Mainframe Connector 使用入门

在安装 Mainframe Connector 之前，您必须执行初始设置，包括向服务账号授予所需角色、为资产设置安全性，以及在大型机与 Google Cloud之间设置网络连接。以下各部分详细介绍了每项任务。

授予服务账号权限

确保已向您的服务账号授予以下角色。您可以使用 Google Cloud 控制台向服务账号授予多个角色，也可以以编程方式授予角色。

• 在项目级层，分配以下角色：
  • Logs Writer
  • BigQuery Job User
• 在 Cloud Storage 存储桶中，分配以下角色：
  • Storage Object Admin
  • BigQuery Data Editor
  • BigQuery Read Session User

为资产设置安全性

确保为大型机授予 Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA)（Java 8 或 Java 17）所需的以下权限。从大型机向 Google Cloud API 发出的所有请求都使用传输层安全协议 (TLS)。如果未授予这些权限，您会看到 INSUFFICIENT ACCESS AUTHORITY 错误消息。

• ICSF 查询工具 (CSFIQF)
• 随机数生成 (CSFRNG)
• 随机数生成长整型 (CSFRNGL)
• PKA 密钥导入 (CSFPKI)
• 数字签名生成 (CSFDSG)
• 数字签名验证 (CSFDSV)

设置网络连接

Mainframe Connector 可与 Cloud Storage、BigQuery 和 Cloud Logging API 进行交互。确保 Cloud Interconnect 和 VPC Service Controls (VPC-SC) 已配置为允许从指定 IP 范围访问特定的 BigQuery、Cloud Storage 和 Cloud Logging 资源，具体取决于您的企业政策。您还可以使用 Pub/Sub、Dataflow 和 Dataproc API，在 IBM z/OS 批处理作业与 Google Cloud上的数据流水线之间实现更多集成。

确保您的网络管理团队有权访问以下内容：

• 分配给 IBM z/OS 逻辑分区 (LPAR) 的 IP 子网
• IBM z/OS 批处理作业使用的Google Cloud 服务账号
• 包含 IBM z/OS 批处理作业所访问资源的Google Cloud 项目 ID

配置防火墙、路由器和域名系统

配置您的主机 IP 文件，以在防火墙、路由器和域名系统 (DNS) 中添加规则，从而允许与 Google Cloud之间的流量。您可以安装 userid.ETC.IPNODES 或 userid.HOSTS.LOCAL 作为主机文件，以将标准 Cloud Storage API 端点解析为 VPC-SC 端点。部署示例文件 userid.TCPIP.DATA 以配置 DNS 来使用主机文件条目。

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

配置网络以强制执行 VPC-SC

如需在本地网络上强制执行 VPC-SC，请按如下方式进行配置：

• 配置本地路由器，以使用 Cloud Interconnect 或虚拟专用网 (VPN) 将 IBM z/OS 出站流量路由到 VPC 网络内的目标子网和 restricted.googleapis.com 特殊网域。
• 配置本地防火墙，以允许出站流量传输到 VPC 子网或虚拟机实例和 Google API 端点 - restricted.googleapis.com 199.36.153.4/30。
• 配置本地防火墙以拒绝所有其他出站流量，防止绕过 VPC-SC。
• 配置本地防火墙，以允许出站流量到达 https://www.google-analytics.com。

后续步骤

• 安装 Mainframe Connector