Prima di installare Mainframe Connector, devi eseguire la configurazione iniziale, inclusa la concessione dei ruoli richiesti al tuo account di servizio, la configurazione della sicurezza per i tuoi asset e la configurazione della connettività di rete tra il tuo mainframe e Google Cloud. Le sezioni seguenti descrivono in dettaglio ogni attività.
Concedi le autorizzazioni al account di servizio
Assicurati che al account di servizio siano concessi i seguenti ruoli. Puoi concedere più ruoli al tuo account di servizio utilizzando la console Google Cloud o concedere i ruoli in modo programmatico.
- A livello di progetto, assegna i seguenti ruoli:
- Nel bucket Cloud Storage, assegna i seguenti ruoli:
Configurare la sicurezza per gli asset
Assicurati che le seguenti autorizzazioni richieste da Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) (Java 8 o Java 17)
siano concesse per il tuo mainframe. TLS (Transport Layer Security) viene utilizzato in tutte le
richieste effettuate dal mainframe alle API Google Cloud . Se queste autorizzazioni non vengono concesse, visualizzerai un messaggio di errore INSUFFICIENT ACCESS AUTHORITY.
- ICSF Query Facility (CSFIQF)
- Genera numero casuale (CSFRNG)
- Genera numero casuale lungo (CSFRNGL)
- Importazione chiave PKA (CSFPKI)
- Genera firma digitale (CSFDSG)
- Digital Signature Verify (CSFDSV)
Configurare la connettività di rete
Mainframe Connector interagisce con le API Cloud Storage, BigQuery e Cloud Logging. Assicurati che Cloud Interconnect e Controlli di servizio VPC (VPC-SC) siano configurati per consentire l'accesso a risorse specifiche di BigQuery, Cloud Storage e Cloud Logging da intervalli IP specifici, in base alle norme aziendali. Puoi anche utilizzare le API Pub/Sub, Dataflow e Dataproc per un'ulteriore integrazione tra i job batch IBM z/OS e le pipeline di dati su Google Cloud.
Assicurati che il team di amministrazione di rete abbia accesso a quanto segue:
- Subnet IP assegnate alle partizioni logiche (LPAR) IBM z/OS
- Google Cloud service account utilizzati dai job batch IBM z/OS
- Google Cloud ID progetto contenenti le risorse a cui accedono i job batch IBM z/OS
Configurare firewall, router e sistemi di nomi di dominio
Configura i file IP del mainframe in modo da includere regole in firewall, router e Domain Name System (DNS) per consentire il traffico da e verso Google Cloud. Puoi installare userid.ETC.IPNODES o userid.HOSTS.LOCAL come file hosts per risolvere gli endpoint API Cloud Storage standard come endpoint VPC-SC. Il file di esempio userid.TCPIP.DATA viene implementato per configurare il DNS in modo che utilizzi le voci del file hosts.
- ETC.IPNODES
- 199.36.153.4 www.googleapis.com
- 199.36.153.5 www.googleapis.com
- 199.36.153.6 www.googleapis.com
- 199.36.153.7 www.googleapis.com
- 199.36.153.4 oauth2.googleapis.com
- 199.36.153.5 oauth2.googleapis.com
- 199.36.153.6 oauth2.googleapis.com
- 199.36.153.7 oauth2.googleapis.com
- 127.0.0.1 LPAR1 (based on LPAR configuration)
- 127.0.0.1 LPAR2
- 127.0.0.1 LPAR3
- HOSTS.LOCAL
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
- LOOKUP LOCAL DNS
Configura la rete per applicare VPC-SC
Per applicare VPC-SC alla tua rete on-premise, configurala nel seguente modo:
- Configura i router on-premise per instradare il traffico in uscita di IBM z/OS verso le subnet di destinazione all'interno delle reti VPC e il dominio speciale
restricted.googleapis.comutilizzando Cloud Interconnect o una rete privata virtuale (VPN). - Configura i firewall on-premise per consentire il traffico in uscita verso le subnet VPC
o le istanze VM e gli endpoint API di Google -
restricted.googleapis.com 199.36.153.4/30. - Configura i firewall on-premise in modo da negare tutto il traffico in uscita per impedire l'aggiramento di VPC-SC.
- Configura i firewall on-premise per consentire il traffico in uscita verso
https://www.google-analytics.com.