開始使用 Mainframe Connector

安裝主機連接器前，您必須執行初始設定，包括為服務帳戶授予必要角色、設定資產安全性，以及設定主機和 Google Cloud之間的網路連線。以下各節將詳細說明各項任務。

授予服務帳戶權限

請確認已將下列角色授予服務帳戶。您可以使用 Google Cloud 控制台，將多個角色授予服務帳戶，也可以以程式化方式授予角色。

• 在專案層級指派下列角色：
  • 記錄寫入器
  • BigQuery 工作使用者
• 在 Cloud Storage 值區中指派下列角色：
  • Storage 物件管理員
  • BigQuery 資料編輯器
  • BigQuery 讀取工作階段使用者

設定資產的安全防護措施

請確認下列 Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) 所需權限已授予大型主機。傳輸層安全標準 (TLS) 會用於從主機架構傳送至 Google Cloud API 的所有要求。如果未授予這些權限，您會看到 INSUFFICIENT ACCESS AUTHORITY 錯誤訊息。

• ICSF 查詢工具 (CSFIQF)
• 隨機數產生 (CSFRNG)
• 隨機號碼產生長值 (CSFRNGL)
• PKA 金鑰匯入 (CSFPKI)
• 數位簽章產生 (CSFDSG)
• 數位簽章驗證 (CSFDSV)

設定網路連線

Mainframe Connector 會與 Cloud Storage、BigQuery 和 Cloud Logging API 互動。請確認已根據貴機構的企業政策，設定 Cloud Interconnect 和 VPC Service Controls (VPC-SC)，以便從特定 IP 範圍存取特定 BigQuery、Cloud Storage 和 Cloud Logging 資源。您也可以使用 Pub/Sub、Dataflow 和 Dataproc API，在 Google Cloud上進一步整合 IBM z/OS 批次工作和資料管道。

請確認網路管理團隊有權存取下列項目：

• 指派給 IBM z/OS 邏輯區隔 (LPAR) 的 IP 子網路
• Google Cloud IBM z/OS 批次工作所使用的服務帳戶
• Google Cloud 包含 IBM z/OS 批次工作存取的資源的專案 ID

設定防火牆、路由器和網域名稱系統

請設定主機 IP 檔案，在防火牆、路由器和網域名稱系統 (DNS) 中加入規則，允許進出 Google Cloud的流量。您可以將 userid.ETC.IPNODES 或 userid.HOSTS.LOCAL 設為主機檔案，以便將標準 Cloud Storage API 端點解析為 VPC-SC 端點。範例檔案 userid.TCPIP.DATA 會部署至 DNS 設定，以便使用主機檔案項目。

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

設定網路以便強制執行 VPC-SC

如要在內部部署網路上強制執行 VPC-SC，請按照下列步驟進行設定：

• 設定內部部署路由器，以便使用 Cloud Interconnect 或虛擬私人網路 (VPN)，將 IBM z/OS 傳出流量路由至 VPC 網路和 restricted.googleapis.com 特殊網域中的目的地子網路。
• 設定內部部署防火牆，允許傳出流量傳送至虛擬私有雲子網路或 VM 執行個體和 Google API 端點 - restricted.googleapis.com 199.36.153.4/30。
• 設定內部部署防火牆，拒絕所有其他外送流量，以免繞過 VPC-SC。
• 設定內部部署防火牆，允許傳出流量傳送至 https://www.google-analytics.com。

後續步驟

• 安裝 Mainframe Connector