Questa pagina descrive come configurare MACsec per Cloud Interconnect.
Prima di abilitare e utilizzare MACsec per Cloud Interconnect, devi creare una o più chiavi precondivise e configura il router on-premise per utilizzarle. Il router e il router perimetrale di Google usano le chiavi precondivise per criptare il traffico che transita tra i router.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per recuperare le chiavi MACsec,
chiedi all'amministratore di concederti
Ruolo IAM Amministratore rete Compute (roles/compute.networkAdmin) per il progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.
Se scegli di utilizzare ruoli personalizzati, assicurati che il tuo ruolo personalizzato
l'amministrazione di MACsec per Cloud Interconnect include
Autorizzazione IAM compute.interconnects.getMacsecConfig.
Verifica che Cloud Interconnect sia compatibile con MACsec
Utilizza una delle seguenti opzioni per verificare se un account La connessione Cloud Interconnect supporta MACsec. In tal caso, passa a Creare chiavi precondivise.
Console
Nella console Google Cloud, vai a Cloud Interconnect Fisica connessione.
Fai clic sul nome della connessione da ispezionare.
Fai clic sulla scheda MACsec.
Vengono visualizzate le informazioni relative a MACsec. Se il tuo Cloud Interconnect supporta MACsec e non è configurata, MACsec configurazione mostra Disabilitata. Se la tua connessione non supporta MACsec, il pulsante Abilita non è utilizzabile e si passa il mouse sopra il visualizza il messaggio "Your Interconnect non supporta MACsec. È necessaria una Porta compatibile con MACsec."
gcloud
Esegui questo comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Sostituisci INTERCONNECT_CONNECTION_NAME con il nome del tuo
Connessione Cloud Interconnect.
L'output è simile all'esempio seguente. Connessioni compatibili con MACsec visualizza quanto segue:
- Per i link da 10 GB:
linkType: LINK_TYPE_ETHERNET_10G_LReavailableFeatures: IF_MACSEC - Per i link da 100 GB:
linkType: LINK_TYPE_ETHERNET_100G_LR; tutto I link da 100 GB supportano MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
I seguenti elementi specificano la Configurazione MACsec:
availableFeatures: funzionalità MACsec sulla Connessione Cloud Interconnect. Questo parametro viene mostrato solo per 10 GB di connessioni Cloud Interconnect, Le connessioni Cloud Interconnect da 100 GB supportano MACsec predefinito.macsecEnabled: stato MACsec per Cloud Interconnect su questo . Il valore sarà false finché non avrai abilitato MACsec sull'interconnessione.
Richiedi una connessione Cloud Interconnect compatibile con MACsec
Una connessione Cloud Interconnect da 100 GB supporta MACsec predefinito. Tuttavia, una connessione da 10 GB non supporta MACsec per impostazione predefinita. Se se la connessione esistente non supporta MACsec, devi richiedere un nuovo prima di continuare.
Seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Fisica connessione.
Fai clic su Configura connessione fisica.
Seleziona Dedicated Interconnect e fai clic su Continua.
Seleziona Ordina nuova Dedicated Interconnect e fai clic su Continua.
Specifica i dettagli della connessione:
Nome: un nome per la connessione. Questo nome viene visualizzato in nella console Google Cloud e viene utilizzato da Google Cloud CLI per fare riferimento alla connessione, ad esempio
my-interconnect.Località Google Cloud: la posizione fisica località in cui viene creata la connessione. La rete on-premise deve soddisfare rete Google Cloud in questa località. Puoi limitare l'elenco di località disponibili per area geografica nel campo Località geografica menu a discesa.
La colonna Supporto di MACsec per il progetto corrente mostra la dimensioni dei circuiti disponibili per MACsec per Cloud Interconnect.
Capacità: la capacità totale della connessione, ossia determinato dal numero e dalle dimensioni dei circuiti che ordini.
Seleziona una delle opzioni visualizzate.
Ordina una porta compatibile con MACsec: se ordini una porta da 10 Gbps link fisico, devi selezionare questa opzione al momento dell'ordine Connessione Cloud Interconnect per connessioni compatibili con MACsec. Se ordini un link fisico da 100 Gbps, La porta compatibile con MACsec viene selezionata automaticamente e non deselezionala.
Puoi fornire una descrizione facoltativa della connessione nel Descrizione. Questa descrizione è per te.
Fai clic su Avanti.
Se è necessaria la ridondanza, specifica i dettagli del duplicato connessione e fai clic su Avanti.
Specifica i tuoi dati di contatto:
Nome dell'azienda: il nome della tua organizzazione da inserire nel LOA come parte autorizzata a richiedere una connessione.
Contatto tecnico: un indirizzo email a cui inviare le notifiche informazioni su questa connessione. Non è necessario inserire dati di tua proprietà indirizzo; sei incluso in tutte le notifiche. Puoi specificare solo un indirizzo.
Se crei una connessione tramite l'identità della forza lavoro federazione, specificando È richiesto il contatto tecnico. La federazione delle identità per la forza lavoro è in Anteprima.
Rivedi l'ordine. Verifica che la tua Dedicated Interconnect i dettagli della connessione e i dati di contatto siano corretti. Se tutto è risposta corretta, fai clic su Effettua ordine. In caso contrario, torna indietro e modifica la connessione i dettagli.
Nella pagina di conferma dell'ordine, rivedi i passaggi successivi e fai clic su Fine.
gcloud
Il comando seguente mostra come richiedere un server MACsec Connessione Cloud Interconnect su un link da 10 GB. MACsec con connessioni da 10 GB è supportata, ma devi contattare il tuo al team dedicato all'account Google Cloud per consentire ai tuoi progetti Google Cloud di creare Connessione compatibile con MACsec su link da 10 GB.
gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
--customer-name=CUSTOMER_NAME \
--interconnect-type=DEDICATED \
--link-type=LINK_TYPE_ETHERNET_10G_LR \
--location="INTERCONNECT_CONNECTION_LOCATION" \
--requested-link-count=LINK_COUNT \
--requested-features=IF_MACSEC
Sostituisci quanto segue:
INTERCONNECT_CONNECTION_NAME: un nome per Connessione Cloud InterconnectCUSTOMER_NAME: il nome del cliente per la lettera di autorizzazione (LOA) che emettiamo per questa connessioneINTERCONNECT_CONNECTION_LOCATION: un Località di connessione Cloud Interconnect elencata nelle località tabellaLINK_COUNT: il numero di Cloud Interconnect le connessioni che vuoi
Dopo aver richiesto una connessione Cloud Interconnect compatibile con MACsec, È stato eseguito il provisioning della connessione Cloud Interconnect.
Per ulteriori informazioni sul provisioning, puoi vedere Panoramica del provisioning di Dedicated Interconnect o il Panoramica del provisioning di Partner Interconnect.
Crea chiavi precondivise
Dopo aver eseguito il provisioning della connessione Cloud Interconnect compatibile con MACsec, creano le chiavi precondivise che MACsec utilizza per criptare il traffico che transita tra i router perimetrali di Google e il tuo router. La creazione di chiavi non si attiva MACsec. Per attivare MACsec, devi configurare il router on-premise, quindi abilitare MACsec.
MACsec per Cloud Interconnect richiede di avere almeno una chiave con un'ora di inizio attuale o precedente. Chiavi che crei per MACsec per Cloud Interconnect ha una validità infinita. Puoi avere un è consentito un massimo di cinque chiavi per connessione.
Console
Nella console Google Cloud, vai a Cloud Interconnect Fisica connessione.
Seleziona la connessione da modificare.
Nella scheda MACsec, vai alla sezione Chiavi precondivise, quindi Fai clic su Chiavi precondivise gestite.
Specifica i dettagli della chiave precondivisa:
Nome chiave 1: un nome della chiave. Questo nome viene visualizzato in nella console Google Cloud e viene utilizzato da gcloud CLI riferimento alla chiave, ad esempio
psk-1.Ora di inizio 1:l'ora da cui è valida la chiave.
Per aggiungere altre chiavi precondivise, fai clic su Aggiungi chiave. Consecutiva le chiavi precondivise devono avere ore di inizio di almeno sei ore l'una dall'altra.
Fai clic su Invia.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME --start-time="START_TIME"
Sostituisci quanto segue:
KEY_NAME: un nome per la chiaveSTART_TIME: data e ora di validità della chiave in ISO Formato 8601, ad esempio2023-07-01T21:00:01.000Z
Ottieni chiavi precondivise
Console
Nella console Google Cloud, vai a Cloud Interconnect Fisica connessione.
Seleziona la connessione che vuoi visualizzare.
Nella scheda MACsec, vai alla sezione Chiavi precondivise, quindi individua nome della chiave precondivisa, quindi fai clic su Visualizza. Viene visualizzata una finestra chiave di associazione della connettività (CAK) e l'associazione della connettività nome della chiave (CKN). Fai clic su Copia accanto a un valore per copiarlo. negli appunti del computer.
Fai clic su Chiudi.
gcloud
Esegui questo comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
L'output è simile al seguente:
preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
ckn: 0101016789abcdef...0123456789abcdef
name: key1
startTime: 2023-07-01T21:00:01.000Z
Osserva la chiave di associazione della connettività (CAK) e l'associazione della connettività il nome della chiave (CKN) per la configurazione del router.
Se ricevi un errore relativo ad autorizzazioni negate, verifica di avere i dati corretti autorizzazioni aggiuntive. Per ulteriori informazioni, vedi Prima di iniziare.
Configura il router on-premise
Fai riferimento alla documentazione del fornitore del router per impostare i seguenti valori sulla tua per verificare la compatibilità con i router di Google.
Al momento MACsec non è abilitato da parte di Google. Per evitare un'interruzione del traffico, non attivare MACsec sul router durante l'impostazione di questi valori.
| Impostazione | Valore |
|---|---|
| Suite di crittografia MACsec |
|
| Algoritmo crittografico CAK | AES_256_CMAC |
| Priorità server chiavi | 15 |
| Intervallo di riscrittura della chiave di associazione sicura (SAK) | 28.800 secondi |
| Offset di riservatezza MACsec | 0 |
| Dimensione schermo | 64 |
| Indicatore del valore di controllo dell'integrità (ICV) | sì |
| CAK | Il valore annotato in precedenza quando hai ricevuto le chiavi precondivise. |
| CKN | Il valore che hai annotato in precedenza quando hai ottenuto e le chiavi precondivise. |
| Secure Channel Identifier (SCI) (Identificatore di canale sicuro) | abilitato |