Sebelum Anda memasang Mainframe Connector, Anda harus melakukan konfigurasi, termasuk memberikan peran yang diperlukan ke akun layanan, menyiapkan keamanan untuk aset Anda, dan menyiapkan konektivitas jaringan antara mainframe dan Google Cloud. Bagian berikut menjelaskan setiap tugas secara mendetail.
Memberikan izin akun layanan
Pastikan peran berikut diberikan ke akun layanan Anda. Anda dapat memberikan beberapa peran ke akun layanan Anda menggunakan Konsol Google Cloud atau memberikan peran secara terprogram.
- Pada level project, tetapkan peran berikut:
- Di bucket Cloud Storage, tetapkan peran berikut:
Menyiapkan keamanan untuk aset
Pastikan izin berikut diperlukan oleh Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA)
yang diberikan untuk mainframe Anda. Transport Layer Security (TLS) digunakan di semua
permintaan yang dibuat dari mainframe Anda ke Google Cloud API. Jika izin akses ini
tidak diberikan, Anda akan melihat error INSUFFICIENT ACCESS AUTHORITY
untuk membuat pesan email baru.
- Fasilitas Kueri ICSF (CSFIQF)
- Pembuatan Angka Acak (CSFRNG)
- Angka Acak Menghasilkan Panjang (CSFRNGL)
- Impor Kunci PKA (CSFPKI)
- Pembuatan Tanda Tangan Digital (CSFDSG)
- Verifikasi Tanda Tangan Digital (CSFDSV)
Menyiapkan konektivitas jaringan
Mainframe Connector berinteraksi dengan Cloud Storage, BigQuery, dan Cloud Logging API. Memastikan Cloud Interconnect dan Kontrol Layanan VPC (VPC-SC) dikonfigurasi untuk mengizinkan akses ke BigQuery, Cloud Storage, dan Resource Cloud Logging dari rentang IP yang ditentukan, berdasarkan perusahaan Anda lebih lanjut. Anda juga dapat menggunakan Pub/Sub, Dataflow, dan Dataproc API untuk integrasi tambahan antara tugas batch IBM z/OS dan pipeline data dan aplikasi yang dihosting di Google Cloud.
Pastikan tim administrasi jaringan Anda memiliki akses ke hal-hal berikut:
- Subnet IP yang ditetapkan ke partisi logis IBM z/OS (LPAR)
- Akun layanan Google Cloud yang digunakan oleh tugas batch z/OS IBM
- ID project Google Cloud yang berisi resource yang diakses oleh tugas batch IBM z/OS
Konfigurasikan {i>firewall<i}, {i>router<i}, dan Sistem Nama Domain
Konfigurasikan file IP mainframe Anda untuk menyertakan aturan di {i>firewall<i}, {i>router<i}, dan Domain Name System (DNS) untuk mengizinkan traffic ke dan dari Google Cloud. Anda dapat instal userid.ETC.IPNODES atau userid.HOSTS.LOCAL sebagai menghosting file untuk me-resolve endpoint Cloud Storage API standar sebagai VPC-SC endpoint. File contoh userid.TCPIP.DATA di-deploy untuk mengonfigurasi DNS untuk menggunakan entri file {i>host<i}.
- ETC.IPNODES
- 199.36.153.4 www.googleapis.com
- 199.36.153.5 www.googleapis.com
- 199.36.153.6 www.googleapis.com
- 199.36.153.7 www.googleapis.com
- 199.36.153.4 oauth2.googleapis.com
- 199.36.153.5 oauth2.googleapis.com
- 199.36.153.6 oauth2.googleapis.com
- 199.36.153.7 oauth2.googleapis.com
- 127.0.0.1 LPAR1 (based on LPAR configuration)
- 127.0.0.1 LPAR2
- 127.0.0.1 LPAR3
- HOSTS.LOCAL
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
- LOOKUP LOCAL DNS
Mengonfigurasi jaringan Anda untuk menerapkan VPC-SC
Untuk menerapkan VPC-SC di jaringan lokal Anda, konfigurasikan sebagai berikut:
- Konfigurasikan router lokal untuk merutekan traffic keluar IBM z/OS ke
subnet tujuan dalam jaringan VPC dan
restricted.googleapis.comdomain khusus menggunakan Cloud Interconnect atau virtual private network (VPN). - Konfigurasikan firewall lokal untuk mengizinkan traffic keluar ke subnet VPC
atau instance VM dan endpoint Google API -
restricted.googleapis.com 199.36.153.4/30. - Konfigurasikan firewall lokal untuk menolak semua traffic keluar lainnya mencegah pengabaian VPC-SC.