Nesta página, descrevemos como ativar o MACsec para o Cloud Interconnect.
Depois de gerar chaves pré-compartilhadas e configurar o roteador local para usá-las, será necessário ativar o MACsec para o Cloud Interconnect. Depois que o MAC para o Cloud Interconnect estiver ativado, verifique se a configuração do Cloud Interconnect está configurada corretamente e está usando o MACsec para ajudar a proteger seus dados.
Antes de começar
Se você não concluiu a configuração, configure o MACsec antes de ativar o MACsec para o Cloud Interconnect.
Ativar MACsec para Cloud Interconnect
Selecione uma das seguintes opções:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão que você quer modificar.
Na guia MACsec, clique em MACsec.
Uma janela de confirmação é exibida. Leia a mensagem e clique em Confirmar para confirmar que você quer ativar o MACsec ou em Cancelar para cancelar.
gcloud
Para ativar o MACsec para o Cloud Interconnect com as configurações padrão, execute o seguinte comando:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
Substitua INTERCONNECT_CONNECTION_NAME pelo nome da sua conexão do Cloud Interconnect.
Verificar a configuração do MACsec
Selecione uma das seguintes opções:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão que você quer ver.
A seção Link circuit info mostra as seguintes informações:
ID do circuito do Google: o nome do circuito de link.
Estado do link: o estado físico do link do membro do LACP exibe uma verificação e ativa para indicar que o link do membro do LACP está para cima.
Nome da chave MACsec: exibe uma verificação de e o nome da chave MACsec para indicar que o MACsec está ativo no link.
Potência óptica de recebimento: uma Verificação de indica uma conexão aceitável. O nível de luz óptica que a interface física detecta no transmissor remoto é exibido em dBm.
Transmissão óptica de potência: uma verificação de indica uma conexão aceitável e o nível de luz óptica que a interface física está transmitindo ao receptor remoto exibidos em dBm.
ID de demarcador do Google: o ID exclusivo atribuído pelo Google para o circuito de link.
Clique na guia MACsec. A página MACsec do MACsec exibe um dos seguintes itens para sua configuração do MACsec:
Ativado, falha ao abrir: a criptografia MACsec está ativada no link. Se a criptografia MACsec não for estabelecida entre as duas extremidades, o link funcionará sem criptografia.
Ativado, falha fechado: a criptografia MACsec está ativada no link. Se a criptografia MACsec não for estabelecida entre as duas extremidades, o link falhará.
gcloud
Execute este comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
A saída é semelhante à seguinte mensagem do Cloud Interconnect de 10 GB
exemplo procure a availableFeatures definida como IF_MACSEC e a macsec
seção:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
Os itens a seguir especificam a configuração MACsec da conexão do Cloud Interconnect:
availableFeatures: recurso MACsec na conexão do Cloud Interconnect. Esse parâmetro é mostrado apenas para conexões de 10 GB do Cloud Interconnect, porque todas as conexões de 100 GB do Cloud Interconnect são compatíveis com MACsec por padrão.macsec.failOpen: o comportamento da conexão se o Cloud Interconnect não conseguir estabelecer uma sessão MKA com o roteador. O valor é um dos seguintes:false: se uma sessão MKA não puder ser estabelecida, o Cloud Interconnect descartará todo o tráfego.true: se uma sessão MKA não puder ser estabelecida, o Cloud Interconnect transmitirá o tráfego não criptografado.
macsec.preSharedKeys.name: a lista de todas as chaves pré-compartilhadas configuradas para o Cloud Interconnect neste link.macsec.preSharedKeys.startTime: o horário de início em que a chave pré-compartilhada atual é considerada válida. Todas as chaves têm validade infinita.macsecEnabled: status MACsec para o Cloud Interconnect neste link. O valor é um dos seguintes:false: o MACsec para o Cloud Interconnect está desativado.true: o MACsec para o Cloud Interconnect está ativado.
Esse comando não exibe o status operacional MACsec.
Ativar o MACsec no roteador local
Consulte a documentação do fornecedor do roteador para ativar o MACsec no roteador local.
Remover a conexão do Cloud Interconnect
Se você tiver drenado sua conexão do Cloud Interconnect anteriormente, ative os anexos da VLAN.
A seguir
- Resolver problemas do MACsec
- Visualizar status MACsec
- Desativar MACsec
- Gerar chaves MACsec
- Alternar chaves MACsec