Erste Schritte mit Mainframe Connector

Bevor Sie den Mainframe Connector installieren, müssen Sie die Ersteinrichtung durchführen. Dazu gehört, Ihrem Dienstkonto die erforderlichen Rollen zuzuweisen, die Sicherheit für Ihre Assets einzurichten und die Netzwerkverbindung zwischen Ihrem Mainframe und einzurichten. Google CloudIn den folgenden Abschnitten wird jede Aufgabe im Detail beschrieben.

Dienstkontoberechtigungen gewähren

Achten Sie darauf, dass Ihrem Dienstkonto die folgenden Rollen zugewiesen sind. Sie können Ihrem Dienstkonto über die Google Cloud Console mehrere Rollen zuweisen oder die Rollen programmatisch zuweisen.

• Weisen Sie auf Projektebene die folgenden Rollen zu:
  • Log-Autor
  • BigQuery-Jobnutzer
• Weisen Sie Ihrem Cloud Storage-Bucket die folgenden Rollen zu:
  • Storage-Objekt-Administrator
  • BigQuery-Dateneditor
  • BigQuery-Lesesitzungsnutzer

Sicherheit für Ihre Assets einrichten

Achten Sie darauf, dass die folgenden Berechtigungen, die von der Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) (Java 8 oder Java 17) benötigt werden, für Ihren Mainframe gewährt werden. Bei allen Anfragen von Ihrem Mainframe an Google Cloud APIs wird TLS (Transport Layer Security) verwendet. Wenn diese Berechtigungen nicht gewährt werden, wird die Fehlermeldung INSUFFICIENT ACCESS AUTHORITY angezeigt.

• ICSF Query Facility (CSFIQF)
• Random Number Generate (CSFRNG)
• Random Number Generate Long (CSFRNGL)
• PKA Key Import (CSFPKI)
• Digital Signature Generate (CSFDSG)
• Digital Signature Verify (CSFDSV)

Netzwerkverbindung einrichten

Der Mainframe Connector interagiert mit den Cloud Storage-, BigQuery- und Cloud Logging-APIs. Achten Sie darauf, dass Cloud Interconnect und VPC Service Controls (VPC-SC) so konfiguriert sind, dass der Zugriff auf bestimmte BigQuery-, Cloud Storage- und Cloud Logging-Ressourcen aus bestimmten IP-Bereichen gemäß Ihrer Unternehmens- richtlinie zulässig ist. Sie können auch die Pub/Sub-, Dataflow- und Managed Service for Apache Spark APIs für eine zusätzliche Integration zwischen IBM z/OS-Batchjobs und Datenpipelines auf Google Cloudverwenden.

Achten Sie darauf, dass Ihr Netzwerkadministrationsteam Zugriff auf Folgendes hat:

• IP-Subnetze, die den logischen Partitionen (LPARs) von IBM z/OS zugewiesen sind
• Google Cloud Dienstkonten, die von IBM z/OS-Batchjobs verwendet werden
• Google Cloud Projekt-IDs, die Ressourcen enthalten, auf die von IBM z/OS-Batchjobs zugegriffen wird

Firewalls, Router und Domain Name Systems konfigurieren

Konfigurieren Sie Ihre Mainframe-IP-Dateien so, dass Regeln in Firewalls, Routern und Domain Name Systems (DNS) enthalten sind, um Traffic zu und von zuzulassen Google Cloud. Sie können entweder userid.ETC.IPNODES oder userid.HOSTS.LOCAL als Hostdatei installieren, um die Standard-Cloud Storage-API-Endpunkte als VPC-SC-Endpunkt aufzulösen. Die Beispieldatei userid.TCPIP.DATA wird bereitgestellt, um DNS so zu konfigurieren, dass die Einträge in der Hostdatei verwendet werden.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

Netzwerk so konfigurieren, dass VPC-SC erzwungen wird

So erzwingen Sie VPC-SC in Ihrem lokalen Netzwerk:

• Konfigurieren Sie die lokalen Router so, dass ausgehender IBM z/OS-Traffic über Cloud Interconnect oder ein virtuelles privates Netzwerk (VPN) an Zielsubnetze in den VPC-Netzwerken und an die spezielle Domain restricted.googleapis.com weitergeleitet wird.
• Konfigurieren Sie die lokalen Firewalls so, dass ausgehender Traffic zu VPC-Subnetzen oder VM-Instanzen und Google API-Endpunkten zulässig ist: restricted.googleapis.com 199.36.153.4/30.
• Konfigurieren Sie die lokalen Firewalls so, dass der gesamte andere ausgehende Traffic abgelehnt wird, um eine Umgehung von VPC-SC zu verhindern.
• Konfigurieren Sie die lokalen Firewalls so, dass ausgehender Traffic zu https://www.google-analytics.com zulässig ist.

Nächste Schritte

• Mainframe Connector installieren