连接到 z/OS 虚拟服务器实例
z/OS 虚拟服务器实例通常是专用后端基础架构组件,绝不能从外部直接访问。 即使用于开发,测试或演示的环境也必须遵循逻辑隔离的良好实践。
要了解如何使用子网来安全地隔离和控制到后端基础结构 (例如 z/OS 虚拟服务器实例) 的流量,您可以参阅以下教程:
使用客户机到站点 VPN 服务器连接到 VPC 网络后,可以使用专用 IP 地址访问 z/OS 虚拟服务器实例。
准备工作
在连接到 z/OS 实例之前,请确保找到专用 IP 地址。 专用IP地址是由系统提供的IP地址,只能在VPC网络内访问。 成功创建 z/OS 虚拟服务器实例后,可以在控制台上的 保留 IP 地址 列下找到该实例的专用 IP 地址。
如果 z/OS 虚拟服务器实例是使用 z/OS 开发和测试库存映像创建的,那么您可以参阅 保留配置 表以向实例的安全组添加其他端口。
步骤 1. 配置密码
必须先更改缺省用户标识 ibmuser
的密码,然后才能登录到 z/OS 虚拟服务器实例。
如果您正在使用 z/OS Wazi aaS 定制映像,那么不需要配置密码。 您可以安全地忽略此步骤,然后改为连接到 z/OS 虚拟服务器实例。
-
使用 SSH 专用密钥和缺省用户标识登录到 z/OS UNIX shell 环境。 以下代码片段中的
vsi ip address
表示 z/OS 虚拟服务器实例的专用 IP 地址。ssh -i <path to your private key file> ibmuser@<vsi ip address>
您会收到类似于以下示例的响应。 系统提示您继续连接时,请输入
yes
。The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established. ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxx. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'xxx.xxx.xxx.xxx' (ECDSA) to the list of known hosts.
-
使用
tsocmd
命令为 z/OS 实例配置密码短语。 将YOUR PASSWORD PHRASE
替换为您自己的密码短语。tsocmd "ALTUSER IBMUSER PHRASE('YOUR PASSWORD PHRASE') NOEXPIRE RESUME"
您必须遵循 分配密码短语中列出的密码短语的语法规则。
有关这些命令的更多信息,请参阅 tsocmd-从 shell 运行 TSO/E 命令(包括授权命令) 和 ALTUSER(Alter 用户概要文件)。
步骤 2. 连接
您可以使用以下方法与 z/OS 虚拟服务器实例进行交互。
使用 TN3270 终端仿真器
您可以使用 TN3270 终端仿真器来登录到“时间共享选项/扩展”(TSO/E)。 受保护 TN3270 的缺省端口为 992
,您需要提供自签名认证中心 (CA) 证书作为参数,以便与 3270 仿真程序建立安全连接。 您可以在 z/OS UNIX System Services中 IBMUSER
用户标识的主目录中名为 common_cacert
的文件中找到自签名 CA 证书。
-
对于安装了安全复制协议 (SCP) 客户端的 macOS, Linux 和 Windows 系统,在连接到安全 telnet 端口并运行以下命令之前,需要传输
common_cacert
文件:scp ibmuser@<vsi ip address>:/u/ibmuser/common_cacert <my local dir>/common_cacert c3270 -cafile <my local dir>/common_cacert -port 992 <vsi ip address>
如果该文件的格式不正确,那么需要将其转换为 ASCII 格式。
-
对于 Windows,您需要首先将自签名 CA 证书导入到 Windows 中,然后创建 IBM Personal Communications (PCOMM) 以从 Windows 中的信任库读取 CA 证书。 完成以下步骤:
-
将
common_cacert
文件从 z/OS 系统传输到工作站。 -
在工作站中打开 Internet 选项。
-
在 内容下,选择 证书。
-
选择 导入 以打开“证书导入向导”页面,然后单击 下一步。
-
点击 “浏览” 选择
common_cacert
文件,然后点击 “下一步”。 -
在“证书库”页面下,选择 将所有证书放在以下库中,然后单击 浏览 以选择 可信根认证中心,然后单击 下一步。
-
在“完成证书导入向导”页面上,单击 完成。
-
成功将 CA 证书传输到信任库后,需要在 PCOMM 中创建安全会话。 在 链接参数 配置的 主机定义 选项卡下,输入端口为
992
的 z/OS 虚拟服务器实例的 IP 地址或主机名。 -
在 链接参数 配置的 安全性设置 选项卡下,选中 启用安全性 框。
缺省用户标识为
IBMUSER
,密码是您在上一步中配置的密码。 然后,可以使用 Interactive System Productivity Facility (ISPF) 或使用 z/OS UNIX shell 和实用程序以 TSO 本机方式与 z/OS 进行交互。 有关更多信息,请参阅 与 z/OS交互: TSO,ISPF和 z/OS UNIX 接口。3270 连接的非安全端口
23
已关闭。 必须使用安全端口992
。- VSI 服务器证书仅包含 z/OS 虚拟服务器实例的专用 IP 地址信息。
- (可选) 在通过浮动 IP 地址进行连接时,可以将 VSI 的 IP 地址用作
accepthostname
参数的一部分。 例如:c3270 -cafile <my local dir>/common_cacert -port 992 -accepthostname <vsi ip address> <floating ip>
-
使用 IBM Host On-Demand
如果要使用 IBM Host On-Demand导入 CA 证书,请运行以下命令:
-
从 z/OS 系统下载证书文件。
scp ibmuser@<vsi ip address>:/u/ibmuser/common_cacert ./Downloads/common_cacert
-
导入下载的证书。 使用可识别的别名。
keytool -importcert -alias <alias> -file ./Downloads/common_cacert -keystore /Applications/HostOnDemand/lib/CustomizedCAs.jks -storepass hodpwd
-
请检查已导入的证书。
keytool -list -keystore /Applications/HostOnDemand/lib/CustomizedCAs.jks -storepass hodpwd
使用 Web 浏览器访问 z/OSMF
您可以使用 Web 浏览器来访问 IBM z/OS Management Facility (z/OSMF)。 例如,访问 URL https://<vsi ip address>:10443/zosmf/LogOnPanel.jsp
。
有关 z/OSMF的更多信息,请参阅 IBM z/OS Management Facility。
启动 z/OSMF时,将显示浏览器安全性警告,因为 z/OS 虚拟服务器实例是使用内部自签名根证书签署的 TLS 证书创建的。
从 IBM Cloud UI 使用串行控制台
您可以使用 IBM Cloud 连接到串行控制台,并在控制台中监视 IPL 的进度。
要连接到串行控制台,您需要在 IBM Cloud Identity and Access Management (IAM)中为虚拟服务器实例分配 Operator
(或更高)和 Console Administrator
角色。 否则,将禁用串行控制台。
遵循以下步骤以使用 IBM Cloud UI 连接到控制台。
-
在 IBM Cloud 控制台,转到 导航菜单 图标
> 基础设施
> 计算 > 虚拟服务器实例。
-
在 VPC 的虚拟服务器实例 列表中,单击需要访问的实例的溢出按钮,然后单击 打开串行控制台。 或者,在实例详细信息页面上,单击右上方的 操作,然后单击 打开串行控制台。
-
如果正在使用串行控制台,那么系统将提示您确认是否强制打开会话。 这将断开其他用户的会话。
-
按照提示输入凭证以登录到实例。
-
使用 Ctrl + L 组合键来打开新的 z/OS Master Console,您可以在其中发出四个命令
start
,stop
,ipl
和oprmsg
for z/OS 虚拟服务器实例操作。
有关更多信息,请参阅 使用 VNC 或串行控制台访问虚拟服务器实例。 VNC 控制台在 z/OS 虚拟服务器实例上不受支持。
通过浮动 IP 地址使用 SSH 专用密钥
您可以通过浮动 IP 地址使用 SSH 专用密钥来连接 z/OS UNIX shell 环境。
但是,出于安全考虑,您可能想要取消浮动 IP 与 z/OS 虚拟服务器实例的绑定,并将 防御主机 或 客户机到站点 VPN 服务器 用于所有连接。 默认的安全端口为22。 有关浮动 IP 地址的更多信息,请参阅 保留浮动 IP 地址
如果要访问使用其他 SSH 密钥创建的其他 z/OS 虚拟服务器实例,那么必须要求实例所有者将 SSH 公用密钥添加到该 z/OS 虚拟服务器实例上的 authorized_keys
文件中。 有关 authorized_keys
文件的更多信息,请参阅 authorized_keys 文件的格式 和 配置新用户以访问 z/OS 虚拟服务器实例。
步骤 3. 配置新用户以访问 z/OS 虚拟服务器实例
要允许其他人在创建实例后使用自己的 z/OS 用户标识和自己的 SSH 密钥来访问 z/OS 虚拟服务器实例,必须创建每个用户概要文件,并将每个 SSH 公用密钥添加到 z/OS 虚拟服务器实例上的 authorized_keys
文件中。
-
您可以使用下列其中一种方法在 RACF (资源访问控制设施) 中创建新的 z/OS 用户标识:
- 发出
ADDUSER
命令。 - 通过 TSO/E 信息中心设施 (ICF) 面板注册用户。 有关管理信息中心设施的更多信息,请参阅 z/OS TSO/E 管理。
以下是使用
ADDUSER
命令创建用户概要文件的示例。 假设您要为用户 Steve H. (部门 A 的成员) 创建用户概要文件。您要分配以下值:STEVEH
用户IDDEPTA
表示缺省连接组DEPTA
表示 STEVEH 用户概要文件的所有者R3I5VQX
表示初始密码Steve H.
表示用户的名称
Steve H. 不需要除 TSO 以外的任何用户概要文件段。 要设置为以其开头的 TSO 段值为
123456
(针对帐号) 和PROC01
(针对登录过程)。要使用这些值创建用户概要文件,可以运行以下命令:
ADDUSER STEVEH DFLTGRP(DEPTA) OWNER(DEPTA) NAME('Steve H.') PASSWORD(R315VQX) TSO(ACCTNUM(123456) PROC(PROC01))
- 发出
-
然后,可以使用下列其中一个选项将新的 SSH 公用密钥添加到
authorized_keys
文件中。-
使用 linux 命令 (例如
ssh-copy-id -i <new-ssh-public-key-file> ibmuser@<vsi ip address>
) 将本地文件系统上的新 SSH 公用密钥上载到 z/OS 虚拟服务器实例。 有关更多信息,请参阅 ssh-copy-id for copy SSH keys to servers。 -
登录到 z/OS 虚拟服务器实例,使用 z/OS Unix 系统 shell 命令 (例如
cat <new-ssh-public-key-file> >> ~/.ssh/authorized_keys
) 将新的 SSH 公用密钥并置到authorized_keys
文件中。 有关更多信息,请参阅 cat-Concatenate 或 display files。 -
使用 Zowe CLI 连接到 z/OS 虚拟服务器实例,然后创建 CLI 概要文件并将新的 SSH 公用密钥添加到
authorized_keys
文件中。 有关 Zowe CLI 概要文件的更多信息,请参阅 创建 Zowe CLI 概要文件。
-
有关 authorized_keys
文件和 z/OS 用户概要文件的更多信息,请参阅 authorized_keys 文件的格式 和 定义用户的步骤摘要。
后续步骤
连接到虚拟服务器实例后,可以 管理实例。
有关管理 z/OS 虚拟服务器实例的指示信息,请参阅 配置和管理 z/OS 虚拟服务器实例。