MACsec einrichten

Auf dieser Seite wird beschrieben, wie Sie MACsec für Cloud Interconnect einrichten.

Bevor Sie MACsec für Cloud Interconnect aktivieren und verwenden können, müssen Sie einen oder mehrere vorinstallierte Schlüssel erstellen und Ihren lokalen Router für deren Verwendung konfigurieren. Ihr Router und der Edge-Router von Google verwenden den vorinstallierten Schlüssel, um den Traffic zwischen den Routern zu verschlüsseln.

Hinweise

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für Ihr Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Abrufen von MACsec-Schlüsseln benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Wenn Sie benutzerdefinierte Rollen verwenden möchten, muss Ihre benutzerdefinierte Rolle zum Verwalten von MACsec für Cloud Interconnect die IAM-Berechtigung compute.interconnects.getMacsecConfig enthalten.

MACsec-Fähigkeit von Cloud Interconnect prüfen

Verwenden Sie eine der folgenden Optionen, um zu prüfen, ob eine vorhandene Cloud Interconnect-Verbindung MACsec-fähig ist. Ist dies der Fall, fahren Sie mit Vorinstallierte Schlüssel erstellen fort.

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

    Zu „Physische Verbindungen“

  2. Klicken Sie auf den Namen der Verbindung, die Sie prüfen möchten.

  3. Klicken Sie auf den Tab MACsec.

    Die MACsec-Informationen werden angezeigt. Wenn Ihre Cloud Interconnect-Verbindung MACsec unterstützt und nicht konfiguriert ist, wird MACsec-Konfiguration Deaktiviert angezeigt. Wenn Ihre Verbindung MACsec nicht unterstützt, ist die Schaltfläche Aktivieren nicht anklickbar. Wenn Sie den Mauszeiger auf die Schaltfläche setzen, wird diese Meldung angezeigt: „Ihre Interconnect-Verbindung unterstützt MACsec nicht. Sie benötigen einen MACsec-fähigen Port."

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

Ersetzen Sie INTERCONNECT_CONNECTION_NAME durch den Namen Ihrer Cloud Interconnect-Verbindung.

Die Ausgabe ähnelt dem folgenden Beispiel: MACsec-fähige Verbindungen zeigen Folgendes an:

  • Für 10-GB-Links: linkType: LINK_TYPE_ETHERNET_10G_LR und availableFeatures: IF_MACSEC
  • Für 100-GB-Links: linkType: LINK_TYPE_ETHERNET_100G_LR; alle 100-GB-Links sind MACsec-fähig
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

Folgende Elemente geben die MACsec-Konfiguration der Cloud Interconnect-Verbindung an:

  • availableFeatures: MACsec-Funktion auf der Cloud Interconnect-Verbindung. Dieser Parameter wird nur für 10 GB Cloud Interconnect-Verbindungen angezeigt, da 100 GB Cloud Interconnect-Verbindungen standardmäßig MACsec-fähig sind.

  • macsecEnabled: MACsec-Status für Cloud Interconnect über diesen Link. Der Wert ist "false", bis Sie MACsec auf der Interconnect-Verbindung aktiviert haben.

MACsec-fähige Cloud Interconnect-Verbindung anfordern

Eine 100 GB Cloud Interconnect-Verbindung ist standardmäßig MACsec. Eine 10 GB-Verbindung ist jedoch standardmäßig nicht MACsec-fähig. Wenn Ihre vorhandene Verbindung nicht MACsec-fähig ist, müssen Sie eine neue Verbindung anfordern, bevor Sie fortfahren.

Wählen Sie eine der folgenden Optionen aus:

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

    Zu „Physische Verbindungen“

  2. Klicken Sie auf Physische Verbindung einrichten.

  3. Wählen Sie Dedicated Interconnect und dann Weiter aus.

  4. Wählen Sie Neue Dedicated Interconnect-Verbindung bestellen und dann Weiter aus.

  5. Geben Sie die Details der Verbindung an:

    • Name: ein Name für die Verbindung. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Verbindung zu verweisen, z. B. my-interconnect.

    • Google Cloud-Standort: der physische Standort, an dem die Verbindung erstellt wird. Ihr lokales Netzwerk muss mit dem Google Cloud-Netzwerk an diesem Standort verbunden sein. Sie können die Liste der verfügbaren Standorte im Drop-down-Menü Geografischer Standort nach geografischem Bereich einschränken.

    • In der Spalte MACsec-Unterstützung für aktuelles Projekt werden die für MACsec für Cloud Interconnect verfügbaren Netzwerkgrößen angezeigt.

    • Kapazität: die Gesamtkapazität Ihrer Verbindung, die durch die Anzahl und Größe der von Ihnen bestellten Netzwerkverbindungen bestimmt wird.

      Wählen Sie eine der angezeigten Optionen aus.

    • MACsec-fähigen Port bestellen: Wenn Sie einen physischen 10-Gbit/s-Link bestellen, müssen Sie diese Option bei der Bestellung einer Cloud Interconnect-Verbindung für MACsec-fähige Verbindungen auswählen. Wenn Sie einen physischen Link mit 100 Gbit/s bestellen, wird automatisch ein MACsec-fähiger Port ausgewählt und kann nicht deaktiviert werden.

      Sie können eine optionale Beschreibung der Verbindung im Feld Beschreibung angeben. Diese Beschreibung dient zu Ihrer Verwendung.

  6. Klicken Sie auf Next (Weiter).

  7. Wenn Sie Redundanz benötigen, geben Sie Details für Ihre duplizierte Verbindung an und klicken Sie auf Weiter.

  8. Geben Sie Ihre Kontaktdaten an.

    • Name des Unternehmens: der Name Ihrer Organisation, der in der Vollmachtserklärung als die zum Anfordern einer Verbindung berechtigte Partei einzutragen ist.

    • Technischer Kontakt: eine E-Mail-Adresse, an die Benachrichtigungen zu dieser Verbindung gesendet werden. Sie müssen nicht Ihre eigene Adresse eingeben. Sie werden in alle Benachrichtigungen eingeschlossen. Sie können nur eine Adresse angeben.

      Wenn Sie eine Verbindung über die Workload Identity-Föderation erstellen, müssen Sie einen technischen Kontakt angeben. Die Workload Identity-Föderation befindet sich in der Vorschau.

  9. Prüfen Sie die Bestellung. Prüfen Sie, ob die Dedicated Interconnect-Verbindungsdetails und Kontaktdaten korrekt sind. Wenn alles korrekt ist, klicken Sie auf Bestellen. Falls nicht, gehen Sie zurück und bearbeiten Sie die Verbindungsdetails.

  10. Prüfen Sie auf der Bestellbestätigungsseite die nächsten Schritte und klicken Sie dann auf Fertig.

gcloud

Der folgende Befehl zeigt, wie Sie eine MACsec-fähige Cloud Interconnect-Verbindung über einen 10-GB-Link anfordern. MACsec für 10-GB-Verbindungen wird unterstützt. Sie müssen jedoch Ihr Google Cloud-Account-Management-Team kontaktieren, damit Ihre Google Cloud-Projekte eine MACsec-fähige Verbindung auf 10-GB-Links erstellen können.

gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
    --customer-name=CUSTOMER_NAME \
    --interconnect-type=DEDICATED \
    --link-type=LINK_TYPE_ETHERNET_10G_LR \
    --location="INTERCONNECT_CONNECTION_LOCATION" \
    --requested-link-count=LINK_COUNT \
    --requested-features=IF_MACSEC

Ersetzen Sie Folgendes:

  • INTERCONNECT_CONNECTION_NAME: ein Name für Ihre Cloud Interconnect-Verbindung

  • CUSTOMER_NAME: der Kundenname für die Vollmachtserklärung, die wir für diese Verbindung ausstellen

  • INTERCONNECT_CONNECTION_LOCATION: ein Cloud Interconnect-Verbindungsstandort, der in der Standorttabelle aufgeführt ist

  • LINK_COUNT: die Anzahl der gewünschten Cloud Interconnect-Verbindungen

Nachdem Sie eine MACsec-fähige Cloud Interconnect-Verbindung angefordert haben, wird eine Cloud Interconnect-Verbindung für Sie bereitgestellt.

Weitere Informationen zur Bereitstellung finden Sie in der Übersicht zur Bereitstellung von Dedicated Interconnect oder in der Bereitstellungsübersicht für Partner Interconnect.

Vorinstallierte Schlüssel erstellen

Nachdem Ihre MACsec-fähige Cloud Interconnect-Verbindung bereitgestellt wurde, erstellen Sie die vorinstallierten Schlüssel, die MACsec zum Verschlüsseln des Traffics verwendet, der zwischen den Edge-Routern von Google und Ihrem Router übertragen wird. Durch das Erstellen von Schlüsseln wird MACsec nicht aktiviert. Um MACsec zu aktivieren, müssen Sie Ihren lokalen Router konfigurieren und dann MACsec aktivieren.

MACsec für Cloud Interconnect erfordert, dass Sie mindestens einen Schlüssel mit einer Startzeit von jetzt oder vorher haben. Schlüssel, die Sie für MACsec für Cloud Interconnect erstellen, haben eine unbegrenzte Gültigkeit. Sie können maximal fünf Schlüssel pro Verbindung haben.

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

    Zu „Physische Verbindungen“

  2. Wählen Sie die Verbindung aus, die Sie ändern möchten.

  3. Wechseln Sie auf dem Tab MACsec zum Abschnitt Vorinstallierte Schlüssel und klicken Sie auf Verwaltete vorinstallierte Schlüssel.

  4. Geben Sie die Details des vorinstallierten Schlüssels an:

    • Schlüsselname 1: ein Name für den Schlüssel. Dieser Name wird in der Google Cloud Console angezeigt und von der gcloud CLI verwendet, um auf den Schlüssel zu verweisen, z. B. psk-1.

    • Startzeit 1: die Zeit, ab der der Schlüssel gültig ist.

  5. Klicken Sie auf Schlüssel hinzufügen, um weitere vorinstallierte Schlüssel hinzuzufügen. Aufeinanderfolgende vorinstallierte Schlüssel müssen eine Startzeit von mindestens sechs Stunden haben.

  6. Klicken Sie auf Senden.

gcloud 

gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
     --key-name=KEY_NAME --start-time="START_TIME"

Ersetzen Sie Folgendes:

  • KEY_NAME: Ein Name für den Schlüssel.
  • START_TIME: die Zeit, ab der dieser Schlüssel gültig ist, im ISO 8601-Format, z. B. 2023-07-01T21:00:01.000Z

Vorinstallierte Schlüssel abrufen

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

    Zu „Physische Verbindungen“

  2. Wählen Sie die Verbindung aus, die Sie sehen möchten.

  3. Wechseln Sie auf dem Tab MACsec zum Abschnitt Vorinstallierte Schlüssel, suchen Sie den Namen des vorinstallierten Schlüssels und klicken Sie auf Ansehen. In einem Fenster werden der Schlüssel für die Verbindungsverknüpfung (CAK) und der Schlüsselname der Verbindung (CKN) angezeigt. Klicken Sie neben einem der Werte auf Kopieren, um den Wert in die Zwischenablage Ihres Computers zu kopieren.

  4. Klicken Sie auf Schließen.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

Die Ausgabe sieht in etwa so aus:

preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
  ckn: 0101016789abcdef...0123456789abcdef
  name: key1
  startTime: 2023-07-01T21:00:01.000Z

Notieren Sie sich den Verbindungsverknüpfungsschlüssel (connectivity association key, CAK) und den Namen des connectivity association keys (CKN) für die Konfiguration Ihres Routers.

Wenn Sie einen Fehler wegen verweigerter Berechtigungen erhalten, prüfen Sie, ob Sie die erforderlichen Berechtigungen haben. Weitere Informationen finden Sie unter Vorbereitung.

Lokalen Router konfigurieren

Weitere Informationen zum Festlegen der folgenden Werte auf Ihrem Router für die Kompatibilität mit den Routern von Google finden Sie in der Dokumentation Ihres Routeranbieters.

MACsec ist derzeit nicht seitens Google aktiviert. Aktivieren Sie MACsec auf dem Router nicht, während Sie diese Werte festlegen, um Trafficausfälle zu vermeiden.

Einstellung Wert
MACsec-Cipher Suite
  • GCM-AES-256-XPN
  • GCM-AES-256
Kryptografischer CAK-Algorithmus AES_256_CMAC
Schlüsselserver-Priorität 15
Neuverschlüsselungsintervall für sicheren Verknüpfungsschlüssel (Secure Association Key, SAK) 28800 Sekunden
MACsec-Vertraulichkeits-Offset 0
Fenstergröße 64
Indikator für Integritätsprüfungswert (ICV) yes
CAK Der Wert, den Sie zuvor notiert haben, als Sie vorinstallierte Schlüssel erhalten haben.
CKN Der Wert, den Sie zuvor beim Abrufen vorinstallierter Schlüssel notiert haben.
Secure Channel Identifier (SCI) aktiviert

Nächste Schritte