En esta página, se describe cómo configurar MACsec para Cloud Interconnect.
Antes de habilitar y usar MACsec para Cloud Interconnect, debes crear una o más claves precompartidas y configurar tu router local para usarlas. El router y el router perimetral de Google usan las claves compartidas previamente para encriptar el tráfico que pasa entre los routers.
Antes de comenzar
Para obtener los permisos que necesitas a fin de recuperar claves MACsec,
pídele a tu administrador que te otorgue el
Administrador de red de Compute (roles/compute.networkAdmin) Rol de IAM en tu proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Si eliges usar funciones personalizadas, asegúrate de que tu función personalizada para administrar MACsec para Cloud Interconnect incluya el
compute.interconnects.getMacsecConfig permiso de IAM.
Verifica que Cloud Interconnect sea compatible con MACsec
Usa una de las siguientes opciones para verificar si una conexión existente de Cloud Interconnect admite MACsec. Si es así, ve a Crea claves precompartidas.
Consola
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Haz clic en el nombre de la conexión que deseas inspeccionar.
Haz clic en la pestaña MACsec.
Se muestra la información de MACsec. Si tu conexión de Cloud Interconnect admite MACsec y no está configurada, Configuración de MACsec muestra Inhabilitada. Si tu conexión no admite MACsec, el botón Habilitar no funciona y si colocas el cursor sobre el botón se muestra "Tu interconexión no admite MACsec. Necesitas un puerto compatible con MACsec".
gcloud
Ejecuta el siguiente comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Reemplaza INTERCONNECT_CONNECTION_NAME por el nombre de tu conexión de Cloud Interconnect.
El resultado es similar al siguiente ejemplo: Las conexiones compatibles con MACsec muestran lo siguiente:
- Para vínculos de 10 GB:
linkType: LINK_TYPE_ETHERNET_10G_LRyavailableFeatures: IF_MACSEC - Para vínculos de 100 GB:
linkType: LINK_TYPE_ETHERNET_100G_LR; todos los vínculos de 100 GB tienen capacidad MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
Los siguientes elementos especifican la configuración de MACsec de la conexión de Cloud Interconnect:
availableFeatures: Función MACsec en la conexión de Cloud Interconnect. Este parámetro se muestra solo para las conexiones de Cloud Interconnect de 10 GB, ya que las conexiones de Cloud Interconnect de 100 GB tienen capacidad MACsec predeterminada.macsecEnabled: Es el estado de MACsec para Cloud Interconnect en este vínculo. El valor será falso hasta que hayas habilitado MACsec en la interconexión.
Solicita una conexión de Cloud Interconnect compatible con MACsec
Una conexión de Cloud Interconnect de 100 GB tiene capacidad MACsec de forma predeterminada. Sin embargo, una conexión de 10 GB no tiene capacidad MACsec de forma predeterminada. Si tu conexión existente no admite MACsec, debes solicitar una conexión nueva antes de continuar.
Selecciona una de las opciones siguientes:
Consola
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Haz clic en Configurar conexión física.
Selecciona Interconexión dedicada y, a continuación, Continuar.
Selecciona Pedir una nueva interconexión dedicada y, a continuación, Continuar.
Especifica los detalles de la conexión:
Nombre: un nombre para la conexión de Interconnect. Este nombre se muestra en la consola de Google Cloud y Google Cloud CLI lo usa para hacer referencia a la conexión, como
my-interconnect.Ubicación de Google Cloud: La ubicación física donde se crea la conexión. Tu red local debe coincidir con la red de Google Cloud en esta ubicación. Puedes limitar la lista de ubicaciones disponibles por área geográfica en el menú desplegable Ubicación geográfica.
En la columna Compatibilidad con MACsec para el proyecto actual, se muestran los tamaños de circuito disponibles para MACsec para Cloud Interconnect.
Capacidad: La capacidad total de tu interconexión, determinada por el número y tamaño de los circuitos que solicitas.
Selecciona una de las opciones que se muestran.
Pedir un puerto compatible con MACsec: Si pides un vínculo físico de 10 Gbps, debes pedir esta opción cuando solicites tu conexión de Cloud Interconnect para conexiones compatibles con MACsec. Si solicitas un vínculo físico de 100 Gbps, se seleccionará automáticamente un puerto con capacidad MACsec y no podrás anular la selección.
Puedes proporcionar una descripción opcional de la conexión en el campo Descripción. Esta descripción es para tu uso.
Haz clic en Siguiente.
Si necesitas redundancia, especifica los detalles de tu conexión duplicada y, luego, haz clic en Siguiente.
Especifica tu información de contacto.
Nombre de la empresa: el nombre de tu organización que se debe incluir en la LOA como la parte autorizada para solicitar una conexión.
Contacto técnico: una dirección de correo electrónico a la que se envían notificaciones sobre esta conexión. No es necesario que ingreses tu propia dirección. Se te incluye en todas las notificaciones. Puedes especificar solo una dirección.
Si creas una conexión a través de la Federación de Workforce Identity, es necesario especificar un contacto técnico. La Federación de Workforce Identity se encuentra en Vista previa.
Revisa tu pedido. Verifica que los detalles de tu conexión de interconexión dedicada y la información de contacto sean correctos. Si todo está correcto, selecciona Realizar pedido. Si hay algún error, regresa y edita los detalles de la interconexión.
En la página de confirmación del pedido, revisa los próximos pasos y, luego, selecciona Listo.
gcloud
En el siguiente comando, se muestra cómo solicitar una conexión de Cloud Interconnect compatible con MACsec en un vínculo de 10 GB. Se admite MACsec en conexiones de 10 GB, pero debes comunicarte con el equipo de cuentas de Google Cloud para habilitar tus proyectos de Google Cloud a fin de crear una conexión de Cloud Interconnect compatible con MACsec en vínculos de 10 GB.
gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
--customer-name=CUSTOMER_NAME \
--interconnect-type=DEDICATED \
--link-type=LINK_TYPE_ETHERNET_10G_LR \
--location="INTERCONNECT_CONNECTION_LOCATION" \
--requested-link-count=LINK_COUNT \
--requested-features=IF_MACSEC
Reemplaza lo siguiente:
INTERCONNECT_CONNECTION_NAME: un nombre para tu conexión de Cloud InterconnectCUSTOMER_NAME: El nombre del cliente de la carta de autorización (LOA) que emitimos para esta conexiónINTERCONNECT_CONNECTION_LOCATION: una ubicación de conexión de Cloud Interconnect que se muestra en la tabla de ubicacionesLINK_COUNT: la cantidad de conexiones de Cloud Interconnect que deseas
Después de solicitar una conexión de Cloud Interconnect con capacidad MACsec, se aprovisionará una conexión de Cloud Interconnect.
Para obtener más información sobre el aprovisionamiento, consulta la Descripción general del aprovisionamiento de la interconexión dedicada o la Descripción general del aprovisionamiento de la interconexión de socio.
Crea claves precompartidas
Después de aprovisionar la conexión de Cloud Interconnect con capacidad MACsec, crea las claves precompartidas que MACsec usa para encriptar el tráfico que pasa entre los routers perimetrales de Google y tu router. La creación de claves no activa el MACsec. Para activar MACsec, debes configurar tu router local y, luego, habilitar MACsec.
MACsec para Cloud Interconnect requiere que tengas al menos una clave con una hora de inicio actual o anterior. Las claves que creas para MACsec para Cloud Interconnect tienen validez infinita. Puedes tener un máximo de cinco claves por conexión.
Consola
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión que deseas modificar.
En la pestaña MACsec, ve a la sección Claves precompartidas y haz clic en Claves administradas y precompartidas.
Especifica los detalles de la clave precompartida:
Nombre de la clave 1: es un nombre para la clave. Este nombre se muestra en la consola de Google Cloud y gcloud CLI lo usa para hacer referencia a la clave, como
psk-1.Hora de inicio 1: la hora desde la cual la clave es válida.
Para agregar más claves precompartidas, haz clic en Agregar clave. Las claves precompartidas consecutivas deben tener horas de inicio que tengan al menos seis horas de diferencia.
Haz clic en Enviar.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME --start-time="START_TIME"
Reemplaza lo siguiente:
KEY_NAME: un nombre para la claveSTART_TIME: La hora a la que esta clave es válida en el formato ISO 8601, por ejemplo,2023-07-01T21:00:01.000Z
Obtén claves precompartidas
Consola
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión que deseas ver.
En la pestaña MACsec, ve a la sección Claves precompartidas, busca el nombre de la clave precompartida y, luego, haz clic en Ver. Una ventana muestra la clave de asociación de conectividad (CAK) y el nombre de la clave de asociación de conectividad (CKN). Haz clic en Copiar junto a cualquiera de los valores para copiar el valor en el portapapeles de tu computadora.
Haz clic en Cerrar.
gcloud
Ejecuta el siguiente comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
El resultado es similar a este:
preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
ckn: 0101016789abcdef...0123456789abcdef
name: key1
startTime: 2023-07-01T21:00:01.000Z
Ten en cuenta la clave de asociación de conectividad (CAK) y el nombre de la clave de la asociación de conectividad (CKN) para la configuración de tu router.
Si recibes un error de permisos denegados, verifica que tengas los permisos correctos. Para obtener más información, consulta Antes de comenzar.
Configura tu router local
Consulta la documentación de tu proveedor de routers para configurar los siguientes valores en tu router a fin de que sean compatibles con los routers de Google.
En este punto, MACsec no está habilitado en el extremo de Google. Para evitar una interrupción del tráfico, no habilites MACsec en el router mientras configuras estos valores.
| Configuración | Valor |
|---|---|
| Conjunto de cifrado MACsec |
|
| Algoritmo criptográfico de CAK | AES_256_CMAC |
| Prioridad del servidor de claves | 15 |
| Intervalo de cambio de clave de clave de asociación segura (SAK) | 28800 segundos |
| Compensación de confidencialidad de MACsec | 0 |
| Tamaño de ventana | 64 |
| Indicador de valor de verificación de integridad (ICV) | sí |
| CAK | El valor que anotaste cuando obtuviste claves precompartidas. |
| CKN | El valor que anotaste antes cuando obtuviste las claves compartidas previamente. |
| Identificador de canal seguro (SCI) | habilitada |