Avant d'installer le connecteur Mainframe, vous devez effectuer la configuration initiale, y compris accorder les rôles requis à votre compte de service, configurer la sécurité de vos composants et configurer la connectivité réseau entre votre mainframe et Google Cloud. Les sections suivantes décrivent chaque tâche en détail.
Accorder des autorisations de compte de service
Assurez-vous que les rôles suivants sont attribués à votre compte de service. Vous pouvez accorder plusieurs rôles à votre compte de service à l'aide de la console Google Cloud ou les accorder de manière programmatique.
- Au niveau du projet, attribuez les rôles suivants:
- Dans votre bucket Cloud Storage, attribuez les rôles suivants:
Configurez la sécurité de vos éléments
Assurez-vous que les autorisations suivantes requises par l'architecture cryptographique commune de l'extension Java Cryptography (IBMJCECCA) sont accordées pour votre mainframe. Le protocole TLS (Transport Layer Security) est utilisé
envoyées depuis votre mainframe aux API Google Cloud. Si ces autorisations sont
n'est pas accordée, une erreur INSUFFICIENT ACCESS AUTHORITY s'affiche
.
- Système de requête ICSF (CSFIQF)
- Générateur de nombres aléatoires (CSFRNG)
- Génération de nombres aléatoires (CSFRNGL)
- Importation de clés PKA (CSFPKI)
- Génération de signature numérique (CSFDSG)
- Validation de signature numérique (CSFDSV)
Configurer la connectivité réseau
Mainframe Connector interagit avec Cloud Storage, BigQuery et les API Cloud Logging. Assurez-vous que Cloud Interconnect et VPC Service Controls (VPC-SC) est configurés pour autoriser l'accès à des ressources BigQuery, Cloud Storage Ressources Cloud Logging issues de plages d'adresses IP spécifiées, en fonction de votre entreprise . Vous pouvez également utiliser les API Pub/Sub, Dataflow et Dataproc pour une intégration supplémentaire entre les tâches par lot IBM z/OS et les pipelines de données sur Google Cloud.
Assurez-vous que votre équipe d'administration réseau dispose des droits d'accès suivants :
- Sous-réseaux IP attribués aux partitions logiques (LPAR) IBM z/OS
- Comptes de service Google Cloud utilisés par les jobs par lot IBM z/OS
- ID de projet Google Cloud contenant des ressources accessibles par les jobs par lot IBM z/OS
Configurer des pare-feu, des routeurs et des systèmes de noms de domaine
Configurez vos fichiers IP de mainframe pour inclure des règles dans les pare-feu, les routeurs et des systèmes de noms de domaine (DNS) pour autoriser le trafic à destination et en provenance de Google Cloud. Vous pouvez installez userid.ETC.IPNODES ou userid.HOSTS.LOCAL en tant que hosts pour résoudre les points de terminaison standards de l'API Cloud Storage en tant que VPC-SC ; point de terminaison unique. Le fichier d'exemple userid.TCPIP.DATA est déployé pour configurer DNS pour utiliser les entrées du fichier hosts.
- ETC.IPNODES
- 199.36.153.4 www.googleapis.com
- 199.36.153.5 www.googleapis.com
- 199.36.153.6 www.googleapis.com
- 199.36.153.7 www.googleapis.com
- 199.36.153.4 oauth2.googleapis.com
- 199.36.153.5 oauth2.googleapis.com
- 199.36.153.6 oauth2.googleapis.com
- 199.36.153.7 oauth2.googleapis.com
- 127.0.0.1 LPAR1 (based on LPAR configuration)
- 127.0.0.1 LPAR2
- 127.0.0.1 LPAR3
- HOSTS.LOCAL
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
- LOOKUP LOCAL DNS
Configurer votre réseau pour appliquer VPC-SC
Pour appliquer la stratégie VPC-SC à votre réseau sur site, configurez-le comme suit :
- Configurez les routeurs sur site pour acheminer le trafic sortant IBM z/OS vers les sous-réseaux de destination dans les réseaux VPC et le domaine spécial
restricted.googleapis.comà l'aide de Cloud Interconnect ou d'un réseau privé virtuel (VPN). - Configurez les pare-feu sur site pour autoriser le trafic sortant vers les sous-réseaux VPC ou les instances de VM, ainsi que les points de terminaison de l'API Google :
restricted.googleapis.com 199.36.153.4/30. - Configurez les pare-feu sur site pour refuser tout autre trafic sortant vers empêcher le contournement de VPC-SC.