Nesta página, descrevemos como fazer a rotação de chaves do MACsec para o Cloud Interconnect.
Para girar as chaves, faça o seguinte:
- Crie uma nova chave com uma data de início posterior às chaves atuais.
- Adicione a nova chave ao roteador local.
- Aguarde o horário de início da nova chave.
- Verifique se a nova chave está ativa.
- Exclua a chave mais antiga.
É possível criar até cinco chaves pré-compartilhadas com os horários de início especificados. Os horários de início das chaves precisam estar em ordem crescente, e não em um período de seis horas a partir do horário de início da chave anterior. Para fazer a rotação de uma chave que você não quer mais, remova-a.
As chaves pré-compartilhadas não expiram. Quando você configura mais de uma chave, todas as chaves precisam ter um horário de início configurado.
Funções exigidas
Para receber as permissões necessárias para recuperar chaves MACsec, peça ao administrador para conceder a você o papel de Administrador da rede do Compute (roles/compute.networkAdmin
) do IAM no projeto.
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.
Se você optar por usar papéis personalizados, verifique se o papel personalizado para
administrar o MACsec para o Cloud Interconnect inclui a
permissão compute.interconnects.getMacsecConfig
do IAM.
Opcional: atualizar o horário de início da chave
Se você tiver uma chave sem hora de início e tentar criar uma nova, o Cloud Interconnect exibirá um erro. Para corrigir o horário de início, selecione uma das seguintes opções para definir um horário de início para a chave atual:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão que você quer modificar.
Na guia MACsec, acesse a seção Chaves pré-compartilhadas e clique em Chaves pré-compartilhadas gerenciadas.
No campo Horário de início, selecione ou digite um novo horário de início.
Clique em Enviar.
gcloud
gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME \
--start-time=START_TIME
Substitua:
INTERCONNECT_CONNECTION_NAME
: o nome da conexão do Cloud InterconnectKEY_NAME
: o nome da chave a ser atualizada.START_TIME
: o horário de validade dessa chave no formato ISO 8601. Por exemplo,2023-07-01T21:00:01.000Z
.
Criar uma nova chave
Para adicionar uma nova chave, selecione uma das seguintes opções:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão que você quer modificar.
Na guia MACsec, acesse a seção Chaves pré-compartilhadas e clique em Chaves pré-compartilhadas gerenciadas.
Clique em Adicionar chave.
Especifique os detalhes da chave pré-compartilhada:
Nome da chave: um nome para a chave. Esse nome é exibido no console do Google Cloud e é usado pela CLI gcloud para fazer referência à chave, como
psk-2
.Horário de início: é o horário em que a chave passa a estar válida. Confira se o horário de início da nova chave pré-compartilhada é de pelo menos seis horas após o horário de início da anterior.
Para adicionar outras chaves pré-compartilhadas, clique em Adicionar chave. Chaves pré-compartilhadas consecutivas precisam ter horários de início com pelo menos seis horas de intervalo.
Clique em Enviar.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \ --key-name=KEY_NAME \ --start-time="START_TIME"
Substitua:
INTERCONNECT_CONNECTION_NAME
: o nome da conexão do Cloud InterconnectKEY_NAME
: um nome para a chave.START_TIME
: o horário de validade dessa chave no formato ISO 8601. Por exemplo,2023-07-01T21:00:01.000Z
Como prática recomendada, defina um horário de início para todas as chaves que você criar para o MACsec para o Cloud Interconnect.
Para listar as chaves e anotar a chave de associação de conectividade (CAK, na sigla em inglês) e o nome da chave de associação de conectividade (CKN, na sigla em inglês) da nova chave, selecione uma das seguintes opções:
Console
Na seção Chaves pré-compartilhadas, localize o nome da chave pré-compartilhada que você adicionou e clique em Visualizar. Uma janela exibe a chave de associação de conectividade (CAK) e o nome da chave de associação de conectividade (CKN). Clique em
Copiar ao lado de um valor para copiá-lo para a área de transferência do computador.Clique em Fechar.
gcloud
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
O resultado será assim:
preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
Neste exemplo,
key2
é a chave recém-adicionada.Adicione os valores de horário de início da nova chave, CAK e CKN à configuração do roteador local.
Os roteadores de borda do Google usam a chave com o horário de início mais recente e alternam automaticamente para a próxima ao longo do tempo. Todas as chaves configuradas têm prazos de validade infinitos. Isso significa que, para concluir uma rotação de chaves, é necessário remover a chave antiga que você não quer usar.
Verificar a chave ativa
Siga estas etapas:
Para listar as chaves atuais, selecione uma das seguintes opções:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão que você quer ver.
Na guia MACsec, a seção Chaves pré-compartilhadas lista todas as chaves pré-compartilhadas dessa conexão.
gcloud
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
O resultado será assim:
preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
Observe o valor de CKN para a chave listada antes da última.
Para verificar se a chave ativa está listada antes de remover a antiga, selecione uma das seguintes opções:
Console
- Na seção Chaves pré-compartilhadas, verifique se a nova chave exibe o Status de chave Ativa, em uso.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
O resultado será assim:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0202020289abcdef...0123456789abcdef operational: true operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55
O comando
gcloud compute interconnects get-diagnostics
exibe o valor de CKN da chave ativa. Se você tiver mais de uma chave configurada, a chave com o horário de início mais recente será selecionada como a chave ativa. Os roteadores de borda do Google rejeitam todas as novas sessões MACsec que tentam usar as chaves mais antigas.
Remover a chave antiga
Como precaução de segurança, o MACsec para o Cloud Interconnect impede que você remova a última chave ativa.
Para remover a chave antiga, siga estas etapas:
Remova a chave antiga da configuração do roteador local. Isso garante que a chave antiga não seja usada pelo roteador local antes da exclusão da chave antiga do Cloud Interconnect.
Para remover a chave antiga da configuração de conexão do Cloud Interconnect, selecione uma das seguintes opções:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão que você quer ver.
Na guia MACsec, acesse Chaves pré-compartilhadas, selecione a chave que você quer excluir e clique em Excluir.
Na seção Chaves pré-compartilhadas, verifique se a nova chave exibe o Status da chave Ativa, em uso e se a chave que você quer excluir não está mais listada.
gcloud
Execute este comando:
gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \ --key-name=KEY_NAME
Substitua:
INTERCONNECT_CONNECTION_NAME
: o nome da conexão do Cloud InterconnectKEY_NAME
: o nome da chave
Para verificar se você removeu a chave correta, execute o seguinte comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
O resultado será assim:
preSharedKeys: - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z