Mainframe Connector 使用入门

安装大型主机连接器之前，必须先执行 包括向服务账号授予所需角色、设置 并在您的资源之间建立网络连接 大型主机和 Google Cloud。以下各部分详细介绍了每项任务。

授予服务账号权限

请确保向您的服务账号授予以下角色。您可以使用 Google Cloud 控制台向服务账号授予多个角色，也可以以编程方式授予角色。

• 在项目级别，分配以下角色：
  • Logs Writer
  • BigQuery Job User
• 在您的 Cloud Storage 存储桶中，分配以下角色：
  • Storage Object Admin
  • BigQuery Data Editor
  • BigQuery Read Session User

为资产设置安全设置

确保为您的大型机授予 Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) 所需的以下权限。传输层安全协议 (TLS) 适用于从大型机发送到 Google Cloud API 的所有请求。如果未授予这些权限，您会看到 INSUFFICIENT ACCESS AUTHORITY 错误消息。

• ICSF 查询设施 (CSFIQF)
• 生成随机数 (CSFRNG)
• 随机数生成长整型 (CSFRNGL)
• PKA 密钥导入 (CSFPKI)
• 数字签名生成 (CSFDSG)
• 数字签名验证 (CSFDSV)

设置网络连接

Mainframe Connector 可与 Cloud Storage、BigQuery 和 Cloud Logging API 进行交互。确保根据您的企业政策，配置 Cloud Interconnect 和 VPC Service Controls (VPC-SC)，以允许从指定 IP 地址范围访问特定 BigQuery、Cloud Storage 和 Cloud Logging 资源。您还可以使用 Pub/Sub、Dataflow 和 Dataproc API 在 Google Cloud 上的 IBM z/OS 批处理作业与数据流水线之间实现进一步集成。

确保您的网络管理团队有权访问以下内容：

• 分配给 IBM z/OS 逻辑分区 (LPAR) 的 IP 子网
• IBM z/OS 批处理作业使用的 Google Cloud 服务账号
• Google Cloud 项目 ID（包含 IBM z/OS 批量作业所访问的资源）

配置防火墙、路由器和域名系统

配置大型机 IP 文件，在防火墙、路由器和域名系统 (DNS) 中添加规则，以允许进出 Google Cloud 的流量。您可以 安装 userid.ETC.IPNODES 或 userid.HOSTS.LOCAL， Hosts 文件将标准 Cloud Storage API 端点作为 VPC-SC 进行解析 端点。部署示例文件 userid.TCPIP.DATA 是为了配置 DNS 以使用 hosts 文件条目。

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

配置网络以强制执行 VPC-SC

如需在本地网络上强制执行 VPC-SC，请按如下方式进行配置：

• 配置本地路由器以将 IBM z/OS 出站流量路由到 VPC 网络和 restricted.googleapis.com 中的目标子网 使用 Cloud Interconnect 或虚拟专用网 (VPN) 来连接特殊网域。
• 配置本地防火墙以允许发送到 VPC 子网的出站流量 或虚拟机实例和 Google API 端点 - restricted.googleapis.com 199.36.153.4/30。
• 配置本地防火墙以拒绝所有其他出站流量，以防止绕过 VPC-SC。

后续步骤

• 安装 Mainframe Connector