Antes de instalar o Mainframe Connector, realize a configuração inicial incluindo a concessão dos papéis necessários à conta de serviço, a configuração da segurança dos recursos e a conectividade de rede entre o mainframe e Google Cloud. As seções a seguir descrevem cada tarefa em detalhes.
Conceder permissões à conta de serviço
Confira se os papéis a seguir foram concedidos à conta de serviço. É possível conceder vários papéis à conta de serviço usando o Google Cloud console ou conceder os papéis de forma programática.
- No nível do projeto, atribua os seguintes papéis:
- No bucket do Cloud Storage, atribua os seguintes papéis:
Configurar a segurança dos recursos
Confira se as seguintes permissões exigidas pela Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) (Java 8 ou Java 17)
foram concedidas ao mainframe. A segurança da camada de transporte (TLS) é usada em todas as
solicitações feitas do mainframe para Google Cloud APIs. Se essas permissões não forem concedidas, você vai receber uma mensagem de erro INSUFFICIENT ACCESS AUTHORITY.
- ICSF Query Facility (CSFIQF)
- Random Number Generate (CSFRNG)
- Random Number Generate Long (CSFRNGL)
- PKA Key Import (CSFPKI)
- Digital Signature Generate (CSFDSG)
- Digital Signature Verify (CSFDSV)
Configurar a conectividade de rede
O Mainframe Connector interage com as APIs do Cloud Storage, do BigQuery e do Cloud Logging. Confira se o Cloud Interconnect e o VPC Service Controls (VPC-SC) estão configurados para permitir o acesso a recursos específicos do BigQuery, do Cloud Storage e do Cloud Logging de intervalos de IP especificados, com base na política da empresa. Também é possível usar as APIs do Pub/Sub, do Dataflow e do Managed Service for Apache Spark para mais integração entre jobs em lote do IBM z/OS e pipelines de dados no Google Cloud.
Confira se a equipe de administração de rede tem acesso ao seguinte:
- Sub-redes de IP atribuídas às partições lógicas (LPARs) do IBM z/OS
- Google Cloud Contas de serviço usadas por jobs em lote do IBM z/OS
- Google Cloud IDs de projeto que contêm recursos acessados por jobs em lote do IBM z/OS
Configurar firewalls, roteadores e sistemas de nomes de domínio
Configure os arquivos de IP do mainframe para incluir regras em firewalls, roteadores e sistemas de nomes de domínio (DNSs) para permitir o tráfego de e para Google Cloud. É possível instalar userid.ETC.IPNODES ou userid.HOSTS.LOCAL como arquivo hosts para resolver os endpoints da API do Cloud Storage padrão como o endpoint do VPC-SC. O arquivo de exemplo userid.TCPIP.DATA é implantado para configurar o DNS para usar as entradas do arquivo de hosts.
- ETC.IPNODES
- 199.36.153.4 www.googleapis.com
- 199.36.153.5 www.googleapis.com
- 199.36.153.6 www.googleapis.com
- 199.36.153.7 www.googleapis.com
- 199.36.153.4 oauth2.googleapis.com
- 199.36.153.5 oauth2.googleapis.com
- 199.36.153.6 oauth2.googleapis.com
- 199.36.153.7 oauth2.googleapis.com
- 127.0.0.1 LPAR1 (based on LPAR configuration)
- 127.0.0.1 LPAR2
- 127.0.0.1 LPAR3
- HOSTS.LOCAL
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
- LOOKUP LOCAL DNS
Configurar a rede para aplicar o VPC-SC
Para aplicar o VPC-SC na rede local, configure-o da seguinte maneira:
- Configure os roteadores locais para encaminhar o tráfego de saída do IBM z/OS para sub-redes de destino nas redes VPC e o domínio especial
restricted.googleapis.comusando o Cloud Interconnect ou uma rede privada virtual (VPN). - Configure os firewalls locais para permitir o tráfego de saída para sub-redes VPC ou instâncias de VM e endpoints da API do Google:
restricted.googleapis.com 199.36.153.4/30. - Configure os firewalls locais para negar todo o tráfego de saída para evitar o bypass do VPC-SC.
- Configure os firewalls locais para permitir o tráfego de saída para
https://www.google-analytics.com.