare un ruolo utilizzando un criterio di attendibilità personalizzato, segui questi passaggi:
Accedi alla console di gestione AWS e apri la console IAM.
Nel riquadro di navigazione della console per IAM, fai clic su Ruoli.
Fai clic su Crea ruolo.
In Seleziona entità attendibile, scegli Criterio di attendibilità personalizzati.
Nella sezione Criterio di attendibilità personalizzato, inserisci o incolla quanto segue:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "accounts.google.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "accounts.google.com:sub": "<SERVICE_ACCOUNT_UNIQUE_ID>" } } } ] }
Sostituisci
<SERVICE_ACCOUNT_UNIQUE_ID>
con l'ID univoco dell'account di servizio che hai registrato in Registrare l'ID univoco dell'account di servizio.Tocca Avanti.
In Aggiungi autorizzazioni, cerca e seleziona il criterio personalizzato che hai appena creato.
Tocca Avanti.
Inserisci un nome e una descrizione per il ruolo.
Fai clic su Crea ruolo.
Aggiungere il ruolo di publisher Pub/Sub all'account di servizio Pub/Sub
Devi assegnare un ruolo di editore all'account di servizio Pub/Sub in modo che Pub/Sub possa pubblicare nell'argomento di importazione dai flussi di dati di AWS Kinesis.
Per attivare la pubblicazione da tutti gli argomenti di un progetto, consulta Abilitare la pubblicazione da tutti gli argomenti.
Per attivare la pubblicazione da un argomento specifico (opzione consigliata), vedi Abilitare la pubblicazione da un singolo argomento.
Attiva la pubblicazione da tutti gli argomenti
Nella console Google Cloud, vai alla pagina IAM.
Attiva l'opzione Includi concessioni di ruoli fornite da Google.
Cerca l'account di servizio con il formato
service-{PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com
.Per questo account di servizio, fai clic sul pulsante Modifica entità.
Se necessario, fai clic su Aggiungi un altro ruolo.
Cerca e seleziona il ruolo di publisher Pub/Sub (
roles/pubsub.publisher
).Fai clic su Salva.
Attiva la pubblicazione da un singolo argomento
Se vuoi concedere l'autorizzazione di pubblicazione solo a uno specifico argomento di importazione, segui questi passaggi:
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Esegui il comando
gcloud pubsub topics add-iam-policy-binding
:gcloud pubsub topics add-iam-policy-binding TOPIC_ID\ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com"\ --role="roles/pubsub.publisher"
Sostituisci quanto segue:
TOPIC_ID è l'ID dell'argomento di importazione.
PROJECT_NUMBER è il numero del progetto. Per visualizzare il numero del progetto, consulta Identificazione dei progetti.
Aggiungere il ruolo utente dell'account di servizio all'account di servizio
Il ruolo Utente account di servizio (roles/iam.serviceAccountUser
) include l'autorizzazione iam.serviceAccounts.actAs
che consente a un'entità di collegare un account di servizio alle impostazioni di importazione dell'argomento di importazione e di utilizzare quell'account di servizio per l'identità federata.
Svolgi i seguenti passaggi:
Nella console Google Cloud, vai alla pagina IAM.
Per l'entità che invia le chiamate all'argomento di creazione o aggiornamento, fai clic sul pulsante Modifica entità.
Se necessario, fai clic su Aggiungi un altro ruolo.
Cerca e seleziona il ruolo Utente account di servizio (
roles/iam.serviceAccountUser
).Fai clic su Salva.
Creare un argomento di importazione
Per saperne di più sulle proprietà associate a un argomento, consulta Proprietà di un argomento.
Assicurati di aver completato le seguenti procedure:
Configura l'identità federata per accedere a Kinesis Data Streams
Aggiungere il ruolo di publisher Pub/Sub all'account di servizio Pub/Sub
Aggiungere il ruolo utente dell'account di servizio all'account di servizio
Per creare un argomento di importazione:
Console
-
Nella console Google Cloud, vai alla pagina Argomenti.
-
Fai clic su Crea argomento.
-
Nel campo ID argomento, inserisci un ID per l'argomento di importazione.
Per ulteriori informazioni sull'assegnazione di nomi agli argomenti, consulta le linee guida per l'assegnazione di nomi.
-
Seleziona Aggiungi un abbonamento predefinito.
-
Seleziona Abilita l'importazione.
-
Per l'origine di importazione, seleziona Amazon Kinesis Data Streams.
-
Inserisci i seguenti dettagli:
-
ARN del flusso Kinesis: l'ARN per lo stream di dati Kinesis che prevedi di importare in Pub/Sub. Il formato dell'ARN è il seguente:
arn:${Partition}:kinesis:${Region}:${Account}:stream/${StreamName}
. -
ARN del consumer Kinesis: l'ARN della risorsa consumer registrato nel flusso di dati AWS Kinesis. Il formato dell'ARN è il seguente:
arn:${Partition}:kinesis:${Region}:${Account}:${StreamType}/${StreamName}/consumer/${ConsumerName}:${ConsumerCreationTimpstamp}
. -
ARN del ruolo AWS: l'ARN del ruolo AWS. Il formato ARN del ruolo è il seguente:
arn:aws:iam:${Account}:role/${RoleName}
. -
Account di servizio: l'account di servizio creato nella sezione Creare un account di servizio in Google Cloud.
-
-
Fai clic su Crea argomento.
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
-
Esegui il comando
gcloud pubsub topics create
:gcloud pubsub topics create TOPIC_ID
--kinesis-ingestion-stream-arn KINESIS_STREAM_ARN
--kinesis-ingestion-consumer-arn KINESIS_CONSUMER_ARN
--kinesis-ingestion-role-arn KINESIS_ROLE_ARN
--kinesis-ingestion-service-account PUBSUB_SERVICE_ACCOUNTSostituisci quanto segue:
-
TOPIC_ID è l'ID argomento.
-
KINESIS_STREAM_ARN è l'ARN per i flussi di dati Kinesis che prevedi di importare in Pub/Sub. Il formato dell'ARN è il seguente:
arn:${Partition}:kinesis:${Region}:${Account}:stream/${StreamName}
. -
KINESIS_CONSUMER_ARN è l'ARN della risorsa consumer registrata nei flussi di dati di AWS Kinesis. Il formato dell'ARN è il seguente:
arn:${Partition}:kinesis:${Region}:${Account}:${StreamType}/${StreamName}/consumer/${ConsumerName}:${ConsumerCreationTimpstamp}
. -
KINESIS_ROLE_ARN è l'ARN del ruolo AWS. Il formato ARN del ruolo è il seguente:
arn:aws:iam:${Account}:role/${RoleName}
. -
PUBSUB_SERVICE_ACCOUNT è l'account di servizio che hai creato nella sezione Creare un account di servizio in Google Cloud.
-
Go
Prima di provare questo esempio, segui le istruzioni di configurazione di Go nella guida rapida di Pub/Sub sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Go di Pub/Sub.
Per eseguire l'autenticazione in Pub/Sub, configura le Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Prima di provare questo esempio, segui le istruzioni di configurazione di Java nella guida rapida di Pub/Sub sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di Pub/Sub.
Per eseguire l'autenticazione in Pub/Sub, configura le Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js
Prima di provare questo esempio, segui le istruzioni di configurazione di Node.js nella guida rapida di Pub/Sub sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Node.js di Pub/Sub.
Per eseguire l'autenticazione in Pub/Sub, configura le Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Prima di provare questo esempio, segui le istruzioni di configurazione di Python nella guida rapida di Pub/Sub sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di Pub/Sub.
Per eseguire l'autenticazione in Pub/Sub, configura le Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
C++
Prima di provare questo esempio, segui le istruzioni di configurazione di C++ nella guida rapida di Pub/Sub sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API C++ di Pub/Sub.
Per eseguire l'autenticazione in Pub/Sub, configura le Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js (TypeScript)
Prima di provare questo esempio, segui le istruzioni di configurazione di Node.js nella guida rapida di Pub/Sub sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Node.js Pub/Sub.
Per eseguire l'autenticazione in Pub/Sub, configura le Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Per ulteriori informazioni sugli ARN, consulta la pagina relativa ai nomi delle risorse Amazon (ARN) e agli identificatori IAM.
Se riscontri problemi, consulta l'articolo Risolvere i problemi relativi all'importazione.
Modificare un argomento di importazione
Puoi modificare le impostazioni dell'origine dati di importazione di un argomento di importazione. Svolgi i seguenti passaggi:
Console
-
Nella console Google Cloud, vai alla pagina Argomenti.
-
Fai clic sull'argomento di importazione.
-
Nella pagina dei dettagli dell'argomento, fai clic su Modifica.
-
Aggiorna i campi che vuoi modificare.
-
Fai clic su Update (Aggiorna).
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
-
Esegui il comando
gcloud pubsub topics update
con tutti i flag menzionati nell'esempio seguente:gcloud pubsub topics update TOPIC_ID
--kinesis-ingestion-stream-arn KINESIS_STREAM_ARN
--kinesis-ingestion-consumer-arn KINESIS_CONSUMER_ARN
--kinesis-ingestion-role-arn KINESIS_ROLE_ARN
--kinesis-ingestion-service-account PUBSUB_SERVICE_ACCOUNTSostituisci quanto segue:
-
TOPIC_ID è l'ID argomento. Questo campo non può essere aggiornato.
-
KINESIS_STREAM_ARN è l'ARN per i flussi di dati Kinesis che prevedi di importare in Pub/Sub. Il formato dell'ARN è il seguente:
arn:${Partition}:kinesis:${Region}:${Account}:stream/${StreamName}
. -
KINESIS_CONSUMER_ARN è l'ARN della risorsa consumer registrata nei flussi di dati di AWS Kinesis. Il formato dell'ARN è il seguente:
arn:${Partition}:kinesis:${Region}:${Account}:${StreamType}/${StreamName}/consumer/${ConsumerName}:${ConsumerCreationTimpstamp}
. -
KINESIS_ROLE_ARN è l'ARN del ruolo AWS. Il formato ARN del ruolo è il seguente:
arn:aws:iam:${Account}:role/${RoleName}
. -
PUBSUB_SERVICE_ACCOUNT è l'account di servizio che hai creato nella sezione Creare un account di servizio in Google Cloud.
-
Quote e limiti per gli argomenti di importazione
La velocità effettiva del publisher per gli argomenti di importazione è vincolata dalla quota di pubblicazione dell'argomento. Per maggiori informazioni, consulta Quote e limiti di Pub/Sub.
Passaggi successivi
Scegli il tipo di sottoscrizione per l'argomento.
Scopri come pubblicare un messaggio in un argomento.
Crea o modifica un argomento con gcloud CLI, le API REST o le librerie client.