Mainframe Connector 使用入门

在安装 Mainframe Connector 之前，您必须执行初始设置，包括向服务账号授予所需角色、为资产设置安全性，以及在大型机与 Google Cloud之间设置网络连接。以下各部分详细介绍了每项任务。

授予服务账号权限

确保向您的服务账号授予以下角色。您可以使用 Google Cloud 控制台向服务账号授予多个角色，也可以以编程方式授予角色。

• 在项目级别，分配以下角色：
  • Logs Writer
  • BigQuery Job User
• 在 Cloud Storage 存储桶中，分配以下角色：
  • Storage Object Admin
  • BigQuery Data Editor
  • BigQuery Read Session User

为资产设置安全设置

确保为您的大型机授予 Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) 所需的以下权限。传输层安全协议 (TLS) 适用于从大型机发出到 Google Cloud API 的所有请求。如果未授予这些权限，您会看到 INSUFFICIENT ACCESS AUTHORITY 错误消息。

• ICSF 查询设施 (CSFIQF)
• 随机数生成器 (CSFRNG)
• 随机数生成长整型 (CSFRNGL)
• PKA 密钥导入 (CSFPKI)
• 数字签名生成 (CSFDSG)
• 数字签名验证 (CSFDSV)

设置网络连接

Mainframe Connector 可与 Cloud Storage、BigQuery 和 Cloud Logging API 进行交互。确保根据您的企业政策，Cloud Interconnect 和 VPC Service Controls (VPC-SC) 已配置为允许从指定 IP 地址范围访问特定 BigQuery、Cloud Storage 和 Cloud Logging 资源。您还可以使用 Pub/Sub、Dataflow 和 Dataproc API 在 Google Cloud上进一步集成 IBM z/OS 批处理作业和数据流水线。

确保您的网络管理团队有权访问以下内容：

• 分配给 IBM z/OS 逻辑分区 (LPAR) 的 IP 子网
• Google Cloud IBM z/OS 批处理作业使用的服务账号
• Google Cloud 包含 IBM z/OS 批处理作业访问的资源的项目 ID

配置防火墙、路由器和域名系统

配置您的大型机 IP 文件，在防火墙、路由器和域名系统 (DNS) 中添加规则，以允许流量在 Google Cloud之间传输。您可以将 userid.ETC.IPNODES 或 userid.HOSTS.LOCAL 安装为 hosts 文件，以将标准 Cloud Storage API 端点解析为 VPC-SC 端点。部署示例文件 userid.TCPIP.DATA 是为了配置 DNS 以使用 hosts 文件条目。

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

配置网络以强制执行 VPC-SC

如需在本地网络上强制执行 VPC-SC，请按如下方式进行配置：

• 使用 Cloud Interconnect 或虚拟专用网络 (VPN) 将本地路由器配置为将 IBM z/OS 出站流量路由到 VPC 网络和 restricted.googleapis.com 特殊网域中的目标子网。
• 配置本地防火墙，以允许出站流量传输到 VPC 子网或虚拟机实例和 Google API 端点 - restricted.googleapis.com 199.36.153.4/30。
• 配置本地防火墙以拒绝所有其他出站流量，以防止绕过 VPC-SC。

后续步骤

• 安装 Mainframe Connector