Halaman ini menjelaskan cara menyiapkan MACsec untuk Cloud Interconnect.
Sebelum mengaktifkan dan menggunakan MACsec untuk Cloud Interconnect, Anda perlu membuat satu atau beberapa kunci yang dibagikan sebelumnya dan mengonfigurasi router lokal untuk menggunakannya. Router dan router edge Google menggunakan kunci yang dibagikan sebelumnya untuk mengenkripsi traffic yang transit di antara router.
Sebelum memulai
Untuk mendapatkan izin yang diperlukan guna mengambil kunci MACsec,
minta administrator untuk memberi Anda
peran IAM Admin Jaringan Compute (roles/compute.networkAdmin
) di project Anda.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Jika Anda memilih untuk menggunakan peran khusus, pastikan bahwa peran khusus Anda untuk
mengelola MACsec untuk Cloud Interconnect menyertakan izin IAM
compute.interconnects.getMacsecConfig
.
Verifikasi bahwa Cloud Interconnect mendukung MACsec
Gunakan salah satu opsi berikut untuk memverifikasi apakah koneksi Cloud Interconnect yang ada mendukung MACsec. Jika ya, lanjutkan ke Membuat pre-shared keys.
Konsol
Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.
Klik nama koneksi yang ingin Anda periksa.
Klik tab MACsec.
Informasi MACsec ditampilkan. Jika koneksi Cloud Interconnect Anda mendukung MACsec dan tidak dikonfigurasi, Konfigurasi MACsec akan menampilkan Dinonaktifkan. Jika koneksi Anda tidak mendukung MACsec, tombol Aktifkan tidak dapat ditindaklanjuti dan mengarahkan kursor ke tombol tersebut akan menampilkan "Your Interconnect tidak mendukung MACsec. Anda memerlukan port berkemampuan MACsec."
gcloud
Jalankan perintah berikut:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Ganti INTERCONNECT_CONNECTION_NAME
dengan nama koneksi
Cloud Interconnect Anda.
Outputnya mirip dengan contoh berikut ini. Koneksi yang berkemampuan MACsec akan menampilkan hal berikut:
- Untuk link 10 GB:
linkType: LINK_TYPE_ETHERNET_10G_LR
danavailableFeatures: IF_MACSEC
- Untuk link 100 GB:
linkType: LINK_TYPE_ETHERNET_100G_LR
; semua link 100 GB dapat digunakan untuk MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
Item berikut menentukan konfigurasi MACsec koneksi Cloud Interconnect:
availableFeatures
: Kemampuan MACsec di koneksi Cloud Interconnect. Parameter ini hanya ditampilkan untuk koneksi Cloud Interconnect 10 GB, karena koneksi Cloud Interconnect 100 GB mendukung MACsec secara default.macsecEnabled
: Status MACsec untuk Cloud Interconnect di link ini. Nilainya akan salah hingga Anda mengaktifkan MACsec di interconnect.
Meminta koneksi Cloud Interconnect yang mendukung MACsec
Koneksi Cloud Interconnect sebesar 100 GB mendukung MACsec secara default. Namun, secara default koneksi 10 GB tidak mendukung MACsec. Jika koneksi yang ada saat ini tidak mendukung MACsec, Anda perlu meminta koneksi baru sebelum melanjutkan.
Pilih salah satu opsi berikut:
Konsol
Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.
Klik Siapkan koneksi fisik.
Pilih Dedicated Interconnect, lalu klik Lanjutkan.
Pilih Pesan Dedicated Interconnect baru, lalu klik Lanjutkan.
Tentukan detail koneksi:
Nama: Nama untuk koneksi. Nama ini ditampilkan di Google Cloud Console dan digunakan oleh Google Cloud CLI untuk mereferensikan koneksi, seperti
my-interconnect
.Lokasi Google Cloud: Lokasi fisik tempat koneksi dibuat. Jaringan lokal Anda harus memenuhi jaringan Google Cloud di lokasi ini. Anda dapat membatasi daftar lokasi yang tersedia berdasarkan area geografis di drop-down Lokasi geografis.
Kolom Dukungan MACsec untuk project saat ini menampilkan ukuran sirkuit yang tersedia bagi MACsec untuk Cloud Interconnect.
Kapasitas: Total kapasitas koneksi Anda, yang ditentukan oleh jumlah dan ukuran sirkuit yang Anda pesan.
Pilih salah satu opsi yang ditampilkan.
Pesan port yang mendukung MACsec: Jika memesan link fisik 10-Gbps, Anda harus memilih opsi ini saat memesan koneksi Cloud Interconnect untuk koneksi yang mendukung MACsec. Jika Anda memesan link fisik 100 Gbps, maka port yang mendukung MACsec akan otomatis dipilih untuk Anda dan tidak dapat membatalkan pilihannya.
Anda dapat memberikan deskripsi opsional untuk koneksi di kolom Description. Deskripsi ini untuk Anda gunakan.
Klik Berikutnya.
Jika Anda memerlukan redundansi, tentukan detail untuk koneksi duplikat Anda, lalu klik Next.
Tentukan informasi kontak Anda:
Nama perusahaan: nama organisasi Anda yang akan dimasukkan ke LOA sebagai pihak yang diizinkan untuk meminta koneksi.
Kontak teknis: alamat email yang digunakan untuk mengirimkan notifikasi tentang sambungan ini. Anda tidak perlu memasukkan alamat Anda sendiri; Anda disertakan dalam semua pemberitahuan. Anda hanya dapat menentukan satu alamat.
Jika Anda membuat koneksi melalui federasi identitas tenaga kerja, menentukan Kontak teknis diperlukan. Gabungan identitas tenaga kerja ada di Pratinjau.
Tinjau pesanan Anda. Periksa apakah detail koneksi Dedicated Interconnect dan informasi kontak Anda sudah benar. Jika semuanya sudah benar, klik Lakukan pemesanan. Jika tidak, kembali dan edit detail koneksi.
Di halaman konfirmasi pesanan, tinjau langkah berikutnya, lalu klik Selesai.
gcloud
Perintah berikut menunjukkan cara meminta koneksi Cloud Interconnect yang mendukung MACsec pada link 10-GB. MACsec pada koneksi 10-GB didukung, tetapi Anda harus menghubungi tim akun Google Cloud agar project Google Cloud Anda dapat membuat koneksi yang mendukung MACsec pada link 10-GB.
gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
--customer-name=CUSTOMER_NAME \
--interconnect-type=DEDICATED \
--link-type=LINK_TYPE_ETHERNET_10G_LR \
--location="INTERCONNECT_CONNECTION_LOCATION" \
--requested-link-count=LINK_COUNT \
--requested-features=IF_MACSEC
Ganti kode berikut:
INTERCONNECT_CONNECTION_NAME
: nama untuk koneksi Cloud Interconnect AndaCUSTOMER_NAME
: nama pelanggan untuk surat otorisasi (LOA) yang kami keluarkan untuk koneksi iniINTERCONNECT_CONNECTION_LOCATION
: lokasi koneksi Cloud Interconnect yang tercantum dalam tabel lokasiLINK_COUNT
: jumlah koneksi Cloud Interconnect yang Anda inginkan
Setelah Anda meminta koneksi Cloud Interconnect dengan kemampuan MACsec, koneksi Cloud Interconnect akan disediakan untuk Anda.
Untuk mengetahui informasi selengkapnya tentang penyediaan, lihat Ringkasan penyediaan Dedicated Interconnect atau Ringkasan penyediaan Partner Interconnect.
Buat pre-shared keys
Setelah koneksi Cloud Interconnect dengan kemampuan MACsec disediakan, buat pre-shared keys yang digunakan MACsec untuk mengenkripsi traffic yang transit antara router edge Google dan router Anda. Membuat kunci tidak akan mengaktifkan MACsec. Untuk mengaktifkan MACsec, Anda harus mengonfigurasi router lokal, lalu mengaktifkan MACsec.
MACsec untuk Cloud Interconnect mengharuskan Anda memiliki setidaknya satu kunci dengan waktu mulai sekarang atau sebelumnya. Kunci yang Anda buat untuk MACsec untuk Cloud Interconnect memiliki validitas tak terbatas. Anda dapat memiliki maksimum lima kunci per koneksi.
Konsol
Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.
Pilih koneksi yang ingin Anda ubah.
Di tab MACsec, buka bagian Pre-shared keysi, lalu klik Pre-shared keys yang ditangani.
Tentukan detail pre-shared keys:
Nama Kunci 1: nama untuk kunci. Nama ini ditampilkan di Google Cloud Console dan digunakan oleh gcloud CLI untuk mereferensikan kunci, seperti
psk-1
.Waktu mulai 1: waktu asal kunci valid.
Untuk menambahkan kunci yang dibagikan sebelumnya lainnya, klik Tambahkan kunci. Kunci pra-bagi secara berurutan harus memiliki waktu mulai yang setidaknya berjarak enam jam.
Klik Submit.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME --start-time="START_TIME"
Ganti kode berikut:
KEY_NAME
: nama untuk kunciSTART_TIME
: waktu berlakunya kunci ini dalam format ISO 8601—misalnya,2023-07-01T21:00:01.000Z
Dapatkan pre-shared keys
Konsol
Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.
Pilih koneksi yang ingin Anda lihat.
Di tab MACsec, buka bagian Pre-shared keys cari nama kunci yang dibagikan sebelumnya, lalu klik Tampilkan. Jendela akan menampilkan kunci asosiasi konektivitas (CAK) dan nama kunci asosiasi konektivitas (CKN). Klik Salin di samping salah satu nilai untuk menyalin nilai ke papan klip komputer Anda.
Klik Close.
gcloud
Jalankan perintah berikut:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
Output-nya mirip dengan yang berikut ini:
preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
ckn: 0101016789abcdef...0123456789abcdef
name: key1
startTime: 2023-07-01T21:00:01.000Z
Catat kunci pengaitan konektivitas (CAK) dan nama kunci pengaitan konektivitas (CKN) untuk konfigurasi router Anda.
Jika Anda menerima error izin ditolak, pastikan Anda memiliki izin yang benar. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.
Mengonfigurasi router lokal
Lihat dokumentasi vendor router untuk menetapkan nilai berikut pada router untuk kompatibilitas dengan router Google.
Pada tahap ini, MACsec tidak diaktifkan di pihak Google. Untuk menghindari pemadaman lalu lintas, jangan mengaktifkan MACsec di router saat menyetel nilai ini.
Setelan | Nilai |
---|---|
Paket penyandian MACsec |
|
Algoritme kriptografi CAK | AES_256_CMAC |
Prioritas server kunci | 15 |
Interval penetapan ulang kunci asosiasi aman (SAK) | 28800 detik |
Offset kerahasiaan MACsec | 0 |
Ukuran jendela | 64 |
Indikator nilai pemeriksaan integritas (ICV) | ya |
CAK | Nilai yang sebelumnya Anda catat saat mendapatkan pre-shared keys. |
CKN | Nilai yang Anda catat sebelumnya saat mendapatkan pre-shared keys. |
ID Saluran Aman (SCI) | diaktifkan |