Inizia a utilizzare Mainframe Connector

Prima di installare Mainframe Connector, devi eseguire la configurazione iniziale che include la concessione dei ruoli richiesti al tuo account di servizio, la configurazione della sicurezza per le tue risorse e la configurazione della connettività di rete tra il mainframe e Google Cloud. Le sezioni seguenti descrivono in dettaglio ogni attività.

Concedi le autorizzazioni al account di servizio

Assicurati che al tuo account di servizio siano stati concessi i seguenti ruoli. Puoi concedere più ruoli al tuo account di servizio utilizzando la Google Cloud console oppure concedere i ruoli a livello di programmazione.

• A livello di progetto, assegna i seguenti ruoli:
  • Writer log
  • Utente job BigQuery
• Nel bucket Cloud Storage, assegna i seguenti ruoli:
  • Storage Object Admin
  • Editor dati BigQuery
  • BigQuery Read Session User

Configura la sicurezza per le tue risorse

Assicurati che per il mainframe siano state concesse le seguenti autorizzazioni richieste da Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) (Java 8 o Java 17) . Il protocollo TLS (Transport Layer Security) viene utilizzato per tutte le richieste effettuate dal mainframe alle Google Cloud API. Se queste autorizzazioni non vengono concesse, viene visualizzato un messaggio di errore INSUFFICIENT ACCESS AUTHORITY.

• ICSF Query Facility (CSFIQF)
• Random Number Generate (CSFRNG)
• Random Number Generate Long (CSFRNGL)
• PKA Key Import (CSFPKI)
• Digital Signature Generate (CSFDSG)
• Digital Signature Verify (CSFDSV)

Configura la connettività di rete

Mainframe Connector interagisce con le API Cloud Storage, BigQuery e Cloud Logging. Assicurati che Cloud Interconnect e Controlli di servizio VPC (VPC-SC) siano configurati per consentire l'accesso a risorse specifiche di BigQuery, Cloud Storage e Cloud Logging da intervalli IP specifici, in base alla policy aziendale. Puoi anche utilizzare le API Pub/Sub, Dataflow e Managed Service for Apache Spark per un'ulteriore integrazione tra i job batch IBM z/OS e le pipeline di dati su Google Cloud.

Assicurati che il team di amministrazione della rete abbia accesso a quanto segue:

• Subnet IP assegnate alle partizioni logiche (LPAR) IBM z/OS
• Google Cloud Service account utilizzati dai job batch IBM z/OS
• Google Cloud ID progetto contenenti le risorse a cui accedono i job batch IBM z/OS

Configura firewall, router e sistemi DNS (Domain Name System)

Configura i file IP del mainframe in modo da includere regole in firewall, router e sistemi DNS (Domain Name System) per consentire il traffico da e verso Google Cloud. Puoi installare userid.ETC.IPNODES o userid.HOSTS.LOCAL come file host per risolvere gli endpoint API Cloud Storage standard come endpoint VPC-SC. Il file di esempio userid.TCPIP.DATA viene sottoposto a deployment per configurare il DNS in modo che utilizzi le voci del file host.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

Configura la rete per applicare VPC-SC

Per applicare VPC-SC alla rete on-premise, configurala come segue:

• Configura i router on-premise in modo che instradino il traffico in uscita IBM z/OS verso le subnet di destinazione all'interno delle reti VPC e il dominio speciale restricted.googleapis.com utilizzando Cloud Interconnect o una rete privata virtuale (VPN).
• Configura i firewall on-premise in modo che consentano il traffico in uscita verso le subnet VPC o le istanze VM e gli endpoint API Google: restricted.googleapis.com 199.36.153.4/30.
• Configura i firewall on-premise in modo che neghino tutto il resto del traffico in uscita per impedire l'aggiramento di VPC-SC.
• Configura i firewall on-premise in modo che consentano il traffico in uscita verso https://www.google-analytics.com.

Passaggi successivi

• Installa Mainframe Connector