MD5-Authentifizierung verwenden

Cloud Router verwendet das Border Gateway Protocol (BGP), um Routen zwischen einem Virtual Private Cloud-Netzwerk (VPC) und einem Peer-Netzwerk auszutauschen. Standardmäßig werden Cloud Router-BGP-Sitzungen nicht authentifiziert. Wenn Sie jedoch Cloud Router mit bestimmten Produkten verwenden, können Sie optional Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung konfigurieren.

Zu den Produkten, die die MD5-Authentifizierung verwenden können, gehören:

Sie können auch die MD5-Authentifizierung mit virtuellen Netzwerk-Appliances von Drittanbietern verwenden. Weitere Informationen finden Sie unter Router-Appliance in der Network Connectivity Center-Dokumentation.

Wenn Sie eine Sitzung für die Verwendung der MD5-Authentifizierung konfigurieren, geben Sie einen geheimen gemeinsamen Schlüssel an. Dieser Schlüssel wird beim Konfigurieren von Cloud Router und bei der Konfiguration des Peer-Routers noch einmal verwendet. Nachdem Sie die erforderlichen Einrichtungsschritte abgeschlossen haben, verwendet Cloud Router diesen Schlüssel, um den BGP-Peer zu authentifizieren. Cloud Router erzwingt die MD5-Authentifizierung mithilfe des in RFC 2385 beschriebenen Modells.

Sie können die MD5-Authentifizierung hinzufügen, wenn Sie einen Peer erstellen. Sie können auch eine Authentifizierung zu einer vorhandenen Sitzung hinzufügen, den von einer Sitzung verwendeten Schlüssel ändern oder die Authentifizierung entfernen.

Hinweis

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. To initialize the gcloud CLI, run the following command: 

    gcloud init

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.

  9. To initialize the gcloud CLI, run the following command: 

    gcloud init
  1. Wenn Sie die Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID fest. Führen Sie dazu den folgenden Befehl aus. In der Anleitung für gcloud auf dieser Seite wird davon ausgegangen, dass Sie Ihre Projekt-ID festgelegt haben. 
    gcloud config set project PROJECT_ID
  1. Bestätigen Sie mit dem folgenden Befehl, dass die ID festgelegt wurde: 
    gcloud config list --format='text(core.project)'

Sitzung erstellen, die Authentifizierung verwendet

Bei einigen Network Connectivity-Produkten können Sie beim Erstellen der Ressource einen BGP-Peer für die Verwendung der MD5-Authentifizierung konfigurieren. Zu diesen Produkten gehören HA VPN und Dedicated Interconnect.

Weitere Informationen finden Sie in den folgenden Abschnitten:

Wenn Sie einen Layer-2-Partner Interconnect-VLAN-Anhang erstellen, erstellen Sie zuerst den Anhang und aktualisieren dann den BGP-Peer, um die MD5-Authentifizierung hinzuzufügen. Informationen zum Hinzufügen der Authentifizierung beim Aktualisieren einer BGP-Sitzung finden Sie im folgenden Abschnitt. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.

Authentifizierung zu einer vorhandenen Sitzung hinzufügen

Verwenden Sie eines der folgenden Verfahren, um einem vorhandenen BGP-Peer die Authentifizierung hinzuzufügen. Achten Sie beim Hinzufügen der Authentifizierung darauf, dass der verwendete Schlüssel mit dem Schlüssel übereinstimmt, der von Ihrem Peer-Router verwendet wird.

In Google Cloud wird der MD5-Authentifizierungsschlüssel nicht angezeigt und nur bei der erfolgreichen Konfiguration der Schlüsselname.

  • Wenn Sie die MD5-Authentifizierung über gcloud oder die Benutzeroberfläche konfigurieren, generiert Google Cloud den Schlüsselnamen automatisch im Format PEER_NAME-key.
  • Wenn Sie die MD5-Authentifizierung über die API konfigurieren, können Sie den Schlüsselnamen angeben.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Routers.

    Zu "Cloud Router"

  2. Klicken Sie im Feld Name auf den Namen des entsprechenden Cloud Routers.

  3. Klicken Sie auf der Seite Routerdetails auf den Namen der BGP-Sitzung, die Sie ändern möchten.

  4. Klicken Sie auf der Seite mit den BGP-Sitzungsdetails auf Bearbeiten.

  5. So fügen Sie die MD5-Authentifizierung hinzu:

    1. Wählen Sie im Abschnitt MD5-Authentifizierung die Option Aktiviert aus. Die Seite wird aktualisiert und enthält ein Textfeld.
    2. Geben Sie einen Sicherheitsschlüssel ein oder klicken Sie auf Generieren und kopieren, um einen neuen Sicherheitsschlüssel zu erzeugen.
    3. Notieren Sie sich den Schlüssel. Nachdem Sie diese Seite verlassen, können Sie den Schlüssel nicht mehr abrufen.

  6. Klicken Sie auf Speichern.

gcloud

Wenn Sie die Sitzung mithilfe der gcloud CLI aktualisieren möchten, verwenden Sie den Befehl gcloud compute routers update-bgp-peer:

  gcloud compute routers update-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME \
     --region=REGION \
     --md5-authentication-key=SECRET_KEY

Ersetzen Sie die folgenden Werte:

  • ROUTER_NAME: Der Name des Cloud Routers
  • PEER_NAME: den Namen des BGP-Peers
  • REGION: die Google Cloud-Region
  • SECRET_KEY: Ihren geheimen MD5-Authentifizierungsschlüssel

API

Verwenden Sie die Methode compute.routers.patch, um die Sitzung mithilfe der API zu aktualisieren. Wenn Sie diese Methode zum Hinzufügen der Authentifizierung zur Sitzung verwenden, muss Ihre Anfrage zwei Schritte ausführen:

  • Im Array md5AuthenticationKeys einen Eintrag für den Schlüssel hinzufügen. Wenn Sie den Eintrag hinzufügen, geben Sie sowohl einen Namen als auch einen Wert für den Schlüssel an.
  • Das Array bgpPeers aktualisieren, um einen Wert für das Feld md5AuthenticationKeyName anzugeben. Dieses Feld verweist anhand des Namens auf den Schlüssel.

Wenn Sie das Array md5AuthenticationKeys patchen, müssen Sie die name für jedes Elements im Array angeben (es sei denn, Sie möchten einige Elemente entfernen). Sie müssen jedoch keinen Wert für das Feld key jedes Elements angeben. Wenn Sie diesen Wert weglassen, behält Cloud Router den zuvor verwendeten Wert bei. Dieses Verhalten ist so konzipiert, dass die Geheimhaltung von Schlüsseln geschützt wird. Dies unterscheidet sich von anderen Patch-Methoden, bei denen Sie in der Regel einen Wert für jedes Feld in einem Array-Element angeben müssen.

Wenn Sie das Array bgpPeers patchen, müssen Sie für jedes Feld in jedem Element Werte angeben (es sei denn, Sie möchten einige Peers oder einige Werte entfernen).

Angenommen, der Cloud Router hat zwei Peers, einen mit MD5-Authentifizierung und einen ohne. Wenn Sie den ersten Peer unverändert lassen möchten, dem zweiten Peer aber eine MD5-Authentifizierung hinzufügen möchten, verwenden Sie eine Anfrage wie die folgende:

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
  {
    "md5AuthenticationKeys": [
      {
        "name": "KEY_NAME_1",
      },
      {
        "name": "KEY_NAME_2",
        "key": "SECRET_KEY"
      }
    ],
    "bgpPeers": [
      {
        "name": "PEER_NAME_1",
        "md5AuthenticationKeyName": "KEY_NAME_1",
        "interfaceName": "INTERFACE_NAME_1",
        "ipAddress": "IP_ADDRESS_1",
        "peerIpAddress": "PEER_IP_ADDRESS_1",
        "peerAsn": "PEER_ASN_1"
      },
      {
        "name": "PEER_NAME_2",
        "md5AuthenticationKeyName": "KEY_NAME_2",
        "interfaceName": "INTERFACE_NAME_2",
        "ipAddress": "IP_ADDRESS_2",
        "peerIpAddress": "PEER_IP_ADDRESS_2",
        "peerAsn": "PEER_ASN_2"
      }
    ],
  }

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: Das Projekt, das den Cloud Router enthält
  • REGION: die Google Cloud-Region
  • ROUTER_NAME: Der Name des Cloud Routers
  • KEY_NAME_1: den Namen des Schlüssels, der gerade verwendet wird (von PEER_NAME_1)
  • KEY_NAME_2: den Namen des neuen Schlüssels, den Sie für PEER_NAME_2 hinzufügen möchten. Notieren Sie sich den Namen. Wenn Sie später Änderungen mithilfe der API vornehmen möchten, benötigen Sie den Namen.
  • SECRET_KEY: Ihren geheimer MD5-Authentifizierungsschlüssel, den Sie für PEER_NAME_2 hinzufügen
  • PEER_NAME_1: den Namen des BGP-Peers, den Sie nicht ändern
  • INTERFACE_NAME_1: den Namen der Schnittstelle für die BGP-Peering-Sitzung, die sich nicht ändert.
  • IP_ADDRESS_1: die IP-Adresse auf dem Cloud Router (für den Peer, der sich nicht ändert)
  • PEER_IP_ADDRESS_1: die IP-Adresse des Peers, der sich nicht ändert
  • PEER_ASN_1: die ASN (autonome Systemnummer) des BGP für den Peer, der sich nicht ändert.
  • PEER_NAME_2: den Namen des BGP-Peers, den Sie aktualisieren möchten, damit MD5-Authentifizierung verwendet wird.
  • INTERFACE_NAME_2: den Namen der Schnittstelle für die BGP-Peering-Sitzung
  • IP_ADDRESS_2: die IP-Adresse auf dem Cloud Router
  • PEER_IP_ADDRESS_2: die IP-Adresse des Peer-Routers
  • PEER_ASN_2: die autonome BGP-Systemnummer (ASN) für diesen BGP-Peer

Authentifizierungsschlüssel aktualisieren

Mit einem der folgenden Verfahren können Sie den Schlüssel, den Cloud Router für eine Peering-Sitzung verwendet, ändern. Achten Sie beim Aktualisieren des Schlüssels auf dem Cloud Router darauf, dass der verwendete Schlüssel mit dem Schlüssel übereinstimmt, der von Ihrem Peer-Router verwendet wird.

In Google Cloud wird der MD5-Authentifizierungsschlüssel nicht angezeigt und nur bei der erfolgreichen Konfiguration der Schlüsselname.

  • Wenn Sie die MD5-Authentifizierung über gcloud oder die Benutzeroberfläche konfigurieren, generiert Google Cloud den Schlüsselnamen automatisch im Format PEER_NAME-key.
  • Wenn Sie die MD5-Authentifizierung über die API konfigurieren, können Sie den Schlüsselnamen angeben.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Routers.

    Zu "Cloud Router"

  2. Klicken Sie im Feld Name auf den Namen des entsprechenden Cloud Routers.

  3. Klicken Sie auf der Seite Routerdetails auf den Namen der BGP-Sitzung, die Sie ändern möchten.

  4. Klicken Sie auf der Seite mit den BGP-Sitzungsdetails auf Bearbeiten.

  5. Klicken Sie im Abschnitt MD5-Authentifizierung auf MD5-Authentifizierungsschlüssel aktualisieren.

  6. Geben Sie im Feld MD5-Authentifizierungsschlüssel den neuen geheimen Authentifizierungsschlüssel ein oder klicken Sie auf Generieren und kopieren, um das Feld auszufüllen.

  7. Notieren Sie sich den Schlüssel. Nachdem Sie diese Seite verlassen, können Sie den Schlüssel nicht mehr abrufen.

  8. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Aktualisieren der Sitzung den Befehl gcloud compute routers update-bgp-peer.

  gcloud compute routers update-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME \
     --region=REGION \
     --md5-authentication-key=SECRET_KEY

Ersetzen Sie die folgenden Werte:

  • ROUTER_NAME: Der Name des Cloud Routers
  • PEER_NAME: den Namen des BGP-Peers
  • REGION: die Google Cloud-Region
  • SECRET_KEY: der neue geheime MD5-Authentifizierungsschlüssel, den Sie verwenden möchten.

API

Verwenden Sie die Methode compute.routers.patch, um die Sitzung zu aktualisieren. Verwenden Sie beispielsweise eine Anfrage wie die folgende.

In diesem Beispiel wird das gesamte Peer-Array ersetzt, nicht nur der identifizierte Peer. Das heißt, es werden alle Peers außer PEER_NAME entfernt. Alle Schlüssel außer KEY_NAME werden entfernt und KEY_NAME wird mit dem neuen Wert UPDATED_SECRET_KEY aktualisiert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
  {
    "md5AuthenticationKeys": [
       {
        "name": "KEY_NAME",
        "key": "UPDATED_SECRET_KEY"
      }
    ],

    "bgpPeers": [
      {
        "name": "PEER_NAME",
        "md5AuthenticationKeyName": "KEY_NAME",
        "interfaceName": "INTERFACE_NAME",
        "ipAddress": "IP_ADDRESS",
        "peerIpAddress": "PEER_IP_ADDRESS",
        "peerAsn": "PEER_ASN"
      }
    ],
  }

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: Das Projekt, das den Cloud Router enthält
  • REGION: die Google Cloud-Region
  • ROUTER_NAME: Der Name des Cloud Routers
  • KEY_NAME: den Namen des Schlüssels, den Sie aktualisieren möchten. Wenn Sie mit der MD5-Authentifizierung mithilfe der API arbeiten, müssen Sie auf den Schlüssel anhand seines Namens verweisen.
  • UPDATED_SECRET_KEY: Ihren neuen geheimen MD5-Authentifizierungsschlüssel
  • PEER_NAME: den Namen des BGP-Peers
  • INTERFACE_NAME: den Namen der Schnittstelle für die BGP-Peering-Sitzung
  • IP_ADDRESS: die IP-Adresse auf dem Cloud Router
  • PEER_IP_ADDRESS: die IP-Adresse des Peer-Routers
  • PEER_ASN: die autonome BGP-Systemnummer (ASN) für diesen BGP-Peer

Authentifizierungsstatus prüfen

Gehen Sie so vor, um den Status der MD5-Authentifizierung zu prüfen. Weitere Informationen finden Sie unter Cloud Router-Details aufrufen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Routers.

    Zu "Cloud Router"

  2. Klicken Sie im Feld Name auf den Namen des entsprechenden Cloud Routers.

  3. Suchen Sie auf der Seite Routerdetails nach der Spalte MD5-Authentifizierung. Der Wert in dieser Spalte gibt für jede Sitzung an, ob die MD5-Authentifizierung aktiviert ist.

gcloud

Zum Prüfen der Sitzung mit der gcloud CLI verwenden Sie den Befehl gcloud compute routers get-status.

  gcloud compute routers get-status ROUTER_NAME \
     --project=PROJECT \
     --region=REGION \

Ersetzen Sie die folgenden Werte:

  • ROUTER_NAME: Der Name des Cloud Routers
  • PROJECT ist der Name des Projekts.
  • REGION: die Google Cloud-Region

Die Ausgabe enthält das Objekt result.bgpPeerStatus[], das Informationen zu den BGP-Sitzungen des Cloud Routers enthält. Die Daten zu jeder Sitzung enthalten die folgenden beiden Felder:

  • md5AuthEnabled: ein boolesches Feld, das angibt, ob die MD5-Authentifizierung für die Sitzung aktiviert ist
  • statusReason: ein Feld, das den Status der Sitzung beschreibt

API

Verwenden Sie die Methode routers.getRouterStatus:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME/getRouterStatus

Ersetzen Sie Folgendes:

  • PROJECT_ID: Das Projekt, das den Cloud Router enthält
  • REGION: Die Region, in der sich der Cloud Router befindet
  • ROUTER_NAME: Der Name des Cloud Routers

Die Ausgabe enthält Informationen zu jeder BGP-Sitzung. Die Daten zu jeder Sitzung enthalten die folgenden beiden Felder:

  • md5AuthEnabled: ein boolesches Feld, das angibt, ob die MD5-Authentifizierung für die Sitzung aktiviert ist
  • statusReason: ein Feld, das den Status der Sitzung beschreibt. Dieses Feld wird nur angezeigt, wenn ein Problem mit der MD5-Authentifizierung besteht. In diesem Fall lautet der Wert des Felds MD5_AUTH_INTERNAL_PROBLEM.

Verwenden Sie Cloud Logging, um ein kontinuierliches Monitoring Ihrer BGP-Sitzungen einzurichten. In Logging werden Informationen zum MD5-Authentifizierungsstatus im BGP-Ereignis aufgezeichnet, das Teil des Infologs ist.

Authentifizierung aus einer Sitzung entfernen

Wenn Sie die MD5-Authentifizierung aus einer BGP-Sitzung entfernen möchten, müssen Sie sowohl die MD5-Authentifizierung sowohl vom Cloud Router als auch vom Peer-Router entfernen.

Verwenden Sie eines der folgenden Verfahren, um die MD5-Authentifizierung aus der BGP-Sitzung auf dem Cloud Router zu entfernen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Routers.

    Zu "Cloud Router"

  2. Klicken Sie im Feld Name auf den Namen des entsprechenden Cloud Routers.

  3. Klicken Sie auf der Seite Routerdetails auf den Namen der BGP-Sitzung, die Sie ändern möchten.

  4. Klicken Sie auf der Seite mit den BGP-Sitzungsdetails auf Bearbeiten.

  5. Klicken Sie bei MD5-Authentifizierung auf Deaktiviert.

  6. Klicken Sie auf Speichern. Das Dialogfeld MD5-Authentifizierungsschlüssel deaktivieren wird angezeigt.

  7. Klicken Sie im Dialogfeld zur Bestätigung auf Bestätigen.

gcloud

Nutzen Sie zum Entfernen der MD5-Authentifizierung den Befehl gcloud compute routers update-bgp-peer:

   gcloud compute routers update-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME \
     --region=REGION \
     --clear-md5-authentication-key

Ersetzen Sie die folgenden Werte:

  • ROUTER_NAME: Der Name des Cloud Routers
  • PEER_NAME: den Namen des BGP-Peers
  • REGION: die Google Cloud-Region

API

Nutzen Sie die Methode compute.routers.patch, um die MD5-Authentifizierung zu entfernen.

Wenn Sie die Authentifizierung mithilfe der API entfernen, muss Ihr Update zwei Schritte ausführen:

  • Array md5AuthenticationKeys aktualisieren
  • Entfernen des Werts md5AuthenticationKey aus dem entsprechenden Eintrag bgpPeers.

Beispiel: Ihr Cloud Router hat zwei BGP-Peers und Sie möchten die MD5-Authentifizierung aus einem entfernen. Nutzen Sie in diesem Fall eine Anfrage wie die folgende:

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
  {
    "md5AuthenticationKeys": [
        "name": "KEY_NAME_FOR_UNCHANGED_PEER",
        ],
    "bgpPeers": [
      {
        "name": "NAME_OF_UPDATED_PEER",
        "interfaceName": "INTERFACE_NAME_FOR_UPDATED_PEER",
        "ipAddress": "IP_ADDRESS_FOR_UPDATED_PEER",
        "peerIpAddress": "PEER_IP_ADDRESS_FOR_UPDATED_PEER",
        "peerAsn": "PEER_ASN_FOR_UPDATED_PEER"
      },
      {
        "name": "NAME_OF_UNCHANGED_PEER",
        "interfaceName": "INTERFACE_NAME_FOR_UNCHANGED_PEER",
        "ipAddress": "IP_ADDRESS_FOR_UNCHANGED_PEER",
        "peerIpAddress": "PEER_IP_ADDRESS_FOR_UNCHANGED_PEER",
        "peerAsn": "PEER_ASN_FOR_UNCHANGED_PEER"
        "md5AuthenticationKeyName": "KEY_NAME_FOR_UNCHANGED_PEER"
      }
    ],
    ],
  }

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: Das Projekt, das den Cloud Router enthält
  • REGION: die Google Cloud-Region, in der sich der Cloud Router befindet
  • ROUTER_NAME: Der Name des Cloud Routers
  • NAME_OF_UPDATED_PEER: den Namen der Peering-Sitzung, die Sie ändern möchten
  • INTERFACE_NAME_FOR_UPDATED_PEER: den Namen der Schnittstelle für den BGP-Peer, den Sie ändern möchten
  • IP_ADDRESS_FOR_UPDATED_PEER: die IP-Adresse auf dem Cloud Router, der von dem Peer verwendet wird, das Sie ändern möchten.
  • PEER_IP_ADDRESS_FOR_UPDATED_PEER: die IP-Adresse des Peer-Routers für die Peering-Sitzung, die Sie ändern möchten
  • PEER_ASN: die Nummer des autonomen BGP-Systems (Autonomous System Number, ASN) für diesen BGP-Peer, den Sie ändern möchten
  • NAME_OF_UNCHANGED_PEER: den Namen der Peering-Sitzung, die Sie beibehalten möchten
  • INTERFACE_NAME_FOR_UNCHANGED_PEER: der Namen der Schnittstelle für den BGP-Peer, den Sie beibehalten möchten.
  • IP_ADDRESS_FOR_UNCHANGED_PEER: die IP-Adresse auf dem Cloud Router, die von dem Peer verwendet wird, den Sie beibehalten möchten.
  • PEER_IP_ADDRESS_FOR_UNCHANGED_PEER: die IP-Adresse des Peer-Routers für die Peering-Sitzung, die Sie beibehalten möchten
  • PEER_ASN_FOR_UNCHANGED_PEER: die Nummer des autonomen BGP-Systems (Autonomous System Number, ASN) für den BGP-Peer, den Sie beibehalten möchten
  • KEY_NAME_FOR_UNCHANGED_PEER: der Name des MD5-Authentifizierungsschlüssels für den BGP-Peer, den Sie beibehalten möchten

Sitzung entfernen, die Authentifizierung verwendet

Verwenden Sie eines der folgenden Verfahren, um eine Peering-Sitzung mit MD5-Authentifizierung zu entfernen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Routers.

    Zu "Cloud Router"

  2. Wählen Sie den Router aus, von dem Sie eine BGP-Sitzung entfernen möchten.
  3. Wählen Sie unter BGP-Sitzungen die BGP-Sitzung aus, die Sie entfernen möchten.
  4. Klicken Sie oben auf der Seite auf Löschen und bestätigen Sie den Löschvorgang.

gcloud

Verwenden Sie den Befehl gcloud compute routers remove-bgp-peer, um eine BGP-Sitzung mit aktivierter MD5-Authentifizierung zu entfernen.

Weitere Informationen finden Sie unter BGP-Sitzungen deaktivieren oder entfernen.

API

Verwenden Sie die Methode compute.routers.patch, um eine BGP-Sitzung mit aktivierter MD5-Authentifizierung zu entfernen.

Wenn Sie eine BGP-Sitzung mit MD5-Authentifizierung mithilfe der API entfernen, muss Ihr Update zwei Schritte ausführen: den Schlüssel aus dem Array md5AuthenticationKeys entfernen und den bgpPeer selbst entfernen.

Angenommen, der Cloud Router hat zwei Peers und Sie möchten einen entfernen. Nutzen Sie in diesem Fall eine Anfrage wie die folgende:

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
  {
    "md5AuthenticationKeys": [
        "name": "KEY_NAME_FOR_RETAINED_PEER",
        ],
    "bgpPeers": [
      {
        "name": "NAME_OF_RETAINED_PEER",
        "interfaceName": "INTERFACE_FOR_RETAINED_PEER",
        "ipAddress": "IP_ADDRESS_FOR_RETAINED_PEER",
        "peerIpAddress": "PEER_IP_ADDRESS_FOR_RETAINED_PEER",
        "peerAsn": "PEER_ASN_FOR_RETAINED_PEER",
        "md5AuthenticationKeyName": "KEY_NAME_FOR_RETAINED_PEER"
      }
    ],
  }

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: Das Projekt, das den Cloud Router enthält
  • REGION: die Google Cloud-Region
  • ROUTER_NAME: Der Name des Cloud Routers
  • KEY_NAME_FOR_RETAINED_PEER: den Namen des Schlüssels, der von dem Peer, den Sie beibehalten, verwendet wird
  • NAME_OF_RETAINED_PEER: den Namen des BGP-Peers, den Sie beibehalten.
  • INTERFACE_FOR_RETAINED_PEER: den Namen der Schnittstelle für den BGP-Peer, den Sie beibehalten.
  • IP_ADDRESS_FOR_RETAINED_PEER: die IP-Adresse auf dem Cloud Router für den Peer, den Sie beibehalten.
  • PEER_IP_ADDRESS_FOR_RETAINED_PEER: die IP-Adresse des Peers, den Sie beibehalten.
  • PEER_ASN_FOR_RETAINED_PEER: die Nummer des autonomen BGP-Systems (Autonomous System Number, ASN) für den Peer, den Sie beibehalten.
  • KEY_NAME_FOR_RETAINED_PEER: der ame des MD5-Authentifizierungsschlüssels für den BGP-Peer, den Sie beibehalten

Angenommen, Sie haben die folgenden Peers erstellt:

  PATCH https://compute.googleapis.com/compute/v1/projects/project_id/regions/region_name/routers/cloud_router_name
  {
    "md5AuthenticationKeys": [
      {
        "name":  "first_key_name",
        "key":  "first_secret_key_value"
      },
      {
        "name":  "second_key_name",
        "key":  "second_secret_key_value"
      }
    ],
    "bgpPeers": [
      {
        "name": "first_peer",
        "md5AuthenticationKeyName": "first_key_name",
        "interfaceName": "first_interface",
        "ipAddress": "first_address",
        "peerIpAddress": "first_peer_interface",
        "peerAsn": "first_peer_asn"
      },
      {
        "name": "second_peer",
        "md5AuthenticationKeyName": "second_key_name",
        "interfaceName": "second_interface",
        "ipAddress": "second_address",
        "peerIpAddress": "second_peer_interface",
        "peerAsn": "second_peer_asn"
      }
    ],
  }

Wenn Sie dann den zweiten Peer entfernen möchten, nutzen Sie eine Anfrage wie diese:

  PATCH https://compute.googleapis.com/compute/v1/projects/project_id/regions/region_name/routers/cloud_router_name
  {
    "md5AuthenticationKeys": [
      {
        "name":  "first_key_name",
      }
    ],
    "bgpPeers": [
      {
        "name": "first_peer",
        "md5AuthenticationKeyName": "first_key_name",
        "interfaceName": "first_interface",
        "ipAddress": "first_address",
        "peerIpAddress": "first_peer_interface",
        "peerAsn": "first_peer_asn"
      }
    ],
  }

Nächste Schritte