Mainframe Connector をインストールする前に、サービス アカウントへの必要なロールの付与、アセットのセキュリティ設定、メインフレームと Google Cloud 間のネットワーク接続の設定など、初期設定を行う必要があります。以降のセクションで、それぞれのタスクについて詳しく説明します。
サービス アカウントに権限を付与する
サービス アカウントに次のロールが付与されていることを確認します。Google Cloud コンソールを使用してサービス アカウントに複数のロールを付与するか、プログラムでロールを付与できます。
- プロジェクト レベルで、次のロールを割り当てます。
- Cloud Storage バケットで、次のロールを割り当てます。
アセットのセキュリティを設定する
Java Cryptography Extension Common Cryptographic Architecture(IBMJCECCA)で必要な次の権限がメインフレームに付与されていることを確認します。Transport Layer Security(TLS)は、メインフレームから Google Cloud APIs に送信されるすべてのリクエストで使用されます。これらの権限が付与されていない場合は、「INSUFFICIENT ACCESS AUTHORITY
」というエラー メッセージが表示されます。
- ICSF Query Facility(CSFIQF)
- Random Number Generate(CSFRNG)
- Random Number Generate Long(CSFRNGL)
- PKA Key Import(CSFPKI)
- Digital Signature Generate(CSFDSG)
- Digital Signature Verify(CSFDSV)
ネットワーク接続を設定する
Mainframe Connector は、Cloud Storage、BigQuery、Cloud Logging API とやり取りします。Cloud Interconnect と VPC Service Controls(VPC-SC)が、エンタープライズ ポリシーに基づいて、指定された IP 範囲から特定の BigQuery、Cloud Storage、および Cloud Logging リソースへのアクセスを許可するように構成されていることを確認します。また、Pub/Sub、Dataflow、Dataproc API を使用して、Google Cloud の IBM z/OS バッチジョブとデータ パイプラインを統合することもできます。
ネットワーク管理チームが、次のものにアクセスできることを確認します。
- IBM z/OS 論理パーティション(LPAR)に割り当てられた IP サブネット
- IBM z/OS バッチジョブで使用される Google Cloud サービス アカウント
- IBM z/OS バッチジョブによってアクセスされるリソースを含む Google Cloud プロジェクト ID
ファイアウォール、ルーター、ドメイン ネーム システムを構成する
Google Cloud との間のトラフィックを許可するために、ファイアウォール、ルーター、ドメイン ネーム システム(DNS)にルールを含めるようにメインフレーム IP ファイルを構成します。userid.ETC.IPNODES または userid.ETC.IPNODES を hosts ファイルとしてインストールして、標準の Cloud Storage API エンドポイントを VPC-SC エンドポイントとして解決できます。サンプル ファイル userid.TCPIP.DATA は、hosts ファイル エントリを使用するように DNS を構成するためにデプロイされています。
- ETC.IPNODES
- 199.36.153.4 www.googleapis.com
- 199.36.153.5 www.googleapis.com
- 199.36.153.6 www.googleapis.com
- 199.36.153.7 www.googleapis.com
- 199.36.153.4 oauth2.googleapis.com
- 199.36.153.5 oauth2.googleapis.com
- 199.36.153.6 oauth2.googleapis.com
- 199.36.153.7 oauth2.googleapis.com
- 127.0.0.1 LPAR1 (based on LPAR configuration)
- 127.0.0.1 LPAR2
- 127.0.0.1 LPAR3
- HOSTS.LOCAL
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
- LOOKUP LOCAL DNS
VPC-SC を適用するようにネットワークを構成する
オンプレミス ネットワークで VPC-SC を適用するには、次のように構成します。
- Cloud Interconnect または仮想プライベート ネットワーク(VPN)を使用して、IBM z/OS の送信トラフィックが VPC ネットワークと
restricted.googleapis.com
特別なドメイン内にある宛先サブネットにルーティングされるように、オンプレミス ルーターを構成します。 - VPC サブネットまたは VM インスタンスと Google API エンドポイント(
restricted.googleapis.com 199.36.153.4/30
)への送信トラフィックを許可するように、オンプレミス ファイアウォールを構成します。 - VPC-SC のバイパスを防ぐため、他のすべての送信トラフィックを拒否するようにオンプレミス ファイアウォールを構成します。