MACsec for Cloud Interconnect는 특히 온프레미스 라우터와 Google의 에지 라우터 간의 Cloud Interconnect 연결에서 트래픽을 보호하는 데 도움이 됩니다. MACsec for Cloud Interconnect는 IEEE 표준 802.1AE Media Access Control Security(MACsec)를 사용하여 온프레미스 라우터와 Google 에지 라우터 간의 트래픽을 암호화합니다.
MACsec for Cloud Interconnect는 Google 내에서 전송 중인 데이터 암호화를 제공하지 않습니다. 보안 강화를 위해 인터넷 보안 프로토콜(IPsec) 및 전송 계층 보안(TLS)과 같은 다른 네트워크 보안 프로토콜과 함께 MACsec를 사용하는 것이 좋습니다. IPsec을 사용하여 Google Cloud로의 네트워크 트래픽을 보호하는 방법에 대한 자세한 내용은 Cloud Interconnect를 통한 HA VPN 개요를 참조하세요.
MACsec for Cloud Interconnect는 10Gbps 및 100Gbps 회선에 사용할 수 있습니다. 그러나 10Gbps 회선의 MACsec for Cloud Interconnect를 주문하려면 계정 관리자에게 문의해야 합니다.
MACsec for Cloud Interconnect는 IPv4, IPv6, IPsec을 포함한 모든 VLAN 연결 기능을 지원합니다.
다음 다이어그램에서는 MACsec가 트래픽을 암호화하는 방법을 보여줍니다. 그림 1에서는 Dedicated Interconnect에서 트래픽을 암호화하는 MACsec를 보여줍니다. 그림 2에서는 Partner Interconnect에서 트래픽을 암호화하는 MACsec를 보여줍니다.
Partner Interconnect에서 MACsec를 사용하려면 서비스 제공업체와 협력하여 네트워크 트래픽이 제공업체 네트워크를 통해 암호화되는지 확인합니다.
MACsec for Cloud Interconnect 작동 방식
MACsec for Cloud Interconnect는 온프레미스 라우터와 Google의 피어링 에지 라우터 간의 트래픽을 보호하는 데 도움이 됩니다. Google Cloud CLI(gcloud CLI) 또는 Google Cloud 콘솔을 사용하여 GCM-AES-256 연결 연결 키(CAK)와 연결 연결 키 이름(CKN) 값을 생성합니다. CAK 및 CKN 값을 사용하여 MACsec를 구성하도록 라우터를 구성합니다. 라우터와 Cloud Interconnect에서 MACsec를 사용 설정하면 MACsec에서 온프레미스 라우터와 Google의 피어링 에지 라우터 간의 트래픽을 암호화합니다.
지원되는 온프레미스 라우터
다음 표에 나열된 MACsec 사양을 지원하는 MACsec for Cloud Interconnect와 함께 온프레미스 라우터를 사용할 수 있습니다.
설정 | 값 |
---|---|
MACsec 암호화 스위트 |
|
CAK 암호화 알고리즘 | AES_256_CMAC |
키 서버 우선순위 | 15 |
보안 연결 키(SAK) 키 갱신 간격 | 28800초 |
MACsec 비밀유지 오프셋 | 0 |
창 크기 | 64 |
무결성 검사 값(ICV) 표시기 | 예 |
보안 채널 식별자(SCI) | 사용 설정됨 |
MACsec for Cloud Interconnect는 최대 5개의 키에 대해 자동 키 순환을 지원합니다.
Cisco, Juniper, Arista에서 제조한 여러 라우터가 사양을 충족합니다. Google에서는 특정 라우터를 권장하지 않습니다. 라우터 공급업체에 문의하여 니즈에 가장 적합한 모델을 결정하는 것이 좋습니다.
MACsec for Cloud Interconnect를 사용하기 전에
다음 요구사항을 충족하는지 확인합니다.
네트워크 회선을 정렬하고 구성할 수 있도록 기본 네트워크 상호 연결을 이해합니다.
Dedicated Interconnect와 Partner Interconnect의 차이점과 요구사항을 이해합니다.
온프레미스 에지 라우터에 대한 관리자 액세스 권한이 있어야 합니다.
코로케이션 시설에서 MACsec를 사용할 수 있는지 확인합니다.
MACsec for Cloud Interconnect 설정 단계
MACsec for Cloud Interconnect를 코로케이션 시설에서 사용할 수 있는지 확인한 후 MACsec 지원 Cloud Interconnect 연결이 이미 있는지 확인합니다. 그렇지 않으면 MACsec 지원 Cloud Interconnect 연결을 주문합니다.
Cloud Interconnect 연결에서 테스트를 완료하고 이 연결을 사용할 준비가 되면 MACsec 사전 공유 키를 만들고 온프레미스 라우터를 구성하여 MACsec를 설정할 수 있습니다. 그런 다음 MACsec를 사용 설정하여 링크에 사용 설정되어 있고 링크가 작동되는지 확인할 수 있습니다. 마지막으로 MACsec 연결을 모니터링하여 올바르게 작동하는지 확인할 수 있습니다.
MACsec 가용성
MACsec for Cloud Interconnect는 위치에 관계없이 모든 Cloud Interconnect 100Gbps 연결에서 지원됩니다.
10Gbps 회선의 모든 코로케이션 시설에서 MACsec for Cloud Interconnect를 사용할 수 없습니다. 코로케이션 시설에서 사용할 수 있는 기능에 대한 자세한 내용은 위치 표를 참조하세요.
MACsec for Cloud Interconnect를 지원하는 10Gbps 회선의 코로케이션 시설을 확인하려면 다음을 수행하세요. 10Gbps 회선의 MACsec 가용성은 허용 목록에 포함된 프로젝트에만 표시됩니다. 10Gbps 회선의 MACsec for Cloud Interconnect를 주문하려면 계정 관리자에게 문의해야 합니다.
콘솔
Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.
실제 연결 설정을 클릭합니다.
Dedicated Interconnect를 선택하고 계속을 클릭합니다.
새 Dedicated Interconnect 주문을 선택하고 계속을 클릭합니다.
Google Cloud 위치 필드에서 선택을 클릭합니다.
코로케이션 시설 선택 창에서 Cloud Interconnect 연결을 설정할 도시를 찾습니다. 지리적 위치 필드에서 지리적 지역을 선택합니다. 현재 프로젝트에 대한 MACsec 지원 열에는 Cloud Interconnect용 MACsec에 사용할 수 있는 회선 크기가 표시됩니다.
gcloud
Google Cloud CLI에 인증합니다.
gcloud auth login
코로케이션 시설이 MACsec for Cloud Interconnect를 지원하는지 확인하려면 다음 중 하나를 수행합니다.
특정 코로케이션 시설이 MACsec for Cloud Interconnect를 지원하는지 확인합니다.
gcloud compute interconnects locations describe COLOCATION_FACILITY
COLOCATION_FACILITY
를 위치 표에 나열된 코로케이션 시설 이름으로 바꿉니다.출력은 다음 샘플과 비슷합니다. MACsec 지원 연결에서 다음을 표시합니다.
- 10Gbps 링크:
linkType: LINK_TYPE_ETHERNET_10G_LR
및availableFeatures: IF_MACSEC
- 100Gbps 링크:
linkType: LINK_TYPE_ETHERNET_100G_LR
, MACsec에서 지원하는 모든 100Gbps
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE
- 10Gbps 링크:
10Gbps 회선에서 MACsec for Cloud Interconnect를 지원하는 모든 코로케이션 시설을 나열합니다.
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"
출력은 다음과 비슷합니다.
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
100Gbps 링크가 있는 모든 코로케이션 시설을 나열하므로 기본적으로 MACsec를 지원합니다.
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"
출력은 다음과 비슷합니다.
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
기존 Cloud Interconnect 연결에 MACsec 지원
MACsec for Cloud Interconnect는 기존 100Gbps Cloud Interconnect 연결에서 지원됩니다.
10Gbps 연결을 사용하는 경우 코로케이션 시설에서 MACsec 가용성을 확인합니다. 코로케이션 시설에서 MACsec 지원을 사용할 수 있는 경우, Cloud Interconnect가 MACsec를 지원하는지 확인합니다.
기존 Cloud Interconnect 연결에서 MACsec를 지원하지 않는 경우 MACsec를 사용 설정할 수 있나요?
코로케이션 시설에서 MACsec를 지원하지 않으면 다음 중 하나를 수행할 수 있습니다.
새 Cloud Interconnect 연결을 요청하고 MACsec를 필수 기능으로 요청합니다.
Google Cloud 계정 관리자에게 문의하여 기존 Cloud Interconnect 연결을 MACsec 지원 포트로 마이그레이션하는 작업을 예약합니다.
예약 제약조건으로 인해 물리적으로 연결을 마이그레이션하는 데 몇 주 정도 걸릴 수 있습니다. 마이그레이션하려면 Cloud Interconnect 연결에 프로덕션 트래픽이 없는 유지보수 기간이 필요합니다.