開始使用 Mainframe Connector

安裝 Mainframe Connector 前，您必須先完成初始設定，包括授予服務帳戶必要角色、設定資產安全性，以及設定大型主機與 Google Cloud之間的網路連線。以下各節將詳細說明各項工作。

授予服務帳戶權限

請確認服務帳戶已獲授下列角色。您可以使用 Google Cloud 控制台將多個角色授予服務帳戶，也可以透過程式化方式授予角色。

• 在專案層級指派下列角色：
  • 記錄寫入者
  • BigQuery 工作使用者
• 在 Cloud Storage bucket 中指派下列角色：
  • Storage 物件管理員
  • BigQuery 資料編輯者
  • BigQuery 讀取工作階段使用者

設定資產安全防護

請確保已為大型主機授予 Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) (Java 8 或 Java 17) 所需的下列權限。從大型主機傳送至 Google Cloud API 的所有要求，都會使用傳輸層安全標準 (TLS)。如果未授予這些權限，您會看到 INSUFFICIENT ACCESS AUTHORITY 錯誤訊息。

• ICSF 查詢機能 (CSFIQF)
• 隨機數產生 (CSFRNG)
• 隨機號碼產生長度 (CSFRNGL)
• PKA 金鑰匯入 (CSFPKI)
• 產生數位簽章 (CSFDSG)
• 數位簽章驗證 (CSFDSV)

設定網路連線

Mainframe Connector 會與 Cloud Storage、BigQuery 和 Cloud Logging API 互動。請根據企業政策，確保已設定 Cloud Interconnect 和 VPC Service Controls (VPC-SC)，允許特定 IP 範圍存取特定 BigQuery、Cloud Storage 和 Cloud Logging 資源。您也可以使用 Pub/Sub、Dataflow 和 Dataproc API，進一步整合 IBM z/OS 批次工作和 Google Cloud上的資料管道。

請確保網路管理團隊可存取下列項目：

• 指派給 IBM z/OS 邏輯分割區 (LPAR) 的 IP 子網路
• Google Cloud IBM z/OS 批次工作使用的服務帳戶
• Google Cloud 含有 IBM z/OS 批次工作所存取資源的專案 ID

設定防火牆、路由器和網域名稱系統

設定大型主機 IP 檔案，在防火牆、路由器和網域名稱系統 (DNS) 中加入規則，允許往返 Google Cloud的流量。您可以安裝 userid.ETC.IPNODES 或 userid.HOSTS.LOCAL 做為主機檔案，將標準 Cloud Storage API 端點解析為 VPC-SC 端點。範例檔案 userid.TCPIP.DATA 會部署來設定 DNS，以使用主機檔案項目。

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

設定網路以強制執行 VPC-SC

如要在內部部署網路強制執行 VPC-SC，請按照下列步驟設定：

• 設定內部部署路由器，將 IBM z/OS 外送流量轉送至虛擬私有雲網路內的目標子網路和restricted.googleapis.com特殊網域，方法是使用 Cloud Interconnect 或虛擬私有網路 (VPN)。
• 設定內部部署防火牆，允許傳送至虛擬私有雲子網路或 VM 執行個體和 Google API 端點的輸出流量 - restricted.googleapis.com 199.36.153.4/30。
• 設定內部部署防火牆，拒絕所有其他輸出流量，防止繞過 VPC-SC。
• 設定內部部署防火牆，允許輸出流量傳送至 https://www.google-analytics.com。

後續步驟

• 安裝 Mainframe Connector