Auf dieser Seite wird beschrieben, wie Sie MACsec für Cloud Interconnect einrichten.
Bevor Sie MACsec für Cloud Interconnect aktivieren und verwenden können, müssen Sie einen oder mehrere vorinstallierte Schlüssel erstellen und Ihren lokalen Router für deren Verwendung konfigurieren. Ihr Router und der Edge-Router von Google verwenden den vorinstallierten Schlüssel, um den Traffic zwischen den Routern zu verschlüsseln.
Hinweise
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin
) für Ihr Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Abrufen von MACsec-Schlüsseln benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Wenn Sie benutzerdefinierte Rollen verwenden möchten, muss Ihre benutzerdefinierte Rolle zum Verwalten von MACsec für Cloud Interconnect die IAM-Berechtigung compute.interconnects.getMacsecConfig
enthalten.
MACsec-Fähigkeit von Cloud Interconnect prüfen
Verwenden Sie eine der folgenden Optionen, um zu prüfen, ob eine vorhandene Cloud Interconnect-Verbindung MACsec-fähig ist. Ist dies der Fall, fahren Sie mit Vorinstallierte Schlüssel erstellen fort.
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Klicken Sie auf den Namen der Verbindung, die Sie prüfen möchten.
Klicken Sie auf den Tab MACsec.
Die MACsec-Informationen werden angezeigt. Wenn Ihre Cloud Interconnect-Verbindung MACsec unterstützt und nicht konfiguriert ist, wird MACsec-Konfiguration Deaktiviert angezeigt. Wenn Ihre Verbindung MACsec nicht unterstützt, ist die Schaltfläche Aktivieren nicht anklickbar. Wenn Sie den Mauszeiger auf die Schaltfläche setzen, wird diese Meldung angezeigt: „Ihre Interconnect-Verbindung unterstützt MACsec nicht. Sie benötigen einen MACsec-fähigen Port."
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Ersetzen Sie INTERCONNECT_CONNECTION_NAME
durch den Namen Ihrer Cloud Interconnect-Verbindung.
Die Ausgabe ähnelt dem folgenden Beispiel: MACsec-fähige Verbindungen zeigen Folgendes an:
- Für 10-GB-Links:
linkType: LINK_TYPE_ETHERNET_10G_LR
undavailableFeatures: IF_MACSEC
- Für 100-GB-Links:
linkType: LINK_TYPE_ETHERNET_100G_LR
; alle 100-GB-Links sind MACsec-fähig
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
Folgende Elemente geben die MACsec-Konfiguration der Cloud Interconnect-Verbindung an:
availableFeatures
: MACsec-Funktion auf der Cloud Interconnect-Verbindung. Dieser Parameter wird nur für Cloud Interconnect-Verbindungen mit 10 GB angezeigt, da alle Cloud Interconnect-Verbindungen mit 100 GB standardmäßig MACsec-fähig sind.macsecEnabled
: MACsec-Status für Cloud Interconnect über diesen Link. Der Wert ist „falsch“, bis Sie MACsec für die Interconnect-Verbindung aktiviert haben.
MACsec-fähige Cloud Interconnect-Verbindung anfordern
Eine 100 GB Cloud Interconnect-Verbindung ist standardmäßig MACsec. Eine 10 GB-Verbindung ist jedoch standardmäßig nicht MACsec-fähig. Wenn Ihre vorhandene Verbindung nicht MACsec-fähig ist, müssen Sie eine neue Verbindung anfordern, bevor Sie fortfahren.
Wählen Sie eine der folgenden Optionen aus:
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Klicken Sie auf Physische Verbindung einrichten.
Wählen Sie Dedicated Interconnect und dann Weiter aus.
Wählen Sie Neue Dedicated Interconnect-Verbindung bestellen und dann Weiter aus.
Geben Sie die Details der Verbindung an:
Name: ein Name für die Verbindung. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Verbindung zu verweisen, z. B.
my-interconnect
.Google Cloud-Standort: der physische Standort, an dem die Verbindung erstellt wird. Ihr lokales Netzwerk muss mit dem Google Cloud-Netzwerk an diesem Standort verbunden sein. Sie können die Liste der verfügbaren Standorte im Drop-down-Menü Geografischer Standort nach geografischem Bereich einschränken.
In der Spalte MACsec-Unterstützung für aktuelles Projekt werden die für MACsec für Cloud Interconnect verfügbaren Netzwerkgrößen angezeigt.
Kapazität: die Gesamtkapazität Ihrer Verbindung, die durch die Anzahl und Größe der von Ihnen bestellten Netzwerkverbindungen bestimmt wird.
Wählen Sie eine der angezeigten Optionen aus.
MACsec-fähigen Port bestellen: Wenn Sie einen physischen 10-Gbit/s-Link bestellen, müssen Sie diese Option bei der Bestellung einer Cloud Interconnect-Verbindung für MACsec-fähige Verbindungen auswählen. Wenn Sie einen physischen Link mit 100 Gbit/s bestellen, wird automatisch ein MACsec-fähiger Port ausgewählt und kann nicht deaktiviert werden.
Sie können eine optionale Beschreibung der Verbindung im Feld Beschreibung angeben. Diese Beschreibung dient zu Ihrer Verwendung.
Klicken Sie auf Weiter.
Wenn Sie Redundanz benötigen, geben Sie Details für Ihre duplizierte Verbindung an und klicken Sie auf Weiter.
Geben Sie Ihre Kontaktdaten an.
Name des Unternehmens: der Name Ihrer Organisation, der in der Vollmachtserklärung als die zum Anfordern einer Verbindung berechtigte Partei einzutragen ist.
Technischer Kontakt: eine E-Mail-Adresse, an die Benachrichtigungen zu dieser Verbindung gesendet werden. Sie müssen nicht Ihre eigene Adresse eingeben. Sie werden in alle Benachrichtigungen eingeschlossen. Sie können nur eine Adresse angeben.
Wenn Sie eine Verbindung über die Workload Identity-Föderation erstellen, müssen Sie einen technischen Kontakt angeben. Die Workload Identity-Föderation befindet sich in der Vorschau.
Prüfen Sie die Bestellung. Prüfen Sie, ob die Dedicated Interconnect-Verbindungsdetails und Kontaktdaten korrekt sind. Wenn alles korrekt ist, klicken Sie auf Bestellen. Falls nicht, gehen Sie zurück und bearbeiten Sie die Verbindungsdetails.
Prüfen Sie auf der Bestellbestätigungsseite die nächsten Schritte und klicken Sie dann auf Fertig.
gcloud
Der folgende Befehl zeigt, wie Sie eine MACsec-fähige Cloud Interconnect-Verbindung über einen 10-GB-Link anfordern. MACsec für 10-GB-Verbindungen wird unterstützt. Sie müssen jedoch Ihr Google Cloud-Account-Management-Team kontaktieren, damit Ihre Google Cloud-Projekte eine MACsec-fähige Verbindung auf 10-GB-Links erstellen können.
gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
--customer-name=CUSTOMER_NAME \
--interconnect-type=DEDICATED \
--link-type=LINK_TYPE_ETHERNET_10G_LR \
--location="INTERCONNECT_CONNECTION_LOCATION" \
--requested-link-count=LINK_COUNT \
--requested-features=IF_MACSEC
Ersetzen Sie Folgendes:
INTERCONNECT_CONNECTION_NAME
: ein Name für Ihre Cloud Interconnect-VerbindungCUSTOMER_NAME
: der Kundenname für die Vollmachtserklärung (LOA), die wir für diese Verbindung ausstellenINTERCONNECT_CONNECTION_LOCATION
: ein Cloud Interconnect-Verbindungsstandort, der in der Standorttabelle aufgeführt istLINK_COUNT
: die Anzahl der gewünschten Cloud Interconnect-Verbindungen
Nachdem Sie eine MACsec-fähige Cloud Interconnect-Verbindung angefordert haben, wird eine Cloud Interconnect-Verbindung für Sie bereitgestellt.
Weitere Informationen zur Nutzerverwaltung entweder in der Bereitstellung mit Dedicated Interconnect – Übersicht oder der Bereitstellung mit Partner Interconnect – Übersicht
Vorinstallierte Schlüssel erstellen
Nachdem Ihre MACsec-fähige Cloud Interconnect-Verbindung bereitgestellt wurde, erstellen Sie die vorinstallierten Schlüssel, die MACsec zum Verschlüsseln des Traffics verwendet, der zwischen den Edge-Routern von Google und Ihrem Router übertragen wird. Beim Erstellen von Schlüsseln wird MACsec nicht aktiviert. Zum Aktivieren von MACsec müssen Sie zuerst Ihren lokalen Router konfigurieren und dann MACsec aktivieren.
MACsec für Cloud Interconnect erfordert, dass Sie mindestens einen Schlüssel mit einer Startzeit von jetzt oder vorher haben. Schlüssel, die Sie für MACsec für Cloud Interconnect erstellen, haben eine unbegrenzte Gültigkeit. Sie können maximal fünf Schlüssel pro Verbindung haben.
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Verbindung aus, die Sie ändern möchten.
Wechseln Sie auf dem Tab MACsec zum Abschnitt MACsec und klicken Sie auf MACsec.
Geben Sie die Details des vorinstallierten Schlüssels an:
Schlüsselname 1: ein Name für den Schlüssel. Dieser Name wird in der Google Cloud Console angezeigt und von der gcloud CLI verwendet, um auf den Schlüssel zu verweisen, z. B.
psk-1
.Startzeit 1: die Zeit, ab der der Schlüssel gültig ist.
Klicken Sie auf Schlüssel hinzufügen, um weitere vorinstallierte Schlüssel hinzuzufügen. Aufeinanderfolgende vorinstallierte Schlüssel müssen eine Startzeit von mindestens sechs Stunden haben.
Klicken Sie auf Senden.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME --start-time="START_TIME"
Ersetzen Sie Folgendes:
KEY_NAME
: Ein Name für den Schlüssel.START_TIME
: die Zeit, ab der dieser Schlüssel gültig ist, im ISO 8601-Format, z. B.2023-07-01T21:00:01.000Z
Vorinstallierte Schlüssel abrufen
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Verbindung aus, die Sie sehen möchten.
Wechseln Sie auf dem Tab MACsec zum Abschnitt MACsec, suchen Sie den Namen des vorinstallierten Schlüssels und klicken Sie auf MACsec. In einem Fenster werden der Schlüssel für die Verbindungsverknüpfung (CAK) und der Schlüsselname der Verbindung (CAK) angezeigt. Klicken Sie neben einem der Werte auf Kopieren, um den Wert in die Zwischenablage Ihres Computers zu kopieren.
Klicken Sie auf Schließen.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
Die Ausgabe sieht in etwa so aus:
preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
ckn: 0101016789abcdef...0123456789abcdef
name: key1
startTime: 2023-07-01T21:00:01.000Z
Notieren Sie sich den Verbindungsverknüpfungsschlüssel (connectivity association key, CAK) und den Namen des connectivity association keys (CKN) für die Konfiguration Ihres Routers.
Wenn Sie die Fehlermeldung „Berechtigungen verweigert“ erhalten, prüfen Sie, ob Sie die richtigen Berechtigungen haben. Weitere Informationen finden Sie unter Vorbereitung.
Lokalen Router konfigurieren
Lesen Sie in der Dokumentation Ihres Router-Herstellers nach, um die folgenden Werte auf Ihrem Router für die Kompatibilität mit den Google-Routern einzustellen.
MACsec ist derzeit nicht seitens Google aktiviert. Aktivieren Sie MACsec auf dem Router nicht, während Sie diese Werte festlegen, um Trafficausfälle zu vermeiden.
Einstellung | Wert |
---|---|
MACsec-Cipher Suite |
|
CAK-Kryptografiealgorithmus | AES_256_CMAC |
Priorität des Schlüsselservers | 15 |
Neuverschlüsselungsintervall für sicheren Verknüpfungsschlüssel (Secure Association Key, SAK) | 28800 Sekunden |
MACsec-Vertraulichkeits-Offset | 0 |
Fenstergröße | 64 |
Indikator für Integritätsprüfungswert (ICV) | Ja |
CAK | Der Wert, den Sie zuvor beim Abrufen vorinstallierter Schlüssel notiert haben. |
CKN | Der Wert, den Sie zuvor beim Abrufen vorinstallierter Schlüssel notiert haben. |
Secure Channel Identifier (SCI) | aktiviert |