Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Avant d'installer Mainframe Connector, vous devez effectuer la configuration initiale, y compris accorder les rôles requis à votre compte de service, configurer la sécurité de vos composants et configurer la connectivité réseau entre votre mainframe et Google Cloud. Les sections suivantes décrivent chaque tâche en détail.
Assurez-vous que les autorisations suivantes requises par Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) (Java 8 ou Java 17) sont accordées pour votre mainframe. Le protocole TLS (Transport Layer Security) est utilisé pour toutes les requêtes envoyées depuis votre ordinateur central aux API Google Cloud . Si ces autorisations ne sont pas accordées, le message d'erreur INSUFFICIENT ACCESS AUTHORITY s'affiche.
ICSF Query Facility (CSFIQF)
Génération de nombres aléatoires (CSFRNG)
Générer un nombre aléatoire long (CSFRNGL)
Importation de clés PKA (CSFPKI)
Générer une signature numérique (CSFDSG)
Validation de la signature numérique (CSFDSV)
Configurer la connectivité réseau
Mainframe Connector interagit avec les API Cloud Storage, BigQuery et Cloud Logging. Assurez-vous que Cloud Interconnect et VPC Service Controls (VPC-SC) sont configurés pour autoriser l'accès à des ressources BigQuery, Cloud Storage et Cloud Logging spécifiques à partir de plages d'adresses IP spécifiées, en fonction de votre règlement d'entreprise. Vous pouvez également utiliser les API Pub/Sub, Dataflow et Dataproc pour une intégration supplémentaire entre les jobs par lot IBM z/OS et les pipelines de données sur Google Cloud.
Assurez-vous que votre équipe d'administration réseau a accès aux éléments suivants :
Sous-réseaux IP attribués aux partitions logiques (LPAR) IBM z/OS
Comptes de serviceGoogle Cloud utilisés par les jobs par lot IBM z/OS
ID des projetsGoogle Cloud contenant les ressources auxquelles accèdent les jobs par lot IBM z/OS
Configurer les pare-feu, les routeurs et les systèmes de noms de domaine
Configurez vos fichiers IP de mainframe pour inclure des règles dans les pare-feu, les routeurs et les systèmes de noms de domaine (DNS) afin d'autoriser le trafic vers et depuis Google Cloud. Vous pouvez installer userid.ETC.IPNODES ou userid.HOSTS.LOCAL en tant que fichier hosts pour résoudre les points de terminaison standards de l'API Cloud Storage en tant que point de terminaison VPC-SC. L'exemple de fichier userid.TCPIP.DATA est déployé pour configurer le DNS afin d'utiliser les entrées du fichier hosts.
Pour appliquer le VPC-SC à votre réseau sur site, configurez-le comme suit :
Configurez les routeurs sur site pour qu'ils acheminent le trafic sortant IBM z/OS vers les sous-réseaux de destination dans les réseaux VPC et le domaine spécial restricted.googleapis.com à l'aide de Cloud Interconnect ou d'un réseau privé virtuel (VPN).
Configurez les pare-feu sur site pour autoriser le trafic sortant vers les sous-réseaux VPC ou les instances de VM et les points de terminaison de l'API Google : restricted.googleapis.com 199.36.153.4/30.
Configurez les pare-feu sur site pour refuser tout autre trafic sortant afin d'empêcher le contournement de VPC-SC.
Configurez les pare-feu sur site pour autoriser le trafic sortant vers https://www.google-analytics.com.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/03 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/03 (UTC)."],[],[],null,["# Get started with Mainframe Connector\n\nBefore you install Mainframe Connector, you must perform the initial\nsetup, including granting the required roles to your service account, setting\nup security for your assets, and setting up network connectivity between your\nmainframe and Google Cloud. The following sections describe each task in detail.\n\nGrant service account permissions\n---------------------------------\n\nEnsure that the following roles are granted to your service account. You can\n[grant multiple roles to your service account using the Google Cloud console](/iam/docs/manage-access-service-accounts#multiple-roles-console) or\n[grant the roles programmatically](/iam/docs/manage-access-service-accounts#multiple-roles-programmatic).\n\n- At the project level, assign the following roles:\n - [Logs Writer](/iam/docs/understanding-roles#logging.logWriter)\n - [BigQuery Job User](/bigquery/docs/access-control#bigquery.jobUser)\n- On your Cloud Storage bucket, assign the following roles:\n - [Storage Object Admin](/storage/docs/access-control/iam-roles)\n - [BigQuery Data Editor](/bigquery/docs/access-control#bigquery.dataEditor)\n - [BigQuery Read Session User](/bigquery/docs/access-control#bigquery.readSessionUser)\n\nSet up security for your assets\n-------------------------------\n\nEnsure that the following permissions required by Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) ([Java 8](https://www.ibm.com/docs/en/sdk-java-technology/8?topic=components-ibmjcecca) or [Java 17](https://www.ibm.com/docs/en/semeru-runtime-ce-z/17.0.0?topic=guide-ibmjcecca))\nare granted for your mainframe. Transport layer security (TLS) is used on all\nrequests made from your mainframe to Google Cloud APIs. If these permissions are\nnot granted, you will see an `INSUFFICIENT ACCESS AUTHORITY` error\nmessage.\n\n- ICSF Query Facility (CSFIQF)\n- Random Number Generate (CSFRNG)\n- Random Number Generate Long (CSFRNGL)\n- PKA Key Import (CSFPKI)\n- Digital Signature Generate (CSFDSG)\n- Digital Signature Verify (CSFDSV)\n\nSet up network connectivity\n---------------------------\n\nMainframe Connector interacts with Cloud Storage, BigQuery,\nand Cloud Logging APIs. Ensure [Cloud Interconnect](/network-connectivity/docs/interconnect)\nand [VPC Service Controls (VPC-SC)](/vpc-service-controls/docs/overview) is\nconfigured to allow access to specific BigQuery, Cloud Storage, and\nCloud Logging resources from specified IP ranges, based on your enterprise\npolicy. You can also use Pub/Sub, Dataflow, and Dataproc\nAPIs for additional integration between IBM z/OS batch jobs and data pipelines\non Google Cloud.\n\nEnsure that your network administration team has access to the following:\n\n- IP subnets assigned to the IBM z/OS logical partitions (LPARs)\n- Google Cloud service accounts used by IBM z/OS batch jobs\n- Google Cloud project IDs containing resources accessed by IBM z/OS batch jobs\n\nConfigure firewalls, routers, and Domain Name Systems\n-----------------------------------------------------\n\nConfigure your mainframe IP files to include rules in firewalls, routers, and\nDomain Name Systems (DNSs) to allow traffic to and from Google Cloud. You can\ninstall either *userid.ETC.IPNODES* or *userid.HOSTS.LOCAL* as\nhosts file to resolve the standard Cloud Storage API endpoints as the VPC-SC\nendpoint. The sample file *userid.TCPIP.DATA* is deployed to configure\nDNS to use the hosts file entries. \n\n - ETC.IPNODES\n - 199.36.153.4 www.googleapis.com\n - 199.36.153.5 www.googleapis.com\n - 199.36.153.6 www.googleapis.com\n - 199.36.153.7 www.googleapis.com\n - 199.36.153.4 oauth2.googleapis.com\n - 199.36.153.5 oauth2.googleapis.com\n - 199.36.153.6 oauth2.googleapis.com\n - 199.36.153.7 oauth2.googleapis.com\n - 127.0.0.1 LPAR1 (based on LPAR configuration)\n - 127.0.0.1 LPAR2\n - 127.0.0.1 LPAR3\n - HOSTS.LOCAL\n - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::\n - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::\n - TCPIP.DATA\n - LOOKUP LOCAL DNS\n\n### Configure your network to enforce VPC-SC\n\nTo enforce VPC-SC on your on-premises network, configure it as follows:\n\n- Configure the on-premises routers to route IBM z/OS outbound traffic to destination subnets within the VPC networks and the `restricted.googleapis.com` special domain using Cloud Interconnect or a virtual private network (VPN).\n- Configure the on-premises firewalls to allow outbound traffic to VPC subnets or VM instances and Google API endpoints - `restricted.googleapis.com 199.36.153.4/30`.\n- Configure the on-premises firewalls to deny all other outbound traffic to prevent bypass of VPC-SC.\n- Configure the on-premises firewalls to allow outbound traffic to `https://www.google-analytics.com`.\n\nWhat's next\n-----------\n\n- [Install Mainframe Connector](/mainframe-connector/docs/installation)"]]
