Comienza a usar Mainframe Connector

Antes de instalar Mainframe Connector, debes realizar la configuración inicial, lo que incluye otorgar los roles necesarios a tu cuenta de servicio, configurar la seguridad de tus activos y configurar la conectividad de red entre tu mainframe y Google Cloud. En las siguientes secciones, se describe cada tarea en detalle.

Otorga permisos a la cuenta de servicio

Asegúrate de que se otorguen los siguientes roles a tu cuenta de servicio. Puedes otorgar varios roles a tu cuenta de servicio con la Google Cloud consola o otorgar los roles de forma programática.

• A nivel del proyecto, asigna los siguientes roles:
  • Escritor de registros
  • Usuario de trabajo de BigQuery
• En tu bucket de Cloud Storage, asigna los siguientes roles:
  • Administrador de objetos de almacenamiento
  • Editor de datos de BigQuery
  • Usuario de sesión de lectura de BigQuery

Configura la seguridad de tus activos

Asegúrate de que se otorguen los siguientes permisos que requiere la arquitectura criptográfica común de la extensión de criptografía de Java (IBMJCECCA) (Java 8 o Java 17) para tu mainframe. La seguridad de la capa de transporte (TLS) se usa en todas las solicitudes que se realizan desde tu mainframe a las APIs de Google Cloud . Si no se otorgan estos permisos, verás un mensaje de error de INSUFFICIENT ACCESS AUTHORITY.

• Instalación de consultas de ICSF (CSFIQF)
• Generación de números aleatorios (CSFRNG)
• Generar número aleatorio largo (CSFRNGL)
• Importación de claves de PKA (CSFPKI)
• Generación de firma digital (CSFDSG)
• Verificación de firma digital (CSFDSV)

Configura la conectividad de red

El conector de unidades centrales interactúa con las APIs de Cloud Storage, BigQuery y Cloud Logging. Asegúrate de que Cloud Interconnect y los Controles del servicio de VPC (VPC-SC) estén configurados para permitir el acceso a recursos específicos de BigQuery, Cloud Storage y Cloud Logging desde rangos de IP especificados, según la política de tu empresa. También puedes usar las APIs de Pub/Sub, Dataflow y Dataproc para lograr una integración adicional entre los trabajos por lotes de IBM z/OS y las canalizaciones de datos en Google Cloud.

Asegúrate de que tu equipo de administración de redes tenga acceso a lo siguiente:

• Subredes de IP asignadas a las particiones lógicas (LPAR) de IBM z/OS
• Google Cloud Cuentas de servicio que usan los trabajos por lotes de IBM z/OS
• Google Cloud IDs de proyectos que contienen recursos a los que acceden los trabajos por lotes de IBM z/OS

Configurar firewalls, routers y sistemas de nombres de dominio

Configura tus archivos de IP de mainframe para incluir reglas en firewalls, routers y sistemas de nombres de dominio (DNS) para permitir el tráfico hacia y desde Google Cloud. Puedes instalar userid.ETC.IPNODES o userid.HOSTS.LOCAL como archivo de hosts para resolver los extremos estándar de la API de Cloud Storage como el extremo de VPC-SC. El archivo de muestra userid.TCPIP.DATA se implementa para configurar el DNS de modo que use las entradas del archivo de hosts.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

Configura tu red para aplicar el VPC-SC

Para aplicar el VPC-SC en tu red local, configúralo de la siguiente manera:

• Configura los routers locales para enrutar el tráfico saliente de IBM z/OS a las subredes de destino dentro de las redes de VPC y el dominio especial restricted.googleapis.com con Cloud Interconnect o una red privada virtual (VPN).
• Configura los firewalls locales para permitir el tráfico saliente a las subredes de VPC o a las instancias de VM y los extremos de la API de Google: restricted.googleapis.com 199.36.153.4/30.
• Configura los firewalls locales para rechazar todo el tráfico saliente, de modo que se evite la omisión del VPC-SC.
• Configura los firewalls locales para permitir el tráfico de salida a https://www.google-analytics.com.

¿Qué sigue?

• Instala Mainframe Connector