Google Cloud Pub/Sub のデッドレター設定でハマったところ

@suna_big Google Cloud Pub/Sub のデッドレター設定でハマったところ異なるタイプのサービスアカウントと権限、MaxExtensionについて

自己紹介株式会社AI Shiftのバックエンドエンジニア主にChatbot,Voicebotの開発をしていますパブリッククラウドとソフトウェアデザイン設計に強くなりたいです

Pub/Subとは？ Pub/Subは、非同期でスケーラブルなメッセージングサービスメッセージの送信者 (パブリッシャー) と受信者 (サブスクライバー) を切り離す通信モデルパブリッシャーとサブスクライバーを分離し、独立して開発・運用できるなどのメリットがある

Pub/Subとは？ https://cloud.google.com/pubsub/docs/pubsub-basics?hl=ja#lifecycle_of_a_message_in

デッドレタートピックとは？ Pub/Sub のデッドレタートピックとは、Pub/Sub サービスがメッセージの配信を試みたものの、サブスクライバーが確認応答できない場合に、配信不能メッセージを転送するトピック Pub/Sub のデッドレタートピックに対してサブスクリプションを用意
し、GCSに保存することで後から問題のあるメッセージのトラブルシューティングと分析が容易になります

デッドレタートピックデッドレターサブスクリプションデッドレタートピックとは？

デッドレターに入らない起きたトラブルデッドレターに流れたはずのメッセージがサブスクリプションから流れ続ける確認応答期限が 1分のはずが
60分かかる

デッドレターに入らないデッドレタートピックを設定したのに、なぜか流れない。。。サブスクリプションデッドレタートピックデッドレターサブスクリプション

デッドレターに入らない Pub/Sub サブスクリプションのデッドレタリングの項目で注意マークがついている部分の対応が必要だったしかし、Terraform上でどうやって表現したらよいかわからなかった具体的には『このプロジェクトの Cloud Pub/Subサービスアカウント』とはなんだ？

複数のサービスアカウント実はサービスアカウントには複数種類ある Google Cloud には、いくつかの異なるタイプのサービスアカウントがあります。ユーザー管理のサービスアカウント: ユーザーが作成して管理するサービスアカウント。
多くの場合、これらのサービスアカウントはワークロードの ID として使用されます。デフォルトのサービスアカウント: 特定の Google Cloud サービスを有効にするときに自動的に作成される、ユーザー管理のサービスアカウント。これらのサービスアカウントは、ユーザーの責任で管理する必要があります。 Google 管理のサービスアカウント: サービスがリソースにアクセスできるようにするために、ユーザーに代わって Google が作成し、管理するサービスアカウント。 https://cloud.google.com/iam/docs/service-account-overview?hl=ja#types

複数のサービスアカウント再度管理画面のチェックボックスをクリックして確認したら確かにいた！（画像の赤枠） service-{project_number}@gcp-sa-pubsub.iam.gserviceaccount.com これをTerraformに設定

60分かかる

デッドレターに流れたメッセージがサブスクリプションから流れ続ける Pub/Sub のデッドレタートピックにメッセージは入るが、サブスクリプションにメッセージが残り続けて、無限にサブスクライバーが動き続けていた

デッドレターに流れたメッセージがサブスクリプションから流れ続けるデッドレタートピックメッセージが流れ続ける

権限不足実はパブリッシャーロールしか設定していなかった。（画像）デッドレタートピックにパブリッシュするのだからサブスクライバーロールなんて何に使うんだと考えていたしかし、サブスクライバーのロールがサブスクリプションからメッセージを削除する役割があった

Terraformで権限を設定メッセージがデッドレターに流れ、サブスクリプションからは削除されるようになった！ Terraformに設定

60分かかる

わざと失敗するリクエストを送り確認応答期限(1分)※* 配信の最大試行回数（5回）後にデッドレターに送られるはずがいっこうに送られない。。それどころからログを見ると、そもそも再試行が行われておらず、60分後にようやく1回目の再試行が行われていた。。確認応答期限が1分のはずが60分かかる

MaxExtension MaxExtensionという Subscriptionが各メッセージの確認応答期限を自動的に延長する最大期間の設定が Pub/Subのサブスクライバー用のライブラリに存在していたこれのデフォルトが60分であり、自動的に各メッセージの応答期限が延長されていた

MaxExtension MaxExtensionは0未満に設定すると確認応答期限の延長がされなくなるので、-1にすることで確認応答期限が1分になったことを確認できた

まとめ・サービスアカウントは複数種類ある、デッドレターの設定にはGoogle 管理のサービスアカウントを利用する必要がある・デッドレターの設定で利用するサービスアカウントにはパブリッシャーだけでなく、サブスクライバーの権限も付与しよう・MaxExtensionによって確認応答期限が自動で延長されてしまうから気をつけよう

ご清聴ありがとうございました

Google Cloud Pub/Sub のデッドレター設定でハマったところ

Google Cloud Pub/Sub のデッドレター設定でハマったところ

suna-big

Other Decks in Programming

Featured

Transcript

@suna_big Google Cloud Pub/Sub のデッドレター設定でハマったところ異なるタイプのサービスアカウントと権限、MaxExtensionについて

自己紹介株式会社AI Shiftのバックエンドエンジニア主にChatbot,Voicebotの開発をしていますパブリッククラウドとソフトウェアデザイン設計に強くなりたいです

Pub/Subとは？ https://cloud.google.com/pubsub/docs/pubsub-basics?hl=ja#lifecycle_of_a_message_in

デッドレタートピックデッドレターサブスクリプションデッドレタートピックとは？

デッドレターに入らない起きたトラブルデッドレターに流れたはずのメッセージがサブスクリプションから流れ続ける確認応答期限が 1分のはずが

デッドレターに入らない起きたトラブルデッドレターに流れたはずのメッセージがサブスクリプションから流れ続ける確認応答期限が 1分のはずが

デッドレターに入らないデッドレタートピックを設定したのに、なぜか流れない。。。サブスクリプションデッドレタートピックデッドレターサブスクリプション

複数のサービスアカウント再度管理画面のチェックボックスをクリックして確認したら確かにいた！（画像の赤枠） service-{project_number}@gcp-sa-pubsub.iam.gserviceaccount.com これをTerraformに設定

デッドレターに入らない起きたトラブルデッドレターに流れたはずのメッセージがサブスクリプションから流れ続ける確認応答期限が 1分のはずが

デッドレターに流れたメッセージがサブスクリプションから流れ続ける Pub/Sub のデッドレタートピックにメッセージは入るが、サブスクリプションにメッセージが残り続けて、無限にサブスクライバーが動き続けていた

デッドレターに流れたメッセージがサブスクリプションから流れ続けるデッドレタートピックメッセージが流れ続ける

Terraformで権限を設定メッセージがデッドレターに流れ、サブスクリプションからは削除されるようになった！ Terraformに設定

デッドレターに入らない起きたトラブルデッドレターに流れたはずのメッセージがサブスクリプションから流れ続ける確認応答期限が 1分のはずが

MaxExtension MaxExtensionは0未満に設定すると確認応答期限の延長がされなくなるので、-1にすることで確認応答期限が1分になったことを確認できた

ご清聴ありがとうございました