MACsec 키 순환

이 페이지에서는 MACsec for Cloud Interconnect 키를 순환하는 방법을 설명합니다.

키를 순환하려면 다음을 완료합니다.

  1. 기존 키 이후의 시작일을 사용하여 새 키를 만듭니다.
  2. 온프레미스 라우터에 새 키를 추가합니다.
  3. 새 키의 시작 시간을 기다립니다.
  4. 새 키가 활성 상태인지 확인합니다.
  5. 가장 오래된 키를 삭제합니다.

지정된 시작 시간으로 최대 5개의 사전 공유 키를 만들 수 있습니다. 키의 시작 시간은 오름차순이어야 하며 이전 키 시작 시간의 6시간 이후여야 합니다. 더 이상 사용하지 않을 키를 순환하려면 키를 삭제합니다.

사전 공유 키는 만료되지 않습니다. 키를 두 개 이상 구성할 때는 모든 키에 시작 시간을 구성해야 합니다.

필요한 역할

MACsec 키를 검색하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 Compute 네트워크 관리자(roles/compute.networkAdmin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

커스텀 역할을 사용할 경우 Cloud Interconnect용 MACsec 관리를 위한 커스텀 역할에 compute.interconnects.getMacsecConfig IAM 권한이 포함되어 있어야 합니다.

선택사항: 기존 키 시작 시간 업데이트

시작 시간이 없는 키가 있고 새 키를 만들려고 하면 Cloud Interconnect에 오류가 표시됩니다. 시작 시간을 수정하려면 다음 옵션 중 하나를 선택하여 기존 키의 시작 시간을 설정합니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.

    실제 연결로 이동

  2. 수정할 연결을 선택합니다.

  3. MACsec 탭에서 사전 공유 키 섹션으로 이동한 다음 관리형 사전 공유 키를 클릭합니다.

  4. 시작 시간 필드에 새 시작 시간을 선택하거나 입력합니다.

  5. 제출을 클릭합니다.

gcloud 

gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time=START_TIME

다음을 바꿉니다.

  • INTERCONNECT_CONNECTION_NAME: Cloud Interconnect 연결의 이름입니다.
  • KEY_NAME: 업데이트할 키의 이름입니다.
  • START_TIME: 이 키가 유효한 시간으로, ISO 8601 형식입니다(예: 2023-07-01T21:00:01.000Z).

새 키 만들기

  1. 새 키를 추가하려면 다음 옵션 중 하나를 선택합니다.

    콘솔

    1. Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.

      실제 연결로 이동

    2. 수정할 연결을 선택합니다.

    3. MACsec 탭에서 사전 공유 키 섹션으로 이동한 다음 관리형 사전 공유 키를 클릭합니다.

    4. 키 추가를 클릭합니다.

    5. 사전 공유 키의 세부정보를 지정합니다.

      • 키 이름: 키의 이름입니다. 이 이름은 Google Cloud 콘솔에 표시되며 gcloud CLI에서 psk-2과 같은 키를 참조하는 데 사용됩니다.

      • 시작 시간: 키가 유효한 시간입니다. 새 사전 공유 키의 시작 시간이 이전 키의 시작 시간으로부터 최소 6시간 이후인지 확인합니다.

    6. 사전 공유 키를 추가하려면 키 추가를 클릭합니다. 연속된 사전 공유 키는 시작 시간의 간격이 6시간 이상이어야 합니다.

    7. 제출을 클릭합니다.

    gcloud 

    gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time="START_TIME"

    다음을 바꿉니다.

    • INTERCONNECT_CONNECTION_NAME: Cloud Interconnect 연결의 이름입니다.
    • KEY_NAME: 키의 이름입니다.
    • START_TIME: 이 키가 유효한 시간으로, ISO 8601 형식입니다(예: 2023-07-01T21:00:01.000Z).

    MACsec for Cloud Interconnect를 위해 만드는 모든 키에 대해 시작 시간을 설정하는 것이 좋습니다.

  2. 기존 키를 나열하고 새 키의 연결 연결 키(CAK) 및 연결 연결 키 이름(CKN)을 기록하려면 다음 옵션 중 하나를 선택합니다.

    콘솔

    1. 사전 공유 키 섹션에서 추가한 사전 공유 키의 이름을 찾은 후 보기를 클릭합니다. 창에 연결 연결 키(CAK) 및 연결 연결 키 이름(CKN)이 표시됩니다. 값 옆에 있는 복사를 클릭하여 값을 컴퓨터의 클립보드에 복사합니다.

    2. 닫기를 클릭합니다.

    gcloud 

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    출력은 다음과 비슷합니다.

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    이 예시에서 key2는 새로 추가된 키입니다.

  3. 온프레미스 라우터의 구성에 새 키의 시작 시간, CAK, CKN 값을 추가합니다.

Google의 에지 라우터는 시작 시간이 가장 최근인 키를 사용하고 시간이 경과하면 다음 키로 자동 전환합니다. 구성된 모든 키에는 만료 시간이 무한합니다. 즉, 키 순환을 완료하려면 사용하지 않으려는 이전 키를 삭제해야 합니다.

활성 키 확인

다음 단계를 완료합니다.

  1. 기존 키를 나열하려면 다음 옵션 중 하나를 선택합니다.

    콘솔

    1. Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.

      실제 연결로 이동

    2. 보려는 연결을 선택합니다.

    3. MACsec 탭의 사전 공유 키 섹션에 이 연결에 대한 모든 사전 공유 키가 나열됩니다.

    gcloud 

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    출력은 다음과 비슷합니다.

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    마지막 키 앞에 나열된 키의 CKN 값을 기록합니다.

  2. 이전 키를 삭제하기 전에 활성 키가 나열되어 있는지 확인하려면 다음 옵션 중 하나를 선택하세요.

    콘솔

    • 사전 공유 키 섹션에서 새 키에 활성, 사용 중키 상태가 표시되는지 확인합니다.

    gcloud 

    gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

    출력은 다음과 비슷합니다.

    bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
  googleDemarc: fake-local-demarc-0
  lacpStatus:
    googleSystemId: '00:11:22:33:44:55'
    neighborSystemId: '55:44:33:22:11:00'
    state: ACTIVE
  macsec:
    ckn: 0202020289abcdef...0123456789abcdef
    operational: true
  operationalStatus: LINK_OPERATIONAL_STATUS_UP
  receivingOpticalPower:
    state: OK
    value: -2.49
  transmittingOpticalPower:
    state: OK
    value: -0.88
macAddress: 00:11:22:33:44:55

    gcloud compute interconnects get-diagnostics 명령어는 활성 키의 CKN 값을 표시합니다. 키가 두 개 이상 구성된 경우 시작 시간이 가장 최근인 키가 활성 키로 선택됩니다. Google의 에지 라우터는 이전 키를 사용하려고 시도하는 모든 새 MACsec 세션을 거부합니다.

이전 키 삭제

안전을 위해 Cloud Interconnect의 MACsec는 마지막 활성 키 삭제를 방지합니다.

이전 키를 삭제하려면 다음 단계를 완료합니다.

  1. 온프레미스 라우터 구성에서 이전 키를 삭제합니다. 이렇게 하면 Cloud Interconnect에서 이전 키를 삭제하기 전에 온프레미스 라우터에서 이전 키를 사용하지 않도록 할 수 있습니다.

  2. Cloud Interconnect 연결 구성에서 이전 키를 삭제하려면 다음 옵션 중 하나를 선택합니다.

    콘솔

    1. Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.

      실제 연결로 이동

    2. 보려는 연결을 선택합니다.

    3. MACsec 탭에서 사전 공유 키로 이동하여 삭제할 키를 선택한 다음 삭제를 클릭합니다.

    4. 사전 공유 키 섹션에서 새 키에 키 상태활성, 사용 중으로 표시되고 삭제하려는 키가 더 이상 표시되지 않는지 확인합니다.

    gcloud

    1. 다음 명령어를 실행합니다.

      gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME

      다음을 바꿉니다.

      • INTERCONNECT_CONNECTION_NAME: Cloud Interconnect 연결의 이름입니다.
      • KEY_NAME: 키의 이름입니다.

    2. 올바른 키를 삭제했는지 확인하려면 다음 명령어를 실행합니다.

      gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

      출력은 다음과 비슷합니다.

      preSharedKeys:
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

다음 단계