Activer MACsec

Cette page explique comment activer MACsec pour Cloud Interconnect.

Après avoir généré des clés pré-partagées et configuré votre routeur sur site pour les utiliser, vous devez activer MACsec pour Cloud Interconnect. Une fois MACsec pour Cloud Interconnect activé, vous vérifiez que votre configuration Cloud Interconnect est correctement configurée et utilise MACsec pour protéger vos données.

Avant de commencer

Si vous n'avez pas terminé la configuration, vous devez configurer MACsec avant d'activer MACsec pour Cloud Interconnect.

Activer MACsec pour Cloud Interconnect

Sélectionnez l'une des options suivantes :

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Sélectionnez la connexion que vous souhaitez modifier.

  3. Dans l'onglet MACsec, cliquez sur MACsec.

    Une fenêtre de confirmation s'affiche. Lisez le message, puis cliquez sur Confirm (Confirmer) pour confirmer l'activation de MACsec ou sur Cancel (Annuler) pour annuler.

gcloud

Pour activer MACsec pour Cloud Interconnect avec les paramètres par défaut, exécutez la commande suivante :

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Remplacez INTERCONNECT_CONNECTION_NAME par le nom de votre connexion Cloud Interconnect.

Vérifier la configuration MACsec

Sélectionnez l'une des options suivantes :

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Sélectionnez la connexion que vous souhaitez afficher.

  3. La section Informations relatives aux circuits de liaison affiche les informations suivantes:

    • ID de circuit Google:nom du circuit de liaison.

    • État du lien:l'état physique du lien membre LACP affiche une vérification et un état actif pour indiquer que le lien membre LACP est activé.

    • Nom de la clé MACsec: affiche une vérification et le nom de la clé MACsec pour indiquer que MACsec est actif sur le lien.

    • Réception de la puissance optique: une vérification indique une connexion acceptable. Le niveau de luminosité optique détecté par l'interface physique de l'émetteur distant est affiché en dBm.

    • Transmission de la puissance optique: une vérification indique une connexion acceptable. Le niveau de luminosité optique que l'interface physique transmet au récepteur distant est affiché en dBm.

    • ID de démarcation Google:ID unique attribué par Google pour le circuit de liaison.

  4. Cliquez sur l'onglet MACsec. La MACsec MACsec affiche l'un des éléments suivants pour votre configuration MACsec:

    • Activé, configuration ouverte ("fail open") : le chiffrement MACsec est activé sur le lien. Si le chiffrement MACsec n'est pas établi entre les deux extrémités, le lien fonctionne sans chiffrement.

    • Activé, configuration fermée ("fail closed") : le chiffrement MACsec est activé sur le lien. Si le chiffrement MACsec n'est pas établi entre les deux extrémités, le lien échoue.

gcloud

Exécutez la commande suivante :

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

Le résultat ressemble à l'exemple Cloud Interconnect suivant de 10 Go. Recherchez availableFeatures défini sur IF_MACSEC et la section macsec :

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: false
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

Les éléments suivants spécifient la configuration MACsec de la connexion Cloud Interconnect :

  • availableFeatures : capacité MACsec sur la connexion Cloud Interconnect. Ce paramètre n'est affiché que pour les connexions Cloud Interconnect de 10 Go, car toutes les connexions Cloud Interconnect de 100 Go sont compatibles par défaut avec MACsec.

  • macsec.failOpen : comportement de la connexion si Cloud Interconnect ne peut pas établir de session MKA avec votre routeur. La valeur est l'une des suivantes :

    • false :si une session MKA ne peut pas être établie, Cloud Interconnect abandonne tout le trafic.

    • true : si une session MKA ne peut pas être établie, Cloud Interconnect transmet le trafic non chiffré.

  • macsec.preSharedKeys.name : liste de toutes les clés pré-partagées configurées pour Cloud Interconnect sur ce lien.

  • macsec.preSharedKeys.startTime : heure de début à laquelle la clé pré-partagée actuelle est considérée comme valide. Toutes les clés ont une validité infinie.

  • macsecEnabled : état MACsec pour Cloud Interconnect sur ce lien. La valeur est l'une des suivantes :

    • false : MACsec pour Cloud Interconnect est désactivé.
    • true : MACsec pour Cloud Interconnect est activé.

Cette commande n'affiche pas l'état opérationnel MACsec.

Activer MACsec sur votre routeur sur site

Consultez la documentation de votre fournisseur de routeur pour activer MACsec sur votre routeur sur site.

Annuler le drainage de votre connexion Cloud Interconnect

Si vous avez déjà drainé votre connexion Cloud Interconnect, activez les rattachements de VLAN.

Étape suivante