Prima di installare Mainframe Connector, devi eseguire la configurazione iniziale, inclusa la concessione dei ruoli richiesti al tuo account di servizio, la configurazione della sicurezza per le risorse e la configurazione della connettività di rete tra il mainframe e Google Cloud. Le sezioni seguenti descrivono in dettaglio ogni attività.
Concedi le autorizzazioni all'account di servizio
Assicurati che i seguenti ruoli siano concessi al tuo account di servizio. Puoi concedere più ruoli al tuo account di servizio utilizzando la console Google Cloud o concedere i ruoli in modo programmatico.
- A livello di progetto, assegna i seguenti ruoli:
- Nel bucket Cloud Storage, assegna i seguenti ruoli:
Configurare la sicurezza per le risorse
Assicurati che le seguenti autorizzazioni richieste da Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA)
siano concesse per il tuo mainframe. TLS (Transport Layer Security) viene utilizzato per tutte le richieste inviate dal mainframe alle API Google Cloud. Se queste autorizzazioni non vengono concesse, viene visualizzato un messaggio di errore INSUFFICIENT ACCESS AUTHORITY
.
- ICSF Query Facility (CSFIQF)
- Generatore di numeri casuali (CSFRNG)
- Numero casuale generato lungo (CSFRNGL)
- Importazione di chiavi PKA (CSFPKI)
- Digital Signature Generate (CSFDSG)
- Verifica della firma digitale (CSFDSV)
Configura la connettività di rete
Mainframe Connector interagisce con le API Cloud Storage, BigQuery e Cloud Logging. Assicurati che Cloud Interconnect e Controlli di servizio VPC (VPC-SC) siano configurati per consentire l'accesso a risorse BigQuery, Cloud Storage e Cloud Logging specifiche da intervalli IP specificati, in base alle linee guida della tua azienda. Puoi anche utilizzare le API Pub/Sub, Dataflow e Dataproc per un'integrazione aggiuntiva tra i job batch IBM z/OS e le pipeline di dati su Google Cloud.
Assicurati che il team di amministrazione di rete abbia accesso a quanto segue:
- Subnet IP assegnate alle partizioni logiche (LPAR) IBM z/OS
- Account di servizio Google Cloud utilizzati dai job batch IBM z/OS
- ID progetto Google Cloud contenenti le risorse a cui accedono i job batch IBM z/OS
Configurare firewall, router e sistemi di nomi di dominio
Configura i file IP del mainframe in modo da includere regole in firewall, router e DNS (Domain Name System) per consentire il traffico verso e da Google Cloud. Puoi installare userid.ETC.IPNODES o userid.HOSTS.LOCAL come file hosts per risolvere gli endpoint API Cloud Storage standard come endpoint VPC-SC. Il file di esempio userid.TCPIP.DATA viene implementato per configurare il DNS in modo da utilizzare le voci del file hosts.
- ETC.IPNODES
- 199.36.153.4 www.googleapis.com
- 199.36.153.5 www.googleapis.com
- 199.36.153.6 www.googleapis.com
- 199.36.153.7 www.googleapis.com
- 199.36.153.4 oauth2.googleapis.com
- 199.36.153.5 oauth2.googleapis.com
- 199.36.153.6 oauth2.googleapis.com
- 199.36.153.7 oauth2.googleapis.com
- 127.0.0.1 LPAR1 (based on LPAR configuration)
- 127.0.0.1 LPAR2
- 127.0.0.1 LPAR3
- HOSTS.LOCAL
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
- LOOKUP LOCAL DNS
Configura la rete per applicare il controllo VPC-SC
Per applicare VPC-SC alla tua rete on-premise, configurala come segue:
- Configura i router on-premise in modo che indirizzino il traffico in uscita di IBM z/OS alle sottoreti di destinazione all'interno delle reti VPC e al dominio speciale
restricted.googleapis.com
utilizzando Cloud Interconnect o una rete privata virtuale (VPN). - Configura i firewall on-premise per consentire il traffico in uscita alle subnet VPC o alle istanze VM e agli endpoint dell'API Google -
restricted.googleapis.com 199.36.153.4/30
. - Configura i firewall on-premise in modo da negare tutto il resto del traffico in uscita per impedire il bypass del VPC-SC.