Mulai menggunakan Mainframe Connector

Sebelum menginstal Mainframe Connector, Anda harus melakukan penyiapan awal, termasuk memberikan peran yang diperlukan ke akun layanan, menyiapkan keamanan untuk aset, dan menyiapkan konektivitas jaringan antara mainframe dan Google Cloud. Bagian berikut menjelaskan setiap tugas secara mendetail.

Memberikan izin akun layanan

Pastikan peran berikut diberikan ke akun layanan Anda. Anda dapat memberikan beberapa peran ke akun layanan menggunakan konsol Google Cloud atau memberikan peran secara terprogram.

Menyiapkan keamanan untuk aset Anda

Pastikan izin berikut yang diperlukan oleh Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) diberikan untuk mainframe Anda. Transport layer security (TLS) digunakan pada semua permintaan yang dibuat dari mainframe Anda ke Google Cloud API. Jika izin ini tidak diberikan, Anda akan melihat pesan error INSUFFICIENT ACCESS AUTHORITY.

  • Fasilitas Kueri ICSF (CSFIQF)
  • Random Number Generate (CSFRNG)
  • Random Number Generate Long (CSFRNGL)
  • Impor Kunci PKA (CSFPKI)
  • Digital Signature Generate (CSFDSG)
  • Verifikasi Tanda Tangan Digital (CSFDSV)

Menyiapkan konektivitas jaringan

Mainframe Connector berinteraksi dengan Cloud Storage, BigQuery, dan Cloud Logging API. Pastikan Cloud Interconnect dan Kontrol Layanan VPC (VPC-SC) dikonfigurasi untuk mengizinkan akses ke resource BigQuery, Cloud Storage, dan Cloud Logging tertentu dari rentang IP yang ditentukan, berdasarkan kebijakan perusahaan Anda. Anda juga dapat menggunakan API Pub/Sub, Dataflow, dan Dataproc untuk integrasi tambahan antara tugas batch IBM z/OS dan pipeline data di Google Cloud.

Pastikan tim administrasi jaringan Anda memiliki akses ke hal berikut:

  • Subnet IP yang ditetapkan ke partisi logis (LPAR) IBM z/OS
  • Akun layanan Google Cloud yang digunakan oleh tugas batch IBM z/OS
  • ID project Google Cloud yang berisi resource yang diakses oleh tugas batch IBM z/OS

Mengonfigurasi firewall, router, dan Sistem Nama Domain

Konfigurasikan file IP mainframe Anda untuk menyertakan aturan di firewall, router, dan Domain Name System (DNS) untuk mengizinkan traffic ke dan dari Google Cloud. Anda dapat menginstal userid.ETC.IPNODES atau userid.HOSTS.LOCAL sebagai file host untuk me-resolve endpoint Cloud Storage API standar sebagai endpoint VPC-SC. File contoh userid.TCPIP.DATA di-deploy untuk mengonfigurasi DNS agar menggunakan entri file host.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

Mengonfigurasi jaringan untuk menerapkan VPC-SC

Untuk menerapkan VPC-SC di jaringan lokal, konfigurasikan sebagai berikut:

  • Konfigurasikan router lokal untuk merutekan traffic keluar IBM z/OS ke subnet tujuan dalam jaringan VPC dan domain khusus restricted.googleapis.com menggunakan Cloud Interconnect atau virtual private network (VPN).
  • Konfigurasikan firewall lokal untuk mengizinkan traffic keluar ke subnet VPC atau instance VM dan endpoint Google API - restricted.googleapis.com 199.36.153.4/30.
  • Konfigurasikan firewall lokal untuk menolak semua traffic keluar lainnya guna mencegah pengabaian VPC-SC.

Langkah selanjutnya