MACsec を設定する

このページでは、Cloud Interconnect の MACsec を設定する方法について説明します。

Cloud Interconnect で MACsec を有効にして使用する前に、1 つ以上の事前共有キーを作成し、それを使用するようにオンプレミス ルーターを構成する必要があります。ルーターと Google のエッジルーターは、事前共有キーを使用して、ルーター間で転送されるトラフィックを暗号化します。

始める前に

MACsec キーの取得に必要な権限を取得するには、プロジェクトに対する Compute ネットワーク管理者roles/compute.networkAdmin)IAM ロールを付与するよう管理者に依頼します。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

カスタムロールを使用する場合は、Cloud Interconnect の MACsec を管理するカスタムロールに compute.interconnects.getMacsecConfig IAM 権限が含まれていることを確認してください。

Cloud Interconnect が MACsec 対応であることを確認する

次のいずれかのオプションを使用して、既存の Cloud Interconnect 接続が MACsec に対応しているかどうかを確認します。対応している場合は、事前共有キーを作成するに進みます。

すべての Cross-Site Interconnect 接続は MACsec に対応しています。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 検査する接続の名前をクリックします。

  3. [MACsec] タブをクリックします。

    MACsec の情報が表示されます。Cloud Interconnect 接続が MACsec をサポートしていて、まだ構成されていない場合は、[MACsec の構成] で「無効」と表示されます。接続が MACsec をサポートしていない場合、[有効にする] ボタンは操作できません。このボタンにカーソルを合わせると、「利用中の Interconnect は MACsec に対応していません。MACsec 対応ポートが必要です」と表示されます。

gcloud

次のコマンドを実行します。

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

INTERCONNECT_CONNECTION_NAME は、Cloud Interconnect 接続の名前に置き換えます。

出力は次のようになります。MACsec 対応の接続では、次のように表示されます。

  • 10 GB のリンクの場合: linkType: LINK_TYPE_ETHERNET_10G_LRavailableFeatures: IF_MACSEC
  • 100 GB のリンクの場合: linkType: LINK_TYPE_ETHERNET_100G_LR、100 GB リンクはすべて MACsec 対応
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

次の項目に、Cloud Interconnect 接続の MACsec 構成を指定します。

  • availableFeatures: Cloud Interconnect 接続の MACsec 機能。100 GB の Cloud Interconnect 接続はデフォルトで MACsec に対応しているため、このパラメータは 10 GB の Cloud Interconnect 接続の場合のみ表示されます。

  • macsecEnabled: このリンクの Cloud Interconnect の MACsec ステータス。相互接続で MACsec を有効にするまで、値は false です。

MACsec 対応の Cloud Interconnect 接続をリクエストする

100 GB の Cloud Interconnect 接続はデフォルトで MACsec に対応しています。ただし、Cross-Site Interconnect 接続でない限り、10 GB の接続はデフォルトでは MACsec に対応していません。既存の接続が MACsec 対応でない場合は、続行する前に新しい接続をリクエストする必要があります。

次のオプションのいずれかを選択します。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. [物理接続を設定] をクリックします。

  3. [Dedicated Interconnect] を選択し、[続行] をクリックします。

  4. [新しい Dedicated Interconnect 接続を注文] を選択し、[続行] をクリックします

  5. 接続の詳細を指定します。

    • 名前: 接続の名前。この名前は Google Cloud コンソールに表示され、Google Cloud CLI で接続を参照するために使用されます(例: my-interconnect)。

    • Google Cloud のロケーション: 接続が作成されている物理的なロケーション。オンプレミス ネットワークは、この場所にあるGoogle Cloudのネットワークに適合している必要があります。[地域] プルダウンを使用すると、利用可能なロケーションのリストを地域別に絞り込むことができます。

    • [現在のプロジェクトに対する MACsec サポート] 列には、Cloud Interconnect の MACsec に使用できる回線サイズが表示されます。

    • 容量: 接続の合計容量。ご注文いただいた回線の数とサイズによって決定されます。

      表示されたオプションの 1 つを選択します。

    • MACsec 対応ポートをオーダーする: 10‐Gbps の物理リンクを注文する場合は、MACsec 対応接続用の Cloud Interconnect 接続を注文する際に、このオプションを選択する必要があります。100 Gbps の物理リンクを注文した場合、MACsec 対応ポートが自動的に選択されます。選択を解除することはできません。

      [説明] フィールドに接続の説明を入力できます(省略可)。これは、ユーザー向けの説明です。

  6. [次へ] をクリックします。

  7. 冗長性が必要な場合は、重複した接続の詳細を指定し、[次へ] をクリックします。

  8. 連絡先情報を指定します。

    • 会社名: 接続を要求する権限を持つ当事者として LOA に追加する組織の名前。

    • 技術面に関する連絡先: この接続に関する通知が送信されるメールアドレス。ご自身のアドレスを入力する必要はありません。お客様はすべての通知の対象となっています。アドレスは 1 つだけ指定できます。

      Workforce Identity 連携を介して接続を作成する場合は、技術担当者を指定する必要があります。Workload Identity 連携はプレビュー版です。

  9. 注文を確認します。Dedicated Interconnect 接続の詳細と連絡先情報が正しいことを確認します。すべて正しい場合は、[注文] をクリックします。正しくない場合は、前に戻って接続の詳細を編集してください。

  10. 注文確認ページで次の手順を確認して、[完了] をクリックします。

gcloud

次のコマンドは、10 GB リンクで MACsec 対応の Cloud Interconnect 接続をリクエストする方法を示しています。10 GB 接続の MACsec はサポートされていますが、 Google Cloud プロジェクトで 10 GB のリンクに MACsec 対応の接続を作成できるようにするには、Google Cloud アカウント チームにお問い合わせください。

gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
    --customer-name=CUSTOMER_NAME \
    --interconnect-type=DEDICATED \
    --link-type=LINK_TYPE_ETHERNET_10G_LR \
    --location="INTERCONNECT_CONNECTION_LOCATION" \
    --requested-link-count=LINK_COUNT \
    --requested-features=MACSEC

次のように置き換えます。

  • INTERCONNECT_CONNECTION_NAME: Cloud Interconnect 接続の名前

  • CUSTOMER_NAME: この接続に対して発行する承認書(LOA)の顧客名

  • INTERCONNECT_CONNECTION_LOCATION: ロケーション テーブルにリストされている Cloud Interconnect 接続のロケーション

  • LINK_COUNT: 必要な Cloud Interconnect 接続の数

MACsec 対応の Cloud Interconnect 接続をリクエストすると、Cloud Interconnect 接続がユーザーにプロビジョニングされます。

プロビジョニングの詳細については、以下をご覧ください。

事前共有キーを作成する

MACsec 対応 Cloud Interconnect 接続をプロビジョニングしたら、Google のエッジルーターとルーターの間で転送されるトラフィックを暗号化するために MACsec が使用する事前共有キーを作成します。鍵を作成しても MACsec は有効になりません。MACsec を有効にするには、オンプレミス ルーターを構成してから MACsec を有効にする必要があります。

Cloud Interconnect の MACsec では、開始時間が以前の時間に設定されている 1 つ以上キーが必要です。Cloud Interconnect の MACsec 用に作成するキーの有効期限は無限です。接続ごとに最大 5 つのキーを使用できます。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 変更する接続を選択します。

  3. [MACsec] タブで [事前共有キー] セクションに移動し、[事前共有キーを管理] をクリックします。

  4. 事前共有キーの詳細を指定します。

    • キー名 1: キーの名前。この名前は Google Cloud コンソールに表示され、gcloud CLI で psk-1 などのキーを参照するために使用されます。

    • 開始時刻 1: キーが有効になる時刻。

  5. 事前共有キーをさらに追加するには、[キーを追加] をクリックします。連続する事前共有キーの開始時間は 6 時間以上あける必要があります。

  6. [送信] をクリックします。

gcloud

gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
     --key-name=KEY_NAME --start-time="START_TIME"

次のように置き換えます。

  • KEY_NAME: 鍵の名前
  • START_TIME: この鍵が有効な時刻。ISO 8601 形式で指定します(例: 2023-07-01T21:00:01.000Z)。

事前共有キーを取得する

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 表示する接続を選択します。

  3. [MACsec] タブで [事前共有キー] セクションに移動し、事前共有キーの名前を探して [表示] をクリックします。Connectivity Association Key(CAK)と Connectivity Association Key Name(CKN)がウィンドウに表示されます。いずれかの値の横にある [コピー] をクリックして、値をクリップボードにコピーします。

  4. [閉じる] をクリックします。

gcloud

次のコマンドを実行します。

gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

出力は次のようになります。

preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
  ckn: 0101016789abcdef...0123456789abcdef
  name: key1
  startTime: 2023-07-01T21:00:01.000Z

ルーターの構成の Connectivity Association Key(CAK)と Connectivity Association Key Name(CKN)をメモします。

権限拒否エラーが表示された場合は、適切な権限があることを確認します。詳細については、始める前にをご覧ください。

オンプレミス ルーターを構成する

Google のルーターとの互換性を確保するために、ルーターに次の値を設定する方法については、ルーター ベンダーのドキュメントをご覧ください。

この時点では、MACsec は Google 側で有効になっていません。トラフィックの停止を防ぐため、これらの値を設定している間は、ルーターで MACsec を有効にしないでください。

設定
MACsec 暗号スイート
  • GCM-AES-256-XPN
  • GCM-AES-256
CAK 暗号アルゴリズム AES_256_CMAC
鍵サーバーの優先値 15
安全な Secure Association Key(SAK)の鍵交換間隔 28,800 秒
MACsec 機密性オフセット 0
対象期間 64
整合性チェック値(ICV)のインジケーター
CAK 事前共有キーを取得したときに以前にメモした値。
CKN 以前に事前共有キーを取得したときにメモした値。
セキュア チャネル識別子(SCI) enabled

次のステップ