תחילת העבודה עם Mainframe Connector

לפני שמתקינים את Mainframe Connector, צריך לבצע את ההגדרה הראשונית, כולל מתן התפקידים הנדרשים לחשבון השירות, הגדרת אבטחה לנכסים והגדרת קישוריות לרשת בין המחשב המרכזי לבין Google Cloud. בקטעים הבאים מתואר כל שלב בפירוט.

מתן הרשאות לחשבון שירות

מוודאים שחשבון השירות קיבל את התפקידים הבאים. אפשר להקצות כמה תפקידים לחשבון השירות באמצעות Google Cloud המסוף או להקצות את התפקידים באופן פרוגרמטי.

• ברמת הפרויקט, מקצים את התפקידים הבאים:
  • Logs Writer
  • BigQuery Job User
• בקטגוריה של Cloud Storage, מקצים את התפקידים הבאים:
  • אדמין של אובייקט אחסון
  • עריכה של נתוני BigQuery
  • BigQuery Read Session User

הגדרת אבטחה לנכסים

מוודאים שההרשאות הבאות שנדרשות על ידי Java Cryptography Extension Common Cryptographic Architecture‏ (IBMJCECCA) (Java 8 או Java 17) מוענקות למחשב המרכזי. ההצפנה בתקן Transport Layer Security (אבטחת שכבת התעבורה, TLS) משמשת בכל הבקשות שנשלחות מהמחשב המרכזי אל ממשקי ה-API של Google Cloud . אם ההרשאות האלה לא ניתנו, תופיע הודעת השגיאה INSUFFICIENT ACCESS AUTHORITY.

• ‫ICSF Query Facility (CSFIQF)
• יצירת מספר אקראי (CSFRNG)
• יצירת מספר אקראי ארוך (CSFRNGL)
• ייבוא מפתחות PKA‏ (CSFPKI)
• יצירת חתימה דיגיטלית (CSFDSG)
• אימות חתימה דיגיטלית (CSFDSV)

הגדרת קישוריות לרשת

‫Mainframe Connector יוצר אינטראקציה עם ממשקי ה-API של Cloud Storage,‏ BigQuery ו-Cloud Logging. מוודאים ששירותי Cloud Interconnect ו-VPC Service Controls‏ (VPC-SC) מוגדרים כך שמאפשרים גישה למשאבים ספציפיים של BigQuery,‏ Cloud Storage ו-Cloud Logging מטווחים ספציפיים של כתובות IP, בהתאם למדיניות הארגון. אפשר גם להשתמש ב-Pub/Sub, ב-Dataflow ובממשקי API של Managed Service for Apache Spark כדי לשלב בין משימות באצווה של IBM z/OS לבין צינורות עיבוד נתונים ב- Google Cloud.

חשוב לוודא שלצוות ניהול הרשת יש גישה לנתונים הבאים:

• רשתות משנה של כתובות IP שהוקצו למחיצות לוגיות (LPAR) של IBM z/OS
• Google Cloud חשבונות שירות שמשמשים עבודות אצווה של IBM z/OS
• Google Cloud מזהי פרויקטים שמכילים משאבים שמתבצעת אליהם גישה על ידי משימות אצווה של IBM z/OS

הגדרת חומות אש, נתבים ומערכות שמות דומיין

מגדירים את קובצי ה-IP של המחשב המרכזי כך שיכללו כללים בחומות אש, בנתבים ובמערכות שמות דומיין (DNS) כדי לאפשר תעבורה אל Google Cloudוממנו. אפשר להתקין את userid.ETC.IPNODES או את userid.HOSTS.LOCAL כקובץ hosts כדי לפתור את נקודות הקצה הרגילות של Cloud Storage API כנקודת הקצה של VPC-SC. קובץ הדוגמה userid.TCPIP.DATA נפרס כדי להגדיר את ה-DNS לשימוש ברשומות של קובץ המארחים.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

הגדרת הרשת כדי לאכוף את VPC-SC

כדי לאכוף את VPC-SC ברשת המקומית, מגדירים אותה באופן הבא:

• מגדירים את הנתבים המקומיים להעברת תעבורת נתונים יוצאת מ-IBM z/OS לרשתות משנה של יעד ברשתות ה-VPC ולדומיין המיוחד restricted.googleapis.com באמצעות Cloud Interconnect או רשת וירטואלית פרטית (VPN).
• מגדירים את חומות האש המקומיות כך שיאפשרו תעבורה יוצאת לרשתות משנה של VPC או למכונות וירטואליות ולנקודות קצה של Google API‏ – restricted.googleapis.com 199.36.153.4/30.
• מגדירים את חומות האש המקומיות כך שיחסמו את כל תעבורת הנתונים היוצאת האחרת, כדי למנוע עקיפה של VPC-SC.
• מגדירים את חומות האש המקומיות כך שיאפשרו תעבורת נתונים יוצאת אל https://www.google-analytics.com.

המאמרים הבאים

• התקנת Mainframe Connector