Antes de instalar o Conector de mainframe, você deve executar a do Google Cloud, incluindo a concessão dos papéis necessários à conta de serviço, a segurança dos seus recursos e a configuração da conectividade de rede entre as mainframe e Google Cloud. As seções a seguir descrevem cada tarefa em detalhes.
Conceder permissões à conta de serviço
Verifique se os papéis a seguir foram concedidos à conta de serviço. É possível conceder várias funções à sua conta de serviço usando o console do Google Cloud ou conceder as funções de forma programática.
- Atribua os seguintes papéis no nível do projeto:
- No bucket do Cloud Storage, atribua os seguintes papéis:
Configurar a segurança dos recursos
Verifique se as seguintes permissões são exigidas pela Arquitetura criptográfica comum da extensão de criptografia Java (IBMJCECCA, na sigla em inglês).
para o mainframe. A segurança da camada de transporte (TLS) é usada em todas
as solicitações feitas do mainframe para as APIs do Google Cloud. Se essas permissões não
forem concedidas, uma mensagem de erro INSUFFICIENT ACCESS AUTHORITY
vai aparecer.
- Recurso de consulta do ICSF (CSFIQF)
- Gerador de números aleatórios (CSFRNG)
- Geração de número aleatório longo (CSFRNGL)
- Importação de chave PKA (CSFPKI, na sigla em inglês)
- Geração de assinatura digital (CSFDSG)
- Verificação de assinatura digital (CSFDSV)
Configurar a conectividade de rede
O conector de mainframe interage com o Cloud Storage, o BigQuery e às APIs do Cloud Logging. Verifique se o Cloud Interconnect e o VPC Service Controls (VPC-SC) está configuradas para permitir acesso a determinados serviços do BigQuery, Recursos do Cloud Logging de intervalos de IP especificados, com base na sua empresa política. Também é possível usar o Pub/Sub, o Dataflow e o Dataproc APIs para integração adicional entre jobs em lote e pipelines de dados do IBM z/OS no Google Cloud.
Verifique se a equipe de administração de rede tem acesso a:
- Sub-redes IP atribuídas às partições lógicas (LPARs, na sigla em inglês) do IBM z/OS
- Contas de serviço do Google Cloud usadas por jobs em lote do IBM z/OS
- IDs de projetos do Google Cloud que contêm recursos acessados por jobs em lote do IBM z/OS
Configurar firewalls, roteadores e sistemas de nomes de domínio
Configurar os arquivos IP de mainframe para incluir regras em firewalls, roteadores e Sistemas de Nomes de Domínio (DNSs) para permitir o tráfego de e para o Google Cloud. É possível instalar userid.ETC.IPNODES ou userid.HOSTS.LOCAL como arquivo de hosts para resolver os endpoints padrão da API Cloud Storage como o endpoint VPC-SC. O arquivo de amostra userid.TCPIP.DATA é implantado para configurar DNS para usar as entradas dos arquivos de hosts.
- ETC.IPNODES
- 199.36.153.4 www.googleapis.com
- 199.36.153.5 www.googleapis.com
- 199.36.153.6 www.googleapis.com
- 199.36.153.7 www.googleapis.com
- 199.36.153.4 oauth2.googleapis.com
- 199.36.153.5 oauth2.googleapis.com
- 199.36.153.6 oauth2.googleapis.com
- 199.36.153.7 oauth2.googleapis.com
- 127.0.0.1 LPAR1 (based on LPAR configuration)
- 127.0.0.1 LPAR2
- 127.0.0.1 LPAR3
- HOSTS.LOCAL
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
- LOOKUP LOCAL DNS
Configurar sua rede para aplicar o VPC-SC
Para aplicar o VPC-SC na sua rede local, configure-o da seguinte maneira:
- Configure os roteadores locais para rotear o tráfego de saída do IBM z/OS para
sub-redes de destino nas redes VPC e a rede
restricted.googleapis.comum domínio especial usando o Cloud Interconnect ou uma rede privada virtual (VPN). - Configure os firewalls locais para permitir o tráfego de saída para sub-redes VPC
ou instâncias de VM e endpoints da API do Google:
restricted.googleapis.com 199.36.153.4/30. - Configurar os firewalls locais para negar todo o restante do tráfego de saída evitar que o VPC-SC seja ignorado.