Prima di installare Mainframe Connector, è necessario eseguire configurazione, inclusa la concessione dei ruoli richiesti all'account di servizio, l'impostazione la sicurezza delle risorse e la connettività di rete il mainframe e Google Cloud. Le sezioni seguenti descrivono in dettaglio ogni attività.
Concedi le autorizzazioni all'account di servizio
Assicurati che al tuo account di servizio siano concessi i ruoli seguenti. Puoi concedere più ruoli all'account di servizio utilizzando la console Google Cloud oppure concedere i ruoli in modo programmatico.
- A livello di progetto, assegna i seguenti ruoli:
- Nel bucket Cloud Storage, assegna i seguenti ruoli:
Configura la sicurezza per i tuoi asset
Assicurati che le seguenti autorizzazioni richieste da Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA)
siano concesse per il tuo mainframe. Il protocollo TLS (Transport Layer Security) è utilizzato
richieste effettuate dal tuo mainframe alle API Google Cloud. Se queste autorizzazioni non vengono concesse, viene visualizzato un messaggio di errore INSUFFICIENT ACCESS AUTHORITY
.
- ICSF Query Facility (CSFIQF)
- Generatore di numeri casuali (CSFRNG)
- Numero casuale generato lungo (CSFRNGL)
- Importazione di chiavi PKA (CSFPKI)
- Generazione firma digitale (CSFDSG)
- Verifica della firma digitale (CSFDSV)
Configura la connettività di rete
Mainframe Connector interagisce con le API Cloud Storage, BigQuery e Cloud Logging. Assicurati che Cloud Interconnect e Controlli di servizio VPC (VPC-SC) siano configurati per consentire l'accesso a risorse BigQuery, Cloud Storage e Cloud Logging specifiche da intervalli IP specificati, in base alle linee guida della tua azienda. Puoi anche utilizzare le API Pub/Sub, Dataflow e Dataproc per un'integrazione aggiuntiva tra i job batch IBM z/OS e le pipeline di dati su Google Cloud.
Assicurati che il team di amministrazione di rete abbia accesso a quanto segue:
- Subnet IP assegnate alle partizioni logiche (LPAR) IBM z/OS
- Account di servizio Google Cloud utilizzati dai job batch IBM z/OS
- ID progetto Google Cloud contenenti le risorse a cui accedono i job batch IBM z/OS
Configurazione di firewall, router e DNS (Domain Name System)
Configura i tuoi file IP mainframe per includere regole in firewall, router e DNS (Domain Name Systems) per consentire il traffico da e verso Google Cloud. Puoi installare userid.ETC.IPNODES o userid.HOSTS.LOCAL come file hosts per risolvere gli endpoint API Cloud Storage standard come endpoint VPC-SC. Viene eseguito il deployment del file di esempio userid.TCPIP.DATA per configurare DNS per utilizzare le voci del file hosts.
- ETC.IPNODES
- 199.36.153.4 www.googleapis.com
- 199.36.153.5 www.googleapis.com
- 199.36.153.6 www.googleapis.com
- 199.36.153.7 www.googleapis.com
- 199.36.153.4 oauth2.googleapis.com
- 199.36.153.5 oauth2.googleapis.com
- 199.36.153.6 oauth2.googleapis.com
- 199.36.153.7 oauth2.googleapis.com
- 127.0.0.1 LPAR1 (based on LPAR configuration)
- 127.0.0.1 LPAR2
- 127.0.0.1 LPAR3
- HOSTS.LOCAL
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
- LOOKUP LOCAL DNS
Configura la rete per applicare il controllo VPC-SC
Per applicare il controllo VPC-SC alla tua rete on-premise, configuralo come segue:
- Configura i router on-premise per instradare il traffico in uscita di IBM z/OS
subnet di destinazione all'interno delle reti VPC e
restricted.googleapis.com
un dominio speciale mediante Cloud Interconnect o una rete privata virtuale (VPN). - Configura i firewall on-premise per consentire il traffico in uscita alle subnet VPC o alle istanze VM e agli endpoint dell'API di Google -
restricted.googleapis.com 199.36.153.4/30
. - Configurare i firewall on-premise in modo da negare tutto il traffico in uscita verso impedire il bypass di VPC-SC.