Bevor Sie Mainframe Connector installieren, müssen Sie die Ersteinrichtung durchführen. Dazu gehört, Ihrem Dienstkonto die erforderlichen Rollen zuzuweisen, die Sicherheit für Ihre Assets einzurichten und die Netzwerkverbindung zwischen Ihrem Mainframe und Google Cloud einzurichten. In den folgenden Abschnitten werden die einzelnen Aufgaben ausführlich beschrieben.
Berechtigungen für Dienstkonten gewähren
Achten Sie darauf, dass Ihrem Dienstkonto die folgenden Rollen zugewiesen sind. Sie können Ihrem Dienstkonto über die Google Cloud Console mehrere Rollen zuweisen oder die Rollen programmatisch gewähren.
- Weisen Sie auf Projektebene die folgenden Rollen zu:
- Weisen Sie Ihrem Cloud Storage-Bucket die folgenden Rollen zu:
Sicherheit für Ihre Assets einrichten
Achten Sie darauf, dass die folgenden Berechtigungen, die von der Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) gefordert werden, für Ihren Mainframe gewährt sind. TLS (Transport Layer Security) wird für alle Anfragen verwendet, die von Ihrem Mainframe an Google Cloud APIs gesendet werden. Wenn diese Berechtigungen nicht gewährt werden, wird die Fehlermeldung INSUFFICIENT ACCESS AUTHORITY angezeigt.
- ICSF Query Facility (CSFIQF)
- Zufallszahlengenerator (CSFRNG)
- Zufallszahlengenerator für Long-Werte (CSFRNGL)
- PKA-Schlüsselimport (CSFPKI)
- Digital Signature Generate (CSFDSG)
- Digital Signature Verify (CSFDSV)
Netzwerkverbindung einrichten
Der Mainframe-Connector interagiert mit Cloud Storage, BigQuery und Cloud Logging APIs. Achten Sie darauf, dass Cloud Interconnect und VPC Service Controls (VPC-SC) so konfiguriert sind, dass der Zugriff auf bestimmte BigQuery-, Cloud Storage- und Cloud Logging-Ressourcen aus bestimmten IP-Bereichen gemäß Ihrer Unternehmensrichtlinie zulässig ist. Sie können auch Pub/Sub-, Dataflow- und Dataproc-APIs für eine zusätzliche Integration zwischen IBM z/OS-Batchjobs und Datenpipelines in Google Cloud verwenden.
Achten Sie darauf, dass Ihr Netzwerkverwaltungsteam auf Folgendes zugreifen kann:
- IP-Subnetze, die den logischen Partitionen (LPARs) von IBM z/OS zugewiesen sind
- Google Cloud-Dienstkonten, die von IBM z/OS-Batchjobs verwendet werden
- Google Cloud-Projekt-IDs mit Ressourcen, auf die über IBM z/OS-Batchjobs zugegriffen wird
Firewalls, Router und Domain Name Systems konfigurieren
Konfigurieren Sie Ihre Mainframe-IP-Dateien so, dass Firewalls, Router und Domain Name Systems (DNS) Regeln enthalten, die den Traffic von und zu Google Cloud zulassen. Sie können entweder userid.ETC.IPNODES oder userid.HOSTS.LOCAL als Hosts-Datei installieren, um die Standard-Cloud Storage API-Endpunkte als VPC-SC-Endpunkt aufzulösen. Die Beispieldatei userid.TCPIP.DATA wird bereitgestellt, um DNS so zu konfigurieren, dass die Einträge in der Hosts-Datei verwendet werden.
- ETC.IPNODES
- 199.36.153.4 www.googleapis.com
- 199.36.153.5 www.googleapis.com
- 199.36.153.6 www.googleapis.com
- 199.36.153.7 www.googleapis.com
- 199.36.153.4 oauth2.googleapis.com
- 199.36.153.5 oauth2.googleapis.com
- 199.36.153.6 oauth2.googleapis.com
- 199.36.153.7 oauth2.googleapis.com
- 127.0.0.1 LPAR1 (based on LPAR configuration)
- 127.0.0.1 LPAR2
- 127.0.0.1 LPAR3
- HOSTS.LOCAL
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
- LOOKUP LOCAL DNS
Netzwerk so konfigurieren, dass VPC-SC erzwungen wird
Wenn Sie VPC-SC in Ihrem lokalen Netzwerk erzwingen möchten, konfigurieren Sie es so:
- Konfigurieren Sie die lokalen Router so, dass ausgehender IBM z/OS-Traffic mithilfe von Cloud Interconnect oder eines virtuellen privaten Netzwerks (VPN) an Zielsubnetze innerhalb der VPC-Netzwerke und der
restricted.googleapis.com-Spezialdomain weitergeleitet wird. - Konfigurieren Sie die Firewalls vor Ort so, dass ausgehender Traffic zu VPC-Subnetzen oder VM-Instanzen und Google API-Endpunkten zugelassen wird –
restricted.googleapis.com 199.36.153.4/30. - Konfigurieren Sie die Firewalls vor Ort so, dass jeglicher andere ausgehende Traffic abgelehnt wird, um eine Umgehung der VPC-SC zu verhindern.