Questa pagina descrive come ruotare le chiavi per MACsec per Cloud Interconnect.
Per ruotare le chiavi, devi completare quanto segue:
- Crea una nuova chiave con una data di inizio successiva alle chiavi esistenti.
- Aggiungi la nuova chiave al router on-premise.
- Attendi l'ora di inizio della nuova chiave.
- Verifica che la nuova chiave sia attiva.
- Elimina la chiave meno recente.
Puoi creare fino a cinque chiavi precondivise con ore di inizio specificate da te. La chiave le ore di inizio devono essere in ordine crescente e non entro sei ore dal l'ora di inizio della chiave precedente. Per ruotare una chiave che non vuoi più utilizzare: la rimozione della chiave.
Le chiavi precondivise non hanno scadenza. Se configuri più di una chiave, le chiavi devono avere un'ora di inizio configurata.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per recuperare le chiavi MACsec,
chiedi all'amministratore di concederti
Ruolo IAM Amministratore rete Compute (roles/compute.networkAdmin) per il progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.
Se scegli di utilizzare ruoli personalizzati, assicurati che il tuo ruolo personalizzato
l'amministrazione di MACsec per Cloud Interconnect include
Autorizzazione IAM compute.interconnects.getMacsecConfig.
(Facoltativo) Aggiorna l'ora di inizio della chiave esistente
Se hai una chiave senza ora di inizio e provi a crearne una nuova, Cloud Interconnect visualizza un errore. Per correggere l'ora di inizio, seleziona una di le seguenti opzioni per impostare un'ora di inizio per la chiave esistente:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione da modificare.
Nella scheda MACsec, vai alla sezione Chiavi precondivise, quindi Fai clic su Chiavi precondivise gestite.
Nel campo Ora di inizio, seleziona o inserisci una nuova ora di inizio.
Fai clic su Invia
gcloud
gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME \
--start-time=START_TIME
Sostituisci quanto segue:
INTERCONNECT_CONNECTION_NAME: il nome del tuo Connessione Cloud InterconnectKEY_NAME: nome della chiave da aggiornareSTART_TIME: data e ora di validità della chiave in ISO Formato 8601, ad esempio2023-07-01T21:00:01.000Z
Crea una nuova chiave
Per aggiungere una nuova chiave, seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione da modificare.
Nella scheda MACsec, vai alla sezione Chiavi precondivise, quindi Fai clic su Chiavi precondivise gestite.
Fai clic su Aggiungi chiave.
Specifica i dettagli della chiave precondivisa:
Nome chiave:un nome per la chiave. Questo nome viene visualizzato nel nella console Google Cloud e viene utilizzato da gcloud CLI riferimento alla chiave, ad esempio
psk-2.Start time (Ora di inizio): l'ora da cui è valida la chiave. Assicurati che l'ora di inizio della nuova chiave precondivisa è di almeno sei ore dopo l'ora di inizio della chiave precedente.
Per aggiungere altre chiavi precondivise, fai clic su Aggiungi chiave. Consecutiva le chiavi precondivise devono avere ore di inizio di almeno sei ore l'una dall'altra.
Fai clic su Invia.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \ --key-name=KEY_NAME \ --start-time="START_TIME"Sostituisci quanto segue:
INTERCONNECT_CONNECTION_NAME: il nome del tuo Connessione Cloud InterconnectKEY_NAME: un nome per la chiaveSTART_TIME: l'ora di validità della chiave nel periodo Formato ISO 8601, ad esempio2023-07-01T21:00:01.000Z
Come best practice, ti consigliamo di impostare un'ora di inizio per tutte le chiavi che crei per MACsec per Cloud Interconnect.
Per elencare le chiavi esistenti e prendere nota della chiave di associazione di connettività della nuova chiave (CAK) e il nome della chiave di associazione della connettività (CKN), seleziona una delle le seguenti opzioni:
Console
Nella sezione Chiavi precondivise, individua il nome delle chiavi che hai aggiunto e fai clic su Visualizza. Viene visualizzata una finestra chiave di associazione della connettività (CAK) e la connettività nome della chiave di associazione (CKN). Fai clic su Copia accanto a per copiarlo negli appunti del computer.
Fai clic su Chiudi.
gcloud
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAMEL'output è simile al seguente:
preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12ZIn questo esempio,
key2è la chiave appena aggiunta.Aggiungi l'ora di inizio, i valori CAK e CKN della nuova chiave agli ambienti on-premise configurazione del router.
I router perimetrali di Google utilizzano la chiave con l'ora di inizio più recente e passare automaticamente alla chiave successiva con il passare del tempo. Tutte le chiavi configurate hanno tempi di scadenza infiniti. Ciò significa che per completare una rotazione della chiave, Devi rimuovere la chiave precedente che non vuoi utilizzare.
Verificare la chiave attiva
Completa i seguenti passaggi:
Per elencare le chiavi esistenti, seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione che vuoi visualizzare.
Nella sezione Chiavi precondivise della scheda MACsec sono elencate tutte chiavi precondivise per questa connessione.
gcloud
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAMEL'output è simile al seguente:
preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12ZPrendi nota del valore CKN della chiave elencata prima dell'ultima chiave.
Per verificare che la chiave attiva sia elencata prima di rimuovere quella precedente, seleziona una delle seguenti opzioni:
Console
- Nella sezione Chiavi precondivise, verifica che la nuova chiave mostri una Stato della chiave: Attivo, in uso.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAMEL'output è simile al seguente: Cerca
macsec:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0202020289abcdef...0123456789abcdef operational: true operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55Il comando
gcloud compute interconnects get-diagnosticsmostra il valore CKN della chiave attiva. Se hai configurato più di una chiave, la chiave con l'ora di inizio più recente viene selezionata come chiave attiva. di Google i router perimetrali rifiutano le nuove sessioni MACsec che tentano di utilizzare la vecchia chiave.
Rimuovi la vecchia chiave
Come misura di sicurezza, MACsec per Cloud Interconnect ti impedisce rimuovendo l'ultima chiave attiva.
Per rimuovere il token precedente, svolgi i seguenti passaggi:
Rimuovi la chiave precedente dalla configurazione del router on-premise. Questo assicura che la vecchia chiave non venga utilizzata dal router on-premise la vecchia chiave da Cloud Interconnect.
Per rimuovere la chiave precedente dalla connessione Cloud Interconnect automatica, seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione che vuoi visualizzare.
Nella scheda MACsec, vai a Chiavi precondivise, quindi seleziona che vuoi eliminare, quindi fai clic su Elimina.
Nella sezione Chiavi precondivise, verifica che sia visualizzata la nuova chiave Lo stato della chiave sia Attivo, in uso e che la chiave che volevi elimina non è più in elenco.
gcloud
Esegui questo comando:
gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \ --key-name=KEY_NAMESostituisci quanto segue:
INTERCONNECT_CONNECTION_NAME: il nome del tuo Connessione Cloud InterconnectKEY_NAME: nome della chiave
Per verificare di aver rimosso la chiave corretta, esegui questo comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAMEL'output è simile al seguente:
preSharedKeys: - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z