MACsec を設定する

このページでは、Cloud Interconnect の MACsec を設定する方法について説明します。

Cloud Interconnect で MACsec を有効にして使用する前に、1 つ以上の事前共有キーを作成し、それを使用するようにオンプレミス ルーターを構成する必要があります。ルーターと Google のエッジルーターは、事前共有キーを使用して、ルーター間で転送されるトラフィックを暗号化します。

始める前に

MACsec 鍵の取得に必要な権限を取得するには、Compute ネットワーク管理者 roles/compute.networkAdmin)の IAM ロールをプロジェクトに付与するように管理者に依頼します。ロールの付与の詳細については、アクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

カスタムロールを使用する場合は、Cloud Interconnect の MACsec を管理するカスタムロールに compute.interconnects.getMacsecConfig IAM 権限が含まれていることを確認してください。

Cloud Interconnect が MACsec 対応であることを確認する

次のいずれかのオプションを使用して、既存の Cloud Interconnect 接続が MACsec に対応しているかどうかを確認します。対応している場合は、事前共有キーを作成するに進みます。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 検査する接続の名前をクリックします。

  3. [MACsec] タブをクリックします。

    MACsec の情報が表示されます。Cloud Interconnect 接続が MACsec をサポートしていて、まだ構成されていない場合は、[MACsec の構成] で「無効」と表示されます。接続が MACsec をサポートしていない場合、[有効にする] ボタンは操作できません。このボタンにカーソルを合わせると、「利用中の Interconnect は MACsec に対応していません。MACsec 対応ポートが必要です」と表示されます。

gcloud

次のコマンドを実行します。

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

INTERCONNECT_CONNECTION_NAME は、Cloud Interconnect 接続の名前に置き換えます。

出力は次のようになります。MACsec 対応の接続では、次のように表示されます。

  • 10 GB のリンクの場合: linkType: LINK_TYPE_ETHERNET_10G_LRavailableFeatures: IF_MACSEC
  • 100 GB のリンクの場合: linkType: LINK_TYPE_ETHERNET_100G_LR、100 GB リンクはすべて MACsec 対応
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

次の項目に、Cloud Interconnect 接続の MACsec 構成を指定します。

  • availableFeatures: Cloud Interconnect 接続の MACsec 機能。100 GB の Cloud Interconnect 接続はデフォルトで MACsec に対応しているため、このパラメータは 10 GB の Cloud Interconnect 接続の場合のみ表示されます。

  • macsecEnabled: このリンクの Cloud Interconnect の MACsec ステータス。相互接続で MACsec を有効にするまで、値は false です。

MACsec 対応の Cloud Interconnect 接続をリクエストする

100 GB の Cloud Interconnect 接続はデフォルトで MACsec に対応しています。ただし、10 GB の接続はデフォルトでは MACsec に対応していません。既存の接続が MACsec 対応でない場合は、続行する前に新しい接続をリクエストする必要があります。

次のオプションのいずれかを選択します。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. [物理接続を設定] をクリックします。

  3. [Dedicated Interconnect] を選択し、[続行] をクリックします。

  4. [新しい専用の相互接続を注文] を選択し、[続行] をクリックします。

  5. 接続の詳細を指定します。

    • 名前: 接続の名前。この名前は Google Cloud コンソールに表示されます。また、Google Cloud CLI で接続を参照するために使用されます(例: my-interconnect)。

    • Google Cloud のロケーション: 接続が作成されている物理的なロケーション。オンプレミス ネットワークは、この場所にある Google Cloud のネットワークに適合している必要があります。[地域] プルダウンを使用すると、利用可能なロケーションのリストを地域別に絞り込むことができます。

    • [現在のプロジェクトに対する MACsec サポート] 列には、Cloud Interconnect の MACsec に使用できる回線サイズが表示されます。

    • 容量: 接続の合計容量。ご注文いただいた回線の数とサイズによって決定されます。

      表示されたオプションの 1 つを選択します。

    • MACsec 対応ポートをオーダーする: 10‐Gbps の物理リンクを注文する場合は、MACsec 対応接続用の Cloud Interconnect 接続を注文する際に、このオプションを選択する必要があります。100 Gbps の物理リンクを注文した場合、MACsec 対応ポートが自動的に選択されます。選択を解除することはできません。

      [説明] フィールドに接続の説明を入力できます(省略可)。これは、ユーザー向けの説明です。

  6. [次へ] をクリックします。

  7. 冗長性が必要な場合は、複製された接続の詳細を指定し、[次へ] をクリックします。

  8. 連絡先情報を指定します。

    • 会社名: 接続を要求する権限を持つ当事者として LOA に追加する組織の名前。

    • 技術面に関する連絡先: この接続に関する通知が送信されるメールアドレス。ご自身のアドレスを入力する必要はありません。お客様はすべての通知の対象となっています。アドレスは 1 つだけ指定できます。

      Workforce Identity 連携を介して接続を作成する場合は、技術担当者を指定する必要があります。Workload Identity 連携はプレビュー版です。

  9. 注文を確認します。Dedicated Interconnect 接続の詳細と連絡先情報が正しいことを確認します。すべて正しい場合は、[注文] をクリックします。正しくない場合は、前に戻って接続の詳細を編集してください。

  10. 注文確認ページで次の手順を確認して、[完了] をクリックします。

gcloud

次のコマンドは、10 GB リンクで MACsec 対応の Cloud Interconnect 接続をリクエストする方法を示しています。10 GB 接続の MACsec はサポートされていますが、Google Cloud プロジェクトで 10 GB のリンクに MACsec 対応の接続を作成できるようにするには、Google Cloud アカウント チームにお問い合わせください。

gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
    --customer-name=CUSTOMER_NAME \
    --interconnect-type=DEDICATED \
    --link-type=LINK_TYPE_ETHERNET_10G_LR \
    --location="INTERCONNECT_CONNECTION_LOCATION" \
    --requested-link-count=LINK_COUNT \
    --requested-features=IF_MACSEC

次のように置き換えます。

  • INTERCONNECT_CONNECTION_NAME: Cloud Interconnect 接続の名前

  • CUSTOMER_NAME: この接続に対して発行する承認書(LOA)の顧客名

  • INTERCONNECT_CONNECTION_LOCATION: ロケーション テーブルにリストされている Cloud Interconnect 接続のロケーション

  • LINK_COUNT: 必要な Cloud Interconnect 接続の数

MACsec 対応の Cloud Interconnect 接続をリクエストすると、Cloud Interconnect 接続がユーザーにプロビジョニングされます。

プロビジョニングの詳細については、Dedicated Interconnect のプロビジョニングの概要または Partner Interconnect のプロビジョニングの概要をご覧ください。

事前共有キーを作成する

MACsec 対応 Cloud Interconnect 接続をプロビジョニングしたら、Google のエッジルーターとルーターの間で転送されるトラフィックを暗号化するために MACsec が使用する事前共有キーを作成します。鍵を作成しても MACsec は有効になりません。MACsec を有効にするには、オンプレミス ルーターを構成してから MACsec を有効にする必要があります。

Cloud Interconnect の MACsec では、開始時間が以前の時間に設定されている 1 つ以上キーが必要です。Cloud Interconnect の MACsec 用に作成するキーの有効期限は無限です。接続ごとに最大 5 つのキーを使用できます。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 変更する接続を選択します。

  3. [MACsec] タブで [事前共有キー] セクションに移動し、[事前共有キーを管理] をクリックします。

  4. 事前共有キーの詳細を指定します。

    • キー名 1: キーの名前。この名前は Google Cloud コンソールに表示され、gcloud CLI で psk-1 などのキーを参照するために使用されます。

    • 開始時刻 1: キーが有効になる時刻。

  5. 事前共有キーをさらに追加するには、[キーを追加] をクリックします。連続する事前共有キーの開始時間は 6 時間以上あける必要があります。

  6. [送信] をクリックします。

gcloud

gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
     --key-name=KEY_NAME --start-time="START_TIME"

次のように置き換えます。

  • KEY_NAME: 鍵の名前
  • START_TIME: この鍵が有効な時刻。ISO 8601 形式で指定します(例: 2023-07-01T21:00:01.000Z)。

事前共有キーを取得する

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 表示する接続を選択します。

  3. [MACsec] タブで [事前共有キー] セクションに移動し、事前共有キーの名前を探して [表示] をクリックします。Connectivity Association Key(CAK)と Connectivity Association Key Name(CKN)がウィンドウに表示されます。いずれかの値の横にある [コピー] をクリックして、値をクリップボードにコピーします。

  4. [閉じる] をクリックします。

gcloud

次のコマンドを実行します。

gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

出力は次のようになります。

preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
  ckn: 0101016789abcdef...0123456789abcdef
  name: key1
  startTime: 2023-07-01T21:00:01.000Z

ルーターの構成の Connectivity Association Key(CAK)と Connectivity Association Key Name(CKN)をメモします。

権限拒否エラーが表示された場合は、適切な権限があることを確認します。詳細については、始める前にをご覧ください。

オンプレミス ルーターを構成する

Google のルーターとの互換性を確保するために、ルーターに次の値を設定する方法については、ルーター ベンダーのドキュメントをご覧ください。

この時点では、MACsec は Google 側で有効になっていません。トラフィックの停止を防ぐため、これらの値を設定している間は、ルーターで MACsec を有効にしないでください。

設定
MACsec 暗号スイート
  • GCM-AES-256-XPN
  • GCM-AES-256
CAK 暗号アルゴリズム AES_256_CMAC
鍵サーバーの優先値 15
安全な Secure Association Key(SAK)の鍵交換間隔 28,800 秒
MACsec 機密性オフセット 0
対象期間 64
整合性チェック値(ICV)のインジケーター
CAK 事前共有キーを取得したときに以前にメモした値。
CKN 以前に事前共有キーを取得したときにメモした値。
セキュア チャネル識別子(SCI) enabled

次のステップ