MACsec 설정

이 페이지에서는 Cloud Interconnect용 MACsec를 설정하는 방법을 설명합니다.

Cloud Interconnect용 MACsec를 사용 설정하고 사용하려면 먼저 하나 이상의 사전 공유 키를 만들고 이를 사용하도록 온프레미스 라우터를 구성해야 합니다. 라우터와 Google의 에지 라우터는 사전 공유 키를 사용하여 라우터 간에 전송되는 트래픽을 암호화합니다.

시작하기 전에

MACsec 키를 검색하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 Compute 네트워크 관리자(roles/compute.networkAdmin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

커스텀 역할을 사용할 경우 Cloud Interconnect용 MACsec 관리를 위한 커스텀 역할에 compute.interconnects.getMacsecConfig IAM 권한이 포함되어 있어야 합니다.

Cloud Interconnect의 MACsec 지원 여부 확인

다음 옵션 중 하나를 사용하여 기존 Cloud Interconnect 연결이 MACsec를 지원하는지 확인합니다. 지원하는 경우 사전 공유 키 만들기로 건너뜁니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.

    실제 연결로 이동

  2. 검사할 연결의 이름을 클릭합니다.

  3. MACsec 탭을 클릭합니다.

    MACsec 정보가 표시됩니다. Cloud Interconnect 연결이 MACsec를 지원하는데 구성되지 않았다면 MACsec 구성사용 중지됨이 표시됩니다. 연결에서 MACsec를 지원하지 않으면 사용 설정 버튼이 작동하지 않고 버튼 위로 마우스를 가져가면 '상호 연결에서 MACsec를 지원하지 않습니다. MACsec 지원 포트가 있어야 합니다.'라고 표시됩니다.

gcloud

다음 명령어를 실행합니다.

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

INTERCONNECT_CONNECTION_NAME을 Cloud Interconnect 연결의 이름으로 바꿉니다.

출력은 다음 샘플과 비슷합니다. MACsec 지원 연결은 다음을 표시합니다.

  • 10GB 링크: linkType: LINK_TYPE_ETHERNET_10G_LRavailableFeatures: IF_MACSEC
  • 100GB 링크: linkType: LINK_TYPE_ETHERNET_100G_LR, 100GB 링크 모두 MACsec 지원
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

다음 항목은 Cloud Interconnect 연결의 MACsec 구성을 지정합니다.

  • availableFeatures: Cloud Interconnect 연결에 대한 MACsec 기능입니다. 100GB Cloud Interconnect 연결은 기본적으로 MACsec를 지원하므로 이 매개변수는 10GB Cloud Interconnect 연결에만 표시됩니다.

  • macsecEnabled: 이 링크에 있는 Cloud Interconnect의 MACsec 상태입니다. 상호 연결에서 MACsec를 사용 설정할 때까지 값은 false입니다.

MACsec 지원 Cloud Interconnect 연결 요청

100GB Cloud Interconnect 연결은 기본적으로 MACsec를 지원합니다. 하지만 10GB 연결은 기본적으로 MACsec를 지원하지 않습니다. 기존 연결이 MACsec를 지원하지 않으면 계속하기 전에 새 연결을 요청해야 합니다.

다음 옵션 중 하나를 선택합니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.

    실제 연결로 이동

  2. 실제 연결 설정을 클릭합니다.

  3. Dedicated Interconnect를 선택하고 계속을 클릭합니다.

  4. 새 Dedicated Interconnect 주문을 선택하고 계속을 클릭합니다.

  5. 연결의 세부정보를 지정합니다.

    • 이름: 연결 이름입니다. 이 이름은 Google Cloud 콘솔에 표시되며 Google Cloud CLI에서 연결을 참조하는 데 사용됩니다(예: my-interconnect).

    • Google Cloud 위치: 연결이 생성되는 실제 위치입니다. 온프레미스 네트워크는 이 위치에서 Google Cloud 네트워크와 연결되어야 합니다. 지리적 위치 드롭다운에서 지리적 위치별로 사용 가능한 위치 목록을 제한할 수 있습니다.

    • 현재 프로젝트에 대한 MACsec 지원 열에는 Cloud Interconnect용 MACsec에 사용할 수 있는 회선 크기가 표시됩니다.

    • 용량: 연결의 총 용량으로, 주문한 회선의 수와 크기를 기준으로 결정됩니다.

      표시된 옵션 중 하나를 선택합니다.

    • MACsec 지원 포트 주문: 10Gbps 물리적 링크를 주문하는 경우 MACsec 지원 연결을 위해 Cloud Interconnect 연결을 주문할 때 이 옵션을 선택해야 합니다. 100Gbps 물리적 링크를 주문하면 MACsec 지원 포트가 자동으로 선택되며 선택 해제할 수 없습니다.

      설명 필드에 연결에 대한 설명(선택사항)을 제공할 수 있습니다. 이 설명은 사용자를 위한 참고 용도입니다.

  6. 다음을 클릭합니다.

  7. 중복화가 필요한 경우 중복 연결의 세부정보를 지정하고 다음을 클릭합니다.

  8. 연락처 정보를 지정합니다.

    • 회사 이름: 연결을 요청할 권한이 있는 관계자로 LOA에 기재할 조직의 이름입니다.

    • 기술 담당자: 이 연결 관련 알림을 전송할 이메일 주소입니다. 주소를 직접 입력할 필요가 없습니다. 모든 알림을 확인할 수 있습니다. 주소는 하나만 지정할 수 있습니다.

      직원 ID 제휴를 통해 연결을 만드는 경우 기술 담당자를 지정해야 합니다. 직원 ID 제휴는 미리보기 버전입니다.

  9. 주문을 검토합니다. Dedicated Interconnect 연결 세부정보와 연락처 정보가 올바른지 확인합니다. 모든 정보가 올바르면 주문하기를 클릭합니다. 그렇지 않으면 뒤로 돌아가서 연결 세부정보를 수정합니다.

  10. 주문 확인 페이지에서 다음 단계를 검토하고 완료를 클릭합니다.

gcloud

다음 명령어는 10GB 링크에서 MACsec 지원 Cloud Interconnect 연결을 요청하는 방법을 보여줍니다. 10GB 연결에서 MACsec가 지원되지만 Google Cloud 계정팀에 문의하여 10GB 링크에서 MACsec 지원 연결을 만들 수 있도록 Google Cloud 프로젝트를 사용 설정해야 합니다.

gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
    --customer-name=CUSTOMER_NAME \
    --interconnect-type=DEDICATED \
    --link-type=LINK_TYPE_ETHERNET_10G_LR \
    --location="INTERCONNECT_CONNECTION_LOCATION" \
    --requested-link-count=LINK_COUNT \
    --requested-features=IF_MACSEC

다음을 바꿉니다.

  • INTERCONNECT_CONNECTION_NAME: Cloud Interconnect 연결 이름입니다.

  • CUSTOMER_NAME: 이 연결에 대해 발급하는 승인서(LOA)의 고객 이름입니다.

  • INTERCONNECT_CONNECTION_LOCATION: 위치 표에 나열된 Cloud Interconnect 연결 위치

  • LINK_COUNT: 원하는 Cloud Interconnect 연결 수

MACsec 지원 Cloud Interconnect 연결을 요청하면 Cloud Interconnect 연결이 자동으로 프로비저닝됩니다.

프로비저닝에 대한 자세한 내용은 Dedicated Interconnect 프로비저닝 개요 또는 Partner Interconnect 프로비저닝 개요를 참조하세요.

사전 공유 키 만들기

MACsec 지원 Cloud Interconnect 연결이 프로비저닝된 다음 MACsec가 Google의 에지 라우터와 라우터를 통과하는 트래픽을 암호화하는 데 사용하는 사전 공유 키를 만듭니다. 키를 만들어도 MACsec가 사용 설정되지 않습니다. MACsec를 사용 설정하려면 온프레미스 라우터를 구성한 후 MACsec를 사용 설정해야 합니다.

Cloud Interconnect용 MACsec를 사용하려면 현재 또는 이전 시작 시간이 포함된 키가 하나 이상 있어야 합니다. Cloud Interconnect용 MACsec를 위해 만드는 키는 유효 기간이 무한합니다. 연결당 최대 5개의 키를 사용할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.

    실제 연결로 이동

  2. 수정할 연결을 선택합니다.

  3. MACsec 탭에서 사전 공유 키 섹션으로 이동한 다음 관리형 사전 공유 키를 클릭합니다.

  4. 사전 공유 키의 세부정보를 지정합니다.

    • 키 이름 1: 키 이름입니다. 이 이름은 Google Cloud 콘솔에 표시되며 gcloud CLI에서 psk-1과 같은 키를 참조하는 데 사용됩니다.

    • 시작 시간 1: 키의 유효 기간이 시작되는 시간입니다.

  5. 사전 공유 키를 더 추가하려면 키 추가를 클릭합니다. 연속된 사전 공유 키는 시작 시간의 간격이 6시간 이상이어야 합니다.

  6. 제출을 클릭합니다.

gcloud 

gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
     --key-name=KEY_NAME --start-time="START_TIME"

다음을 바꿉니다.

  • KEY_NAME: 키의 이름입니다.
  • START_TIME: 이 키가 ISO 8601 형식으로 유효한 시간입니다(예: 2023-07-01T21:00:01.000Z).

사전 공유 키 가져오기

콘솔

  1. Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.

    실제 연결로 이동

  2. 보려는 연결을 선택합니다.

  3. MACsec 탭에서 사전 공유 키 섹션으로 이동하여 사전 공유 키의 이름을 찾은 다음 보기를 클릭합니다. 창에 연결 연결 키(CAK) 및 연결 연결 키 이름(CKN)이 표시됩니다. 값 옆에 있는 복사를 클릭하여 값을 컴퓨터의 클립보드에 복사합니다.

  4. 닫기를 클릭합니다.

gcloud

다음 명령어를 실행합니다.

gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

출력은 다음과 비슷합니다.

preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
  ckn: 0101016789abcdef...0123456789abcdef
  name: key1
  startTime: 2023-07-01T21:00:01.000Z

라우터 구성의 연결 연결 키(CAK) 및 연결 연결 키 이름(CKN)을 확인합니다.

권한 거부 오류가 발생하면 올바른 권한이 있는지 확인하세요. 자세한 내용은 시작하기 전에를 참조하세요.

온프레미스 라우터 구성

라우터 공급업체 문서를 참조하여 Google 라우터와 호환성을 위해 라우터에 다음 값을 설정하세요.

이 시점에서 MACsec는 Google 측에서 사용 설정되지 않습니다. 트래픽 중단을 방지하려면 이러한 값을 설정하는 동안 라우터에서 MACsec를 사용 설정하지 마세요.

설정
MACsec 암호화 스위트
  • GCM-AES-256-XPN
  • GCM-AES-256
CAK 암호화 알고리즘 AES_256_CMAC
키 서버 우선순위 15
보안 연결 키(SAK) 키 갱신 간격 28800초
MACsec 비밀유지 오프셋 0
창 크기 64
무결성 검사 값(ICV) 표시기
CAK 이전에 사전 공유 키를 가져올 때 기록해 둔 값입니다.
CKN 이전에 사전 공유 키를 가져올 때 기록해 둔 값입니다.
보안 채널 식별자(SCI) 사용 설정됨

다음 단계