Premiers pas avec Mainframe Connector

Avant d'installer Mainframe Connector, vous devez effectuer la configuration initiale y compris accorder les rôles requis à votre compte de service, configurer la sécurité de vos éléments et configurer la connectivité réseau entre votre mainframe et Google Cloud. Les sections suivantes décrivent chaque tâche en détail.

Accorder des autorisations au compte de service

Assurez-vous que les rôles suivants sont accordés à votre compte de service. Vous pouvez attribuer plusieurs rôles à votre compte de service à l'aide de la Google Cloud console ou attribuer les rôles par programmation.

• Au niveau du projet, attribuez les rôles suivants :
  • Rédacteur de journaux
  • Utilisateur de job BigQuery
• Dans votre bucket Cloud Storage, attribuez les rôles suivants :
  • Administrateur des objets Storage
  • Éditeur de données BigQuery
  • Utilisateur de sessions de lecture BigQuery

Configurer la sécurité de vos éléments

Assurez-vous que les autorisations suivantes requises par Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) (Java 8 ou Java 17) sont accordées à votre mainframe. La sécurité de la couche de transport (TLS) est utilisée pour toutes les requêtes effectuées depuis votre mainframe vers les Google Cloud API. Si ces autorisations ne sont pas accordées, le message d'erreur INSUFFICIENT ACCESS AUTHORITY s'affiche.

• ICSF Query Facility (CSFIQF)
• Random Number Generate (CSFRNG)
• Random Number Generate Long (CSFRNGL)
• PKA Key Import (CSFPKI)
• Digital Signature Generate (CSFDSG)
• Digital Signature Verify (CSFDSV)

Configurer la connectivité réseau

Mainframe Connector interagit avec les API Cloud Storage, BigQuery et Cloud Logging. Assurez-vous que Cloud Interconnect et VPC Service Controls (VPC-SC) sont configurés pour autoriser l'accès à des ressources BigQuery, Cloud Storage et Cloud Logging spécifiques à partir de plages d'adresses IP spécifiées, en fonction de la stratégie de votre entreprise policy. Vous pouvez également utiliser les API Pub/Sub, Dataflow et Managed Service for Apache Spark pour une intégration supplémentaire entre les jobs par lot IBM z/OS et les pipelines de données sur Google Cloud.

Assurez-vous que votre équipe d'administration réseau a accès aux éléments suivants :

• Sous-réseaux IP attribués aux partitions logiques (LPAR) IBM z/OS
• Google Cloud Comptes de service utilisés par les jobs par lot IBM z/OS
• Google Cloud ID de projet contenant les ressources auxquelles accèdent les jobs par lot IBM z/OS

Configurer les pare-feu, les routeurs et les systèmes de noms de domaine

Configurez vos fichiers IP de mainframe pour inclure des règles dans les pare-feu, les routeurs et les systèmes de noms de domaine (DNS) afin d'autoriser le trafic vers et depuis Google Cloud. Vous pouvez installer userid.ETC.IPNODES ou userid.HOSTS.LOCAL en tant que fichier hôtes pour résoudre les points de terminaison d'API Cloud Storage standards en tant que point de terminaison VPC-SC. L'exemple de fichier userid.TCPIP.DATA est déployé pour configurer le DNS afin d'utiliser les entrées du fichier hôtes.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

Configurer votre réseau pour appliquer VPC-SC

Pour appliquer VPC-SC sur votre réseau sur site, configurez-le comme suit :

• Configurez les routeurs sur site pour acheminer le trafic sortant IBM z/OS vers les sous-réseaux de destination dans les réseaux VPC et le domaine spécial restricted.googleapis.com à l'aide de Cloud Interconnect ou d'un réseau privé virtuel (VPN).
• Configurez les pare-feu sur site pour autoriser le trafic sortant vers les sous-réseaux VPC ou les instances de VM et les points de terminaison d'API Google : restricted.googleapis.com 199.36.153.4/30.
• Configurez les pare-feu sur site pour refuser tout autre trafic sortant afin d'empêcher le contournement de VPC-SC.
• Configurez les pare-feu sur site pour autoriser le trafic sortant vers https://www.google-analytics.com.

Étape suivante

• Installer Mainframe Connector