Menggunakan autentikasi MD5
Cloud Router menggunakan Border Gateway Protocol (BGP) untuk bertukar rute antara jaringan Virtual Private Cloud (VPC) dan jaringan peer. Secara default, sesi BGP Cloud Router tidak diautentikasi. Namun, saat menggunakan Cloud Router dengan produk tertentu, Anda dapat secara opsional mengonfigurasi sesi BGP agar menggunakan autentikasi MD5.
Produk yang dapat menggunakan autentikasi MD5 meliputi produk berikut:
Anda juga dapat menggunakan autentikasi MD5 dengan peralatan virtual jaringan pihak ketiga. Untuk mengetahui informasi selengkapnya, lihat Peralatan router dalam dokumentasi Network Connectivity Center.
Saat mengonfigurasi sesi untuk menggunakan autentikasi MD5, Anda memberikan kunci bersama rahasia, yaitu kunci yang Anda gunakan saat mengonfigurasi Cloud Router dan sekali lagi saat Anda mengonfigurasi router peer. Setelah Anda menyelesaikan langkah-langkah penyiapan yang diperlukan, Cloud Router akan menggunakan kunci tersebut untuk mengautentikasi peer BGP. Cloud Router menerapkan autentikasi MD5 menggunakan model yang dijelaskan dalam RFC 2385.
Anda dapat menambahkan autentikasi MD5 saat membuat peer. Anda juga dapat menambahkan autentikasi ke sesi yang ada, mengubah kunci yang digunakan sesi, atau menghapus autentikasi.
Sebelum memulai
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Jika Anda menggunakan Google Cloud CLI, tetapkan ID
project Anda dengan menjalankan perintah berikut. Petunjuk
gcloud
di halaman ini mengasumsikan bahwa Anda telah menetapkan project ID.gcloud config set project PROJECT_ID
-
konfirmasi bahwa ID telah ditetapkan dengan menjalankan perintah berikut:
gcloud config list --format='text(core.project)'
Membuat sesi yang menggunakan autentikasi
Untuk beberapa produk Network Connectivity, Anda dapat mengonfigurasi peer BGP agar menggunakan autentikasi MD5 saat Anda membuat resource. Produk-produk ini mencakup VPN dengan ketersediaan tinggi (HA) dan Dedicated Interconnect.
Untuk informasi selengkapnya, lihat dokumentasi berikut:
- Membuat gateway VPN dengan Ketersediaan Tinggi (HA) ke gateway VPN peer
- Membuat tunnel VPN dengan ketersediaan tinggi (HA) di antara jaringan Google Cloud
- Membuat lampiran VLAN (Dedicated Interconnect)
Jika Anda membuat lampiran VLAN Partner Interconnect Lapisan 2, buat lampiran terlebih dahulu, lalu update peer BGP untuk menambahkan autentikasi MD5. Untuk mengetahui informasi tentang cara menambahkan autentikasi saat mengupdate sesi BGP, lihat bagian berikut. Jika Anda memiliki koneksi Lapisan 3, hubungi penyedia layanan Anda untuk mendapatkan petunjuk.
Menambahkan autentikasi ke sesi yang ada
Untuk menambahkan autentikasi ke peer BGP yang ada, gunakan salah satu prosedur berikut. Saat menambahkan autentikasi, pastikan kunci yang Anda gunakan sama dengan yang digunakan oleh router peer Anda.
Google Cloud tidak menampilkan kunci autentikasi MD5 dan hanya menampilkan nama kunci setelah konfigurasi berhasil.
- Jika Anda mengonfigurasi autentikasi MD5 melalui gcloud atau UI, Google Cloud
akan otomatis membuat nama kunci dalam bentuk
PEER_NAME-key
. - Jika mengonfigurasi autentikasi MD5 melalui API, Anda dapat menentukan nama kunci.
Konsol
Di konsol Google Cloud, buka halaman Cloud Router.
Di kolom Nama, klik nama Cloud Router yang sesuai.
Di halaman Detail rute, klik nama sesi BGP yang ingin diubah.
Di halaman Detail sesi BGP, klik
Edit.Untuk menambahkan autentikasi MD5:
- Di bagian MD5 Authentication, pilih Diaktifkan. Halaman akan diperbarui untuk menyertakan kolom teks.
- Masukkan kunci keamanan atau, untuk membuat kunci keamanan baru, klik Buat dan salin.
- Catat kuncinya. Setelah meninggalkan halaman ini, Anda tidak dapat mengambil kunci.
Klik Simpan.
gcloud
Untuk mengupdate sesi menggunakan gcloud CLI, gunakan perintah
gcloud compute routers update-bgp-peer
:
gcloud compute routers update-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME \ --region=REGION \ --md5-authentication-key=SECRET_KEY
Ganti nilai berikut:
ROUTER_NAME
: nama Cloud RouterPEER_NAME
: nama peer BGPREGION
: region Google CloudSECRET_KEY
: kunci autentikasi MD5 rahasia Anda yang dibagikan
API
Untuk memperbarui sesi menggunakan API, gunakan
metode
compute.routers.patch
. Saat Anda menggunakan metode ini untuk menambahkan autentikasi ke sesi, permintaan
Anda harus melakukan dua hal:
- Tambahkan entri untuk kunci di array
md5AuthenticationKeys
. Saat menambahkan entri, Anda memberikan nama dan nilai untuk kunci tersebut. - Perbarui array
bgpPeers
untuk menyertakan nilai untuk kolommd5AuthenticationKeyName
. Kolom ini mereferensikan kunci menurut nama.
Saat mem-patch array md5AuthenticationKeys
, Anda harus memberikan name
setiap item dalam array (kecuali jika Anda ingin menghapus beberapa item).
Namun, Anda tidak perlu memberikan nilai untuk setiap kolom key
item.
Jika Anda menghapus nilai ini, Cloud Router akan mempertahankan nilai sebelumnya
yang telah digunakan. Perilaku ini dirancang untuk melindungi kerahasiaan kunci.
Metode ini berbeda dengan metode patch lainnya, yang biasanya mengharuskan Anda menentukan
nilai untuk setiap kolom pada item array.
Saat mem-patch array bgpPeers
, Anda harus memberikan nilai
untuk setiap kolom pada setiap item (kecuali jika Anda ingin menghapus beberapa peer atau beberapa
nilai).
Misalnya, Cloud Router memiliki dua peer, satu yang menggunakan autentikasi MD5 dan satu yang tidak. Jika ingin tidak mengubah peer pertama tetapi menambahkan autentikasi MD5 ke peer kedua, Anda harus menggunakan permintaan seperti berikut:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "KEY_NAME_1", }, { "name": "KEY_NAME_2", "key": "SECRET_KEY" } ], "bgpPeers": [ { "name": "PEER_NAME_1", "md5AuthenticationKeyName": "KEY_NAME_1", "interfaceName": "INTERFACE_NAME_1", "ipAddress": "IP_ADDRESS_1", "peerIpAddress": "PEER_IP_ADDRESS_1", "peerAsn": "PEER_ASN_1" }, { "name": "PEER_NAME_2", "md5AuthenticationKeyName": "KEY_NAME_2", "interfaceName": "INTERFACE_NAME_2", "ipAddress": "IP_ADDRESS_2", "peerIpAddress": "PEER_IP_ADDRESS_2", "peerAsn": "PEER_ASN_2" } ], }
Ganti nilai berikut:
PROJECT_ID
: project yang berisi Cloud RouterREGION
: region Google CloudROUTER_NAME
: nama Cloud RouterKEY_NAME_1
: Nama kunci yang sedang digunakan saat ini (olehPEER_NAME_1
)KEY_NAME_2
: nama kunci baru yang ingin Anda tambahkan untukPEER_NAME_2
. Catat namanya. Jika ingin membuat perubahan nanti dengan menggunakan API, Anda memerlukan namanya.SECRET_KEY
: kunci autentikasi MD5 rahasia Anda yang Anda tambahkan untukPEER_NAME_2
PEER_NAME_1
: nama peer BGP yang tidak Anda ubahINTERFACE_NAME_1
: nama antarmuka untuk sesi peering BGP yang tidak berubahIP_ADDRESS_1
: alamat IP di Cloud Router (untuk peer yang tidak berubah)PEER_IP_ADDRESS_1
: alamat IP peer yang tidak berubahPEER_ASN_1
: Nomor sistem otonom (ASN) BGP untuk peer yang tidak berubahPEER_NAME_2
: nama peer BGP yang ingin diupdate sehingga menggunakan autentikasi MD5INTERFACE_NAME_2
: nama antarmuka untuk sesi peering BGPIP_ADDRESS_2
: alamat IP di Cloud RouterPEER_IP_ADDRESS_2
: alamat IP router peerPEER_ASN_2
: Nomor sistem otonom (ASN) BGP untuk peer BGP ini
Memperbarui kunci autentikasi
Untuk mengubah kunci yang digunakan Cloud Router untuk sesi peering, gunakan salah satu prosedur berikut. Saat memperbarui kunci di Cloud Router, pastikan kunci yang Anda gunakan sama dengan kunci yang digunakan oleh router peer Anda.
Google Cloud tidak menampilkan kunci autentikasi MD5 dan hanya menampilkan nama kunci setelah konfigurasi berhasil.
- Jika Anda mengonfigurasi autentikasi MD5 melalui gcloud atau UI, Google Cloud
akan otomatis membuat nama kunci dalam bentuk
PEER_NAME-key
. - Jika mengonfigurasi autentikasi MD5 melalui API, Anda dapat menentukan nama kunci.
Konsol
Di konsol Google Cloud, buka halaman Cloud Router.
Di kolom Nama, klik nama Cloud Router yang sesuai.
Di halaman Detail rute, klik nama sesi BGP yang ingin diubah.
Di halaman Detail sesi BGP, klik
Edit.Di bagian MD5 Authentication, klik Update MD5 Authentication Key.
Di kolom MD5 Authentication key, masukkan kunci autentikasi rahasia baru atau, untuk mengisi kolom, klik Generate and copy.
Catat kuncinya. Setelah keluar dari halaman ini, Anda tidak dapat mengambil kunci.
Klik Simpan.
gcloud
Untuk memperbarui sesi, gunakan
perintah
gcloud compute routers update-bgp-peer
.
gcloud compute routers update-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME \ --region=REGION \ --md5-authentication-key=SECRET_KEY
Ganti nilai berikut:
ROUTER_NAME
: nama Cloud RouterPEER_NAME
: nama peer BGPREGION
: region Google CloudSECRET_KEY
: kunci autentikasi MD5 rahasia baru yang ingin Anda gunakan
API
Untuk memperbarui sesi, gunakan
metode
compute.routers.patch
. Misalnya, gunakan perintah seperti berikut:
Contoh ini menggantikan seluruh array peer, bukan hanya peer tertentu
yang diidentifikasi. Artinya, opsi ini menghapus semua pembanding kecuali
PEER_NAME
. Tindakan ini akan menghapus semua kunci kecuali
KEY_NAME
dan memperbarui KEY_NAME
dengan
nilai baru UPDATED_SECRET_KEY
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "KEY_NAME", "key": "UPDATED_SECRET_KEY" } ], "bgpPeers": [ { "name": "PEER_NAME", "md5AuthenticationKeyName": "KEY_NAME", "interfaceName": "INTERFACE_NAME", "ipAddress": "IP_ADDRESS", "peerIpAddress": "PEER_IP_ADDRESS", "peerAsn": "PEER_ASN" } ], }
Ganti nilai berikut:
PROJECT_ID
: project yang berisi Cloud RouterREGION
: region Google CloudROUTER_NAME
: nama Cloud RouterKEY_NAME
: nama kunci yang ingin diperbarui; setiap kali Anda bekerja dengan autentikasi MD5 menggunakan API, Anda harus mengacu ke kunci menurut namanyaUPDATED_SECRET_KEY
: kunci autentikasi MD5 rahasia baru AndaPEER_NAME
: nama peer BGPINTERFACE_NAME
: nama antarmuka untuk sesi peering BGPIP_ADDRESS
: alamat IP di Cloud RouterPEER_IP_ADDRESS
: alamat IP router peerPEER_ASN
: Nomor sistem otonom (ASN) BGP untuk peer BGP ini
Memeriksa status autentikasi
Gunakan langkah-langkah berikut untuk memeriksa status autentikasi MD5. Lihat juga Melihat detail Cloud Router.
Konsol
Di konsol Google Cloud, buka halaman Cloud Router.
Di kolom Nama, klik nama Cloud Router yang sesuai.
Di halaman Router details, cari kolom MD5 Authentication. Untuk setiap sesi, nilai dalam kolom ini menunjukkan apakah autentikasi MD5 diaktifkan.
gcloud
Untuk memeriksa sesi dengan gcloud CLI, gunakan perintah
gcloud compute routers get-status
.
gcloud compute routers get-status ROUTER_NAME \ --project=PROJECT \ --region=REGION \
Ganti nilai berikut:
ROUTER_NAME
: nama Cloud RouterPROJECT
: nama projectREGION
: region Google Cloud
Outputnya mencakup objek result.bgpPeerStatus[]
, yang berisi informasi tentang sesi BGP Cloud Router. Data
tentang setiap sesi mencakup dua kolom berikut:
md5AuthEnabled
—kolom boolean yang menunjukkan apakah autentikasi MD5 diaktifkan untuk sesi tersebutstatusReason
—kolom yang menjelaskan status sesi
API
Gunakan
routers.getRouterStatus
metode:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME/getRouterStatus
Ganti kode berikut:
PROJECT_ID
: project yang berisi Cloud RouterREGION
: region tempat Cloud Router beradaROUTER_NAME
: nama Cloud Router
Outputnya mencakup informasi tentang setiap sesi BGP. Data tentang setiap sesi mencakup dua kolom berikut:
md5AuthEnabled
: kolom boolean yang menunjukkan apakah autentikasi MD5 diaktifkan untuk sesi tersebutstatusReason
: kolom yang mendeskripsikan status sesi. Kolom ini hanya ditampilkan jika ada masalah dengan autentikasi MD5. (Dalam hal ini, nilai kolom adalahMD5_AUTH_INTERNAL_PROBLEM
.)
Untuk menyiapkan pemantauan sesi BGP yang berkelanjutan, gunakan Cloud Logging. Logging informasi data tentang status autentikasi MD5 di peristiwa BGP, yang merupakan bagian dari Log info.
Menghapus autentikasi dari sesi
Jika ingin menghapus autentikasi MD5 dari sesi BGP, Anda harus menghapus autentikasi MD5 dari Cloud Router dan router peer Anda.
Untuk menghapus autentikasi MD5 dari sesi BGP di Cloud Router, gunakan salah satu prosedur berikut.
Konsol
Di konsol Google Cloud, buka halaman Cloud Router.
Di kolom Nama, klik nama Cloud Router yang sesuai.
Di halaman Detail rute, klik nama sesi BGP yang ingin diubah.
Di halaman Detail sesi BGP, klik
Edit.Untuk MD5 Authentication, klik Dinonaktifkan.
Klik Simpan. Kotak dialog Disable MD5 Authentication key akan muncul.
Pada dialog konfirmasi, klik Confirm.
gcloud
Untuk menghapus autentikasi MD5, gunakan
perintah gcloud compute routers update-bgp-peer
:
gcloud compute routers update-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME \ --region=REGION \ --clear-md5-authentication-key
Ganti nilai berikut:
ROUTER_NAME
: nama Cloud RouterPEER_NAME
: nama peer BGPREGION
: region Google Cloud
API
Untuk menghapus autentikasi MD5, gunakan
metode
compute.routers.patch
.
Saat Anda menghapus autentikasi dengan menggunakan API, update Anda harus melakukan dua hal:
- Mengupdate array
md5AuthenticationKeys
- Hapus nilai
md5AuthenticationKey
dari entribgpPeers
yang relevan
Misalnya, jika Cloud Router Anda memiliki dua peer BGP dan Anda ingin menghapus autentikasi MD5 dari salah satunya. Dalam hal ini, gunakan permintaan seperti berikut:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ "name": "KEY_NAME_FOR_UNCHANGED_PEER", ], "bgpPeers": [ { "name": "NAME_OF_UPDATED_PEER", "interfaceName": "INTERFACE_NAME_FOR_UPDATED_PEER", "ipAddress": "IP_ADDRESS_FOR_UPDATED_PEER", "peerIpAddress": "PEER_IP_ADDRESS_FOR_UPDATED_PEER", "peerAsn": "PEER_ASN_FOR_UPDATED_PEER" }, { "name": "NAME_OF_UNCHANGED_PEER", "interfaceName": "INTERFACE_NAME_FOR_UNCHANGED_PEER", "ipAddress": "IP_ADDRESS_FOR_UNCHANGED_PEER", "peerIpAddress": "PEER_IP_ADDRESS_FOR_UNCHANGED_PEER", "peerAsn": "PEER_ASN_FOR_UNCHANGED_PEER" "md5AuthenticationKeyName": "KEY_NAME_FOR_UNCHANGED_PEER" } ], ], }
Ganti nilai berikut:
PROJECT_ID
: project yang berisi Cloud RouterREGION
: region Google Cloud tempat Cloud Router beradaROUTER_NAME
: nama Cloud RouterNAME_OF_UPDATED_PEER
: nama sesi peering yang ingin Anda ubahINTERFACE_NAME_FOR_UPDATED_PEER
: nama antarmuka untuk peer BGP yang ingin diubahIP_ADDRESS_FOR_UPDATED_PEER
: alamat IP di Cloud Router yang digunakan oleh peer yang ingin Anda ubahPEER_IP_ADDRESS_FOR_UPDATED_PEER
: alamat IP router peer untuk sesi peering yang ingin Anda ubahPEER_ASN
: Nomor sistem otonom (ASN) BGP untuk peer BGP ini yang ingin Anda ubahNAME_OF_UNCHANGED_PEER
: nama sesi peering yang ingin Anda pertahankanINTERFACE_NAME_FOR_UNCHANGED_PEER
: nama antarmuka untuk peer BGP yang ingin dipertahankan apa adanyaIP_ADDRESS_FOR_UNCHANGED_PEER
: alamat IP di Cloud Router yang digunakan oleh peer yang ingin Anda pertahankan apa adanyaPEER_IP_ADDRESS_FOR_UNCHANGED_PEER
: alamat IP router peer untuk sesi peering yang ingin Anda pertahankan apa adanyaPEER_ASN_FOR_UNCHANGED_PEER
: Nomor sistem otonom (ASN) BGP untuk peer BGP yang ingin dipertahankan apa adanyaKEY_NAME_FOR_UNCHANGED_PEER
: nama kunci autentikasi MD5 untuk peer BGP yang ingin Anda pertahankan apa adanya
Menghapus sesi yang menggunakan autentikasi
Untuk menghapus sesi peering yang menggunakan autentikasi MD5, gunakan salah satu prosedur berikut.
Konsol
Di konsol Google Cloud, buka halaman Cloud Router.
- Pilih router tempat Anda ingin menghapus sesi BGP.
- Untuk sesi BGP, pilih sesi BGP yang ingin Anda hapus.
- Di bagian atas halaman, klik Hapus, lalu konfirmasi penghapusan.
gcloud
Untuk menghapus sesi BGP dengan autentikasi MD5 aktif, gunakan
perintah gcloud compute routers remove-bgp-peer
.
Untuk mengetahui informasi selengkapnya, lihat Menonaktifkan atau menghapus sesi BGP.
API
Untuk menghapus sesi BGP dengan autentikasi MD5 aktif, gunakan
metode
compute.routers.patch
.
Saat Anda menghapus sesi BGP dengan autentikasi MD5 menggunakan API, update
Anda harus melakukan dua hal: menghapus kunci dari array md5AuthenticationKeys
dan menghapus bgpPeer
itu sendiri.
Misalnya, Cloud Router memiliki dua peer dan Anda ingin menghapus salah satunya. Dalam hal ini, gunakan permintaan seperti berikut:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ "name": "KEY_NAME_FOR_RETAINED_PEER", ], "bgpPeers": [ { "name": "NAME_OF_RETAINED_PEER", "interfaceName": "INTERFACE_FOR_RETAINED_PEER", "ipAddress": "IP_ADDRESS_FOR_RETAINED_PEER", "peerIpAddress": "PEER_IP_ADDRESS_FOR_RETAINED_PEER", "peerAsn": "PEER_ASN_FOR_RETAINED_PEER", "md5AuthenticationKeyName": "KEY_NAME_FOR_RETAINED_PEER" } ], }
Ganti nilai berikut:
PROJECT_ID
: project yang berisi Cloud RouterREGION
: region Google CloudROUTER_NAME
: nama Cloud RouterKEY_NAME_FOR_RETAINED_PEER
: nama kunci yang digunakan oleh peer yang Anda simpanNAME_OF_RETAINED_PEER
: nama peer BGP yang Anda simpanINTERFACE_FOR_RETAINED_PEER
: nama antarmuka untuk peer BGP yang Anda pertahankanIP_ADDRESS_FOR_RETAINED_PEER
: alamat IP di Cloud Router untuk peer yang Anda pertahankanPEER_IP_ADDRESS_FOR_RETAINED_PEER
: alamat IP peer yang Anda simpanPEER_ASN_FOR_RETAINED_PEER
: Nomor sistem otonom (ASN) BGP untuk peer yang Anda pertahankanKEY_NAME_FOR_RETAINED_PEER
: nama kunci autentikasi MD5 untuk peer BGP yang Anda pertahankan
Misalnya, Anda membuat peer berikut
PATCH https://compute.googleapis.com/compute/v1/projects/project_id/regions/region_name/routers/cloud_router_name { "md5AuthenticationKeys": [ { "name": "first_key_name", "key": "first_secret_key_value" }, { "name": "second_key_name", "key": "second_secret_key_value" } ], "bgpPeers": [ { "name": "first_peer", "md5AuthenticationKeyName": "first_key_name", "interfaceName": "first_interface", "ipAddress": "first_address", "peerIpAddress": "first_peer_interface", "peerAsn": "first_peer_asn" }, { "name": "second_peer", "md5AuthenticationKeyName": "second_key_name", "interfaceName": "second_interface", "ipAddress": "second_address", "peerIpAddress": "second_peer_interface", "peerAsn": "second_peer_asn" } ], }
Jika Anda ingin menghapus peer kedua, gunakan permintaan seperti berikut:
PATCH https://compute.googleapis.com/compute/v1/projects/project_id/regions/region_name/routers/cloud_router_name { "md5AuthenticationKeys": [ { "name": "first_key_name", } ], "bgpPeers": [ { "name": "first_peer", "md5AuthenticationKeyName": "first_key_name", "interfaceName": "first_interface", "ipAddress": "first_address", "peerIpAddress": "first_peer_interface", "peerAsn": "first_peer_asn" } ], }