本页面介绍如何启用 MACsec for Cloud Interconnect。
生成预共享密钥并将本地路由器配置为使用这些密钥后,您需要启用 MACsec for Cloud Interconnect。启用 MACsec for Cloud Interconnect 后,您可以验证 Cloud Interconnect 配置是否正确,以及是否使用 MACsec 来保护数据。
须知事项
如果您尚未完成设置,则先设置 MACsec,然后再启用 MACsec for Cloud Interconnect。
启用 MACsec for Cloud Interconnect
从下列选项中选择一项:
控制台
在 Google Cloud 控制台中,进入 Cloud Interconnect 物理连接标签页。
选择您要修改的连接。
在 MACsec 标签页上,点击启用。
此时会显示一个确认窗口。阅读该消息,然后点击确认以确认您要启用 MACsec,或点击取消以进行取消。
gcloud
如需使用默认设置启用 MACsec for Cloud Interconnect,请运行以下命令:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
将 INTERCONNECT_CONNECTION_NAME 替换为 Cloud Interconnect 连接的名称。
验证 MACsec 配置
从下列选项中选择一项:
控制台
在 Google Cloud 控制台中,进入 Cloud Interconnect 物理连接标签页。
选择您要查看的连接。
链路线路信息部分显示以下信息:
Google 线路 ID:链路线路的名称。
链路状态:LACP 成员链路的物理状态显示 对勾和活跃,指示 LACP 成员链路已启动。
MACsec 密钥名称:显示 对勾和 MACsec 密钥名称,以指示 MACsec 在链路上处于活跃状态。
接收光功率: 对勾指示连接可接受。物理接口从远程发射器检测到的光信号强度以 dBm 为单位显示。
发射光功率: 对勾指示连接可接受,并且物理接口发射到远程接收器的光信号强度为以 dBm 为单位显示。
Google 分界点(线)ID:Google 为链路线路分配的唯一 ID。
点击 MACsec 标签页。对于 MACsec 配置,MACsec 配置会显示以下其中一项:
已启用,应急开启:链路上已启用 MACsec 加密。如果两端之间未建立 MACsec 加密,则链路无需加密即可运行。
已启用,应急关闭:链路上已启用 MACsec 加密。如果两端之间未建立 MACsec 加密,则链路将失败。
gcloud
运行以下命令:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
输出类似于以下 10 GB Cloud Interconnect 示例:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
以下各项指定 Cloud Interconnect 连接的 MACsec 配置:
availableFeatures:Cloud Interconnect 连接上的 MACsec 功能。此参数仅针对 10 GB Cloud Interconnect 连接显示,因为默认情况下,所有 100 GB Cloud Interconnect 连接都支持 MACsec。macsec.failOpen:如果 Cloud Interconnect 无法与您的路由器建立 MKA 会话,则为此连接的行为。此值为以下任一项:false:如果无法建立 MKA 会话,则 Cloud Interconnect 会丢弃所有流量。true:如果无法建立 MKA 会话,则 Cloud Interconnect 会传递未加密的流量。
macsec.preSharedKeys.name:通过此链路针对 Cloud Interconnect 配置的所有预共享密钥的列表。macsec.preSharedKeys.startTime:当前预共享密钥视为有效的开始时间。所有密钥都具有无限的有效性。macsecEnabled:此链路上的 MACsec for Cloud Interconnect 状态。此值为以下任一项:false:MACsec for Cloud Interconnect 已关闭。true:MACsec for Cloud Interconnect 已开启。
此命令不会显示 MACsec 运行状态。
在本地路由器上启用 MACsec
请参阅路由器供应商的文档,以在本地路由器上启用 MACsec。
取消排空 Cloud Interconnect 连接
如果您之前排空了 Cloud Interconnect 连接,请启用 VLAN 连接。