Mainframe Connector 시작하기

Mainframe Connector를 설치하려면 먼저 서비스 계정에 필요한 역할 부여, 애셋 보안 설정, 메인프레임과 Google Cloud 간의 네트워크 연결 설정 등 초기 설정을 수행해야 합니다. 다음 섹션에서는 각 태스크에 대해 자세히 설명합니다.

서비스 계정 권한 부여

다음 역할이 서비스 계정에 부여되었는지 확인합니다. Google Cloud 콘솔을 사용하여 서비스 계정에 여러 역할을 부여하거나 프로그래매틱 방식으로 역할을 부여할 수 있습니다.

애셋 보안 설정

메인프레임에 Java 암호화 확장 프로그램 공통 암호화 아키텍처(IBMJCECCA)에 필요한 다음 권한이 부여되었는지 확인합니다. 전송 계층 보안(TLS)은 메인프레임에서 Google Cloud API로 전송되는 모든 요청에 사용됩니다. 이러한 권한이 부여되지 않으면 INSUFFICIENT ACCESS AUTHORITY 오류 메시지가 표시됩니다.

  • ICSF 쿼리 시설(CSFIQF)
  • 난수 생성(CSFRNG)
  • 긴 난수 생성(CSFRNGL)
  • PKA 키 가져오기(CSFPKI)
  • 디지털 서명 생성(CSFDSG)
  • 디지털 서명 인증(CSFDSV)

네트워크 연결 설정

Mainframe Connector는 Cloud Storage, BigQuery, Cloud Logging API와 상호작용합니다. 엔터프라이즈 정책에 따라 지정된 IP 범위에서 특정 BigQuery, Cloud Storage, Cloud Logging 리소스에 액세스할 수 있도록 Cloud InterconnectVPC 서비스 제어(VPC-SC)가 구성되었는지 확인합니다. 또한 Pub/Sub, Dataflow, Dataproc API를 사용하여 Google Cloud의 IBM z/OS 일괄 작업과 데이터 파이프라인 간의 추가 통합을 수행할 수 있습니다.

네트워크 관리팀이 다음 항목에 액세스할 수 있는지 확인합니다.

  • IBM z/OS 논리 파티션(LPAR)에 할당된 IP 서브넷
  • IBM z/OS 일괄 작업에서 사용하는 Google Cloud 서비스 계정
  • IBM z/OS 일괄 작업에서 액세스하는 리소스가 포함된 Google Cloud 프로젝트 ID

방화벽, 라우터, 도메인 이름 시스템 구성

방화벽, 라우터, DNS(도메인 이름 시스템)에 규칙을 포함하도록 메인프레임 IP 파일을 구성하여 Google Cloud를 오가는 트래픽을 허용합니다. userid.ETC.IPNODES 또는 userid.HOSTS.LOCAL을 호스트 파일로 설치하여 표준 Cloud Storage API 엔드포인트를 VPC-SC 엔드포인트로 확인할 수 있습니다. 샘플 파일 userid.TCPIP.DATA는 호스트 파일 항목을 사용하도록 DNS를 구성하기 위해 배포됩니다.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

VPC-SC를 적용하도록 네트워크 구성

온프레미스 네트워크에 VPC-SC를 적용하려면 다음과 같이 구성합니다.

  • Cloud Interconnect 또는 가상 사설망(VPN)을 사용하여 IBM z/OS 아웃바운드 트래픽을 VPC 네트워크 및 restricted.googleapis.com 특수 도메인 내의 대상 서브넷으로 라우팅하도록 온프레미스 라우터를 구성합니다.
  • VPC 서브넷 또는 VM 인스턴스와 Google API 엔드포인트 - restricted.googleapis.com 199.36.153.4/30으로 아웃바운드 트래픽을 허용하도록 온프레미스 방화벽을 구성합니다.
  • VPC-SC의 우회를 방지하기 위해 다른 모든 아웃바운드 트래픽을 거부하도록 온프레미스 방화벽을 구성합니다.

다음 단계