Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Antes de instalar Mainframe Connector, debes realizar la configuración inicial, lo que incluye otorgar los roles necesarios a tu cuenta de servicio, configurar la seguridad de tus activos y configurar la conectividad de red entre tu mainframe y Google Cloud. En las siguientes secciones, se describe cada tarea en detalle.
Asegúrate de que se otorguen los siguientes permisos que requiere la arquitectura criptográfica común de la extensión de criptografía de Java (IBMJCECCA) (Java 8 o Java 17) para tu mainframe. La seguridad de la capa de transporte (TLS) se usa en todas las solicitudes que se realizan desde tu mainframe a las APIs de Google Cloud . Si no se otorgan estos permisos, verás un mensaje de error de INSUFFICIENT ACCESS AUTHORITY.
Instalación de consultas de ICSF (CSFIQF)
Generación de números aleatorios (CSFRNG)
Generar número aleatorio largo (CSFRNGL)
Importación de claves de PKA (CSFPKI)
Generación de firma digital (CSFDSG)
Verificación de firma digital (CSFDSV)
Configura la conectividad de red
El conector de unidades centrales interactúa con las APIs de Cloud Storage, BigQuery y Cloud Logging. Asegúrate de que Cloud Interconnect y los Controles del servicio de VPC (VPC-SC) estén configurados para permitir el acceso a recursos específicos de BigQuery, Cloud Storage y Cloud Logging desde rangos de IP especificados, según la política de tu empresa. También puedes usar las APIs de Pub/Sub, Dataflow y Dataproc para lograr una integración adicional entre los trabajos por lotes de IBM z/OS y las canalizaciones de datos en Google Cloud.
Asegúrate de que tu equipo de administración de redes tenga acceso a lo siguiente:
Subredes de IP asignadas a las particiones lógicas (LPAR) de IBM z/OS
Google Cloud Cuentas de servicio que usan los trabajos por lotes de IBM z/OS
Google Cloud IDs de proyectos que contienen recursos a los que acceden los trabajos por lotes de IBM z/OS
Configurar firewalls, routers y sistemas de nombres de dominio
Configura tus archivos de IP de mainframe para incluir reglas en firewalls, routers y sistemas de nombres de dominio (DNS) para permitir el tráfico hacia y desde Google Cloud. Puedes instalar userid.ETC.IPNODES o userid.HOSTS.LOCAL como archivo de hosts para resolver los extremos estándar de la API de Cloud Storage como el extremo de VPC-SC. El archivo de muestra userid.TCPIP.DATA se implementa para configurar el DNS de modo que use las entradas del archivo de hosts.
Para aplicar el VPC-SC en tu red local, configúralo de la siguiente manera:
Configura los routers locales para enrutar el tráfico saliente de IBM z/OS a las subredes de destino dentro de las redes de VPC y el dominio especial restricted.googleapis.com con Cloud Interconnect o una red privada virtual (VPN).
Configura los firewalls locales para permitir el tráfico saliente a las subredes de VPC o a las instancias de VM y los extremos de la API de Google: restricted.googleapis.com 199.36.153.4/30.
Configura los firewalls locales para rechazar todo el tráfico saliente, de modo que se evite la omisión del VPC-SC.
Configura los firewalls locales para permitir el tráfico de salida a https://www.google-analytics.com.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-03 (UTC)"],[],[],null,["# Get started with Mainframe Connector\n\nBefore you install Mainframe Connector, you must perform the initial\nsetup, including granting the required roles to your service account, setting\nup security for your assets, and setting up network connectivity between your\nmainframe and Google Cloud. The following sections describe each task in detail.\n\nGrant service account permissions\n---------------------------------\n\nEnsure that the following roles are granted to your service account. You can\n[grant multiple roles to your service account using the Google Cloud console](/iam/docs/manage-access-service-accounts#multiple-roles-console) or\n[grant the roles programmatically](/iam/docs/manage-access-service-accounts#multiple-roles-programmatic).\n\n- At the project level, assign the following roles:\n - [Logs Writer](/iam/docs/understanding-roles#logging.logWriter)\n - [BigQuery Job User](/bigquery/docs/access-control#bigquery.jobUser)\n- On your Cloud Storage bucket, assign the following roles:\n - [Storage Object Admin](/storage/docs/access-control/iam-roles)\n - [BigQuery Data Editor](/bigquery/docs/access-control#bigquery.dataEditor)\n - [BigQuery Read Session User](/bigquery/docs/access-control#bigquery.readSessionUser)\n\nSet up security for your assets\n-------------------------------\n\nEnsure that the following permissions required by Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) ([Java 8](https://www.ibm.com/docs/en/sdk-java-technology/8?topic=components-ibmjcecca) or [Java 17](https://www.ibm.com/docs/en/semeru-runtime-ce-z/17.0.0?topic=guide-ibmjcecca))\nare granted for your mainframe. Transport layer security (TLS) is used on all\nrequests made from your mainframe to Google Cloud APIs. If these permissions are\nnot granted, you will see an `INSUFFICIENT ACCESS AUTHORITY` error\nmessage.\n\n- ICSF Query Facility (CSFIQF)\n- Random Number Generate (CSFRNG)\n- Random Number Generate Long (CSFRNGL)\n- PKA Key Import (CSFPKI)\n- Digital Signature Generate (CSFDSG)\n- Digital Signature Verify (CSFDSV)\n\nSet up network connectivity\n---------------------------\n\nMainframe Connector interacts with Cloud Storage, BigQuery,\nand Cloud Logging APIs. Ensure [Cloud Interconnect](/network-connectivity/docs/interconnect)\nand [VPC Service Controls (VPC-SC)](/vpc-service-controls/docs/overview) is\nconfigured to allow access to specific BigQuery, Cloud Storage, and\nCloud Logging resources from specified IP ranges, based on your enterprise\npolicy. You can also use Pub/Sub, Dataflow, and Dataproc\nAPIs for additional integration between IBM z/OS batch jobs and data pipelines\non Google Cloud.\n\nEnsure that your network administration team has access to the following:\n\n- IP subnets assigned to the IBM z/OS logical partitions (LPARs)\n- Google Cloud service accounts used by IBM z/OS batch jobs\n- Google Cloud project IDs containing resources accessed by IBM z/OS batch jobs\n\nConfigure firewalls, routers, and Domain Name Systems\n-----------------------------------------------------\n\nConfigure your mainframe IP files to include rules in firewalls, routers, and\nDomain Name Systems (DNSs) to allow traffic to and from Google Cloud. You can\ninstall either *userid.ETC.IPNODES* or *userid.HOSTS.LOCAL* as\nhosts file to resolve the standard Cloud Storage API endpoints as the VPC-SC\nendpoint. The sample file *userid.TCPIP.DATA* is deployed to configure\nDNS to use the hosts file entries. \n\n - ETC.IPNODES\n - 199.36.153.4 www.googleapis.com\n - 199.36.153.5 www.googleapis.com\n - 199.36.153.6 www.googleapis.com\n - 199.36.153.7 www.googleapis.com\n - 199.36.153.4 oauth2.googleapis.com\n - 199.36.153.5 oauth2.googleapis.com\n - 199.36.153.6 oauth2.googleapis.com\n - 199.36.153.7 oauth2.googleapis.com\n - 127.0.0.1 LPAR1 (based on LPAR configuration)\n - 127.0.0.1 LPAR2\n - 127.0.0.1 LPAR3\n - HOSTS.LOCAL\n - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::\n - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::\n - TCPIP.DATA\n - LOOKUP LOCAL DNS\n\n### Configure your network to enforce VPC-SC\n\nTo enforce VPC-SC on your on-premises network, configure it as follows:\n\n- Configure the on-premises routers to route IBM z/OS outbound traffic to destination subnets within the VPC networks and the `restricted.googleapis.com` special domain using Cloud Interconnect or a virtual private network (VPN).\n- Configure the on-premises firewalls to allow outbound traffic to VPC subnets or VM instances and Google API endpoints - `restricted.googleapis.com 199.36.153.4/30`.\n- Configure the on-premises firewalls to deny all other outbound traffic to prevent bypass of VPC-SC.\n- Configure the on-premises firewalls to allow outbound traffic to `https://www.google-analytics.com`.\n\nWhat's next\n-----------\n\n- [Install Mainframe Connector](/mainframe-connector/docs/installation)"]]
