Inizia a utilizzare Mainframe Connector

Prima di installare Mainframe Connector, devi eseguire la configurazione iniziale, inclusa la concessione dei ruoli richiesti al tuo account di servizio, la configurazione della sicurezza per i tuoi asset e la configurazione della connettività di rete tra il tuo mainframe e Google Cloud. Le sezioni seguenti descrivono in dettaglio ogni attività.

Concedi le autorizzazioni al account di servizio

Assicurati che al account di servizio siano concessi i seguenti ruoli. Puoi concedere più ruoli al tuo account di servizio utilizzando la console Google Cloud o concedere i ruoli in modo programmatico.

Configurare la sicurezza per gli asset

Assicurati che le seguenti autorizzazioni richieste da Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) (Java 8 o Java 17) siano concesse per il tuo mainframe. TLS (Transport Layer Security) viene utilizzato in tutte le richieste effettuate dal mainframe alle API Google Cloud . Se queste autorizzazioni non vengono concesse, visualizzerai un messaggio di errore INSUFFICIENT ACCESS AUTHORITY.

  • ICSF Query Facility (CSFIQF)
  • Genera numero casuale (CSFRNG)
  • Genera numero casuale lungo (CSFRNGL)
  • Importazione chiave PKA (CSFPKI)
  • Genera firma digitale (CSFDSG)
  • Digital Signature Verify (CSFDSV)

Configurare la connettività di rete

Mainframe Connector interagisce con le API Cloud Storage, BigQuery e Cloud Logging. Assicurati che Cloud Interconnect e Controlli di servizio VPC (VPC-SC) siano configurati per consentire l'accesso a risorse specifiche di BigQuery, Cloud Storage e Cloud Logging da intervalli IP specifici, in base alle norme aziendali. Puoi anche utilizzare le API Pub/Sub, Dataflow e Dataproc per un'ulteriore integrazione tra i job batch IBM z/OS e le pipeline di dati su Google Cloud.

Assicurati che il team di amministrazione di rete abbia accesso a quanto segue:

  • Subnet IP assegnate alle partizioni logiche (LPAR) IBM z/OS
  • Google Cloud service account utilizzati dai job batch IBM z/OS
  • Google Cloud ID progetto contenenti le risorse a cui accedono i job batch IBM z/OS

Configurare firewall, router e sistemi di nomi di dominio

Configura i file IP del mainframe in modo da includere regole in firewall, router e Domain Name System (DNS) per consentire il traffico da e verso Google Cloud. Puoi installare userid.ETC.IPNODES o userid.HOSTS.LOCAL come file hosts per risolvere gli endpoint API Cloud Storage standard come endpoint VPC-SC. Il file di esempio userid.TCPIP.DATA viene implementato per configurare il DNS in modo che utilizzi le voci del file hosts.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

Configura la rete per applicare VPC-SC

Per applicare VPC-SC alla tua rete on-premise, configurala nel seguente modo:

  • Configura i router on-premise per instradare il traffico in uscita di IBM z/OS verso le subnet di destinazione all'interno delle reti VPC e il dominio speciale restricted.googleapis.com utilizzando Cloud Interconnect o una rete privata virtuale (VPN).
  • Configura i firewall on-premise per consentire il traffico in uscita verso le subnet VPC o le istanze VM e gli endpoint API di Google - restricted.googleapis.com 199.36.153.4/30.
  • Configura i firewall on-premise in modo da negare tutto il traffico in uscita per impedire l'aggiramento di VPC-SC.
  • Configura i firewall on-premise per consentire il traffico in uscita verso https://www.google-analytics.com.

Passaggi successivi