Nesta página, descrevemos como configurar o MACsec para o Cloud Interconnect.
Antes de ativar e usar o MACsec para o Cloud Interconnect, você precisa criar uma ou mais chaves pré-compartilhadas e configurar o roteador local para usá-las. O roteador e o roteador de borda do Google usam as chaves pré-compartilhadas para criptografar o tráfego que transita entre os roteadores.
Antes de começar
Para receber as permissões necessárias para recuperar chaves MACsec, peça ao administrador para conceder a você o papel de Administrador da rede do Compute (roles/compute.networkAdmin
) do IAM no projeto.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Se você optar por usar papéis personalizados, verifique se o papel personalizado para
administrar o MACsec para o Cloud Interconnect inclui a
permissão compute.interconnects.getMacsecConfig
do IAM.
Verifique se o Cloud Interconnect é compatível com MACsec
Use uma das opções a seguir para verificar se uma conexão atual do Cloud Interconnect é compatível com MACsec. Se for, pule para Criar chaves pré-compartilhadas.
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Clique no nome da conexão que você quer inspecionar.
Clique na guia MACsec.
As informações do MACsec são exibidas. Se a conexão do Cloud Interconnect for compatível com MACsec e não estiver configurada, a configuração do MACsec exibirá Desativado. Se sua conexão não oferecer suporte a MACsec, o botão Ativar não será acionável e, ao passar o cursor sobre o botão, aparecerá a mensagem "Sua interconexão não oferece suporte ao MACsec. Você precisa de uma porta compatível com MACsec."
gcloud
Execute este comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Substitua INTERCONNECT_CONNECTION_NAME
pelo nome da sua conexão do Cloud Interconnect.
O resultado é semelhante à seguinte amostra: As conexões compatíveis com MACsec exibem o seguinte:
- Para links de 10 GB:
linkType: LINK_TYPE_ETHERNET_10G_LR
eavailableFeatures: IF_MACSEC
- Para links de 100 GB:
linkType: LINK_TYPE_ETHERNET_100G_LR
; todos os links de 100 GB são compatíveis com MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
Os itens a seguir especificam a configuração MACsec da conexão do Cloud Interconnect:
availableFeatures
: recurso MACsec na conexão do Cloud Interconnect. Esse parâmetro é mostrado apenas para conexões de 10 GB do Cloud Interconnect, porque conexões de 100 GB do Cloud Interconnect são compatíveis com MACsec por padrão.macsecEnabled
: status MACsec para o Cloud Interconnect neste link. O valor será "false" até você ativar o MACsec na interconexão.
Solicitar uma conexão do Cloud Interconnect habilitada para MACsec
Uma conexão do Cloud Interconnect de 100 GB é compatível com MACsec por padrão. No entanto, uma conexão de 10 GB não é compatível com MACsec por padrão. Se a conexão atual não for compatível com MACsec, será necessário solicitar uma nova conexão antes de continuar.
Selecione uma das seguintes opções:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Clique em Configurar conexão física.
Selecione Interconexão dedicada e clique em Continuar.
Selecione Solicitar nova Interconexão dedicada e clique em Continuar.
Especifique os detalhes da conexão:
Nome: um nome para a conexão. Esse nome é exibido no console do Google Cloud e é usado pela Google Cloud CLI para fazer referência à conexão, como
my-interconnect
.Local do Google Cloud: o local físico em que a conexão é criada. A rede local precisa encontrar a rede do Google Cloud neste local. No menu suspenso Localização geográfica, limite a lista de locais disponíveis por área geográfica.
A coluna Suporte de MACsec para projeto atual exibe os tamanhos de circuitos disponíveis para o MACsec para o Cloud Interconnect.
Capacidade: a capacidade total da interconexão, que é determinada pelo número e tamanho dos circuitos que você solicitou.
Selecione uma das opções mostradas.
Solicitar uma porta com suporte a MACsec: se você estiver solicitando um link físico de 10 Gbps, selecione essa opção ao solicitar sua conexão do Cloud Interconnect para conexões compatíveis com MACsec. Se você estiver solicitando um link físico de 100 Gbps, uma porta compatível com MACsec será selecionada automaticamente e não poderá desmarcar.
Você pode fornecer uma descrição opcional da conexão no campo Descrição. Essa descrição é para seu uso.
Clique em Próxima.
Se precisar de redundância, especifique os detalhes da conexão duplicada e clique em Próximo.
Especifique seus dados de contato:
Nome da empresa: o nome da sua organização a ser incluído na procuração como a parte autorizada a solicitar uma conexão.
Suporte técnico: endereço de e-mail que recebe as notificações sobre a interconexão. Não é necessário inserir seu endereço. Você está incluído em todas as notificações. Só é possível especificar um endereço.
Se você estiver criando uma conexão por meio da federação de identidade da força de trabalho, é necessário especificar um contato técnico. A federação de identidade da força de trabalho está em Visualização.
Revise seu pedido. Verifique se os detalhes da conexão de interconexão dedicada e os dados de contato estão corretos. Se tudo estiver certo, clique em Fazer pedido. Caso contrário, volte e edite os dados da conexão.
Na página de confirmação do pedido, revise as próximas etapas e clique em Concluído.
gcloud
O comando a seguir demonstra como solicitar uma conexão do Cloud Interconnect habilitada para MACsec em um link de 10 GB. O MACsec em conexões de 10 GB é compatível, mas você precisa entrar em contato com a equipe da sua conta do Google Cloud para permitir que seus projetos do Google Cloud criem uma conexão habilitada para MAC em links de 10 GB.
gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
--customer-name=CUSTOMER_NAME \
--interconnect-type=DEDICATED \
--link-type=LINK_TYPE_ETHERNET_10G_LR \
--location="INTERCONNECT_CONNECTION_LOCATION" \
--requested-link-count=LINK_COUNT \
--requested-features=IF_MACSEC
Substitua:
INTERCONNECT_CONNECTION_NAME
: um nome para a conexão do Cloud Interconnect;CUSTOMER_NAME
: o nome do cliente para a carta de autorização (LOA) que emitimos para essa conexãoINTERCONNECT_CONNECTION_LOCATION
: um local de conexão do Cloud Interconnect listado na tabela de locaisLINK_COUNT
: o número de conexões do Cloud Interconnect que você quer
Depois de solicitar uma conexão do Cloud Interconnect com capacidade para MACsec, uma conexão do Cloud Interconnect é provisionada para você.
Para mais informações sobre provisionamento, consulte a Visão geral do provisionamento da Interconexão dedicada ou a Visão geral do provisionamento da Interconexão por parceiro.
Criar chaves pré-compartilhadas
Depois que a conexão do Cloud Interconnect com capacidade de MACsec for provisionada, crie as chaves pré-compartilhadas que a MACsec usa para criptografar o tráfego que transita entre os roteadores de borda do Google e seu roteador. A criação de chaves não ativa o MAC. Para ativá-lo, configure o roteador local e ative-o.
O MACsec para o Cloud Interconnect exige que você tenha pelo menos uma chave com um horário de início atual ou anterior. As chaves que você cria para o MACsec para o Cloud Interconnect têm validade infinita. É possível ter no máximo cinco chaves por conexão.
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão que você quer modificar.
Na guia MACsec, acesse a seção Chaves pré-compartilhadas e clique em Chaves pré-compartilhadas gerenciadas.
Especifique os detalhes da chave pré-compartilhada:
Nome da chave 1: um nome para a chave. Esse nome é exibido no console do Google Cloud e é usado pela CLI gcloud para fazer referência à chave, como
psk-1
.Horário de início: é o horário em que a chave passa a estar válida.
Para adicionar outras chaves pré-compartilhadas, clique em Adicionar chave. Chaves pré-compartilhadas consecutivas precisam ter horários de início com pelo menos seis horas de intervalo.
Clique em Enviar.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME --start-time="START_TIME"
Substitua:
KEY_NAME
: um nome para a chave.START_TIME
: o horário de validade dessa chave no formato ISO 8601. Por exemplo,2023-07-01T21:00:01.000Z
.
Receber chaves pré-compartilhadas
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão que você quer ver.
Na guia MACsec, acesse a seção Chaves pré-compartilhadas, encontre o nome da chave pré-compartilhada e clique em Visualizar. Uma janela exibe a chave de associação de conectividade (CAK) e o nome da chave de associação de conectividade (CKN). Clique em Copiar ao lado de um dos valores para copiá-los para a área de transferência do computador.
Clique em Fechar.
gcloud
Execute este comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
O resultado será assim:
preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
ckn: 0101016789abcdef...0123456789abcdef
name: key1
startTime: 2023-07-01T21:00:01.000Z
Anote a chave de associação de conectividade (CAK, na sigla em inglês) e o nome da chave de associação de conectividade (CKN, na sigla em inglês) da configuração do roteador.
Se você receber um erro de permissão negada, verifique se tem as permissões corretas. Para mais informações, consulte Antes de começar.
Configurar o roteador local
Consulte a documentação do fornecedor do roteador para definir os seguintes valores no roteador para compatibilidade com os roteadores do Google.
Neste momento, o MACsec não está ativado para o Google. Para evitar uma interrupção no tráfego, não ative o MACsec no roteador ao definir esses valores.
Configuração | Valor |
---|---|
Pacote de criptografia MACsec |
|
Algoritmo criptográfico CAK | AES_256_CMAC |
Prioridade do servidor de chaves | 15 |
Intervalo de rechaveamento da chave de associação segura (SAK) | 28800 segundos |
Compensação de confidencialidade MACsec | 0 |
Tamanho da janela | 64 |
Indicador do valor de verificação de integridade (ICV) | sim |
CAK | O valor anotado anteriormente quando você tiver chaves pré-compartilhadas. |
CKN | O valor que você anotou anteriormente quando recebeu chaves pré-compartilhadas. |
Identificador de canal seguro (SCI, na sigla em inglês) | ativado |