Il est possible que certaines ou toutes les informations de cette page ne s'appliquent pas au cloud de confiance par S3NS.

Cette page a été traduite par l'API Cloud Translation.

Créer un sujet d'importation Amazon Managed Streaming for Apache Kafka

Un sujet d'importation Amazon Managed Streaming for Apache Kafka (Amazon MSK) vous permet d'ingérer en continu des données depuis Amazon MSK en tant que source externe et dans Pub/Sub. Vous pouvez ensuite diffuser les données vers l'une des destinations compatibles avec Pub/Sub.

Ce document vous explique comment créer et gérer des sujets d'importation Amazon MSK. Pour créer un sujet standard, consultez Créer un sujet standard.

Pour en savoir plus sur les thèmes d'importation, consultez À propos des thèmes d'importation.

Avant de commencer

En savoir plus sur le processus de publication Pub/Sub
Configurez les rôles et autorisations requis pour gérer les thèmes d'importation Amazon MSK, y compris les suivants :
- Ajouter le rôle d'éditeur Pub/Sub au compte de service Pub/Sub
- Ajoutez le rôle d'agent de service Pub/Sub au compte de service Pub/Sub, s'il n'est pas déjà attribué.
- Ajouter le rôle "Utilisateur du compte de service" au compte de service
Configurez la fédération d'identité de charge de travail pour queTrusted Cloud puisse accéder au service de streaming externe.

Rôles et autorisations requis

Pour obtenir les autorisations nécessaires pour créer et gérer des sujets d'importation Amazon MSK, demandez à votre administrateur de vous accorder le rôle IAM Éditeur Pub/Sub (roles/pubsub.editor) sur votre sujet ou votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour créer et gérer des sujets d'importation Amazon MSK. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour créer et gérer des sujets d'importation Amazon MSK :

Créez un sujet d'importation : pubsub.topics.create
Supprimez un thème d'importation : pubsub.topics.delete
Obtenir un sujet d'importation : pubsub.topics.get
Lister un sujet d'importation : pubsub.topics.list
Publier dans un sujet d'importation : pubsub.topics.publish and pubsub.serviceAgent
Mettre à jour un thème d'importation : pubsub.topics.update
Obtenez la stratégie IAM pour un sujet d'importation : pubsub.topics.getIamPolicy
Configurez la stratégie IAM pour un sujet d'importation : pubsub.topics.setIamPolicy

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Vous pouvez configurer le contrôle des accès au niveau du projet et au niveau de chaque ressource.

Configurer l'identité fédérée pour accéder à Amazon MSK

La fédération d'identité de charge de travail permet aux services Trusted Cloud d'accéder aux charges de travail exécutées en dehors de Trusted Cloud. Grâce à la fédération d'identité, vous n'avez pas besoin de gérer ni de transmettre des identifiants à Trusted Cloud pour accéder à vos ressources dans d'autres clouds. À la place, vous pouvez utiliser les identités des charges de travail elles-mêmes pour vous authentifier auprès de Trusted Cloud et accéder aux ressources.

Créer un compte de service dans Trusted Cloud

Il s'agit d'une étape facultative. Si vous disposez déjà d'un compte de service, vous pouvez l'utiliser dans cette procédure au lieu d'en créer un autre. Si vous utilisez un compte de service existant, accédez à Enregistrer l'ID unique du compte de service pour l'étape suivante.

Pour les sujets d'importation Amazon MSK, Pub/Sub utilise le compte de service comme identité pour accéder aux ressources d'AWS.

Pour en savoir plus sur la création d'un compte de service, y compris sur les prérequis, les rôles et autorisations requis, et les consignes de dénomination, consultez Créer des comptes de service. Une fois le compte de service créé, vous devrez peut-être attendre au moins 60 secondes avant de l'utiliser. Ce comportement se produit car les opérations de lecture sont cohérentes à terme. Il peut s'écouler un certain temps avant que le nouveau compte de service devienne visible.

Enregistrez l'ID unique du compte de service.

Vous avez besoin d'un ID unique de compte de service pour configurer un rôle dans la console AWS.

Dans la console Trusted Cloud , accédez à la page d'informations Compte de service.

Accéder à la page "Comptes de service"
Cliquez sur le compte de service que vous venez de créer ou sur celui que vous prévoyez d'utiliser.
Sur la page Détails du compte de service, notez le numéro d'ID unique.

Vous aurez besoin de l'ID dans le workflow pour configurer un rôle dans la console AWS.

Ajouter le rôle de créateur de jetons du compte de service au compte de service Pub/Sub

Le rôle de créateur de jetons du compte de service (roles/iam.serviceAccountTokenCreator) permet aux comptes principaux de créer des identifiants éphémères pour un compte de service. Ces jetons ou identifiants sont utilisés pour emprunter l'identité du compte de service.

Pour plus d'informations sur l'emprunt de l'identité d'un compte de service, consultez la page Emprunter l'identité d'un compte de service.

Vous pouvez également ajouter le rôle Éditeur Pub/Sub (roles/pubsub.publisher) au cours de cette procédure. Pour en savoir plus sur le rôle et la raison pour laquelle vous l'ajoutez, consultez Ajouter le rôle d'éditeur Pub/Sub au compte de service Pub/Sub.

Dans la console Trusted Cloud , accédez à la page IAM.

Accéder à IAM
Cochez la case Inclure les attributions de rôles fournies par S3NS.
Recherchez le compte de service au format service-{PROJECT_NUMBER}@gcp-sa-pubsub.s3ns-system.iam.gserviceaccount.com.
Pour ce compte de service, cliquez sur le bouton Modifier le compte principal.
Si nécessaire, cliquez sur Ajouter un autre rôle.
Recherchez et cliquez sur le rôle Créateur de jetons du compte de service (roles/iam.serviceAccountTokenCreator).
Cliquez sur Enregistrer.

Créer une règle dans AWS

Vous avez besoin d'une stratégie dans AWS pour permettre à Pub/Sub de s'authentifier auprès d'AWS afin que Pub/Sub puisse ingérer des données depuis Amazon MSK.

Pour découvrir d'autres méthodes et obtenir plus d'informations sur la création d'une règle dans AWS, consultez Créer des règles IAM.

Pour créer une règle dans AWS, procédez comme suit :

Connectez-vous à la console de gestion AWS et ouvrez la console IAM.
Dans le panneau de navigation de la console IAM, cliquez sur Gestion des accès > Règles.
Cliquez sur Créer une règle.
Pour Cliquer sur un service, cliquez sur MSK.
Pour Action autorisée,cliquez sur Lire > GetBootstrapBrokers.

Cette action autorise l'obtention des brokers d'amorçage que Pub/Sub utilise pour se connecter au cluster MSK.
Cliquez sur Ajouter des autorisations.
Dans Sélectionner un service, cliquez sur API Apache Kafka pour MSK.
Pour Action autorisée, sélectionnez les options suivantes :
- List > DescribeTopic
  
  Cette action accorde l'autorisation permettant au sujet d'ingestion Pub/Sub d'obtenir des informations sur le sujet Kafka Amazon MSK.
- Lire > ReadData
  
  Cette action accorde l'autorisation de lire les données du sujet Kafka Amazon MSK.
- Écrire > Connecter
  
  Cette action autorise la connexion et l'authentification au cluster Kafka Amazon MSK.
Pour Ressources, spécifiez l'ARN du cluster (si vous souhaitez limiter la règle à des clusters spécifiques, ce qui est recommandé).
Cliquez sur Ajouter des autorisations.
Pour Sélectionner un service, cliquez sur STS.
Pour Action autorisée, cliquez sur Écrire > AssumeRoleWithWebIdentity.

Cette action accorde l'autorisation d'obtenir un ensemble d'identifiants de sécurité temporaires pour que Pub/Sub s'authentifie auprès d'Amazon MSK à l'aide de la fédération d'identité.
Cliquez sur Suivant.
Saisissez un nom et une description pour la règle.
Cliquez sur Créer une règle.

Créer un rôle dans AWS à l'aide d'une stratégie de confiance personnalisée

Vous devez créer un rôle dans AWS pour que Pub/Sub puisse s'authentifier auprès d'AWS afin d'ingérer des données depuis Amazon MSK.

Connectez-vous à la console de gestion AWS et ouvrez la console IAM.
Dans le panneau de navigation de la console IAM, cliquez sur Rôles.
Cliquez sur Créer un rôle.
Pour Sélectionner une entité de confiance, cliquez sur Règle d'approbation personnalisée.

Dans la section Règle de confiance personnalisée, saisissez ou collez les informations suivantes :

{
  "Version": "2012-10-17",
  "Statement": [
    {
     "Effect": "Allow",
     "Principal": {
        "Federated": "accounts.google.com"
     },
     "Action": "sts:AssumeRoleWithWebIdentity",
     "Condition": {
         "StringEquals": {
           "accounts.google.com:sub": "<SERVICE_ACCOUNT_UNIQUE_ID>"
         }
      }
    }
  ]
}

Remplacez <SERVICE_ACCOUNT_UNIQUE_ID> par l'ID unique du compte de service que vous avez enregistré dans Enregistrer l'ID unique du compte de service.

Cliquez sur Suivant.
Pour Ajouter des autorisations, recherchez et cliquez sur la règle personnalisée que vous venez de créer.
Cliquez sur Suivant.
Saisissez un nom et une description pour le rôle.
Cliquez sur Créer un rôle.

Ajouter le rôle d'éditeur Pub/Sub au principal Pub/Sub

Pour activer la publication, vous devez attribuer un rôle d'éditeur au compte de service Pub/Sub afin que Pub/Sub puisse publier sur le sujet d'importation Amazon MSK.

Ajouter le rôle d'agent de service Pub/Sub au compte de service Pub/Sub

Pour permettre à Pub/Sub d'utiliser le quota de publication du projet de votre sujet d'importation, l'agent de service Pub/Sub doit disposer de l'autorisation serviceusage.services.use sur le projet de votre sujet d'importation.

Pour accorder cette autorisation, nous vous recommandons d'ajouter le rôle d'agent de service Pub/Sub au compte de service Pub/Sub.

Si le compte de service Pub/Sub ne dispose pas du rôle d'agent de service Pub/Sub, vous pouvez l'attribuer comme suit :

Dans la console Trusted Cloud , accédez à la page IAM.

Accéder à IAM
Cochez la case Inclure les attributions de rôles fournies par S3NS.
Recherchez le compte de service au format service-{PROJECT_NUMBER}@gcp-sa-pubsub.s3ns-system.iam.gserviceaccount.com.
Pour ce compte de service, cliquez sur le bouton Modifier le compte principal.
Si nécessaire, cliquez sur Ajouter un autre rôle.
Recherchez et cliquez sur le rôle Agent de service Pub/Sub (roles/pubsub.serviceAgent).
Cliquez sur Enregistrer.

Activer la publication à partir de tous les thèmes

Utilisez cette méthode si vous n'avez pas créé de sujets d'importation Amazon MSK.

Dans la console Trusted Cloud , accédez à la page IAM.

Accéder à IAM
Cochez la case Inclure les attributions de rôles fournies par S3NS.
Recherchez le compte de service au format service-{PROJECT_NUMBER}@gcp-sa-pubsub.s3ns-system.iam.gserviceaccount.com.
Pour ce compte de service, cliquez sur le bouton Modifier le compte principal.
Si nécessaire, cliquez sur Ajouter un autre rôle.
Recherchez et cliquez sur le rôle Éditeur Pub/Sub (roles/pubsub.publisher).
Cliquez sur Enregistrer.

Activer la publication à partir d'un seul sujet

N'utilisez cette méthode que si le thème d'importation Amazon MSK existe déjà.

In the Trusted Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Exécutez la commande gcloud pubsub topics add-iam-policy-binding :
```
gcloud pubsub topics add-iam-policy-binding TOPIC_ID \
   --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.s3ns-system.iam.gserviceaccount.com" \
   --role="roles/pubsub.publisher"
```
Remplacez les éléments suivants :
- TOPIC_ID : ID du sujet d'importation Amazon MSK.
- PROJECT_NUMBER : numéro du projet. Pour afficher le numéro de projet, consultez Identifier des projets.

Ajouter le rôle "Utilisateur du compte de service" au compte de service

Le rôle Utilisateur du compte de service (roles/iam.serviceAccountUser) inclut l'autorisation iam.serviceAccounts.actAs qui permet à un compte principal d'associer un compte de service aux paramètres d'ingestion du thème d'importation Amazon MSK et d'utiliser ce compte de service pour l'identité fédérée.

Dans la console Trusted Cloud , accédez à la page IAM.

Accéder à IAM
Pour le compte principal qui émet les appels de création ou de mise à jour de sujets, cliquez sur le bouton Modifier le compte principal.
Si nécessaire, cliquez sur Ajouter un autre rôle.
Recherchez et cliquez sur le rôle Utilisateur du compte de service (roles/iam.serviceAccountUser).
Cliquez sur Enregistrer.

Utiliser les sujets d'importation Amazon MSK

Vous pouvez créer un sujet d'importation ou en modifier un existant.

Remarques

Créer le sujet et l'abonnement séparément, même si vous le faites rapidement, peut entraîner une perte de données. Il existe une courte période pendant laquelle le thème est disponible sans abonnement. Si des données sont envoyées à la rubrique pendant cette période, elles sont perdues. En créant d'abord le sujet, puis l'abonnement, et en convertissant ensuite le sujet en sujet d'importation, vous vous assurez de ne manquer aucun message pendant le processus d'importation.
Si vous devez recréer le sujet Kafka d'un sujet d'importation existant portant le même nom, vous ne pouvez pas simplement supprimer le sujet Kafka et le recréer. Cette action peut invalider la gestion des décalages de Pub/Sub, ce qui peut entraîner une perte de données. Pour limiter ce risque, procédez comme suit :
- Supprimez le sujet d'importation Pub/Sub.
- Supprimez le sujet Kafka.
- Créez le sujet Kafka.
- Créez le sujet d'importation Pub/Sub.
Les données d'un sujet Kafka Amazon MSK sont toujours lues à partir du décalage le plus ancien.

Créer des sujets d'importation Amazon MSK

Pour en savoir plus sur les propriétés associées à un thème, consultez Propriétés d'un thème.

Assurez-vous d'avoir effectué les procédures suivantes :

Configurer l'identité fédérée pour accéder à Amazon MSK
Ajouter le rôle d'éditeur Pub/Sub au compte de service Pub/Sub
Ajouter le rôle "Utilisateur du compte de service" au compte de service

Pour créer un sujet d'importation Amazon MSK, procédez comme suit :

Console

Dans la console Trusted Cloud , accédez à la page Sujets.

Accéder aux sujets
Cliquez sur Create topic (Créer un sujet).
Dans le champ ID du sujet, saisissez un ID pour votre sujet d'importation Amazon MSK. Pour en savoir plus sur l'attribution de noms aux sujets, consultez les consignes de dénomination.
Sélectionnez Ajouter un abonnement par défaut.
Sélectionnez Activer l'ingestion.
Pour la source d'ingestion, sélectionnez Amazon MSK.
Saisissez les informations suivantes :
- ARN du cluster : ARN de l'instance Amazon MSK que vous ingérez dans Pub/Sub. Le format ARN est le suivant : arn:aws:kafka:${Region}:${Account}:cluster/${ClusterName}/${ClusterId}.
- Sujet : nom du sujet Kafka Amazon MSK que vous ingérez dans Pub/Sub.
- ARN du rôle AWS : ARN du rôle AWS. L'ARN du rôle est au format suivant : arn:aws:iam::${Account}:role/${RoleName}.
- Compte de service : compte de service que vous avez créé dans Créer un compte de service dans Trusted Cloud.
Cliquez sur Create topic (Créer un sujet).

gcloud

In the Trusted Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Exécutez la commande gcloud pubsub topics create :
```
gcloud pubsub topics create TOPIC_ID \
      --aws-msk-ingestion-cluster-arn MSK_CLUSTER_ARN \
      --aws-msk-ingestion-topic MSK_TOPIC \
      --aws-msk-ingestion-aws-role-arn MSK_ROLE_ARN \
      --aws-msk-ingestion-service-account PUBSUB_SERVICE_ACCOUNT
```
Remplacez les éléments suivants :
- TOPIC_ID : nom ou ID de votre sujet Pub/Sub.
- MSK_CLUSTER_ARN : ARN du cluster Amazon MSK que vous ingérez dans Pub/Sub. Le format ARN est le suivant : arn:aws:kafka:${Region}:${Account}:cluster/${ClusterName}/${ClusterId}.
- MSK_TOPIC : nom du sujet Kafka Amazon MSK que vous ingérez dans Pub/Sub.
- MSK_ROLE_ARN : ARN du rôle AWS. Le format ARN du rôle est le suivant : arn:aws:iam::${Account}:role/${RoleName}.
- PUBSUB_SERVICE_ACCOUNT : compte de service que vous avez créé dans Créer un compte de service dans Google Cloud.

C++

Avant d'essayer cet exemple, suivez les instructions d'installation dans le langage C++ qui se trouvent sur la page Démarrage rapide : utiliser des bibliothèques clientes. Pour en savoir plus, consultez la documentation de référence sur l'API Pub/Sub pour C++.

namespace pubsub = ::google::cloud::pubsub;
namespace pubsub_admin = ::google::cloud::pubsub_admin;
[](pubsub_admin::TopicAdminClient client, std::string project_id,
   std::string topic_id, std::string const& cluster_arn,
   std::string const& msk_topic, std::string const& aws_role_arn,
   std::string const& gcp_service_account) {
  google::pubsub::v1::Topic request;
  request.set_name(
      pubsub::Topic(std::move(project_id), std::move(topic_id)).FullName());
  auto* aws_msk =
      request.mutable_ingestion_data_source_settings()->mutable_aws_msk();
  aws_msk->set_cluster_arn(cluster_arn);
  aws_msk->set_topic(msk_topic);
  aws_msk->set_aws_role_arn(aws_role_arn);
  aws_msk->set_gcp_service_account(gcp_service_account);

  auto topic = client.CreateTopic(request);
  // Note that kAlreadyExists is a possible error when the library retries.
  if (topic.status().code() == google::cloud::StatusCode::kAlreadyExists) {
    std::cout << "The topic already exists\n";
    return;
  }
  if (!topic) throw std::move(topic).status();

  std::cout << "The topic was successfully created: " << topic->DebugString()
            << "\n";
}

Go

L'exemple suivant utilise la version majeure de la bibliothèque cliente Go Pub/Sub (v2). Si vous utilisez toujours la bibliothèque v1, consultez le guide de migration vers la v2. Pour consulter la liste des exemples de code de la version 1, consultez les exemples de code obsolètes.

Avant d'essayer cet exemple, suivez les instructions de configuration pour Go du guide de démarrage rapide : Utiliser les bibliothèques clientes. Pour en savoir plus, consultez la documentation de référence sur l'API Pub/Sub pour Go.

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/pubsub"
)

func createTopicWithAWSMSKIngestion(w io.Writer, projectID, topicID, clusterARN, mskTopic, awsRoleARN, gcpSA string) error {
	// projectID := "my-project-id"
	// topicID := "my-topic"

	// // AWS MSK ingestion settings.
	// clusterARN := "cluster-arn"
	// mskTopic := "msk-topic"
	// awsRoleARN := "aws-role-arn"
	// gcpSA := "gcp-service-account"

	ctx := context.Background()
	client, err := pubsub.NewClient(ctx, projectID)
	if err != nil {
		return fmt.Errorf("pubsub.NewClient: %w", err)
	}
	defer client.Close()

	cfg := &pubsub.TopicConfig{
		IngestionDataSourceSettings: &pubsub.IngestionDataSourceSettings{
			Source: &pubsub.IngestionDataSourceAmazonMSK{
				ClusterARN:        clusterARN,
				Topic:             mskTopic,
				AWSRoleARN:        awsRoleARN,
				GCPServiceAccount: gcpSA,
			},
		},
	}
	t, err := client.CreateTopicWithConfig(ctx, topicID, cfg)
	if err != nil {
		return fmt.Errorf("CreateTopic: %w", err)
	}
	fmt.Fprintf(w, "Created topic with AWS MSK ingestion settings: %v\n", t)
	return nil
}

Java

Avant d'essayer cet exemple, suivez les instructions d'installation dans le langage Java qui se trouvent sur la page Démarrage rapide : utiliser des bibliothèques clientes. Pour en savoir plus, consultez la documentation de référence sur l'API Pub/Sub pour Java.


import com.google.cloud.pubsub.v1.TopicAdminClient;
import com.google.pubsub.v1.IngestionDataSourceSettings;
import com.google.pubsub.v1.Topic;
import com.google.pubsub.v1.TopicName;
import java.io.IOException;

public class CreateTopicWithAwsMskIngestionExample {
  public static void main(String... args) throws Exception {
    // TODO(developer): Replace these variables before running the sample.
    String projectId = "your-project-id";
    String topicId = "your-topic-id";
    // AWS MSK ingestion settings.
    String clusterArn = "cluster-arn";
    String mskTopic = "msk-topic";
    String awsRoleArn = "aws-role-arn";
    String gcpServiceAccount = "gcp-service-account";

    createTopicWithAwsMskIngestionExample(
        projectId, topicId, clusterArn, mskTopic, awsRoleArn, gcpServiceAccount);
  }

  public static void createTopicWithAwsMskIngestionExample(
      String projectId,
      String topicId,
      String clusterArn,
      String mskTopic,
      String awsRoleArn,
      String gcpServiceAccount)
      throws IOException {
    try (TopicAdminClient topicAdminClient = TopicAdminClient.create()) {
      TopicName topicName = TopicName.of(projectId, topicId);

      IngestionDataSourceSettings.AwsMsk awsMsk =
          IngestionDataSourceSettings.AwsMsk.newBuilder()
              .setClusterArn(clusterArn)
              .setTopic(mskTopic)
              .setAwsRoleArn(awsRoleArn)
              .setGcpServiceAccount(gcpServiceAccount)
              .build();
      IngestionDataSourceSettings ingestionDataSourceSettings =
          IngestionDataSourceSettings.newBuilder().setAwsMsk(awsMsk).build();

      Topic topic =
          topicAdminClient.createTopic(
              Topic.newBuilder()
                  .setName(topicName.toString())
                  .setIngestionDataSourceSettings(ingestionDataSourceSettings)
                  .build());

      System.out.println("Created topic with AWS MSK ingestion settings: " + topic.getAllFields());
    }
  }
}

Node.js

Avant d'essayer cet exemple, suivez les instructions d'installation dans le langage Node.js qui se trouvent sur la page Démarrage rapide : utiliser des bibliothèques clientes. Pour en savoir plus, consultez la documentation de référence sur l'API Pub/Sub pour Node.js.

/**
 * TODO(developer): Uncomment these variables before running the sample.
 */
// const topicNameOrId = 'YOUR_TOPIC_NAME_OR_ID';
// const clusterArn = 'arn:aws:kafka:...';
// const mskTopic = 'YOUR_MSK_TOPIC';
// const roleArn = 'arn:aws:iam:...';
// const gcpServiceAccount = 'ingestion-account@...';

// Imports the Google Cloud client library
const {PubSub} = require('@google-cloud/pubsub');

// Creates a client; cache this for further use
const pubSubClient = new PubSub();

async function createTopicWithAwsMskIngestion(
  topicNameOrId,
  clusterArn,
  mskTopic,
  awsRoleArn,
  gcpServiceAccount,
) {
  // Creates a new topic with AWS MSK ingestion.
  await pubSubClient.createTopic({
    name: topicNameOrId,
    ingestionDataSourceSettings: {
      awsMsk: {
        clusterArn,
        topic: mskTopic,
        awsRoleArn,
        gcpServiceAccount,
      },
    },
  });
  console.log(`Topic ${topicNameOrId} created with AWS MSK ingestion.`);
}

Node.ts

/**
 * TODO(developer): Uncomment these variables before running the sample.
 */
// const topicNameOrId = 'YOUR_TOPIC_NAME_OR_ID';
// const clusterArn = 'arn:aws:kafka:...';
// const mskTopic = 'YOUR_MSK_TOPIC';
// const roleArn = 'arn:aws:iam:...';
// const gcpServiceAccount = 'ingestion-account@...';

// Imports the Google Cloud client library
import {PubSub} from '@google-cloud/pubsub';

// Creates a client; cache this for further use
const pubSubClient = new PubSub();

async function createTopicWithAwsMskIngestion(
  topicNameOrId: string,
  clusterArn: string,
  mskTopic: string,
  awsRoleArn: string,
  gcpServiceAccount: string,
) {
  // Creates a new topic with AWS MSK ingestion.
  await pubSubClient.createTopic({
    name: topicNameOrId,
    ingestionDataSourceSettings: {
      awsMsk: {
        clusterArn,
        topic: mskTopic,
        awsRoleArn,
        gcpServiceAccount,
      },
    },
  });
  console.log(`Topic ${topicNameOrId} created with AWS MSK ingestion.`);
}

Python

Avant d'essayer cet exemple, suivez les instructions d'installation dans le langage Python qui se trouvent sur la page Démarrage rapide : utiliser des bibliothèques clientes. Pour en savoir plus, consultez la documentation de référence sur l'API Pub/Sub pour Python.

from google.cloud import pubsub_v1
from google.pubsub_v1.types import Topic
from google.pubsub_v1.types import IngestionDataSourceSettings

# TODO(developer)
# project_id = "your-project-id"
# topic_id = "your-topic-id"
# cluster_arn = "your-cluster-arn"
# msk_topic = "your-msk-topic"
# aws_role_arn = "your-aws-role-arn"
# gcp_service_account = "your-gcp-service-account"

publisher = pubsub_v1.PublisherClient()
topic_path = publisher.topic_path(project_id, topic_id)

request = Topic(
    name=topic_path,
    ingestion_data_source_settings=IngestionDataSourceSettings(
        aws_msk=IngestionDataSourceSettings.AwsMsk(
            cluster_arn=cluster_arn,
            topic=msk_topic,
            aws_role_arn=aws_role_arn,
            gcp_service_account=gcp_service_account,
        )
    ),
)

topic = publisher.create_topic(request=request)

print(f"Created topic: {topic.name} with AWS MSK Ingestion Settings")

Pour en savoir plus sur les ARN, consultez Noms de ressources Amazon (ARN) et Identifiants IAM.

Si vous rencontrez des problèmes, consultez Dépanner l'importation d'un sujet Amazon MSK.

Modifier les thèmes d'importation Amazon MSK

Pour modifier les paramètres de la source de données d'ingestion d'un thème d'importation Amazon MSK :

Console

Dans la console Trusted Cloud , accédez à la page Sujets.

Accéder aux sujets
Cliquez sur le sujet d'importation Amazon MSK.
Sur la page des détails de la rubrique, cliquez sur Modifier.
Modifiez les champs que vous souhaitez modifier.
Cliquez sur Mettre à jour.

gcloud

In the Trusted Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Exécutez la commande gcloud pubsub topics update avec tous les indicateurs mentionnés dans l'exemple suivant :
```
gcloud pubsub topics update TOPIC_ID \
    --aws-msk-ingestion-cluster-arn MSK_CLUSTER_ARN \
    --aws-msk-ingestion-topic MSK_TOPIC \
    --aws-msk-ingestion-aws-role-arn MSK_ROLE_ARN \
    --aws-msk-ingestion-service-account PUBSUB_SERVICE_ACCOUNT
```
Remplacez les éléments suivants :
- TOPIC_ID : nom ou ID de votre sujet Pub/Sub.
- MSK_CLUSTER_ARN : ARN du cluster Amazon MSK que vous ingérez dans Pub/Sub. Le format ARN est le suivant : arn:aws:kafka:${Region}:${Account}:cluster/${ClusterName}/${ClusterId}.
- MSK_TOPIC : nom du sujet Kafka Amazon MSK que vous ingérez dans Pub/Sub.
- MSK_ROLE_ARN : ARN du rôle AWS. Le format ARN du rôle est le suivant : arn:aws:iam::${Account}:role/${RoleName}.
- PUBSUB_SERVICE_ACCOUNT : compte de service que vous avez créé dans Créer un compte de service dans Google Cloud.

Quotas et limites

Le débit de publication pour les sujets d'importation est limité par le quota de publication du sujet. Pour en savoir plus, consultez Quotas et limites de Pub/Sub.

Étapes suivantes

Surveiller un thème d'importation
Choisissez le type d'abonnement pour votre sujet.
Découvrez comment publier un message dans un sujet.
Créez ou modifiez un sujet avec gcloud CLI, les API REST ou les bibliothèques clientes.
Résoudre les problèmes liés à un sujet d'importation Amazon MSK

Apache Kafka® est une marque déposée d'Apache Software Foundation ou de ses filiales aux États-Unis et/ou dans d'autres pays.