Inizia a utilizzare Mainframe Connector

Prima di installare Mainframe Connector, è necessario eseguire configurazione, inclusa la concessione dei ruoli richiesti all'account di servizio, l'impostazione la sicurezza delle risorse e la connettività di rete il mainframe e Google Cloud. Le sezioni seguenti descrivono in dettaglio ogni attività.

Concedi le autorizzazioni all'account di servizio

Assicurati che al tuo account di servizio siano concessi i ruoli seguenti. Puoi concedere più ruoli all'account di servizio utilizzando la console Google Cloud oppure concedere i ruoli in modo programmatico.

Configura la sicurezza per i tuoi asset

Assicurati che le seguenti autorizzazioni richieste da Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) siano concesse per il tuo mainframe. Il protocollo TLS (Transport Layer Security) è utilizzato richieste effettuate dal tuo mainframe alle API Google Cloud. Se queste autorizzazioni non vengono concesse, viene visualizzato un messaggio di errore INSUFFICIENT ACCESS AUTHORITY.

  • ICSF Query Facility (CSFIQF)
  • Generatore di numeri casuali (CSFRNG)
  • Numero casuale generato lungo (CSFRNGL)
  • Importazione di chiavi PKA (CSFPKI)
  • Generazione firma digitale (CSFDSG)
  • Verifica della firma digitale (CSFDSV)

Configura la connettività di rete

Mainframe Connector interagisce con le API Cloud Storage, BigQuery e Cloud Logging. Assicurati che Cloud Interconnect e Controlli di servizio VPC (VPC-SC) siano configurati per consentire l'accesso a risorse BigQuery, Cloud Storage e Cloud Logging specifiche da intervalli IP specificati, in base alle linee guida della tua azienda. Puoi anche utilizzare le API Pub/Sub, Dataflow e Dataproc per un'integrazione aggiuntiva tra i job batch IBM z/OS e le pipeline di dati su Google Cloud.

Assicurati che il team di amministrazione di rete abbia accesso a quanto segue:

  • Subnet IP assegnate alle partizioni logiche (LPAR) IBM z/OS
  • Account di servizio Google Cloud utilizzati dai job batch IBM z/OS
  • ID progetto Google Cloud contenenti le risorse a cui accedono i job batch IBM z/OS

Configurazione di firewall, router e DNS (Domain Name System)

Configura i tuoi file IP mainframe per includere regole in firewall, router e DNS (Domain Name Systems) per consentire il traffico da e verso Google Cloud. Puoi installare userid.ETC.IPNODES o userid.HOSTS.LOCAL come file hosts per risolvere gli endpoint API Cloud Storage standard come endpoint VPC-SC. Viene eseguito il deployment del file di esempio userid.TCPIP.DATA per configurare DNS per utilizzare le voci del file hosts.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

Configura la rete per applicare il controllo VPC-SC

Per applicare il controllo VPC-SC alla tua rete on-premise, configuralo come segue:

  • Configura i router on-premise per instradare il traffico in uscita di IBM z/OS subnet di destinazione all'interno delle reti VPC e restricted.googleapis.com un dominio speciale mediante Cloud Interconnect o una rete privata virtuale (VPN).
  • Configura i firewall on-premise per consentire il traffico in uscita alle subnet VPC o alle istanze VM e agli endpoint dell'API di Google - restricted.googleapis.com 199.36.153.4/30.
  • Configurare i firewall on-premise in modo da negare tutto il traffico in uscita verso impedire il bypass di VPC-SC.

Passaggi successivi