Menyiapkan MACsec

Halaman ini menjelaskan cara menyiapkan MACsec untuk Cloud Interconnect.

Sebelum mengaktifkan dan menggunakan MACsec untuk Cloud Interconnect, Anda perlu membuat satu atau beberapa kunci yang dibagikan sebelumnya dan mengonfigurasi router lokal untuk menggunakannya. Router dan router edge Google menggunakan kunci yang dibagikan sebelumnya untuk mengenkripsi traffic yang transit di antara router.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan untuk mengambil kunci MACsec, minta administrator untuk memberi Anda Admin Jaringan Compute (roles/compute.networkAdmin) Peran IAM di project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Jika Anda memilih untuk menggunakan peran khusus, pastikan bahwa peran khusus Anda untuk mengelola MACsec untuk Cloud Interconnect menyertakan izin IAM compute.interconnects.getMacsecConfig.

Verifikasi bahwa Cloud Interconnect mendukung MACsec

Gunakan salah satu opsi berikut untuk memverifikasi apakah koneksi Cloud Interconnect yang ada mendukung MACsec. Jika ya, lanjutkan ke Membuat pre-shared keys.

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Klik nama koneksi yang ingin Anda periksa.

  3. Klik tab MACsec.

    Informasi MACsec ditampilkan. Jika koneksi Cloud Interconnect Anda mendukung MACsec dan tidak dikonfigurasi, Konfigurasi MACsec akan menampilkan Dinonaktifkan. Jika koneksi Anda tidak mendukung MACsec, tombol Aktifkan tidak dapat ditindaklanjuti dan mengarahkan kursor ke tombol tersebut akan menampilkan "Your Interconnect tidak mendukung MACsec. Anda memerlukan port berkemampuan MACsec."

gcloud

Jalankan perintah berikut:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

Ganti INTERCONNECT_CONNECTION_NAME dengan nama koneksi Cloud Interconnect Anda.

Outputnya mirip dengan contoh berikut ini. Koneksi yang berkemampuan MACsec akan menampilkan hal berikut:

  • Untuk link 10 GB: linkType: LINK_TYPE_ETHERNET_10G_LR dan availableFeatures: IF_MACSEC
  • Untuk link 100 GB: linkType: LINK_TYPE_ETHERNET_100G_LR; semua link 100 GB dapat digunakan untuk MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

Item berikut menentukan konfigurasi MACsec koneksi Cloud Interconnect:

  • availableFeatures: Kemampuan MACsec pada koneksi Cloud Interconnect. Parameter ini hanya ditampilkan untuk koneksi Cloud Interconnect dengan ukuran 10 GB, karena koneksi Cloud Interconnect dengan 100 GB merupakan kemampuan MACsec secara default.

  • macsecEnabled: Status MACsec untuk Cloud Interconnect di link ini. Nilainya akan berupa false hingga Anda mengaktifkan MACsec pada interkoneksi.

Meminta koneksi Cloud Interconnect yang mendukung MACsec

Koneksi Cloud Interconnect sebesar 100 GB mendukung MACsec secara default. Namun, secara default koneksi 10 GB tidak mendukung MACsec. Jika koneksi yang ada saat ini tidak mendukung MACsec, Anda perlu meminta koneksi baru sebelum melanjutkan.

Pilih salah satu opsi berikut:

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Klik Siapkan koneksi fisik.

  3. Pilih Dedicated Interconnect, lalu klik Lanjutkan.

  4. Pilih Pesan Dedicated Interconnect baru, lalu klik Lanjutkan.

  5. Tentukan detail koneksi:

    • Nama: Nama untuk koneksi. Nama ini ditampilkan di Google Cloud Console dan digunakan oleh Google Cloud CLI untuk mereferensikan koneksi, seperti my-interconnect.

    • Lokasi Google Cloud: Lokasi fisik tempat koneksi dibuat. Jaringan lokal Anda harus memenuhi jaringan Google Cloud di lokasi ini. Anda dapat membatasi daftar lokasi yang tersedia berdasarkan area geografis di drop-down Lokasi geografis.

    • Kolom Dukungan MACsec untuk project saat ini menampilkan ukuran sirkuit yang tersedia bagi MACsec untuk Cloud Interconnect.

    • Kapasitas: Total kapasitas koneksi Anda, yang ditentukan oleh jumlah dan ukuran sirkuit yang Anda pesan.

      Pilih salah satu opsi yang ditampilkan.

    • Pesan port yang mendukung MACsec: Jika memesan link fisik 10-Gbps, Anda harus memilih opsi ini saat memesan koneksi Cloud Interconnect untuk koneksi yang mendukung MACsec. Jika Anda memesan link fisik 100 Gbps, maka port yang mendukung MACsec akan otomatis dipilih untuk Anda dan tidak dapat membatalkan pilihannya.

      Anda dapat memberikan deskripsi opsional untuk koneksi di kolom Description. Deskripsi ini untuk Anda gunakan.

  6. Klik Next.

  7. Jika Anda memerlukan redundansi, tentukan detail untuk koneksi duplikat Anda, lalu klik Next.

  8. Tentukan informasi kontak Anda:

    • Nama perusahaan: nama organisasi Anda yang akan dimasukkan ke LOA sebagai pihak yang diizinkan untuk meminta koneksi.

    • Kontak teknis: alamat email yang digunakan untuk mengirimkan notifikasi tentang sambungan ini. Anda tidak perlu memasukkan alamat Anda sendiri; Anda disertakan dalam semua pemberitahuan. Anda hanya dapat menentukan satu alamat.

      Jika Anda membuat koneksi melalui federasi identitas tenaga kerja, menentukan Kontak teknis diperlukan. Gabungan identitas tenaga kerja ada di Pratinjau.

  9. Tinjau pesanan Anda. Periksa apakah detail koneksi Dedicated Interconnect dan informasi kontak Anda sudah benar. Jika semuanya sudah benar, klik Lakukan pemesanan. Jika tidak, kembali dan edit detail koneksi.

  10. Di halaman konfirmasi pesanan, tinjau langkah berikutnya, lalu klik Selesai.

gcloud

Perintah berikut menunjukkan cara meminta koneksi Cloud Interconnect yang mendukung MACsec pada link 10-GB. MACsec pada koneksi 10-GB didukung, tetapi Anda harus menghubungi tim akun Google Cloud agar project Google Cloud Anda dapat membuat koneksi yang mendukung MACsec pada link 10-GB.

gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
    --customer-name=CUSTOMER_NAME \
    --interconnect-type=DEDICATED \
    --link-type=LINK_TYPE_ETHERNET_10G_LR \
    --location="INTERCONNECT_CONNECTION_LOCATION" \
    --requested-link-count=LINK_COUNT \
    --requested-features=IF_MACSEC

Ganti kode berikut:

  • INTERCONNECT_CONNECTION_NAME: nama untuk koneksi Cloud Interconnect Anda

  • CUSTOMER_NAME: nama pelanggan untuk surat otorisasi (LOA) yang kami keluarkan untuk koneksi ini

  • INTERCONNECT_CONNECTION_LOCATION: lokasi koneksi Cloud Interconnect yang tercantum dalam tabel lokasi

  • LINK_COUNT: jumlah koneksi Cloud Interconnect yang Anda inginkan

Setelah Anda meminta koneksi Cloud Interconnect dengan kemampuan MACsec, koneksi Cloud Interconnect akan disediakan untuk Anda.

Untuk mengetahui informasi selengkapnya tentang penyediaan, lihat Ringkasan penyediaan Dedicated Interconnect atau Ringkasan penyediaan Partner Interconnect.

Buat pre-shared keys

Setelah koneksi Cloud Interconnect dengan kemampuan MACsec disediakan, buat pre-shared keys yang digunakan MACsec untuk mengenkripsi traffic yang transit antara router edge Google dan router Anda. Membuat kunci tidak akan mengaktifkan MACsec. Untuk mengaktifkan MACsec, Anda harus mengonfigurasi router lokal, lalu mengaktifkan MACsec.

MACsec untuk Cloud Interconnect mengharuskan Anda memiliki setidaknya satu kunci dengan waktu mulai sekarang atau sebelumnya. Kunci yang Anda buat untuk MACsec untuk Cloud Interconnect memiliki validitas tak terbatas. Anda dapat memiliki maksimum lima kunci per koneksi.

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Pilih koneksi yang ingin Anda ubah.

  3. Di tab MACsec, buka bagian Pre-shared keysi, lalu klik Pre-shared keys yang ditangani.

  4. Tentukan detail pre-shared keys:

    • Nama Kunci 1: nama untuk kunci. Nama ini ditampilkan di Google Cloud Console dan digunakan oleh gcloud CLI untuk mereferensikan kunci, seperti psk-1.

    • Waktu mulai 1: waktu asal kunci valid.

  5. Untuk menambahkan kunci yang dibagikan sebelumnya lainnya, klik Tambahkan kunci. Kunci pra-bagi secara berurutan harus memiliki waktu mulai yang setidaknya berjarak enam jam.

  6. Klik Submit.

gcloud

gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
     --key-name=KEY_NAME --start-time="START_TIME"

Ganti kode berikut:

  • KEY_NAME: nama untuk kunci
  • START_TIME: waktu berlakunya kunci ini dalam format ISO 8601—misalnya, 2023-07-01T21:00:01.000Z

Dapatkan pre-shared keys

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Pilih koneksi yang ingin Anda lihat.

  3. Di tab MACsec, buka bagian Pre-shared keys cari nama kunci yang dibagikan sebelumnya, lalu klik Tampilkan. Jendela akan menampilkan kunci asosiasi konektivitas (CAK) dan nama kunci asosiasi konektivitas (CKN). Klik Salin di samping salah satu nilai untuk menyalin nilai ke papan klip komputer Anda.

  4. Klik Close.

gcloud

Jalankan perintah berikut:

gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

Outputnya mirip dengan hal berikut ini:

preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
  ckn: 0101016789abcdef...0123456789abcdef
  name: key1
  startTime: 2023-07-01T21:00:01.000Z

Catat kunci pengaitan konektivitas (CAK) dan nama kunci pengaitan konektivitas (CKN) untuk konfigurasi router Anda.

Jika Anda menerima error izin ditolak, pastikan Anda memiliki izin yang benar. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.

Mengonfigurasi router lokal

Lihat dokumentasi vendor router untuk menetapkan nilai berikut pada router untuk kompatibilitas dengan router Google.

Pada tahap ini, MACsec tidak diaktifkan di pihak Google. Untuk menghindari pemadaman lalu lintas, jangan mengaktifkan MACsec di router saat menyetel nilai ini.

Setelan Nilai
Paket penyandian MACsec
  • GCM-AES-256-XPN
  • GCM-AES-256
Algoritme kriptografi CAK AES_256_CMAC
Prioritas server kunci 15
Interval penetapan ulang kunci asosiasi aman (SAK) 28800 detik
Offset kerahasiaan MACsec 0
Ukuran jendela 64
Indikator nilai pemeriksaan integritas (ICV) ya
CAK Nilai yang sebelumnya Anda catat saat mendapatkan pre-shared keys.
CKN Nilai yang Anda catat sebelumnya saat mendapatkan pre-shared keys.
ID Saluran Aman (SCI) diaktifkan

Apa langkah selanjutnya?