Comece a usar o conetor de mainframe

Antes de instalar o Mainframe Connector, tem de fazer a configuração inicial, incluindo conceder as funções necessárias à sua conta de serviço, configurar a segurança dos seus recursos e configurar a conetividade de rede entre o mainframe e o Google Cloud. As secções seguintes descrevem cada tarefa detalhadamente.

Conceda autorizações de conta de serviço

Certifique-se de que as seguintes funções são concedidas à sua conta de serviço. Pode conceder várias funções à sua conta de serviço através da Google Cloud consola ou conceder as funções programaticamente.

• Ao nível do projeto, atribua as seguintes funções:
  • Escritor de registos
  • Utilizador de tarefas do BigQuery
• No seu contentor do Cloud Storage, atribua as seguintes funções:
  • Administrador de objetos de armazenamento
  • Editor de dados do BigQuery
  • Utilizador de sessão de leitura do BigQuery

Configure a segurança dos seus recursos

Certifique-se de que as seguintes autorizações necessárias pela Java Cryptography Extension Common Cryptographic Architecture (IBMJCECCA) (Java 8 ou Java 17) são concedidas para o seu mainframe. O protocolo Transport Layer Security (TLS) é usado em todos os pedidos feitos a partir do seu mainframe para as Google Cloud APIs. Se estas autorizações não forem concedidas, é apresentada uma mensagem de erro INSUFFICIENT ACCESS AUTHORITY.

• ICSF Query Facility (CSFIQF)
• Geração de números aleatórios criptograficamente seguros (CSFRNG)
• Random Number Generate Long (CSFRNGL)
• Importação de chaves PKA (CSFPKI)
• Digital Signature Generate (CSFDSG)
• Validação da assinatura digital (CSFDSV)

Configure a conetividade de rede

O Mainframe Connector interage com as APIs Cloud Storage, BigQuery e Cloud Logging. Certifique-se de que o Cloud Interconnect e os VPC Service Controls (VPC-SC) estão configurados para permitir o acesso a recursos específicos do BigQuery, Cloud Storage e Cloud Logging a partir de intervalos de IP especificados, com base na política da sua empresa. Também pode usar as APIs Pub/Sub, Dataflow e Dataproc para uma integração adicional entre tarefas em lote do IBM z/OS e pipelines de dados no Google Cloud.

Certifique-se de que a sua equipa de administração de rede tem acesso ao seguinte:

• Sub-redes IP atribuídas às partições lógicas (LPARs) do IBM z/OS
• Google Cloud Contas de serviço usadas por tarefas em lote do IBM z/OS
• Google Cloud IDs de projetos que contêm recursos acedidos por trabalhos em lote do IBM z/OS

Configure firewalls, routers e sistemas de nomes de domínio

Configure os seus ficheiros IP de mainframe para incluir regras em firewalls, routers e sistemas de nomes de domínio (DNSs) para permitir o tráfego de e para Google Cloud. Pode instalar userid.ETC.IPNODES ou userid.HOSTS.LOCAL como ficheiro de anfitriões para resolver os pontos finais da API Cloud Storage padrão como o ponto final do VPC-SC. O ficheiro de exemplo userid.TCPIP.DATA é implementado para configurar o DNS de modo a usar as entradas do ficheiro de anfitriões.

- ETC.IPNODES
  - 199.36.153.4 www.googleapis.com
  - 199.36.153.5 www.googleapis.com
  - 199.36.153.6 www.googleapis.com
  - 199.36.153.7 www.googleapis.com
  - 199.36.153.4 oauth2.googleapis.com
  - 199.36.153.5 oauth2.googleapis.com
  - 199.36.153.6 oauth2.googleapis.com
  - 199.36.153.7 oauth2.googleapis.com
  - 127.0.0.1 LPAR1 (based on LPAR configuration)
  - 127.0.0.1 LPAR2
  - 127.0.0.1 LPAR3
- HOSTS.LOCAL
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : WWW.GOOGLEAPIS.COM ::::
  - HOST : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 : OAUTH2.GOOGLEAPIS.COM ::::
- TCPIP.DATA
  - LOOKUP LOCAL DNS

Configure a sua rede para aplicar os VPC-SC

Para aplicar os VPC-SC na sua rede nas instalações, configure-os da seguinte forma:

• Configure os routers no local para encaminhar o tráfego de saída do IBM z/OS para sub-redes de destino nas redes VPC e no domínio especial através do Cloud Interconnect ou de uma rede privada virtual (VPN).restricted.googleapis.com
• Configure as firewalls no local para permitir o tráfego de saída para sub-redes da VPC ou instâncias de VMs e pontos finais da API Google: restricted.googleapis.com 199.36.153.4/30.
• Configure as firewalls nas instalações para negar todo o outro tráfego de saída para evitar a circunvenção do VPC-SC.
• Configure as firewalls no local para permitir o tráfego de saída para https://www.google-analytics.com.

O que se segue?

• Instale o conetor de mainframe