Comienza a usar el conector de Mainframe

Antes de instalar Mainframe Connector, debes realizar la configuración inicial, como otorgar los roles necesarios a tu cuenta de servicio, configurar la seguridad de tus recursos y configurar la conectividad de red entre tu mainframe y Google Cloud. En las siguientes secciones, se describe cada tarea en detalle.

Otorga permisos a la cuenta de servicio

Asegúrate de que se otorguen los siguientes roles a tu cuenta de servicio. Puedes otorgar varios roles a tu cuenta de servicio con la consola de Google Cloud o otorgarlos de manera programática.

Configura la seguridad de tus recursos

Asegúrate de que se otorguen los siguientes permisos que requiere la arquitectura de criptografía común de la extensión de criptografía de Java (IBMJCECCA) para tu mainframe. La seguridad de la capa de transporte (TLS) se usa en todas las solicitudes que se realizan desde tu mainframe a las APIs de Google Cloud. Si no se otorgan estos permisos, verás un mensaje de error de INSUFFICIENT ACCESS AUTHORITY.

  • ICSF Query Facility (CSFIQF)
  • Generación de números aleatorios (CSFRNG)
  • Número aleatorio generado largo (CSFRNGL)
  • Importación de claves de PKA (CSFPKI)
  • Generación de firmas digitales (CSFDSG)
  • Verificación de firma digital (CSFDSV)

Configura la conectividad de red

Mainframe Connector interactúa con las APIs de Cloud Storage, BigQuery y Cloud Logging. Asegúrate de que Cloud Interconnect y los Controles del servicio de VPC (VPC-SC) estén configurados para permitir el acceso a recursos específicos de BigQuery, Cloud Storage y Cloud Logging desde rangos de IP especificados, según tu política de la empresa. También puedes usar las APIs de Pub/Sub, Dataflow y Dataproc para lograr una integración adicional entre los trabajos por lotes de IBM z/OS y las canalizaciones de datos en Google Cloud.

Asegúrate de que tu equipo de administración de red tenga acceso a lo siguiente:

  • Subredes IP asignadas a las particiones lógicas (LPAR) de IBM z/OS
  • Cuentas de servicio de Google Cloud que usan los trabajos por lotes de IBM z/OS
  • IDs de proyectos de Google Cloud que contienen recursos a los que acceden los trabajos por lotes de IBM z/OS

Configurar firewalls, routers y sistemas de nombres de dominio

Configura los archivos de IP de tu mainframe para incluir reglas en los firewalls, los routers y los sistemas de nombres de dominio (DNS) para permitir el tráfico hacia y desde Google Cloud. Puedes instalar userid.ETC.IPNODES o userid.HOSTS.LOCAL como archivo hosts para resolver los extremos estándar de la API de Cloud Storage como el extremo de VPC-SC. El archivo de muestra userid.TCPIP.DATA se implementa para configurar el DNS para que use las entradas del archivo hosts.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

Configura tu red para aplicar la seguridad de VPC

Para aplicar la VPC-SC en tu red local, configúrala de la siguiente manera:

  • Configura los routers locales para enrutar el tráfico saliente de IBM z/OS a las subredes de destino dentro de las redes de VPC y el dominio especial restricted.googleapis.com con Cloud Interconnect o una red privada virtual (VPN).
  • Configura los firewalls locales para permitir el tráfico saliente a las subredes de VPC o las instancias de VM y los extremos de la API de Google: restricted.googleapis.com 199.36.153.4/30.
  • Configura los firewalls locales para rechazar todo el tráfico saliente y evitar el bypass de la VPC-SC.

¿Qué sigue?