daniel vieira de vasconcelos (41) 3340 62 77 – abril/2007 tss – zrm - esm projeto omegamon no...
TRANSCRIPT
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Projeto OMEGAMON no HSBC Brasil
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Conceitos dos produtos da Família IBM-Tivoli OMEGAMON
Infra-estrutura implementada atualmente
STCs (Funções / Automações)
Interfaces existentes
Contingência do TEMS-HUB (Configuração utilizada)
Implementação da segurança RACF
Atividades já executadas / implementadas
Atividades em andamento
Atividades futuras / previstas
Tópicos
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Conceitos dos produtos da Família IBM-Tivoli OMEGAMON
A família de produtos OMEGAMON tem por finalidade permitir a monitoração dos recursos em LPARES da plataforma Mainframe.
Para cada recurso monitorado (z/OS, DB2, IMS, CICS, MQ) existem tasks ativas que executam as seguintes funções:
Collector (Tasks:OMGXXX1, onde XXX= sigla do recurso monitorado)
Interface 3270 (Tasks: OMGXXX2)
Interface Gráfica (Tasks: OMGXXX3)
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Infra-estrutura implementada atualmente
TEPSServerDesenvolvimento
ServerHomologador
ServerProdução
CMS Hub
Monitoração e Automação Local
OMEGAMON for MQ
OMEGAMON for DB2
OMEGAMON for CICS
OMEGAMON for IMS
OMEGAMON for OS/390
Agentes
Agentes
Agentes
Acesso 3270
Client Browser Client Desktop
CMS Remotos
Presente em todas Lpares
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Infra-estrutura implementada atualmente
Prod-A Prod-B Prod-C Prod-D Prod-E LOS-A LOS-B
HOM-A HOM-B
DES-A DES-B
Browser/Client Server Windows
CMS-HUBLEGENDA:
Agentes z/OS
Agentes DB2
Agentes CICS
Agentes IMS
Agentes MQS
CMS-Remoto3270
Browser/Client Server Windows
3270
Browser/Client Server Windows
3270
CMS-HUB
CMS-HUB
LEGENDA:
Agentes z/OS
Agentes DB2
Agentes CICS
Agentes IMS
Agentes MQS
CMS-Remoto
LEGENDA:
Agentes z/OS
Agentes DB2
Agentes CICS
Agentes IMS
Agentes MQS
CMS-RemotoOMGVIEW
CMS-HUB
CMS-HUB
CMS-HUB
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
STCs FunçõesOMGCN
Subsistema do produto
Ativo em todas LPARES.
OMGCMSCMS/TEMS-HUB Responsável pela comunicação CMS-Remoto e interfaces de monitoração (Portal / OMEGAVIEW) entre outras funções. Importante: Só existe um CMS por ambiente
Ativo apenas nas LPARES: DES-A, HOM-A e PROD-B. ** Importante: Havendo necessidade pode-se optar por migrá-lo para LPAR de contingência.
CMS/TEMS-Remoto –Responsável pela comunicação entre os agentes e o CMS/TEMS-HUB podendo em alguns casos acumular outras funções de acordo com a configuração do ambiente/LPAR.
Ativo em todas LPARES
OMGCMSR
OMGXXX1 Agente de monitoração Coletor de informações, onde XXX corresponde ao recurso monitorado, variando entre ZOS, DB2, CIC e IMS.
ZOS – Em todas LPARESIMS – Somente em Lpares onde existe IMS ativoDB2 – Somente em Lpares onde existe DB2 ativoCIC – Em todas LPARES
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
STCs Funções
OMGXXX2 Agente de monitoração responsável pela interface CUA (3270/OMEGAVIEW), onde XXX corresponde ao recurso monitorado, variando entre ZOS, DB2, CIC e IMS.
ZOS – Em todas LPARESIMS - Somente em Lpares onde existe IMS ativoDB2 – Somente em Lpares onde existe DB2 ativoCIC – Em todas LPARES
OMGXXX3Agente de monitoração responsável pela interface gráfica (Portal OMEGAMON), onde XXX corresponde ao recurso monitorado, variando entre, DB2, CIC e IMS.
IMS – Somente em Lpares onde existe IMS ativoDB2 – Somente em Lpares onde existe DB2 ativoCIC – Em todas LPARES** Importante: não existe OMGZOS3
optou-se por atribuir as funções ao OMGCMSR.
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
STCs Funções
OMGMQS3Agente de monitoração do MQSeries, incorpora em uma única STC todas as funções dos Agentes (1,2 e 3)
OMGZOSHD,OMGZOSEZ, OMGZOSHI
Agentes de monitoração do ZOS, responsáveis pela coleta e gerenciamento da base histórica (histórico/EPILOG).
OMGZOSCSAgente de monitoração de CSA no ZOS.
Ativo somente nas lpares onde existe MQSeries ativo
Ativo em todas LPARES.
Ativo em todas LPARES.
OMGZOSHS,OMGZOSHP
STCs responsáveis pela manutenção da base histórica, executadas automaticamente pela task OMGZOSHI quando necessário.
Executa em todas LPARES quando necessário.
OMGVIEW STC responsável pela inteface 3270/OMEGAVIEW
Executa somente na LPAR CWBD
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
STCs Automações
As automações devem ocorrer respeitando a seguinte ordem de ativação:OMGCN
OMGCMS ** Somente em LPARES: PROD-B, DES-A e HOM-A
OMGZOS1 OMGCIC1 OMGDB21 OMGIMS1
OMGZOS2
OMGZOSEZ
OMGZOSCS
OMGCIC2 OMGCIC3 OMGDB22 OMGDB23 OMGIMS2 OMGIMS3OMGMQS3
OMGZOSHD
OMGZOSHI
OMGCMSR
OMGVIEW ** Somente na LPAR DES-A
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Interfaces Existentes
Existem duas formas de acesso ao OMEGAMON, são elas:
Através do Portal OMEGAMON (via Internet Explorer / Browser)Principais usuários: Operadores responsáveis pela monitoração
Portal de Desenvolvimento: http://ServerDesenvolvimento.ccp.br.hsbc:1920 Portal de Homologação : http://ServerHomologador.ccp.br.hsbc:1920Portal de Produção : http://ServerProdução.ccp.br.hsbc:1920
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Através de interface 3270, podendo ser:
• Principais usuários: analistas do Suporte Técnico• Via OMEGAVIEW (ativação pelo VTAM/APPLID “on ds1omv”)• Via APPLID (ativação via VTAM da APPLID correspondente ao • Produto à ser gerenciado), segue abaixo as APPLIDs existentes:• Banco: ZZXOZOS, ZZXODB2, ZZXOCIC, ZZXOIMS, onde: “ZZ”
corresponde ao prefixo do APPLID de cada LPAR e “X” corresponde ao ambiente que se deseja ativar o monitor, à saber:
• 2 Prod-A, 5 Prod-B, 4 Prod-E, • 3 Prod-C, 6 Prod-D, 9 Hom-B, • 7 Hom-A, 1 Des-A 8 Des-B.• Losango: As definições são as mesmas definidas no “Banco”, porém as
iniciais das APPLID são LX1 (para Losango) e LX2 (para Switcher)
Interfaces Existentes
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Contingência do TEMS-HUB
Implementações no TCPIP
No arquivo de profile de cada LPAR onde se pretende ativar o TEMS-HUB, deve-se configurar o VIPARANGE conforme descrito abaixo:
VIPADYNAMIC VIPADEFINE MOVE IMMED 255.255.254.0 yyy.xxx.zz.ww VIPADEFINE MOVE IMMED 255.255.254.0 www.xxx.yy.zz VIPARANGE DEFINE MOVEABLE NONDISRUPTIVE 255.255.254.0 111.22.222.0 VIPADISTRIBUTE 167.100.10.11 PORT 52061 52062 20 21 52063 DESTIP 167.100.30.11 167.100.30.22 . . .ENDVIPADYNAMIC
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Contingência do TEMS-HUB
Implementações no TCPIP
Ainda no arquivo de profile de cada LPAR onde se pretende ativar o TEMS-HUB, deve-se configurar o BIND para a porta desejada conforme descrito abaixo:
PORT...11918 TCP OMGCMS SHAREPORT BIND 111.22.222.11 ;OMEGAMON CANDLE
(obs. Este IP pertence ao VIPARANGE)11918 TCP OMGCMSR ; OMEGAMON CANDLE MANAGEMENT SERVER...
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Contingência do TEMS-HUB
Implementações no TCPIPNo arquivo de OMPROUTE de cada LPAR onde se pretende
ativar o TEMS-HUB, deve-se configurar a rede definida no VIPARANGE
conforme descrito abaixo:** Caso utilize roteamento dinâmico **
RIP_Interface IP_Address= 111.22.222.*Send_Rip=YES Receive_Rip=YES
Send_Host_Routes=Yes
Subnet_Mask=255.255.254.0
Receive_Dynamic_Nets=YES Receive_Dynamic_Subnets=YES
MTU=1500 RipV2=YES;
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Contingência do TEMS-HUB Implementações no TCPIP** Caso utilize roteamento estático **
No arquivo de profile da LPAR onde se deseja ativar o TEMS-HUB, deve-se
configurar a rota conforme descrito abaixo:
BEGINR
ROUTE 111.22.222.0 255.255.254.0 PLACAOSA MTU 1500
.
.
.
ENDR
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Contingência do TEMS-HUB
• Implementações no OMEGAMON (Mainframe)
Através da ICAT, deve-se re-configurar o TEMS-HUB e TEMS-Remotos para
que apontem para o novo IP do TEMS-HUB(111.22.222.11).
Na RTE correspondente ao TEMS-HUB, em “Specify communication
protocols” setar Protocol-1 como IPPIPE e Protocol-2 como SNA ainda
nesta opção setar Hostname, Address e “Network interface card (NIC)” como o
novo IP do TEMS-HUB(111.22.222.11). Por último executar o Create
Runtime Members e submeter o JCL gerado.
Na RTE correspondente aos TEMS-Remotos, em “Specify configuration values”,
digitar F5 (Advanced), em seguida F10 (CMS List) e selecionar o TEMS
desejado. Por último executar o Create Runtime Members e submeter o JCL
gerado.
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Contingência do TEMS-HUB
• Implementações no TEP (Windows)
Re-configurar o novo TCPIP para apontar o endereço do TEMS-HUB
(111.22.222.11).
Importante: Deve-se efetuar procedimentos de Migrate-Import e Migrate-
Export para preservar as customizações(Users,queries,situation,workspaces)
efetuadas até aquele instante.
Em Manage Candle Services, selecionar o serviço “CandleNet Portal Server” ,
clicar com botão direito do mouse e selecionar “Reconfigure”, setar Protocol 1
como IP.PIPE e Protocol 2 como TCP/IP, selecionar OK e em seguida
informar o endereço do TEMS-HUB (111.22.222.11) em Hostname or IP
Address de “IP Settings of the CMS” e “IP.PIPE Settings of the CMS”.
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Implementação da segurança RACF
• Existem duas formas de implementar, são elas:
• Definição de apenas uma classe para todos os produtos, de forma que os comandos sejam protegidos de maneira genérica e baseando-se na segurança interna do OMEGAMON,
• Várias classes (uma para cada produto), de forma que os comandos sejam protegidos de forma específica, ou seja, cada produto possui sua classe e seus profiles permitindo um gerenciamento mais seguro no acesso aos comandos.
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Implementação da segurança RACF
• Criação de classe(s) no RACF (Necessita de IPL para validação)
Detalhes da(s) classe(s) a ser(em) criada(s):
ICHERCDE CLASS=OMXXXXXX,
ID=nnn,
MAXLNTH=8,
FIRST=ALPHANUM,
OTHER=ANY,
POSIT=nnn,
DFTUACC=NONE
“nnn” variam de acordo com o ambiente.
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Implementação da segurança RACF
Para cada classe criada, deve-se definir profiles no RACF e em seguida
conceder permissões conforme o desejado, seguem exemplos:
RDEFINE OMXXXXXX INITIAL0 UACC(NONE)
RDEFINE OMXXXXXX INITIAL1 UACC(NONE)
RDEFINE OMXXXXXX INITIAL2 UACC(NONE)
RDEFINE OMXXXXXX INITIAL3 UACC(NONE)
PERMIT INITIAL1 CLASS(OMXXXXXX) ID(xxx) ACC(READ)
PERMIT INITIAL2 CLASS(OMXXXXXX) ID(yyy) ACC(READ)
PERMIT INITIAL3 CLASS(OMXXXXXX) ID(zzz) ACC(READ)
Quanto maior o INITIAL, maior o previlégio.
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Implementação da segurança RACF• Cada produto possue uma EXIT específica para interagir com o RACF, são elas:OMEGAMON CICS KOCARACF (Presente na biblioteca RKANSAM)OMEGAMON DB2 KO2RACFX (Presente na biblioteca RKD2SAM)OMEGAMON MVS KOMRACFX (Presente na biblioteca RKANSAM)OMEGAMON IMS KOIRACFX (Presente na biblioteca RKANSAM)
• Deve-se editar cada uma das EXITS e alterar o nome da classe de OMCANDLE para OMXXXXXX correspondente, conforme exemplo abaixo: DE: MVC U#CHCLSD,=CL8'OMCANDLE‘ RESOURCE CLASS NAME PARA: MVC U#CHCLSD,=CL8'OMXXXXXX‘ RESOURCE CLASS NAME
• Para efetuar a compilação das EXITS após as alterações realizadas, deve-se executar os seguintes JCLs de compilação:KOCJRACF(CICS), KO2RACFA(DB2),KOMRACFA(MVS), KOIRACFA(IMS) - (Todos presentes nas bibliotecas descritas acima)
Importante: Após compilados os módulos vão para hlq.BASE.RKANMOD (Atentar para ambientes onde haja compartilhamento desta biblioteca)
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Implementação da segurança RACF
• Procedimentos através da ICATPara cada produto OMEGAMON escolher a opção “Modify Classic interface
command security“ , durante a montagem do JCL, descomentar a linha
conforme exemplo abaixo e alterar o “MODULE=“ para a EXIT
correspondente ao produto:
DE:* FOR RACF OR TOP-SECRET UNCOMMENT THE FOLLOWING STATEMENT:
* MODULE=
PARA:
* FOR RACF OR TOP-SECRET UNCOMMENT THE FOLLOWING STATEMENT:
MODULE=KOMRACFX
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Implementação da segurança RACFAinda durante a montagem do JCL deve-se customizar a proteção dos comandos conforme exemplos abaixo:
COMMAND=FNDU,LEVEL=3,EXTERNAL=XXX,AUDIT=WTOCOMMAND=KILL,LEVEL=3,EXTERNAL=XXX,AUDIT=WTO
Onde “XXX” pode ser YES ou NOYES Caso tenha-se optado por proteção por comando sobre o controle do RACF, (Neste caso é necessário criar profiles no RACF para cada comando e posteriormente conceder os previlégios devidos) Exemplo:RDEFINE OMCANDLE KILL UACC(NONE)PERMIT KILL CLASS(OMCANDLE) ID(DBA) ACCESS(READ)
NO Caso tenha-se optado por utilizar a proteção RACF baseando-se na segurança interna do produto (INITIAL0,INITIAL1,INITIAL2 e INITIAL3)
Por último, deve-se executar o JCL gerado, efetuar um refresh da linklist e Recycle das STCs.
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Atividades já implementadas / Executadas
Instalação dos produtos em todas as LPARES, Fornecido treinamento pela IBM em OMEGAMON XE (Interface gráfica/Portal), Definição de visões (Workspaces + Situations), Aplicação de PTFs (visando corrigir problemas existentes no decorrer da implementação), Testes de contingência envolvendo os servidores Windows, Upgrade de processador no servidor Windows do ambiente Produção aplicação de fix-pack6 (nos três servidores), Ajustes em parâmetrizações dos produtos (ajustes finos) visando reduzir o consumo de CPU e otimizar a performance/comportamento da STCs, Implementação de contingência do TEMS-HUB, Implementação de segurança RACF em nossas Lpares de Piloto.
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Atividades em andamento
Tratamento de chamados técnicos em conjunto com a IBM.
Continuidade na implementação de segurança RACF na interface 3270 dos produtos OMEGAMON.
Ajustes finos em queries, situations.
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
Atividades Futuras / Previstas
Treinamento em OMEGAMON na interface 3270,
Revisão de mensagens de confirmação da ativação de todas as STCs, Migração do OMEGAMON for MQ antigo(Candle) para a nova estrutura,
Implementação do OMEGAMON XE for Mainframe Networks,
Elevação de nível dos produtos da família OMEGAMON.
Daniel Vieira de Vasconcelos (41) 3340 62 77 – Abril/2007
TSS – ZRM - ESM
“A Vida é uma grande Universidade,
mas pouco ensina a quem não sabe
ser um aluno”
Augusto Cury