Questa pagina descrive come configurare MACsec per Cloud Interconnect.
Prima di abilitare e utilizzare MACsec per Cloud Interconnect, devi creare una o più chiavi precondivise e configurare il router on-premise per utilizzarle. Il router e il router perimetrale di Google utilizzano le chiavi precondivise per criptare il traffico in transito tra i router.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per recuperare le chiavi MACsec, chiedi all'amministratore di concederti il ruolo IAM Amministratore rete Compute (roles/compute.networkAdmin) per il tuo progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Se scegli di utilizzare ruoli personalizzati, assicurati che il ruolo personalizzato per
la gestione di MACsec per Cloud Interconnect includa l'autorizzazione IAM
compute.interconnects.getMacsecConfig.
Verifica che Cloud Interconnect supporti MACsec
Utilizza una delle seguenti opzioni per verificare se una connessione Cloud Interconnect esistente supporta MACsec. In caso affermativo, vai a Creare chiavi precondivise.
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Fai clic sul nome della connessione da ispezionare.
Fai clic sulla scheda MACsec.
Vengono visualizzate le informazioni MACsec. Se la connessione di Cloud Interconnect supporta MACsec e non è configurata, in Configurazione MACsec viene visualizzato Disabled (Disabilitato). Se la connessione non supporta MACsec, non è possibile premere il pulsante Abilita e passando il mouse sopra il pulsante viene visualizzato il messaggio "L'interconnessione non supporta MACsec. Ti serve una porta compatibile con MACsec."
gcloud
Esegui questo comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Sostituisci INTERCONNECT_CONNECTION_NAME con il nome della tua connessione Cloud Interconnect.
L'output è simile al seguente esempio. Le connessioni compatibili con MACsec visualizzano quanto segue:
- Per i link da 10 GB:
linkType: LINK_TYPE_ETHERNET_10G_LReavailableFeatures: IF_MACSEC - Per i link da 100 GB:
linkType: LINK_TYPE_ETHERNET_100G_LR; tutti i link da 100 GB supportano MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
I seguenti elementi specificano la configurazione MACsec della connessione Cloud Interconnect:
availableFeatures: funzionalità MACsec sulla connessione Cloud Interconnect. Questo parametro viene mostrato solo per le connessioni Cloud Interconnect da 10 GB, perché le connessioni Cloud Interconnect da 100 GB supportano MACsec per impostazione predefinita.macsecEnabled: stato MACsec per Cloud Interconnect in questo collegamento. Il valore sarà false fino a quando non avrai abilitato MACsec nell'interconnessione.
Richiedi una connessione Cloud Interconnect compatibile con MACsec
Una connessione Cloud Interconnect da 100 GB supporta MACsec per impostazione predefinita. Tuttavia, una connessione da 10 GB non supporta MACsec per impostazione predefinita. Se la connessione esistente non supporta MACsec, devi richiedere una nuova connessione prima di continuare.
Seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Fai clic su Configura connessione fisica.
Seleziona Dedicated Interconnect e fai clic su Continue (Continua).
Seleziona Ordina nuova Dedicated Interconnect, quindi fai clic su Continua.
Specifica i dettagli della connessione:
Nome: il nome della connessione. Questo nome viene visualizzato nella console Google Cloud e viene utilizzato da Google Cloud CLI per fare riferimento alla connessione, ad esempio
my-interconnect.Località Google Cloud: la località fisica in cui viene creata la connessione. La tua rete on-premise deve soddisfare la rete Google Cloud in questa località. Puoi limitare l'elenco delle località disponibili per area geografica nel menu a discesa Località geografica.
La colonna Supporto MACsec per il progetto attuale mostra le dimensioni dei circuiti disponibili per MACsec per Cloud Interconnect.
Capacità: la capacità totale della connessione, determinata dal numero e dalle dimensioni dei circuiti che ordini.
Seleziona una delle opzioni visualizzate.
Ordina una porta compatibile con MACsec: se ordini un link fisico da 10 Gbps, devi selezionare questa opzione quando ordini la connessione Cloud Interconnect per le connessioni con MACsec. Se ordina un collegamento fisico a 100 Gbps, viene selezionata automaticamente una porta compatibile con MACsec che non potrà essere deselezionata.
Puoi fornire una descrizione facoltativa della connessione nel campo Descrizione. Questa descrizione è a tua disposizione.
Tocca Avanti.
Se hai bisogno della ridondanza, specifica i dettagli della connessione duplicata e fai clic su Avanti.
Specifica i tuoi dati di contatto:
Nome dell'azienda: il nome dell'organizzazione da inserire nella LDA come parte autorizzata a richiedere una connessione.
Contatto tecnico: un indirizzo email a cui vengono inviate le notifiche su questo collegamento. Non è necessario inserire un indirizzo personale, perché sei incluso in tutte le notifiche. Puoi specificare un solo indirizzo.
Se crei una connessione tramite la federazione delle identità per la forza lavoro, è necessario specificare un contatto tecnico. La federazione delle identità per la forza lavoro è in anteprima.
Rivedi l'ordine. Verifica che i dati di connessione e i dati di contatto di Dedicated Interconnect siano corretti. Se è tutto corretto, fai clic su Effettua ordine. In caso contrario, torna indietro e modifica i dettagli della connessione.
Nella pagina di conferma dell'ordine, rivedi i passaggi successivi, quindi fai clic su Fine.
gcloud
Il seguente comando mostra come richiedere una connessione Cloud Interconnect compatibile con MACsec su un link da 10 GB. MACsec sulle connessioni da 10 GB è supportato, ma devi contattare il team dedicato al tuo account Google Cloud per abilitare i tuoi progetti Google Cloud di creare una connessione compatibile con MACsec su link da 10 GB.
gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
--customer-name=CUSTOMER_NAME \
--interconnect-type=DEDICATED \
--link-type=LINK_TYPE_ETHERNET_10G_LR \
--location="INTERCONNECT_CONNECTION_LOCATION" \
--requested-link-count=LINK_COUNT \
--requested-features=IF_MACSEC
Sostituisci quanto segue:
INTERCONNECT_CONNECTION_NAME: un nome per la tua connessione Cloud InterconnectCUSTOMER_NAME: il nome del cliente per la lettera di autorizzazione emessa per questa connessioneINTERCONNECT_CONNECTION_LOCATION: una località di connessione Cloud Interconnect elencata nella tabella delle localitàLINK_COUNT: il numero di connessioni Cloud Interconnect che vuoi
Dopo aver richiesto una connessione Cloud Interconnect compatibile con MACsec, viene eseguito il provisioning di una connessione Cloud Interconnect.
Per ulteriori informazioni sul provisioning, consulta la panoramica del provisioning di Dedicated Interconnect o la panoramica del provisioning di Partner Interconnect.
Crea chiavi precondivise
Una volta eseguito il provisioning della connessione Cloud Interconnect compatibile con MACsec, crea le chiavi precondivise utilizzate da MACsec per criptare il traffico in transito tra i router perimetrali di Google e il tuo router. La creazione di chiavi non attiva MACsec. Per attivare MACsec, devi configurare il router on-premise e quindi abilitare MACsec.
MACsec per Cloud Interconnect richiede che tu abbia almeno una chiave con un'ora di inizio corrispondente o precedente. Le chiavi che crei per MACsec per Cloud Interconnect hanno validità infinita. Puoi avere un massimo di cinque token per connessione.
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Seleziona la connessione che vuoi modificare.
Nella scheda MACsec, vai alla sezione Chiavi precondivise, quindi fai clic su Chiavi precondivise gestite.
Specifica i dettagli della chiave precondivisa:
Key Name 1 (Nome chiave 1): un nome per la chiave. Questo nome viene visualizzato nella console Google Cloud e utilizzato da gcloud CLI per fare riferimento alla chiave, ad esempio
psk-1.Ora di inizio 1:l'ora a partire dal quale la chiave è valida.
Per aggiungere altre chiavi precondivise, fai clic su Aggiungi chiave. Le chiavi precondivise consecutive devono avere orari di inizio a distanza di almeno sei ore.
Fai clic su Invia.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME --start-time="START_TIME"
Sostituisci quanto segue:
KEY_NAME: un nome per la chiaveSTART_TIME: l'ora di validità della chiave nel formato ISO 8601, ad esempio2023-07-01T21:00:01.000Z
Ricevi chiavi precondivise
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Seleziona la connessione che vuoi visualizzare.
Nella scheda MACsec, vai alla sezione Chiavi precondivise, individua il nome della chiave precondivisa, quindi fai clic su Visualizza. Una finestra mostra la chiave di associazione della connettività (CAK) e il nome della chiave di associazione della connettività (CKN). Fai clic su Copia accanto a uno dei due valori per copiarlo negli appunti del computer.
Fai clic su Chiudi.
gcloud
Esegui questo comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
L'output è simile al seguente:
preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
ckn: 0101016789abcdef...0123456789abcdef
name: key1
startTime: 2023-07-01T21:00:01.000Z
Prendi nota della chiave di associazione della connettività (CAK) e del nome della chiave di associazione della connettività (CKN) per la configurazione del router.
Se viene visualizzato un errore relativo ad autorizzazioni negate, verifica di disporre delle autorizzazioni corrette. Per ulteriori informazioni, consulta Prima di iniziare.
Configura il tuo router on-premise
Consulta la documentazione del fornitore del router per impostare i seguenti valori sul tuo router per verificare la compatibilità con i router di Google.
Al momento, MACsec non è abilitato da parte di Google. Per evitare un'interruzione del traffico, non abilitare MACsec sul router durante l'impostazione di questi valori.
| Ambientazione | Valore |
|---|---|
| Suite di crittografia MACsec |
|
| Algoritmo crittografico CAK | AES_256_CMAC |
| Priorità server delle chiavi | 15 |
| Intervallo di rikeying della chiave di associazione sicura (SAK) | 28.800 secondi |
| Offset di riservatezza MACsec | 0 |
| Dimensione schermo | 64 |
| Indicatore del valore di controllo dell'integrità (ICV) | sì |
| CAK | Il valore che hai annotato in precedenza quando hai acquisito chiavi precondivise. |
| CKN | Il valore annotato in precedenza quando avevi chiavi precondivise. |
| Identificatore di canale sicuro (SCI) | abilitato |