MACsec を有効にする

このページでは、Cloud Interconnect の MACsec を有効にする方法について説明します。

事前共有キーを生成してオンプレミス ルーターで使用するように構成したら、Cloud Interconnect で MACsec を有効にする必要があります。Cloud Interconnect で MACsec を有効にした後、Cloud Interconnect が正しく構成され、データの保護に MACsec が使用されていることを確認します。

始める前に

まだ設定が完了していない場合は、Cloud Interconnect で MACsec を有効にする前に MACsec を設定します。

Cloud Interconnect で MACsec を有効にする

次のオプションのいずれかを選択します。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 変更する接続を選択します。

  3. [MACsec] タブで、[有効にする] をクリックします。

    確認ウィンドウが表示されます。メッセージを読み、[確認] をクリックして MACsec の有効化を確認するか、[キャンセル] をクリックしてキャンセルします。

gcloud

デフォルトの設定で Cloud Interconnect の MACsec を有効にするには、次のコマンドを実行します。

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

INTERCONNECT_CONNECTION_NAME は、Cloud Interconnect 接続の名前に置き換えます。

MACsec 構成を確認する

次のオプションのいずれかを選択します。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 表示する接続を選択します。

  3. [リンク回路の情報] セクションに、次の情報が表示されます。

    • Google 回路 ID: リンク回路の名前。

    • リンク状態: LACP メンバーリンクの物理的な状態として チェック)と [有効] が表示されます。これは、LACP メンバーリンクが有効であることを示します。

    • MACsec キー名: チェック)と MACsec キー名が表示されます。これは、リンク上で MACsec がアクティブであることを示します。

    • 受信光強度: チェック)は、許容可能な接続であることを示します。物理インターフェースがリモート送信機から検出した光レベルが dBm 単位で表示されます。

    • 送信光強度: チェック)は、接続が許容可能であることを示します。物理インターフェースがリモート レシーバーに送信している光レベルが dBm 単位で表示されます。

    • Google 境界 ID: Google がリンク回路に割り当てる一意の ID。

  4. [MACsec] タブをクリックします。[MACsec 構成] では、MACsec 構成について次のいずれかが表示されます。

    • 有効、フェイル オープン: リンクで MACsec 暗号化が有効になっています。両端の間で MACsec 暗号化が確立されていない場合、リンクは暗号化なしで動作します。

    • 有効、フェイル クローズ: リンクで MACsec 暗号化が有効になっています。両端の間で MACsec 暗号化が確立されていない場合、リンクは失敗します。

gcloud

次のコマンドを実行します。

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

出力は、次に示す 10 GB の Cloud Interconnect の例のようになります。IF_MACSEC に設定された availableFeaturesmacsec セクションを確認します。

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: false
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

次の項目に、Cloud Interconnect 接続の MACsec 構成を指定します。

  • availableFeatures: Cloud Interconnect 接続の MACsec 機能。すべての 100 GB の Cloud Interconnect 接続はデフォルトで MACsec に対応しているため、このパラメータは 10 GB の Cloud Interconnect 接続の場合のみ表示されます。

  • macsec.failOpen: Cloud Interconnect がルーターとの MKA セッションを確立できない場合の接続の動作。次のいずれかの値を指定できます。

    • false: MKA セッションを確立できない場合、Cloud Interconnect はすべてのトラフィックを破棄します。

    • true: MKA セッションを確立できない場合、Cloud Interconnect は暗号化されていないトラフィックを渡します。

  • macsec.preSharedKeys.name: このリンクで Cloud Interconnect 用に構成されたすべての事前共有キーのリスト。

  • macsec.preSharedKeys.startTime: 現在の事前共有キーが有効とみなされる開始時間。すべての鍵の有効期限は無限です。

  • macsecEnabled: このリンクの Cloud Interconnect の MACsec ステータス。次のいずれかの値を指定できます。

    • false: Cloud Interconnect の MACsec は無効になっています。
    • true: Cloud Interconnect の MACsec は有効になっています。

このコマンドでは MACsec のオペレーション ステータスは表示されません。

オンプレミス ルーターで MACsec を有効にする

オンプレミス ルーターで MACsec を有効にするには、ルーター ベンダーのドキュメントをご覧ください。

Cloud Interconnect 接続をドレインする

以前に Cloud Interconnect 接続をドレインした場合は、VLAN アタッチメントを有効にします

次のステップ