IBM Cloud Docs
连接到 z/OS 虚拟服务器实例

连接到 z/OS 虚拟服务器实例

z/OS 虚拟服务器实例通常是专用后端基础架构组件,绝不能从外部直接访问。 即使用于开发,测试或演示的环境也必须遵循逻辑隔离的良好实践。

要了解如何使用子网来安全地隔离和控制到后端基础结构 (例如 z/OS 虚拟服务器实例) 的流量,您可以参阅以下教程:

使用客户机到站点 VPN 服务器连接到 VPC 网络后,可以使用专用 IP 地址访问 z/OS 虚拟服务器实例。

准备工作

在连接到 z/OS 实例之前,请确保找到专用 IP 地址。 专用IP地址是由系统提供的IP地址,只能在VPC网络内访问。 成功创建 z/OS 虚拟服务器实例后,可以在控制台上的 保留 IP 地址 列下找到该实例的专用 IP 地址。

如果 z/OS 虚拟服务器实例是使用 z/OS 开发和测试库存映像创建的,那么您可以参阅 保留配置 表以向实例的安全组添加其他端口。

步骤 1. 配置密码

必须先更改缺省用户标识 ibmuser 的密码,然后才能登录到 z/OS 虚拟服务器实例。

如果您正在使用 z/OS Wazi aaS 定制映像,那么不需要配置密码。 您可以安全地忽略此步骤,然后改为连接到 z/OS 虚拟服务器实例。

  1. 使用 SSH 专用密钥和缺省用户标识登录到 z/OS UNIX shell 环境。 以下代码片段中的 vsi ip address 表示 z/OS 虚拟服务器实例的专用 IP 地址。

    ssh -i <path to your private key file> ibmuser@<vsi ip address>
    

    您会收到类似于以下示例的响应。 系统提示您继续连接时,请输入 yes

    The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established.
    ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxx.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added 'xxx.xxx.xxx.xxx' (ECDSA) to the list of known hosts.
    
  2. 使用 tsocmd 命令为 z/OS 实例配置密码短语。 将 YOUR PASSWORD PHRASE 替换为您自己的密码短语。

    tsocmd "ALTUSER IBMUSER PHRASE('YOUR PASSWORD PHRASE') NOEXPIRE RESUME"
    

    您必须遵循 分配密码短语中列出的密码短语的语法规则。

    有关这些命令的更多信息,请参阅 tsocmd-从 shell 运行 TSO/E 命令(包括授权命令)ALTUSER(Alter 用户概要文件)

步骤 2. 连接

您可以使用以下方法与 z/OS 虚拟服务器实例进行交互。

使用 TN3270 终端仿真器

您可以使用 TN3270 终端仿真器来登录到“时间共享选项/扩展”(TSO/E)。 受保护 TN3270 的缺省端口为 992,您需要提供自签名认证中心 (CA) 证书作为参数,以便与 3270 仿真程序建立安全连接。 您可以在 z/OS UNIX System Services中 IBMUSER 用户标识的主目录中名为 common_cacert 的文件中找到自签名 CA 证书。

  • 对于安装了安全复制协议 (SCP) 客户端的 macOS, Linux 和 Windows 系统,在连接到安全 telnet 端口并运行以下命令之前,需要传输 common_cacert 文件:

    scp ibmuser@<vsi ip address>:/u/ibmuser/common_cacert <my local dir>/common_cacert
    c3270 -cafile <my local dir>/common_cacert -port 992 <vsi ip address>
    

    如果该文件的格式不正确,那么需要将其转换为 ASCII 格式。

  • 对于 Windows,您需要首先将自签名 CA 证书导入到 Windows 中,然后创建 IBM Personal Communications (PCOMM) 以从 Windows 中的信任库读取 CA 证书。 完成以下步骤:

    1. common_cacert 文件从 z/OS 系统传输到工作站。

    2. 在工作站中打开 Internet 选项

    3. 内容下,选择 证书

    4. 选择 导入 以打开“证书导入向导”页面,然后单击 下一步

    5. 点击 “浏览” 选择 common_cacert 文件,然后点击 “下一步”。

    6. 在“证书库”页面下,选择 将所有证书放在以下库中,然后单击 浏览 以选择 可信根认证中心,然后单击 下一步

    7. 在“完成证书导入向导”页面上,单击 完成

    8. 成功将 CA 证书传输到信任库后,需要在 PCOMM 中创建安全会话。 在 链接参数 配置的 主机定义 选项卡下,输入端口为 992 的 z/OS 虚拟服务器实例的 IP 地址或主机名。

    9. 链接参数 配置的 安全性设置 选项卡下,选中 启用安全性 框。

    缺省用户标识为 IBMUSER,密码是您在上一步中配置的密码。 然后,可以使用 Interactive System Productivity Facility (ISPF) 或使用 z/OS UNIX shell 和实用程序以 TSO 本机方式与 z/OS 进行交互。 有关更多信息,请参阅 与 z/OS交互: TSO,ISPF和 z/OS UNIX 接口

    3270 连接的非安全端口 23 已关闭。 必须使用安全端口 992

    • VSI 服务器证书仅包含 z/OS 虚拟服务器实例的专用 IP 地址信息。
    • (可选) 在通过浮动 IP 地址进行连接时,可以将 VSI 的 IP 地址用作 accepthostname 参数的一部分。 例如:
      c3270 -cafile <my local dir>/common_cacert -port 992 -accepthostname <vsi ip address>  <floating ip>
      

使用 IBM Host On-Demand

如果要使用 IBM Host On-Demand导入 CA 证书,请运行以下命令:

  1. 从 z/OS 系统下载证书文件。

    scp ibmuser@<vsi ip address>:/u/ibmuser/common_cacert ./Downloads/common_cacert
    
  2. 导入下载的证书。 使用可识别的别名。

    keytool -importcert -alias <alias> -file ./Downloads/common_cacert -keystore /Applications/HostOnDemand/lib/CustomizedCAs.jks -storepass hodpwd
    
  3. 请检查已导入的证书。

    keytool -list -keystore /Applications/HostOnDemand/lib/CustomizedCAs.jks -storepass hodpwd
    

使用 Web 浏览器访问 z/OSMF

您可以使用 Web 浏览器来访问 IBM z/OS Management Facility (z/OSMF)。 例如,访问 URL https://<vsi ip address>:10443/zosmf/LogOnPanel.jsp

有关 z/OSMF的更多信息,请参阅 IBM z/OS Management Facility

启动 z/OSMF时,将显示浏览器安全性警告,因为 z/OS 虚拟服务器实例是使用内部自签名根证书签署的 TLS 证书创建的。

从 IBM Cloud UI 使用串行控制台

您可以使用 IBM Cloud 连接到串行控制台,并在控制台中监视 IPL 的进度。

要连接到串行控制台,您需要在 IBM Cloud Identity and Access Management (IAM)中为虚拟服务器实例分配 Operator (或更高)和 Console Administrator 角色。 否则,将禁用串行控制台。

遵循以下步骤以使用 IBM Cloud UI 连接到控制台。

  1. IBM Cloud 控制台,转到 导航菜单 图标 菜单图标 > 基础设施 VPC 图标 > 计算 > 虚拟服务器实例

  2. VPC 的虚拟服务器实例 列表中,单击需要访问的实例的溢出按钮,然后单击 打开串行控制台。 或者,在实例详细信息页面上,单击右上方的 操作,然后单击 打开串行控制台

  3. 如果正在使用串行控制台,那么系统将提示您确认是否强制打开会话。 这将断开其他用户的会话。

  4. 按照提示输入凭证以登录到实例。

  5. 使用 Ctrl + L 组合键来打开新的 z/OS Master Console,您可以在其中发出四个命令 startstopiploprmsg for z/OS 虚拟服务器实例操作。

有关更多信息,请参阅 使用 VNC 或串行控制台访问虚拟服务器实例。 VNC 控制台在 z/OS 虚拟服务器实例上不受支持。

通过浮动 IP 地址使用 SSH 专用密钥

您可以通过浮动 IP 地址使用 SSH 专用密钥来连接 z/OS UNIX shell 环境。

但是,出于安全考虑,您可能想要取消浮动 IP 与 z/OS 虚拟服务器实例的绑定,并将 防御主机客户机到站点 VPN 服务器 用于所有连接。 默认的安全端口为22。 有关浮动 IP 地址的更多信息,请参阅 保留浮动 IP 地址

如果要访问使用其他 SSH 密钥创建的其他 z/OS 虚拟服务器实例,那么必须要求实例所有者将 SSH 公用密钥添加到该 z/OS 虚拟服务器实例上的 authorized_keys 文件中。 有关 authorized_keys 文件的更多信息,请参阅 authorized_keys 文件的格式配置新用户以访问 z/OS 虚拟服务器实例

步骤 3. 配置新用户以访问 z/OS 虚拟服务器实例

要允许其他人在创建实例后使用自己的 z/OS 用户标识和自己的 SSH 密钥来访问 z/OS 虚拟服务器实例,必须创建每个用户概要文件,并将每个 SSH 公用密钥添加到 z/OS 虚拟服务器实例上的 authorized_keys 文件中。

  1. 您可以使用下列其中一种方法在 RACF (资源访问控制设施) 中创建新的 z/OS 用户标识:

    • 发出 ADDUSER 命令。
    • 通过 TSO/E 信息中心设施 (ICF) 面板注册用户。 有关管理信息中心设施的更多信息,请参阅 z/OS TSO/E 管理

    以下是使用 ADDUSER 命令创建用户概要文件的示例。 假设您要为用户 Steve H. (部门 A 的成员) 创建用户概要文件。您要分配以下值:

    • STEVEH 用户ID
    • DEPTA 表示缺省连接组
    • DEPTA 表示 STEVEH 用户概要文件的所有者
    • R3I5VQX 表示初始密码
    • Steve H. 表示用户的名称

    Steve H. 不需要除 TSO 以外的任何用户概要文件段。 要设置为以其开头的 TSO 段值为 123456 (针对帐号) 和 PROC01 (针对登录过程)。

    要使用这些值创建用户概要文件,可以运行以下命令:

    ADDUSER STEVEH DFLTGRP(DEPTA) OWNER(DEPTA) NAME('Steve H.')
        PASSWORD(R315VQX) TSO(ACCTNUM(123456) PROC(PROC01))
    
  2. 然后,可以使用下列其中一个选项将新的 SSH 公用密钥添加到 authorized_keys 文件中。

    • 使用 linux 命令 (例如 ssh-copy-id -i <new-ssh-public-key-file> ibmuser@<vsi ip address> ) 将本地文件系统上的新 SSH 公用密钥上载到 z/OS 虚拟服务器实例。 有关更多信息,请参阅 ssh-copy-id for copy SSH keys to servers

    • 登录到 z/OS 虚拟服务器实例,使用 z/OS Unix 系统 shell 命令 (例如 cat <new-ssh-public-key-file> >> ~/.ssh/authorized_keys ) 将新的 SSH 公用密钥并置到 authorized_keys 文件中。 有关更多信息,请参阅 cat-Concatenate 或 display files

    • 使用 Zowe CLI 连接到 z/OS 虚拟服务器实例,然后创建 CLI 概要文件并将新的 SSH 公用密钥添加到 authorized_keys 文件中。 有关 Zowe CLI 概要文件的更多信息,请参阅 创建 Zowe CLI 概要文件

有关 authorized_keys 文件和 z/OS 用户概要文件的更多信息,请参阅 authorized_keys 文件的格式定义用户的步骤摘要

后续步骤

连接到虚拟服务器实例后,可以 管理实例

有关管理 z/OS 虚拟服务器实例的指示信息,请参阅 配置和管理 z/OS 虚拟服务器实例