이 페이지에서는 MACsec for Cloud Interconnect를 사용 설정하는 방법을 설명합니다.
사전 공유 키를 생성하고 온프레미스 라우터가 사전 공유 키를 사용하도록 구성한 후에는 MACsec for Cloud Interconnect를 사용 설정해야 합니다. MACsec for Cloud Interconnect가 사용 설정되면 Cloud Interconnect 구성이 올바르게 구성되고 MACsec를 사용하여 데이터를 보호하는지 확인합니다.
시작하기 전에
설정을 완료하지 않은 경우 MACsec for Cloud Interconnect를 사용 설정하기 전에 MACsec를 설정합니다.
MACsec for Cloud Interconnect 사용 설정
다음 옵션 중 하나를 선택합니다.
콘솔
Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.
수정할 연결을 선택합니다.
MACsec 탭에서 사용 설정을 클릭합니다.
확인 창이 표시됩니다. 메시지를 읽은 다음 확인을 클릭하여 MACsec를 사용 설정할 것인지 확인하거나 취소를 클릭하여 취소합니다.
gcloud
기본 설정으로 MACsec for Cloud Interconnect를 사용 설정하려면 다음 명령어를 실행합니다.
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
INTERCONNECT_CONNECTION_NAME을 Cloud Interconnect 연결의 이름으로 바꿉니다.
MACsec 구성 확인
다음 옵션 중 하나를 선택합니다.
콘솔
Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.
보려는 연결을 선택합니다.
링크 회선 정보 섹션에는 다음 정보가 표시됩니다.
Google 회선 ID: 링크 회선의 이름입니다.
링크 상태: LACP 구성원 링크의 물리적 상태에 체크표시와 활성이 표시되어 LACP 구성원 링크가 작동 중임을 나타냅니다.
MACsec 키 이름: 확인과 MACsec 키 이름의 이름이 표시되어 MACsec가 링크에서 활성 상태임을 나타냅니다.
광출력 수신: 체크표시는 허용 가능한 연결을 나타냅니다. 물리적 인터페이스가 원격 전송기에서 감지하는 광출력 수준이 dBm 단위로 표시됩니다.
광출력 전송: 체크표시는 허용 가능한 연결을 나타내며 물리적 인터페이스가 원격 수신기에 전송하는 광출력 수준이 dBm 단위로 표시됩니다.
Google demarc ID: Google에서 링크 회선에 할당한 고유 ID입니다.
MACsec 탭을 클릭합니다. MACsec 구성에 다음 MACsec 구성 중 하나가 표시됩니다.
사용 설정됨, 장애 허용: 링크에 MACsec 암호화가 사용 설정되어 있습니다. 양단 간에 MACsec 암호화가 설정되지 않으면 링크가 암호화 없이 작동합니다.
사용 설정됨, 장애 차단: MACsec 암호화가 링크에 사용 설정되었습니다. 양단 간에 MACsec 암호화가 설정되지 않으면 링크가 실패합니다.
gcloud
다음 명령어를 실행합니다.
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
출력은 다음 10GB Cloud Interconnect 예시와 비슷합니다.
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
다음 항목은 Cloud Interconnect 연결의 MACsec 구성을 지정합니다.
availableFeatures: Cloud Interconnect 연결에 대한 MACsec 기능입니다. 모든 100GB Cloud Interconnect 연결은 기본적으로 MACsec를 지원하므로 이 매개변수는 10GB Cloud Interconnect 연결에만 표시됩니다.macsec.failOpen: Cloud Interconnect가 라우터와 MKA 세션을 설정할 수 없는 경우 연결 동작입니다. 값은 다음 중 하나입니다.false: MKA 세션을 설정할 수 없는 경우 Cloud Interconnect가 모든 트래픽을 삭제합니다.true: MKA 세션을 설정할 수 없는 경우 Cloud Interconnect가 암호화되지 않은 트래픽을 전달합니다.
macsec.preSharedKeys.name: 이 링크에서 Cloud Interconnect에 구성된 모든 사전 공유 키 목록입니다.macsec.preSharedKeys.startTime: 현재 사전 공유 키가 유효한 것으로 간주되는 시작 시간입니다. 모든 키의 유효 기간은 무한합니다.macsecEnabled: 이 링크에 있는 Cloud Interconnect의 MACsec 상태입니다. 값은 다음 중 하나입니다.false: MACsec for Cloud Interconnect가 사용 중지되었습니다.true: MACsec for Cloud Interconnect가 사용 설정되었습니다.
이 명령어는 MACsec 작동 상태를 표시하지 않습니다.
온프레미스 라우터에서 MACsec 사용 설정
온프레미스 라우터에서 MACsec를 사용 설정하려면 라우터 공급업체의 문서를 참조하세요.
Cloud Interconnect 연결 드레이닝 취소
이전에 Cloud Interconnect 연결을 드레이닝한 경우 VLAN 연결을 사용 설정합니다.