このページでは、Cloud Interconnect の MACsec を有効にする方法について説明します。
事前共有キーを生成してオンプレミス ルーターで使用するように構成したら、Cloud Interconnect で MACsec を有効にする必要があります。Cloud Interconnect で MACsec を有効にした後、Cloud Interconnect が正しく構成され、データの保護に MACsec が使用されていることを確認します。
始める前に
まだ設定が完了していない場合は、Cloud Interconnect で MACsec を有効にする前に MACsec を設定します。
Cloud Interconnect で MACsec を有効にする
次のオプションのいずれかを選択します。
コンソール
Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。
変更する接続を選択します。
[MACsec] タブで、[有効にする] をクリックします。
確認ウィンドウが表示されます。メッセージを読み、[確認] をクリックして MACsec の有効化を確認するか、[キャンセル] をクリックしてキャンセルします。
gcloud
デフォルトの設定で Cloud Interconnect の MACsec を有効にするには、次のコマンドを実行します。
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
INTERCONNECT_CONNECTION_NAME は、Cloud Interconnect 接続の名前に置き換えます。
MACsec 構成を確認する
次のオプションのいずれかを選択します。
コンソール
Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。
表示する接続を選択します。
[リンク回路の情報] セクションに、次の情報が表示されます。
Google 回路 ID: リンク回路の名前。
リンク状態: LACP メンバーリンクの物理的な状態として (チェック)と [有効] が表示されます。これは、LACP メンバーリンクが有効であることを示します。
MACsec キー名: (チェック)と MACsec キー名が表示されます。これは、リンク上で MACsec がアクティブであることを示します。
受信光強度: (チェック)は、許容可能な接続であることを示します。物理インターフェースがリモート送信機から検出した光レベルが dBm 単位で表示されます。
送信光強度: (チェック)は、接続が許容可能であることを示します。物理インターフェースがリモート レシーバーに送信している光レベルが dBm 単位で表示されます。
Google 境界 ID: Google がリンク回路に割り当てる一意の ID。
[MACsec] タブをクリックします。[MACsec 構成] では、MACsec 構成について次のいずれかが表示されます。
有効、フェイル オープン: リンクで MACsec 暗号化が有効になっています。両端の間で MACsec 暗号化が確立されていない場合、リンクは暗号化なしで動作します。
有効、フェイル クローズ: リンクで MACsec 暗号化が有効になっています。両端の間で MACsec 暗号化が確立されていない場合、リンクは失敗します。
gcloud
次のコマンドを実行します。
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
出力は、次に示す 10 GB の Cloud Interconnect の例のようになります。IF_MACSEC に設定された availableFeatures と macsec セクションを確認します。
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
次の項目に、Cloud Interconnect 接続の MACsec 構成を指定します。
availableFeatures: Cloud Interconnect 接続の MACsec 機能。すべての 100 GB の Cloud Interconnect 接続はデフォルトで MACsec に対応しているため、このパラメータは 10 GB の Cloud Interconnect 接続の場合のみ表示されます。macsec.failOpen: Cloud Interconnect がルーターとの MKA セッションを確立できない場合の接続の動作。次のいずれかの値を指定できます。false: MKA セッションを確立できない場合、Cloud Interconnect はすべてのトラフィックを破棄します。true: MKA セッションを確立できない場合、Cloud Interconnect は暗号化されていないトラフィックを渡します。
macsec.preSharedKeys.name: このリンクで Cloud Interconnect 用に構成されたすべての事前共有キーのリスト。macsec.preSharedKeys.startTime: 現在の事前共有キーが有効とみなされる開始時間。すべての鍵の有効期限は無限です。macsecEnabled: このリンクの Cloud Interconnect の MACsec ステータス。次のいずれかの値を指定できます。false: Cloud Interconnect の MACsec は無効になっています。true: Cloud Interconnect の MACsec は有効になっています。
このコマンドでは MACsec のオペレーション ステータスは表示されません。
オンプレミス ルーターで MACsec を有効にする
オンプレミス ルーターで MACsec を有効にするには、ルーター ベンダーのドキュメントをご覧ください。
Cloud Interconnect 接続をドレインする
以前に Cloud Interconnect 接続をドレインした場合は、VLAN アタッチメントを有効にします。