Utiliser l'authentification MD5
Cloud Router utilise le protocole BGP (Border Gateway Protocol) pour échanger des routes entre un réseau cloud privé virtuel (VPC) et un réseau appairé. Par défaut, les sessions BGP de Cloud Router ne sont pas authentifiées. Toutefois, lorsque vous utilisez Cloud Router avec certains produits, vous pouvez éventuellement configurer vos sessions BGP pour qu'elles utilisent l'authentification MD5.
Les produits pouvant utiliser l'authentification MD5 sont les suivants :
Vous pouvez également utiliser l'authentification MD5 avec des dispositifs virtuels de réseaux tiers. Pour en savoir plus, consultez la section Routeur dans la documentation du centre de connectivité réseau.
Lorsque vous configurez une session pour qu'elle utilise l'authentification MD5, vous fournissez une clé partagée secrète que vous utilisez pour configurer Cloud Router, puis à nouveau pour configurer votre routeur pair. Une fois que vous avez terminé les étapes de configuration requises, Cloud Router utilise cette clé pour authentifier le pair BGP. Cloud Router applique l'authentification MD5 en utilisant le modèle décrit dans le document RFC 2385.
Vous pouvez ajouter l'authentification MD5 lorsque vous créez un pair. Vous pouvez également ajouter l'authentification à une session existante, modifier la clé utilisée par une session ou supprimer l'authentification.
Avant de commencer
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Si vous utilisez Google Cloud CLI, définissez votre ID de projet en exécutant la commande suivante. Dans les instructions
gcloud
de cette page, nous partons du principe que vous avez défini l'ID de votre projet.gcloud config set project PROJECT_ID
-
Confirmez que l'ID a été défini en exécutant la commande suivante :
gcloud config list --format='text(core.project)'
Créer une session utilisant l'authentification
Pour certains produits de connectivité réseau, vous pouvez configurer un pair BGP pour utiliser l'authentification MD5 lors de la création de la ressource. Ces produits incluent un VPN haute disponibilité et une interconnexion dédiée.
Pour plus d'informations, consultez les sections suivantes :
- Créer un tunnel VPN haute disponibilité vers une passerelle VPN de pairs
- Créer un tunnel VPN haute disponibilité entre les réseaux Google Cloud
- Créer des rattachements de VLAN (interconnexion dédiée)
Si vous créez un rattachement de VLAN Partner Interconnect de couche 2, commencez par créer le rattachement puis mettez à jour le pair BGP pour ajouter l'authentification MD5. Pour savoir comment ajouter une authentification lors de la mise à jour d'une session BGP, consultez la section suivante. Si vous disposez d'une connexion de couche 3, contactez votre fournisseur de services pour obtenir des instructions.
Ajouter une authentification à une session existante
Pour ajouter l'authentification à un pair BGP existant, utilisez l'une des procédures suivantes. Lorsque vous ajoutez l'authentification, assurez-vous que la clé que vous utilisez est identique à celle utilisée par le routeur pair.
Google Cloud n'affiche pas la clé d'authentification MD5 et n'affiche que le nom de la clé lors de la configuration réussie.
- Si vous configurez l'authentification MD5 via gcloud ou l'UI, Google Cloud génère automatiquement le nom de la clé au format
PEER_NAME-key
. - Si vous configurez l'authentification MD5 via l'API, vous pouvez spécifier le nom de la clé.
Console
Dans Google Cloud Console, accédez à la page Routeurs cloud.
Dans le champ Nom, cliquez sur le nom du routeur Cloud Router approprié.
Sur la page Détails du routeur, cliquez sur le nom de la session BGP à modifier.
Sur la page d'informations de la session BGP, cliquez sur
Modifier.Pour ajouter l'authentification MD5 :
- Dans la section Authentification MD5, sélectionnez Activé. La page est mise à jour pour inclure un champ de texte.
- Saisissez une clé de sécurité ou, pour générer une nouvelle clé de sécurité, cliquez sur Générer et copier.
- Notez la clé. Une fois que vous avez quitté cette page, vous ne pouvez plus récupérer la clé.
Cliquez sur Save (Enregistrer).
gcloud
Pour mettre à jour la session à l'aide de gcloud CLI, utilisez la commande gcloud compute routers update-bgp-peer
:
gcloud compute routers update-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME \ --region=REGION \ --md5-authentication-key=SECRET_KEY
Remplacez les valeurs suivantes :
ROUTER_NAME
: nom du routeur cloudPEER_NAME
: nom du pair BGPREGION
: région Google CloudSECRET_KEY
: votre clé d'authentification MD5 partagée avec votre clé secrète
API
Pour mettre à jour la session avec l'API, utilisez la méthode compute.routers.patch
. Lorsque vous utilisez cette méthode pour ajouter une authentification à la session, votre requête doit effectuer deux opérations :
- Ajouter une entrée pour la clé dans le tableau
md5AuthenticationKeys
. Lorsque vous ajoutez l'entrée, vous fournissez à la fois un nom et une valeur pour la clé. - Mettre à jour le tableau
bgpPeers
pour inclure une valeur pour le champmd5AuthenticationKeyName
. Ce champ fait référence à la clé par son nom.
Lorsque vous appliquez un correctif au tableau md5AuthenticationKeys
, vous devez indiquer le nom (name
) de chaque élément du tableau (sauf si vous souhaitez supprimer certains éléments).
Toutefois, vous n'avez pas besoin de renseigner le champ key
de chaque élément.
Si vous omettez cette valeur, Cloud Router conserve la valeur précédente utilisée. Ce comportement est conçu pour protéger la confidentialité des clés.
Il diffère des autres méthodes d'application de correctif, qui nécessitent généralement de spécifier une valeur pour chaque champ d'un élément de tableau.
Lorsque vous appliquez un correctif au tableau bgpPeers
, vous devez fournir des valeurs pour chaque champ de chaque élément (sauf si vous souhaitez supprimer des pairs ou certaines valeurs).
Par exemple, supposons que le routeur Cloud Router ait deux pairs, l'un utilisant l'authentification MD5 et l'autre non. Si vous souhaitez laisser le premier pair inchangé, mais ajouter l'authentification MD5 au deuxième pair, utilisez une requête semblable à la suivante :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "KEY_NAME_1", }, { "name": "KEY_NAME_2", "key": "SECRET_KEY" } ], "bgpPeers": [ { "name": "PEER_NAME_1", "md5AuthenticationKeyName": "KEY_NAME_1", "interfaceName": "INTERFACE_NAME_1", "ipAddress": "IP_ADDRESS_1", "peerIpAddress": "PEER_IP_ADDRESS_1", "peerAsn": "PEER_ASN_1" }, { "name": "PEER_NAME_2", "md5AuthenticationKeyName": "KEY_NAME_2", "interfaceName": "INTERFACE_NAME_2", "ipAddress": "IP_ADDRESS_2", "peerIpAddress": "PEER_IP_ADDRESS_2", "peerAsn": "PEER_ASN_2" } ], }
Remplacez les valeurs suivantes :
PROJECT_ID
: projet contenant le routeur cloud.REGION
: région Google CloudROUTER_NAME
: nom du routeur cloudKEY_NAME_1
: nom de la clé en cours d'utilisation (PEER_NAME_1
)KEY_NAME_2
: nom de la nouvelle clé que vous souhaitez ajouter pourPEER_NAME_2
. Notez ce nom. Si vous souhaitez effectuer des modifications par la suite en utilisant l'API, vous aurez besoin du nom.SECRET_KEY
: clé d'authentification MD5 secrète que vous ajoutez pourPEER_NAME_2
.PEER_NAME_1
: nom du pair BGP que vous ne modifiez pas.INTERFACE_NAME_1
: nom de l'interface de la session d'appairage BGP qui ne change pasIP_ADDRESS_1
: adresse IP du routeur cloud (pour le pair qui ne change pas)PEER_IP_ADDRESS_1
: adresse IP du pair qui ne change pasPEER_ASN_1
: numéro ASN (Autonomous System Number) du pair qui ne change pasPEER_NAME_2
: nom du pair BGP que vous souhaitez mettre à jour afin qu'il utilise l'authentification MD5.INTERFACE_NAME_2
: nom de l'interface pour la session d'appairage BGPIP_ADDRESS_2
: adresse IP du routeur Cloud Router.PEER_IP_ADDRESS_2
: adresse IP du routeur pairPEER_ASN_2
: numéro ASN (Autonomous System Number) pour ce pair BGP
Mettre à jour la clé d'authentification
Pour modifier la clé utilisée par Cloud Router pour une session d'appairage, suivez l'une des procédures suivantes. Lorsque vous mettez à jour la clé sur le routeur Cloud Router, assurez-vous que la clé que vous utilisez est identique à celle utilisée par le routeur pair.
Google Cloud n'affiche pas la clé d'authentification MD5 et n'affiche que le nom de la clé lors de la configuration réussie.
- Si vous configurez l'authentification MD5 via gcloud ou l'UI, Google Cloud génère automatiquement le nom de la clé au format
PEER_NAME-key
. - Si vous configurez l'authentification MD5 via l'API, vous pouvez spécifier le nom de la clé.
Console
Dans Google Cloud Console, accédez à la page Routeurs cloud.
Dans le champ Nom, cliquez sur le nom du routeur Cloud Router approprié.
Sur la page Détails du routeur, cliquez sur le nom de la session BGP à modifier.
Sur la page d'informations de la session BGP, cliquez sur
Modifier.Dans la section Authentification MD5, cliquez sur Mettre à jour la clé d'authentification MD5.
Dans le champ Clé d'authentification MD5, saisissez la nouvelle clé d'authentification par secret, ou cliquez sur Générer et copier pour renseigner le champ.
Notez la clé. Une fois que vous avez quitté cette page, vous ne pouvez plus récupérer la clé.
Cliquez sur Enregistrer.
gcloud
Pour mettre à jour la session, utilisez la commande gcloud compute routers update-bgp-peer
.
gcloud compute routers update-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME \ --region=REGION \ --md5-authentication-key=SECRET_KEY
Remplacez les valeurs suivantes :
ROUTER_NAME
: nom du routeur cloudPEER_NAME
: nom du pair BGPREGION
: région Google CloudSECRET_KEY
: nouvelle clé d'authentification MD5 secrète que vous souhaitez utiliser
API
Pour mettre à jour la session, utilisez la méthode compute.routers.patch
. Par exemple, exécutez une requête semblable à celle-ci.
Cet exemple remplace l'intégralité du tableau de pairs, et pas seulement le pair spécifique identifié. Autrement dit, il supprime tous les pairs, à l'exception de PEER_NAME
. Il supprime toutes les clés, à l'exception de KEY_NAME
, et met à jour KEY_NAME
avec la nouvelle valeur UPDATED_SECRET_KEY
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "KEY_NAME", "key": "UPDATED_SECRET_KEY" } ], "bgpPeers": [ { "name": "PEER_NAME", "md5AuthenticationKeyName": "KEY_NAME", "interfaceName": "INTERFACE_NAME", "ipAddress": "IP_ADDRESS", "peerIpAddress": "PEER_IP_ADDRESS", "peerAsn": "PEER_ASN" } ], }
Remplacez les valeurs suivantes :
PROJECT_ID
: projet contenant le routeur cloud.REGION
: région Google CloudROUTER_NAME
: nom du routeur cloudKEY_NAME
: nom de la clé que vous souhaitez mettre à jour. Lorsque vous travaillez avec l'authentification MD5 à l'aide de l'API, vous devez référencer la clé par son nom.UPDATED_SECRET_KEY
: votre nouvelle clé d'authentification MD5 secrètePEER_NAME
: nom du pair BGPINTERFACE_NAME
: nom de l'interface pour la session d'appairage BGPIP_ADDRESS
: adresse IP du routeur Cloud Router.PEER_IP_ADDRESS
: adresse IP du routeur pairPEER_ASN
: numéro ASN (Autonomous System Number) pour ce pair BGP
Vérifier l'état de l'authentification
Procédez comme suit pour vérifier l'état de l'authentification MD5. Consultez également la section Afficher les détails du routeur Cloud Router.
Console
Dans Google Cloud Console, accédez à la page Routeurs cloud.
Dans le champ Nom, cliquez sur le nom du routeur Cloud Router approprié.
Sur la page Détails du routeur, recherchez la colonne Authentification MD5. Pour chaque session, la valeur de cette colonne indique si l'authentification MD5 est activée.
gcloud
Pour vérifier la session à l'aide de gcloud CLI, utilisez la commande gcloud compute routers get-status
:
gcloud compute routers get-status ROUTER_NAME \ --project=PROJECT \ --region=REGION \
Remplacez les valeurs suivantes :
ROUTER_NAME
: nom du routeur cloudPROJECT
: nom du projet.REGION
: région Google Cloud
Le résultat inclut l'objet result.bgpPeerStatus[]
, qui contient des informations sur les sessions BGP du routeur Cloud Router. Les données relatives à chaque session incluent les deux champs suivants :
md5AuthEnabled
: champ booléen indiquant si l'authentification MD5 est activée pour la sessionstatusReason
: champ décrivant l'état de la session
API
Exécutez la méthode routers.getRouterStatus
:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME/getRouterStatus
Remplacez l'élément suivant :
PROJECT_ID
: projet contenant le routeur cloud.REGION
: région où se trouve le routeur cloud.ROUTER_NAME
: nom du routeur cloud
Le résultat inclut des informations sur chaque session BGP. Les données sur chaque session incluent les deux champs suivants :
md5AuthEnabled
: champ booléen indiquant si l'authentification MD5 est activée pour la sessionstatusReason
: champ décrivant l'état de la session Ce champ ne s'affiche qu'en cas de problème d'authentification MD5. (Dans ce cas, la valeur du champ estMD5_AUTH_INTERNAL_PROBLEM
.)
Pour configurer la surveillance continue de vos sessions BGP, utilisez Cloud Logging. Logging enregistre des informations sur l'état de l'authentification MD5 dans l'événement BGP, qui fait partie du journal d'informations.
Supprimer l'authentification d'une session
Si vous souhaitez supprimer l'authentification MD5 d'une session BGP, vous devez supprimer l'authentification MD5 du routeur Cloud Router et du routeur pair.
Pour supprimer l'authentification MD5 de la session BGP sur le routeur Cloud Router, utilisez l'une des procédures suivantes.
Console
Dans Google Cloud Console, accédez à la page Routeurs cloud.
Dans le champ Nom, cliquez sur le nom du routeur Cloud Router approprié.
Sur la page Détails du routeur, cliquez sur le nom de la session BGP à modifier.
Sur la page d'informations de la session BGP, cliquez sur
Modifier.Pour l'Authentification MD5, cliquez sur Désactivé.
Cliquez sur Enregistrer. La boîte de dialogue Désactiver la clé d'authentification MD5 s'affiche.
Dans la boîte de dialogue de confirmation, cliquez sur Confirmer.
gcloud
Pour supprimer l'authentification MD5, utilisez la commande gcloud compute routers update-bgp-peer
:
gcloud compute routers update-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME \ --region=REGION \ --clear-md5-authentication-key
Remplacez les valeurs suivantes :
ROUTER_NAME
: nom du routeur cloudPEER_NAME
: nom du pair BGPREGION
: région Google Cloud
API
Pour supprimer l'authentification MD5, utilisez la méthode compute.routers.patch
.
Lorsque vous supprimez l'authentification à l'aide de l'API, votre mise à jour doit effectuer deux opérations :
- Mettre à jour le tableau
md5AuthenticationKeys
- Supprimer la valeur
md5AuthenticationKey
de l'entréebgpPeers
appropriée
Par exemple, si votre routeur Cloud Router possède deux pairs BGP et que vous souhaitez supprimer l'authentification MD5 de l'un d'entre eux. Dans ce cas, utilisez une requête semblable à celle-ci :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ "name": "KEY_NAME_FOR_UNCHANGED_PEER", ], "bgpPeers": [ { "name": "NAME_OF_UPDATED_PEER", "interfaceName": "INTERFACE_NAME_FOR_UPDATED_PEER", "ipAddress": "IP_ADDRESS_FOR_UPDATED_PEER", "peerIpAddress": "PEER_IP_ADDRESS_FOR_UPDATED_PEER", "peerAsn": "PEER_ASN_FOR_UPDATED_PEER" }, { "name": "NAME_OF_UNCHANGED_PEER", "interfaceName": "INTERFACE_NAME_FOR_UNCHANGED_PEER", "ipAddress": "IP_ADDRESS_FOR_UNCHANGED_PEER", "peerIpAddress": "PEER_IP_ADDRESS_FOR_UNCHANGED_PEER", "peerAsn": "PEER_ASN_FOR_UNCHANGED_PEER" "md5AuthenticationKeyName": "KEY_NAME_FOR_UNCHANGED_PEER" } ], ], }
Remplacez les valeurs suivantes :
PROJECT_ID
: projet contenant le routeur cloud.REGION
: région Google Cloud dans laquelle se trouve le routeur Cloud RouterROUTER_NAME
: nom du routeur cloudNAME_OF_UPDATED_PEER
: nom de la session d'appairage que vous souhaitez modifierINTERFACE_NAME_FOR_UPDATED_PEER
: nom de l'interface du pair BGP que vous souhaitez modifierIP_ADDRESS_FOR_UPDATED_PEER
: adresse IP du routeur Cloud Router utilisé par le pair que vous souhaitez modifierPEER_IP_ADDRESS_FOR_UPDATED_PEER
: adresse IP du routeur pair pour la session d'appairage que vous souhaitez modifierPEER_ASN
: numéro ASN (Autonomous System Number) de ce pair BGP que vous souhaitez modifierNAME_OF_UNCHANGED_PEER
: nom de la session d'appairage que vous souhaitez conserverINTERFACE_NAME_FOR_UNCHANGED_PEER
: nom de l'interface du pair BGP que vous souhaitez conserverIP_ADDRESS_FOR_UNCHANGED_PEER
: adresse IP du routeur Cloud Router utilisée par le pair que vous souhaitez conserverPEER_IP_ADDRESS_FOR_UNCHANGED_PEER
: adresse IP du routeur pair pour la session d'appairage que vous souhaitez conserverPEER_ASN_FOR_UNCHANGED_PEER
: numéro ASN (Autonomous System Number) du pair BGP que vous souhaitez conserver tel quelKEY_NAME_FOR_UNCHANGED_PEER
: nom de la clé d'authentification MD5 pour le pair BGP que vous souhaitez conserver
Supprimer une session utilisant l'authentification
Pour supprimer une session d'appairage qui utilise l'authentification MD5, suivez l'une des procédures suivantes.
Console
Dans Google Cloud Console, accédez à la page Routeurs cloud.
- Sélectionnez le routeur pour lequel vous souhaitez supprimer une session BGP.
- Sous Sessions BGP, sélectionnez la session BGP à supprimer.
- En haut de la page, cliquez sur Supprimer, puis confirmez la suppression.
gcloud
Pour supprimer une session BGP avec l'authentification MD5 activée, utilisez la commande gcloud compute routers remove-bgp-peer
.
Pour en savoir plus, consultez la section Désactiver ou supprimer des sessions BGP.
API
Pour supprimer une session BGP avec l'authentification MD5 activée, utilisez la méthode compute.routers.patch
.
Lorsque vous supprimez une session BGP avec l'authentification MD5 à l'aide de l'API, votre mise à jour doit effectuer deux opérations : supprimer la clé du tableau md5AuthenticationKeys
et supprimer bgpPeer
lui-même.
Par exemple, supposons que le routeur Cloud Router ait deux pairs et que vous souhaitiez en supprimer un. Dans ce cas, utilisez une requête semblable à celle-ci :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ "name": "KEY_NAME_FOR_RETAINED_PEER", ], "bgpPeers": [ { "name": "NAME_OF_RETAINED_PEER", "interfaceName": "INTERFACE_FOR_RETAINED_PEER", "ipAddress": "IP_ADDRESS_FOR_RETAINED_PEER", "peerIpAddress": "PEER_IP_ADDRESS_FOR_RETAINED_PEER", "peerAsn": "PEER_ASN_FOR_RETAINED_PEER", "md5AuthenticationKeyName": "KEY_NAME_FOR_RETAINED_PEER" } ], }
Remplacez les valeurs suivantes :
PROJECT_ID
: projet contenant le routeur cloud.REGION
: région Google CloudROUTER_NAME
: nom du routeur cloudKEY_NAME_FOR_RETAINED_PEER
: nom de la clé utilisée par le pair que vous conservezNAME_OF_RETAINED_PEER
: nom du pair BGP que vous conservezINTERFACE_FOR_RETAINED_PEER
: nom de l'interface du pair BGP que vous conservezIP_ADDRESS_FOR_RETAINED_PEER
: adresse IP du routeur Cloud Router pour le pair que vous conservezPEER_IP_ADDRESS_FOR_RETAINED_PEER
: adresse IP du pair que vous conservezPEER_ASN_FOR_RETAINED_PEER
: numéro ASN (Autonomous System Number) du pair que vous conservezKEY_NAME_FOR_RETAINED_PEER
: nom de la clé d'authentification MD5 pour le pair BGP que vous conservez
Par exemple, supposons que vous ayez créé les pairs suivants :
PATCH https://compute.googleapis.com/compute/v1/projects/project_id/regions/region_name/routers/cloud_router_name { "md5AuthenticationKeys": [ { "name": "first_key_name", "key": "first_secret_key_value" }, { "name": "second_key_name", "key": "second_secret_key_value" } ], "bgpPeers": [ { "name": "first_peer", "md5AuthenticationKeyName": "first_key_name", "interfaceName": "first_interface", "ipAddress": "first_address", "peerIpAddress": "first_peer_interface", "peerAsn": "first_peer_asn" }, { "name": "second_peer", "md5AuthenticationKeyName": "second_key_name", "interfaceName": "second_interface", "ipAddress": "second_address", "peerIpAddress": "second_peer_interface", "peerAsn": "second_peer_asn" } ], }
Si vous souhaitez ensuite supprimer le deuxième pair, utilisez une requête semblable à celle-ci :
PATCH https://compute.googleapis.com/compute/v1/projects/project_id/regions/region_name/routers/cloud_router_name { "md5AuthenticationKeys": [ { "name": "first_key_name", } ], "bgpPeers": [ { "name": "first_peer", "md5AuthenticationKeyName": "first_key_name", "interfaceName": "first_interface", "ipAddress": "first_address", "peerIpAddress": "first_peer_interface", "peerAsn": "first_peer_asn" } ], }