Cette page explique comment activer MACsec pour Cloud Interconnect.
Après avoir généré des clés pré-partagées et configuré votre routeur sur site pour les utiliser, vous devez activer MACsec pour Cloud Interconnect. Une fois MACsec pour Cloud Interconnect activé, vous vérifiez que votre configuration Cloud Interconnect est correctement configurée et utilise MACsec pour protéger vos données.
Avant de commencer
Si vous n'avez pas terminé la configuration, vous devez configurer MACsec avant d'activer MACsec pour Cloud Interconnect.
Activer MACsec pour Cloud Interconnect
Sélectionnez l'une des options suivantes :
Console
Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.
Sélectionnez la connexion que vous souhaitez modifier.
Dans l'onglet MACsec, cliquez sur Activer.
Une fenêtre de confirmation s'affiche. Lisez le message, puis cliquez sur Confirm (Confirmer) pour confirmer l'activation de MACsec ou sur Cancel (Annuler) pour annuler.
gcloud
Pour activer MACsec pour Cloud Interconnect avec les paramètres par défaut, exécutez la commande suivante :
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
Remplacez INTERCONNECT_CONNECTION_NAME
par le nom de votre connexion Cloud Interconnect.
Vérifier la configuration MACsec
Sélectionnez l'une des options suivantes :
Console
Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.
Sélectionnez la connexion que vous souhaitez afficher.
La section Informations relatives aux circuits de liaison affiche les informations suivantes:
ID de circuit Google:nom du circuit de liaison.
État du lien:l'état physique du lien membre LACP affiche une vérification
et un état actif pour indiquer que le lien membre LACP est activé.Nom de la clé MACsec: affiche une vérification
et le nom de la clé MACsec pour indiquer que MACsec est actif sur le lien.Réception de la puissance optique: une vérification dBm.
indique une connexion acceptable. Le niveau de luminosité optique détecté par l'interface physique de l'émetteur distant est affiché enTransmission de la puissance optique: une vérification
indique une connexion acceptable. Le niveau de luminosité optique que l'interface physique transmet au récepteur distant est affiché en dBm.ID de démarcation Google:ID unique attribué par Google pour le circuit de liaison.
Cliquez sur l'onglet MACsec. La MACsec MACsec affiche l'un des éléments suivants pour votre configuration MACsec:
Activé, configuration ouverte ("fail open") : le chiffrement MACsec est activé sur le lien. Si le chiffrement MACsec n'est pas établi entre les deux extrémités, le lien fonctionne sans chiffrement.
Activé, configuration fermée ("fail closed") : le chiffrement MACsec est activé sur le lien. Si le chiffrement MACsec n'est pas établi entre les deux extrémités, le lien échoue.
gcloud
Exécutez la commande suivante :
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Le résultat ressemble à l'exemple Cloud Interconnect suivant de 10 Go. Recherchez availableFeatures
défini sur IF_MACSEC
et la section macsec
:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
Les éléments suivants spécifient la configuration MACsec de la connexion Cloud Interconnect :
availableFeatures
: capacité MACsec sur la connexion Cloud Interconnect. Ce paramètre n'est affiché que pour les connexions Cloud Interconnect de 10 Go, car toutes les connexions Cloud Interconnect de 100 Go sont compatibles par défaut avec MACsec.macsec.failOpen
: comportement de la connexion si Cloud Interconnect ne peut pas établir de session MKA avec votre routeur. La valeur est l'une des suivantes :false
:si une session MKA ne peut pas être établie, Cloud Interconnect abandonne tout le trafic.true
: si une session MKA ne peut pas être établie, Cloud Interconnect transmet le trafic non chiffré.
macsec.preSharedKeys.name
: liste de toutes les clés pré-partagées configurées pour Cloud Interconnect sur ce lien.macsec.preSharedKeys.startTime
: heure de début à laquelle la clé pré-partagée actuelle est considérée comme valide. Toutes les clés ont une validité infinie.macsecEnabled
: état MACsec pour Cloud Interconnect sur ce lien. La valeur est l'une des suivantes :false
: MACsec pour Cloud Interconnect est désactivé.true
: MACsec pour Cloud Interconnect est activé.
Cette commande n'affiche pas l'état opérationnel MACsec.
Activer MACsec sur votre routeur sur site
Consultez la documentation de votre fournisseur de routeur pour activer MACsec sur votre routeur sur site.
Annuler le drainage de votre connexion Cloud Interconnect
Si vous avez déjà drainé votre connexion Cloud Interconnect, activez les rattachements de VLAN.
Étape suivante
- Résolvez les problèmes liés à MACsec.
- Affichez l'état MACsec.
- Désactivez MACsec.
- Obtenez des clés MACsec.
- Effectuez une rotation des clés MACsec.