Questa pagina descrive come abilitare MACsec per Cloud Interconnect.
Dopo aver generato chiavi precondivise e configurato il router on-premise per l'utilizzo devi abilitare MACsec per Cloud Interconnect. Dopo il giorno MACsec per Cloud Interconnect è abilitato, devi verificare che il tuo La configurazione di Cloud Interconnect è configurata correttamente e utilizza MACsec per proteggere i tuoi dati.
Prima di iniziare
Se non hai completato la configurazione, configurare MACsec prima di abilitare MACsec per Cloud Interconnect.
Abilita MACsec per Cloud Interconnect
Seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Fisica connessione.
Seleziona la connessione da modificare.
Nella scheda MACsec, fai clic su Abilita.
Viene visualizzata una finestra di conferma. Leggi il messaggio e fai clic su Conferma per confermare l'attivazione di MACsec o Annulla per annulla.
gcloud
Per abilitare MACsec per Cloud Interconnect con le impostazioni predefinite, esegui seguente comando:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
Sostituisci INTERCONNECT_CONNECTION_NAME con il nome del tuo
Connessione Cloud Interconnect.
Verifica la configurazione di MACsec
Seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Fisica connessione.
Seleziona la connessione che vuoi visualizzare.
La sezione Informazioni sui circuiti di collegamento mostra le seguenti informazioni:
ID circuito Google:il nome del circuito di collegamento.
Stato del collegamento: lo stato fisico del link per i membri LACP mostra una Seleziona e Attivo per indicare che il link per i membri LACP è attivo.
Nome chiave MACsec: mostra un controllo e il nome della Nome della chiave MACsec per indicare che MACsec è attivo sul link.
Potenza ottica di ricezione: un controllo indica una una connessione accettabile. Il livello di luce ottica che le rileva dal trasmettitore remoto è visualizzata dBm.
Potenza ottica di trasmissione: un controllo indica una connessione accettabile e il livello di luce ottica che la che sta trasmettendo al ricevitore remoto, sia visualizzata in dBm.
ID demarc di Google:l'ID univoco assegnato da Google per il collegamento un circuito integrato.
Fai clic sulla scheda MACsec. La configurazione MACsec mostra una dei seguenti parametri per la configurazione di MACsec:
Abilitata, fail open: la crittografia MACsec è abilitata nella . Se la crittografia MACsec non viene stabilita tra le due estremità, il link funziona senza crittografia.
Attivata, chiusura non riuscita:la crittografia MACsec è abilitata nella . Se la crittografia MACsec non viene stabilita tra le due estremità, il collegamento non funziona.
gcloud
Esegui questo comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
L'output è simile al seguente da 10 GB di Cloud Interconnect
esempio: cerca availableFeatures impostato su IF_MACSEC e macsec
sezione:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
I seguenti elementi specificano la Configurazione MACsec:
availableFeatures: funzionalità MACsec sulla Connessione Cloud Interconnect. Questo parametro viene mostrato solo per 10 GB di connessioni Cloud Interconnect, perché tutte Le connessioni Cloud Interconnect da 100 GB supportano MACsec per impostazione predefinita.macsec.failOpen: comportamento della connessione se Cloud Interconnect non può stabilire una sessione MKA con il tuo o eseguire il provisioning di un router. Il valore può essere uno dei seguenti:false: se non è possibile stabilire una sessione MKA, Cloud Interconnect elimina tutto il traffico.true: se non è possibile stabilire una sessione MKA, Cloud Interconnect trasmette il traffico non criptato.
macsec.preSharedKeys.name: l'elenco di tutte le chiavi precondivise configurato per Cloud Interconnect su questo link.macsec.preSharedKeys.startTime: l'ora di inizio in cui il valore la chiave precondivisa è considerata valida. Tutte le chiavi hanno una validità infinita.macsecEnabled: stato MACsec per Cloud Interconnect su questo . Il valore può essere uno dei seguenti:false: MACsec per Cloud Interconnect è disattivato.true: MACsec per Cloud Interconnect è attivo.
Questo comando non mostra lo stato operativo di MACsec.
Abilita MACsec sul router on-premise
Fai riferimento alla documentazione del fornitore del router per abilitare MACsec sulla tua rete on-premise o eseguire il provisioning di un router.
Annulla il dump della connessione Cloud Interconnect
Se hai già svuotato la tua connessione Cloud Interconnect, abilita Collegamenti VLAN.
Passaggi successivi
- Risolvere i problemi relativi a MACsec
- Visualizza lo stato di MACsec
- Disattivare MACsec
- Recuperare le chiavi MACsec
- Ruotare le chiavi MACsec