Mainframe Connector を使ってみる

Mainframe Connector をインストールする前に、サービス アカウントへの必要なロールの付与、アセットのセキュリティ設定、メインフレームと Google Cloud間のネットワーク接続の設定など、初期設定を行う必要があります。以降のセクションでは、各タスクについて詳しく説明します。

サービス アカウントに権限を付与する

サービス アカウントに次のロールが付与されていることを確認します。 Google Cloud コンソールを使用してサービス アカウントに複数のロールを付与するか、プログラムでロールを付与できます。

• プロジェクト レベルで、次のロールを割り当てます。
  • ログ書き込み
  • BigQuery ジョブユーザー
• Cloud Storage バケットで、次のロールを割り当てます。
  • ストレージのオブジェクト管理者
  • BigQuery データ編集者
  • BigQuery 読み取りセッション ユーザー

アセットのセキュリティを設定する

Java Cryptography Extension Common Cryptographic Architecture（IBMJCECCA）（Java 8 または Java 17）に必要な次の権限がメインフレームに付与されていることを確認します。メインフレームから Google Cloud API へのすべてのリクエストで、Transport Layer Security（TLS）が使用されます。これらの権限が付与されていない場合は、INSUFFICIENT ACCESS AUTHORITY エラー メッセージが表示されます。

• ICSF Query Facility（CSFIQF）
• Random Number Generate（CSFRNG）
• Random Number Generate Long（CSFRNGL）
• PKA Key Import（CSFPKI）
• Digital Signature Generate（CSFDSG）
• Digital Signature Verify（CSFDSV）

ネットワーク接続を設定する

Mainframe Connector は、Cloud Storage、BigQuery、Cloud Logging の各 API を操作します。Cloud Interconnect と VPC Service Controls（VPC-SC）が、エンタープライズ ポリシーに基づいて、指定された IP 範囲から特定の BigQuery、Cloud Storage、および Cloud Logging リソースへのアクセスを許可するように構成されていることを確認します。また、Pub/Sub、Dataflow、Dataproc の各 API を使用して、IBM z/OS バッチジョブと Google Cloudのデータ パイプライン間の統合を強化することもできます。

ネットワーク管理チームが次のものにアクセスできることを確認します。

• IBM z/OS 論理パーティション（LPAR）に割り当てられた IP サブネット
• IBM z/OS バッチジョブで使用されるGoogle Cloud サービス アカウント
• IBM z/OS バッチジョブによってアクセスされるリソースを含むGoogle Cloud プロジェクト ID

ファイアウォール、ルーター、ドメイン ネーム システムを構成する

Google Cloudとの間のトラフィックを許可するファイアウォール、ルーター、ドメイン ネーム システム（DNS）のルールを含めるように、メインフレーム IP ファイルを構成します。userid.ETC.IPNODES または userid.HOSTS.LOCAL を hosts ファイルとしてインストールして、標準の Cloud Storage API エンドポイントを VPC-SC エンドポイントとして解決できます。サンプル ファイル userid.TCPIP.DATA がデプロイされ、ホストファイル エントリを使用するように DNS が構成されます。

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

VPC-SC を適用するようにネットワークを構成する

オンプレミス ネットワークで VPC-SC を適用するには、次のように構成します。

• Cloud Interconnect または仮想プライベート ネットワーク（VPN）を使用して、IBM z/OS アウトバウンド トラフィックを VPC ネットワーク内の宛先サブネットと restricted.googleapis.com 特別ドメインにルーティングするようにオンプレミス ルーターを構成します。
• VPC サブネットまたは VM インスタンスと Google API エンドポイント（restricted.googleapis.com 199.36.153.4/30）へのアウトバウンド トラフィックを許可するようにオンプレミス ファイアウォールを構成します。
• VPC-SC のバイパスを防ぐため、他のすべての送信トラフィックを拒否するようにオンプレミス ファイアウォールを構成します。
• https://www.google-analytics.com へのアウトバウンド トラフィックを許可するようにオンプレミス ファイアウォールを構成します。

次のステップ

• Mainframe Connector をインストールする