Cloud Interconnect 的 MACsec 可協助保護 Cloud Interconnect 連線上的流量,特別是內部部署路由器與 Google 邊緣路由器之間的流量。Cloud Interconnect 的 MACsec 使用 IEEE 標準 802.1AE 媒體存取控制安全性 (MACsec),加密內部部署路由器與 Google 邊緣路由器之間的流量。
Cloud Interconnect 適用的 MACsec 不會在 Google 內部提供傳輸中資料加密。為提升安全性,建議您搭配使用 MACsec 與其他網路安全通訊協定,例如 IP 安全 (IPsec) 和傳輸層安全標準 (TLS)。如要進一步瞭解如何使用 IPsec 保護網路流量,請參閱 Google Cloud採用 Cloud Interconnect 的高可用性 VPN 總覽。如要進一步瞭解 Cross-Site Interconnect 中的加密功能,請參閱「加密選項」。
Cloud Interconnect 的 MACsec 適用於 10 Gbps、100 Gbps 和 400 Gbps 迴路。不過,如要為 10 Gbps 電路訂購 Cloud Interconnect 的 MACsec,請與客戶經理聯絡。
Cloud Interconnect 適用的 MACsec 支援所有 VLAN 連結功能,包括 IPv4、IPv6 和 IPsec。
下圖顯示 MACsec 如何加密流量:
- 圖 1 顯示 MACsec 在專屬互連網路上加密流量。本圖表顯示的加密方式也適用於跨地點互連網路。
- 圖 2 顯示 MACsec 如何加密合作夥伴互連網路上的流量。
如要在合作夥伴互連網路上使用 MACsec,請與服務供應商合作,確保網路流量透過供應商的網路加密。
使用 Cloud Interconnect 的 MACsec 功能不會產生額外費用。
Cloud Interconnect 適用的 MACsec 運作方式
Cloud Interconnect 的 MACsec 可協助保護內部部署路由器與 Google 對等互連邊緣路由器之間的流量。您可以使用 Google Cloud CLI (gcloud CLI) 或 Google Cloud 控制台,產生 GCM-AES-256 連線關聯金鑰 (CAK) 和連線關聯金鑰名稱 (CKN) 值。設定路由器時,請使用 CAK 和 CKN 值設定 MACsec。在路由器和 Cloud Interconnect 中啟用 MACsec 後,MACsec 會加密內部部署路由器與 Google 對等互連邊緣路由器之間的流量。
建議您採取多層次的安全策略來加密資料。在第 2 層,MACsec 會加密相鄰路由器之間的流量。在第 3 層,IPsec 可確保客戶地端部署網路與虛擬私有雲網路之間的流量安全無虞。您可以透過應用程式層級的安全通訊協定,進一步提升防護力。
支援的內部部署路由器
您可以搭配使用支援下表所列 MACsec 規格的 MACsec 路由器,透過 Cloud Interconnect 連線。
| 設定 | 值 |
|---|---|
| MACsec 加密套件 |
|
| CAK 加密演算法 | AES_256_CMAC |
| 主要伺服器優先順序 | 15 |
| 安全關聯金鑰 (SAK) 重新金鑰間隔 | 28800 秒 |
| MACsec 機密性偏移 | 0 |
| 視窗大小 | 64 |
| 完整性檢查值 (ICV) 指標 | 是 |
| 安全管道 ID (SCI) | 已啟用 |
Cloud Interconnect 適用的 MACsec 最多支援五個金鑰,且金鑰輪替時不會中斷連線。
Cisco、Juniper 和 Arista 製造的幾款路由器符合規格。我們無法推薦特定路由器,建議您諮詢路由器供應商,找出最符合需求的型號。
使用 Cloud Interconnect 適用的 MACsec 前須知
請確認符合下列規定:
Cloud Interconnect 適用的 MACsec 設定步驟
確認主機代管服務供應商支援 Cloud Interconnect 適用的 MACsec 後,請檢查您是否已有支援 MACsec 的 Cloud Interconnect 連線。如果沒有,請訂購支援 MACsec 的 Cloud Interconnect 連線。如果您使用 Cross-Site Interconnect,連線預設會支援 MACsec。
Cloud Interconnect 連線完成測試並準備就緒後,您就可以建立 MACsec 預先共用金鑰,並設定內部部署路由器,啟用 MACsec。接著啟用 MACsec,並確認連結已啟用 MACsec 且運作正常。最後,您可以監控 MACsec 連線,確保連線運作正常。
MACsec 適用性
無論位置為何,所有 Cloud Interconnect 100 Gbps 和 400 Gbps 連線都支援 Cloud Interconnect 的 MACsec。
並非所有主機代管機房都支援 Cloud Interconnect 的 MACsec,且僅適用於 10 Gbps 迴路。如要進一步瞭解共置設施提供的功能,請參閱下列文章 (視連線類型而定):
如要瞭解哪些提供 10 Gbps 電路的機房支援 Cloud Interconnect 適用的 MACsec,請按照下列步驟操作。只有已加入許可清單的專案,才會顯示 10 Gbps 電路的 MACsec 支援情形。如要為 10 Gbps 電路訂購 Cloud Interconnect 的 MACsec,請與客戶經理聯絡。
控制台
前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
按一下「設定實體連線」。
選取「專屬互連網路」,然後按一下「繼續」。
選取「Order new Dedicated Interconnect」(訂購新的專屬互連網路),然後按一下「Continue」(繼續)。
在「Google Cloud location」(Google Cloud 位置) 欄位中,按一下「Choose」(選擇)。
在「Choose colocation facility」(選擇主機代管機房) 窗格中,找出您要建立 Cloud Interconnect 連線的城市。在「地理位置」欄位中,選取地理區域。「目前專案的 MACsec 支援功能」欄會顯示 Cloud Interconnect 適用的 MACsec 可用電路大小。
gcloud
向 Google Cloud CLI 進行驗證:
gcloud auth login如要瞭解主機代管機房是否支援 Cloud Interconnect 適用的 MACsec,請執行下列任一操作:
確認特定主機代管機房是否支援 Cloud Interconnect 的 MACsec:
gcloud compute interconnects locations describe COLOCATION_FACILITY將
COLOCATION_FACILITY替換為位置資料表中列出的共置設施名稱。輸出結果會與下列範例類似。請記下
availableFeatures區段。支援 MACsec 的連線會顯示下列資訊:- 10 Gbps 連結:
linkType: LINK_TYPE_ETHERNET_10G_LR和availableFeatures: IF_MACSEC - 每秒 100 GB 的連結:
linkType: LINK_TYPE_ETHERNET_100G_LR; 所有每秒 100 GB 的連結都支援 MACsec - 400 Gbps 連結:
linkType: LINK_TYPE_ETHERNET_400G_LR; 所有 400 Gbps 連結均支援 MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR - LINK_TYPE_ETHERNET_400G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- 10 Gbps 連結:
列出所有支援 10 Gbps 電路 Cloud Interconnect MACsec 的主機代管機房:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"輸出結果會與下列內容相似:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>列出所有具備 100 Gbps 連結的主機代管機房,因此預設提供 MACsec:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"輸出結果會與下列內容相似:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
現有 Cloud Interconnect 連線的 MACsec 支援
現有的 100 Gbps 和 400 Gbps Cloud Interconnect 連線都支援 Cloud Interconnect 的 MACsec。
如果連線速度為 10 Gbps,請確認主機代管機房是否支援 MACsec。如果主機代管服務供應商支援 MACsec,請確認 Cloud Interconnect 支援 MACsec。
如果現有的 Cloud Interconnect 連線不支援 MACsec,我是否可以啟用這項功能?
如果您的主機代管設施不支援 MACsec,您可以採取下列任一做法:
申請新的 Cloud Interconnect 連線,並要求 MACsec 做為必要功能。
請與 Google Cloud 帳戶管理員聯絡,安排將現有 Cloud Interconnect 連線遷移至支援 MACsec 的通訊埠。
由於排程限制,實體遷移連線可能需要數週才能完成。遷移作業需要維護時段,因此 Cloud Interconnect 連線不得有任何正式版流量。