Halaman ini menjelaskan cara merotasi kunci untuk MACsec untuk Cloud Interconnect.
Untuk merotasi kunci, Anda harus menyelesaikan langkah berikut:
- Buat kunci baru dengan tanggal mulai setelah kunci yang ada.
- Tambahkan kunci baru ke router lokal.
- Tunggu waktu mulai kunci baru.
- Pastikan kunci baru aktif.
- Hapus kunci terlama.
Anda dapat membuat hingga lima kunci pra-bagi dengan waktu mulai yang Anda tentukan. Waktu mulai kunci harus dalam urutan meningkat, dan tidak dalam waktu enam jam setelah waktu mulai kunci sebelumnya. Untuk merotasi kunci yang tidak ingin digunakan lagi, Anda dapat menghapus kunci tersebut.
Pre-shared key tidak memiliki masa berlaku. Ketika Anda mengonfigurasi lebih dari satu kunci, maka semua kunci harus memiliki waktu mulai yang dikonfigurasi.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan guna mengambil kunci MACsec,
minta administrator untuk memberi Anda
peran IAM Admin Jaringan Compute (roles/compute.networkAdmin
) di project Anda.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Jika Anda memilih untuk menggunakan peran khusus, pastikan bahwa peran khusus Anda untuk
mengelola MACsec untuk Cloud Interconnect menyertakan izin IAM
compute.interconnects.getMacsecConfig
.
Opsional: Perbarui waktu mulai kunci yang ada
IJika Anda memiliki kunci tanpa waktu mulai dan mencoba membuat kunci baru, Cloud Interconnect akan menampilkan error. Untuk memperbaiki waktu mulai, pilih salah satu opsi berikut untuk menetapkan waktu mulai untuk kunci yang ada:
Konsol
Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.
Pilih koneksi yang ingin Anda ubah.
Di tab MACsec, buka bagian Kunci pra-bagi, lalu klik Kunci pra-bagi yang ditangani.
Di kolom Waktu mulai, pilih atau masukkan waktu mulai baru.
Klik Kirim.
gcloud
gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME \
--start-time=START_TIME
Ganti kode berikut:
INTERCONNECT_CONNECTION_NAME
: nama koneksi Cloud Interconnect AndaKEY_NAME
: nama kunci yang akan diupdateSTART_TIME
: waktu berlakunya kunci ini dalam format ISO 8601—misalnya,2023-07-01T21:00:01.000Z
Buat kunci baru
Untuk menambahkan kunci baru, pilih salah satu opsi berikut:
Konsol
Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.
Pilih koneksi yang ingin Anda ubah.
Di tab MACsec, buka bagian Kunci pra-bagi, lalu klik Kunci pra-bagi yang ditangani.
Klik Tambahkan Kunci.
Tentukan detail kunci pra-bagi:
Nama Kunci: nama untuk kunci. Nama ini ditampilkan di Google Cloud Console dan digunakan oleh gcloud CLI untuk mereferensikan kunci, seperti
psk-2
.Waktu mulai: waktu kunci menjadi valid. Pastikan waktu mulai kunci pra-bagi yang baru setidaknya enam jam setelah waktu mulai kunci sebelumnya.
Untuk menambahkan kunci pra-bagi tambahan, klik Tambahkan kunci. Kunci pra-bagi secara berurutan harus memiliki waktu mulai setidaknya dengan selang enam jam.
Klik Submit.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \ --key-name=KEY_NAME \ --start-time="START_TIME"
Ganti kode berikut:
INTERCONNECT_CONNECTION_NAME
: nama koneksi Cloud Interconnect AndaKEY_NAME
: nama untuk kunciSTART_TIME
: waktu berlakunya kunci ini dalam format ISO 8601—misalnya,2023-07-01T21:00:01.000Z
Sebagai praktik terbaik, sebaiknya tetapkan waktu mulai untuk semua kunci tyang Anda buat untuk MACsec untuk Cloud Interconnect.
Untuk mencantumkan kunci yang sudah ada dan mencatat kunci pengaitan konektivitas (CAK) kunci baru dan nama kunci asosiasi konektivitas (CKN), pilih salah satu opsi berikut:
Konsol
Di bagian Kunci pra-bagi, cari nama kunci pra-bagi yang Anda tambahkan, lalu klik View. Jendela akan menampilkan kunci pengaitan konektivitas (CAK) dan nama kunci asosiasi konektivitas (CKN). Klik
Salin di samping salah satu nilai untuk menyalin nilai ke papan klip komputer.Klik Close.
gcloud
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
Output-nya mirip dengan yang berikut ini:
preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
Dalam contoh ini,
key2
adalah kunci yang baru ditambahkan.Tambahkan nilai waktu mulai, CAK, dan CKN kunci baru ke konfigurasi router lokal Anda.
Router edge Google menggunakan kunci dengan waktu mulai terbaru dan secara otomatis beralih ke kunci berikutnya seiring waktu. Semua kunci yang dikonfigurasi memiliki waktu habis masa berlaku yang tidak terbatas. Artinya, untuk menyelesaikan rotasi kunci, Anda harus menghapus kunci lama yang tidak ingin digunakan.
Verifikasi kunci aktif
Selesaikan langkah berikut:
Untuk mencantumkan kunci yang ada, pilih salah satu opsi berikut:
Konsol
Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.
Pilih koneksi yang ingin Anda lihat.
Pada tab MACsec, bagian Kunci pra-bagi, mencantumkan semua kunci pra-bagi untuk koneksi ini.
gcloud
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
Output-nya mirip dengan yang berikut ini:
preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
Perhatikan nilai CKN untuk kunci yang tercantum sebelum kunci terakhir.
Untuk memastikan bahwa kunci aktif tercantum sebelum menghapus kunci lama, pilih salah satu opsi berikut:
Konsol
- Di bagian kunci pra-bagi, pastikan kunci baru menampilkan Status kunci Yang aktif sedang digunakan.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
Outputnya mirip dengan berikut ini; cari
macsec
:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0202020289abcdef...0123456789abcdef operational: true operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55
Perintah
gcloud compute interconnects get-diagnostics
menampilkan nilai CKN kunci aktif. Jika Anda mengonfigurasi lebih dari satu kunci, maka kunci dengan waktu mulai terbaru akan dipilih sebagai kunci aktif. Router edge Google menolak setiap sesi MACsec baru yang mencoba menggunakan kunci lama.
Hapus kunci lama
Sebagai tindakan pencegahan keamanan, MACsec untuk Cloud Interconnect mencegah Anda menghapus kunci aktif terakhir.
Untuk menghapus kunci lama, selesaikan langkah-langkah berikut:
Hapus kunci lama dari konfigurasi router lokal. Hal ini untuk memastikan bahwa kunci lama tidak digunakan oleh router lokal sebelum Anda menghapus kunci lama dari Cloud Interconnect.
Untuk menghapus kunci lama dari konfigurasi koneksi Cloud Interconnect, pilih salah satu opsi berikut:
Konsol
Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.
Pilih koneksi yang ingin Anda lihat.
Di tab MACsec, buka Kunci pra-bagi, pilih kunci yang ingin Anda hapus, lalu klik Delete.
Di bagian kunci Pra-bagi pastikan bahwa kunci baru menampilkan Status kunci yang Aktif, sedang digunakan dan bahwa kunci yang ingin Anda hapus tidak lagi terdaftar.
gcloud
Jalankan perintah berikut:
gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \ --key-name=KEY_NAME
Ganti kode berikut:
INTERCONNECT_CONNECTION_NAME
: nama koneksi Cloud Interconnect AndaKEY_NAME
: nama kunci Anda.
Untuk memastikan bahwa Anda telah menghapus kunci yang benar, jalankan perintah berikut:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
Output-nya mirip dengan yang berikut ini:
preSharedKeys: - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z