Antes de instalar Mainframe Connector, debes realizar la configuración inicial, como otorgar los roles necesarios a tu cuenta de servicio, configurar la seguridad de tus recursos y configurar la conectividad de red entre el mainframe y Google Cloud. En las siguientes secciones, se describe cada tarea en detalle.
Otorga permisos a la cuenta de servicio
Asegúrate de que se otorguen los siguientes roles a tu cuenta de servicio. Puedes Otorgar múltiples roles a tu cuenta de servicio con la consola de Google Cloud o otorga los roles de manera programática.
- En el nivel de proyecto, asigna los siguientes roles:
- En tu bucket de Cloud Storage, asigna los siguientes roles:
Configura la seguridad de tus recursos
Asegúrate de que Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) requiera los siguientes permisos
que se otorgan para la unidad central. La seguridad de la capa de transporte (TLS) se usa
las solicitudes realizadas desde tu unidad central a las APIs de Google Cloud. Si estos permisos son
no se otorgó, verás un error INSUFFICIENT ACCESS AUTHORITY
mensaje.
- Servicio de consultas de ICSF (CSFIQF)
- Generación de números al azar (CSFRNG)
- Generación de números al azar en formato largo (CSFRNGL)
- Importación de claves PKA (CSFPKI)
- Generación de firmas digitales (CSFDSG)
- Verificación de firma digital (CSFDSV)
Configura la conectividad de red
Mainframe Connector interactúa con las APIs de Cloud Storage, BigQuery y Cloud Logging. Asegúrate de que Cloud Interconnect y los Controles del servicio de VPC (VPC-SC) son que permite el acceso a servicios específicos de BigQuery, Cloud Storage y Recursos de Cloud Logging de rangos de IP especificados, según tu empresa política de la empresa. También puedes usar Pub/Sub, Dataflow y Dataproc API para la integración adicional entre canalizaciones de datos y trabajos por lotes de IBM z/OS en Google Cloud.
Asegúrate de que el equipo de administración de red tenga acceso a los siguientes elementos:
- Subredes de IP asignadas a particiones lógicas (LPAR) de IBM z/OS
- Cuentas de servicio de Google Cloud que usan los trabajos por lotes de IBM z/OS
- IDs de proyectos de Google Cloud que contienen recursos a los que accedieron los trabajos por lotes de IBM z/OS
Configurar firewalls, routers y sistemas de nombres de dominio
Configurar los archivos IP de la unidad central para incluir reglas en firewalls, routers y Sistemas de nombres de dominio (DNS) para permitir el tráfico desde y hacia Google Cloud. Puedes instala userid.ETC.IPNODES o userid.HOSTS.LOCAL como host para resolver los extremos estándar de la API de Cloud Storage como VPC-SC extremo. Se implementa el archivo de muestra userid.TCPIP.DATA para configurar DNS para usar las entradas del archivo hosts.
- ETC.IPNODES
- 199.36.153.4 www.googleapis.com
- 199.36.153.5 www.googleapis.com
- 199.36.153.6 www.googleapis.com
- 199.36.153.7 www.googleapis.com
- 199.36.153.4 oauth2.googleapis.com
- 199.36.153.5 oauth2.googleapis.com
- 199.36.153.6 oauth2.googleapis.com
- 199.36.153.7 oauth2.googleapis.com
- 127.0.0.1 LPAR1 (based on LPAR configuration)
- 127.0.0.1 LPAR2
- 127.0.0.1 LPAR3
- HOSTS.LOCAL
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
- HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
- LOOKUP LOCAL DNS
Configura tu red para aplicar VPC-SC
Para aplicar VPC-SC en tu red local, configúrala de la siguiente manera:
- Configura los routers locales para enrutar el tráfico saliente de IBM z/OS a
las subredes de destino dentro de las redes de VPC y la
restricted.googleapis.comdominio especial con Cloud Interconnect o una red privada virtual (VPN). - Configura los firewalls locales para permitir el tráfico saliente a las subredes de VPC
o instancias de VM y extremos de la API de Google:
restricted.googleapis.com 199.36.153.4/30. - Configura los firewalls locales para denegar el resto del tráfico saliente a evitar la omisión de VPC-SC.