Avant d'installer Mainframe Connector, vous devez effectuer la configuration initiale, y compris accorder les rôles requis à votre compte de service, configurer la sécurité de vos composants et configurer la connectivité réseau entre votre mainframe et Google Cloud. Les sections suivantes décrivent chaque tâche en détail.
Accorder des autorisations au compte de service
Assurez-vous que les rôles suivants sont attribués à votre compte de service. Vous pouvez accorder plusieurs rôles à votre compte de service à l'aide de la console Google Cloud ou les accorder de manière programmatique.
- Au niveau du projet, attribuez les rôles suivants :
- Sur votre bucket Cloud Storage, attribuez les rôles suivants :
Configurer la sécurité de vos composants
Assurez-vous que les autorisations suivantes requises par l'architecture cryptographique commune de l'extension Java Cryptography (IBMJCECCA) sont accordées pour votre mainframe. Le protocole TLS (Transport Layer Security) est utilisé pour toutes les requêtes envoyées depuis votre mainframe aux API. Google Cloud Si ces autorisations ne sont pas accordées, un message d'erreur INSUFFICIENT ACCESS AUTHORITY s'affiche.
- ICSF Query Facility (CSFIQF)
- Générateur de nombres aléatoires (CSFRNG)
- Génération de nombres aléatoires (CSFRNGL)
- Importation de clés PKA (CSFPKI)
- Génération de signature numérique (CSFDSG)
- Signature numérique (CSFDSV)
Configurer la connectivité réseau
Mainframe Connector interagit avec les API Cloud Storage, BigQuery et Cloud Logging. Assurez-vous que Cloud Interconnect et VPC Service Controls (VPC-SC) sont configurés pour autoriser l'accès à des ressources BigQuery, Cloud Storage et Cloud Logging spécifiques à partir de plages d'adresses IP spécifiées, en fonction de votre stratégie d'entreprise. Vous pouvez également utiliser les API Pub/Sub, Dataflow et Dataproc pour une intégration supplémentaire entre les jobs par lot IBM z/OS et les pipelines de données sur Google Cloud.
Assurez-vous que votre équipe d'administration réseau dispose des droits d'accès suivants:
- Sous-réseaux IP attribués aux partitions logiques (LPAR) IBM z/OS
- Comptes de serviceGoogle Cloud utilisés par les tâches par lot IBM z/OS
- ID de projetGoogle Cloud contenant des ressources auxquelles accèdent les tâches par lot IBM z/OS
Configurer des pare-feu, des routeurs et des systèmes de noms de domaine
Configurez vos fichiers IP de mainframe pour inclure des règles dans les pare-feu, les routeurs et les systèmes de noms de domaine (DNS) afin d'autoriser le trafic vers et depuis Google Cloud. Vous pouvez installer userid.ETC.IPNODES ou userid.HOSTS.LOCAL en tant que fichier hosts pour résoudre les points de terminaison de l'API Cloud Storage standard en tant que point de terminaison VPC-SC. L'exemple de fichier userid.TCPIP.DATA est déployé pour configurer le DNS afin qu'il utilise les entrées du fichier hosts.
- ETC.IPNODES
- 199.36.153.4 www.googleapis.com
- 199.36.153.5 www.googleapis.com
- 199.36.153.6 www.googleapis.com
- 199.36.153.7 www.googleapis.com
- 199.36.153.4 oauth2.googleapis.com
- 199.36.153.5 oauth2.googleapis.com
- 199.36.153.6 oauth2.googleapis.com
- 199.36.153.7 oauth2.googleapis.com
- 127.0.0.1 LPAR1 (based on LPAR configuration)
- 127.0.0.1 LPAR2
- 127.0.0.1 LPAR3
- HOSTS.LOCAL
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
- LOOKUP LOCAL DNS
Configurer votre réseau pour appliquer VPC-SC
Pour appliquer la stratégie VPC-SC à votre réseau sur site, configurez-le comme suit:
- Configurez les routeurs sur site pour acheminer le trafic sortant IBM z/OS vers les sous-réseaux de destination dans les réseaux VPC et le domaine spécial
restricted.googleapis.comà l'aide de Cloud Interconnect ou d'un réseau privé virtuel (VPN). - Configurez les pare-feu sur site pour autoriser le trafic sortant vers les sous-réseaux VPC ou les instances de VM, ainsi que les points de terminaison de l'API Google :
restricted.googleapis.com 199.36.153.4/30. - Configurez les pare-feu sur site pour refuser tout autre trafic sortant afin d'éviter le contournement du VPC-SC.
- Configurez les pare-feu sur site pour autoriser le trafic sortant vers
https://www.google-analytics.com.