Erste Schritte mit Mainframe Connector

Bevor Sie Mainframe Connector installieren, müssen Sie die Ersteinrichtung vornehmen. Dazu gehört, Ihrem Dienstkonto die erforderlichen Rollen zuzuweisen, die Sicherheit für Ihre Assets einzurichten und die Netzwerkverbindung zwischen Ihrem Mainframe und Google Cloudeinzurichten. In den folgenden Abschnitten werden die einzelnen Aufgaben ausführlich beschrieben.

Dienstkontoberechtigungen gewähren

Prüfen Sie, ob Ihrem Dienstkonto die folgenden Rollen zugewiesen sind. Sie können Ihrem Dienstkonto über die Google Cloud Console mehrere Rollen zuweisen oder die Rollen programmgesteuert zuweisen.

• Weisen Sie auf Projektebene die folgenden Rollen zu:
  • Log-Autor
  • BigQuery-Jobnutzer
• Weisen Sie Ihrem Cloud Storage-Bucket die folgenden Rollen zu:
  • Storage-Objekt-Administrator
  • BigQuery-Dateneditor
  • BigQuery-Lesesitzungsnutzer

Sicherheit für Ihre Assets einrichten

Achten Sie darauf, dass die folgenden Berechtigungen, die für die Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) (Java 8 oder Java 17) erforderlich sind, für Ihren Mainframe gewährt werden. Transport Layer Security (TLS) wird für alle Anfragen verwendet, die von Ihrem Mainframe an Google Cloud -APIs gesendet werden. Wenn diese Berechtigungen nicht erteilt werden, wird eine INSUFFICIENT ACCESS AUTHORITY-Fehlermeldung angezeigt.

• ICSF Query Facility (CSFIQF)
• Zufallszahlengenerator (Cryptographically Secure Pseudo-Random Number Generator, CSFRNG)
• Zufallszahl generieren (lang) (CSFRNGL)
• PKA-Schlüsselimport (CSFPKI)
• Digitale Signatur generieren (CSFDSG)
• Überprüfung digitaler Signaturen (CSFDSV)

Netzwerkverbindung einrichten

Der Mainframe-Connector interagiert mit den Cloud Storage-, BigQuery- und Cloud Logging-APIs. Achten Sie darauf, dass Cloud Interconnect und VPC Service Controls (VPC-SC) so konfiguriert sind, dass der Zugriff auf bestimmte BigQuery-, Cloud Storage- und Cloud Logging-Ressourcen aus bestimmten IP-Bereichen gemäß Ihrer Unternehmensrichtlinie möglich ist. Sie können auch die Pub/Sub-, Dataflow- und Dataproc-APIs für eine zusätzliche Integration zwischen IBM z/OS-Batchjobs und Datenpipelines auf Google Cloudverwenden.

Achten Sie darauf, dass Ihr Netzwerkadministrationsteam Zugriff auf Folgendes hat:

• IP-Subnetze, die den logischen Partitionen (LPARs) von IBM z/OS zugewiesen sind
• Google Cloud Dienstkonten, die von IBM z/OS-Batchjobs verwendet werden
• Google Cloud Projekt-IDs mit Ressourcen, auf die von IBM z/OS-Batchjobs zugegriffen wird

Firewalls, Router und Domain Name Systems konfigurieren

Konfigurieren Sie Ihre Mainframe-IP-Dateien so, dass sie Regeln in Firewalls, Routern und Domain Name Systems (DNS) enthalten, um Traffic zu und von Google Cloudzuzulassen. Sie können entweder userid.ETC.IPNODES oder userid.HOSTS.LOCAL als Hosts-Datei installieren, um die Standard-Cloud Storage API-Endpunkte als VPC-SC-Endpunkt aufzulösen. Die Beispieldatei userid.TCPIP.DATA wird bereitgestellt, um DNS für die Verwendung der Einträge in der Hosts-Datei zu konfigurieren.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

Netzwerk für die Erzwingung von VPC-SC konfigurieren

So erzwingen Sie VPC-SC in Ihrem lokalen Netzwerk:

• Konfigurieren Sie die lokalen Router so, dass der ausgehende IBM z/OS-Traffic über Cloud Interconnect oder ein virtuelles privates Netzwerk (VPN) an Zielsubnetze in den VPC-Netzwerken und die restricted.googleapis.com-Sonderdomain weitergeleitet wird.
• Konfigurieren Sie die lokalen Firewalls so, dass ausgehender Traffic zu VPC-Subnetzen oder VM-Instanzen und Google API-Endpunkten zugelassen wird – restricted.googleapis.com 199.36.153.4/30.
• Konfigurieren Sie die lokalen Firewalls so, dass der gesamte andere ausgehende Traffic abgelehnt wird, um eine Umgehung von VPC-SC zu verhindern.
• Konfigurieren Sie die lokalen Firewalls so, dass ausgehender Traffic zu https://www.google-analytics.com zugelassen wird.

Nächste Schritte

• Mainframe Connector installieren