Empezar a usar Mainframe Connector

Antes de instalar Mainframe Connector, debes realizar la configuración inicial, que incluye asignar los roles necesarios a tu cuenta de servicio, configurar la seguridad de tus recursos y configurar la conectividad de red entre tu mainframe y Google Cloud. En las siguientes secciones se describe cada tarea en detalle.

Conceder permisos de cuenta de servicio

Asegúrate de que se han concedido los siguientes roles a tu cuenta de servicio. Puedes otorgar varios roles a tu cuenta de servicio mediante la Google Cloud consola o otorgar los roles de forma programática.

• A nivel de proyecto, asigna los siguientes roles:
  • Editor de registros
  • Usuario de tareas de BigQuery
• En tu segmento de Cloud Storage, asigna los siguientes roles:
  • Administrador de objetos de Storage
  • Editor de datos de BigQuery
  • Usuario con acceso a sesiones de lectura de BigQuery

Configurar la seguridad de tus recursos

Asegúrate de que se hayan concedido los siguientes permisos necesarios para Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) (Java 8 o Java 17) en tu mainframe. Se usa Seguridad en la capa de transporte (TLS) en todas las solicitudes que se hacen desde tu mainframe a las APIs de Google Cloud . Si no se conceden estos permisos, verás un mensaje de error INSUFFICIENT ACCESS AUTHORITY.

• Instalación de consultas de ICSF (CSFIQF)
• Generación de números aleatorios criptográficamente seguros (CSFRNG)
• Generar número aleatorio largo (CSFRNGL)
• Importación de claves PKA (CSFPKI)
• Generación de firma digital (CSFDSG)
• Verificación de firma digital (CSFDSV)

Configurar la conectividad de red

Mainframe Connector interactúa con las APIs de Cloud Storage, BigQuery y Cloud Logging. Asegúrate de que Cloud Interconnect y Controles de Servicio de VPC (VPC-SC) estén configurados para permitir el acceso a recursos específicos de BigQuery, Cloud Storage y Cloud Logging desde intervalos de IPs concretos, según la política de tu empresa. También puedes usar las APIs de Pub/Sub, Dataflow y Dataproc para integrar aún más los trabajos por lotes de IBM z/OS y los flujos de datos en Google Cloud.

Asegúrate de que tu equipo de administración de redes tenga acceso a lo siguiente:

• Subredes IP asignadas a las particiones lógicas (LPARs) de IBM z/OS
• Google Cloud cuentas de servicio que usan los trabajos por lotes de IBM z/OS
• Google Cloud IDs de proyectos que contienen recursos a los que acceden las tareas por lotes de IBM z/OS

Configurar cortafuegos, routers y sistemas de nombres de dominio

Configura tus archivos IP del mainframe para incluir reglas en cortafuegos, routers y sistemas de nombres de dominio (DNS) para permitir el tráfico hacia y desde Google Cloud. Puedes instalar userid.ETC.IPNODES o userid.HOSTS.LOCAL como archivo de hosts para resolver los endpoints de la API Cloud Storage estándar como el endpoint de VPC SC. El archivo de ejemplo userid.TCPIP.DATA se implementa para configurar el DNS de forma que use las entradas del archivo hosts.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

Configurar la red para aplicar VPC-SC

Para aplicar VPC-SC en tu red local, configúrala de la siguiente manera:

• Configura los routers on-premise para que dirijan el tráfico saliente de IBM z/OS a las subredes de destino de las redes de VPC y al restricted.googleapis.comdominio especial mediante Cloud Interconnect o una red privada virtual (VPN).
• Configura los cortafuegos on-premise para permitir el tráfico saliente a las subredes de VPC o a las instancias de VM y los endpoints de las APIs de Google - restricted.googleapis.com 199.36.153.4/30.
• Configura los cortafuegos on-premise para que denieguen todo el tráfico saliente para evitar que se eluda VPC-SC.
• Configura los cortafuegos on-premise para permitir el tráfico saliente a https://www.google-analytics.com.

Siguientes pasos

• Instalar Mainframe Connector