本頁說明如何為 Cloud Interconnect 啟用 MACsec。
產生預先共用金鑰並設定內部部署路由器使用這些金鑰後,您需要為 Cloud Interconnect 啟用 MACsec。啟用 Cloud Interconnect 適用的 MACsec 後,請確認 Cloud Interconnect 設定正確無誤,並使用 MACsec 保護資料。
事前準備
如果尚未完成設定,請先設定 MACsec,再為 Cloud Interconnect 啟用 MACsec。
為 Cloud Interconnect 啟用 MACsec
選取下列選項之一:
控制台
前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要修改的連結。
在「MACsec」分頁中,按一下「啟用」。
系統會顯示確認視窗。詳閱訊息,然後按一下「確認」確認要啟用 MACsec,或按一下「取消」取消。
gcloud
如要使用預設設定為 Cloud Interconnect 啟用 MACsec,請執行下列指令:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
將 INTERCONNECT_CONNECTION_NAME 替換為 Cloud Interconnect 連線名稱。
驗證 MACsec 設定
選取下列選項之一:
控制台
前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要查看的連線。
「連結電路資訊」部分會顯示下列資訊:
Google 電路 ID:連結電路的名稱。
連結狀態:LACP 成員連結的實體狀態會顯示「檢查」和「有效」,表示 LACP 成員連結已啟動。
MACsec 金鑰名稱:顯示 「檢查」和 MACsec 金鑰名稱,表示連結已啟用 MACsec。
接收光功率:「檢查」表示連線品質良好。實體介面從遠端發射器偵測到的光訊號強度會以 dBm 為單位顯示。
傳輸光功率:「檢查」表示連線可接受,且實體介面傳輸至遠端接收器的光訊號強度會以 dBm 為單位顯示。
Google 責任分界點 ID:Google 為連結電路指派的不重複 ID。
按一下「MACsec」MACsec分頁標籤。「MACsec」設定會顯示下列其中一項 MACsec 設定:
已啟用 (無法開啟):連結已啟用 MACsec 加密功能。如果兩端之間未建立 MACsec 加密機制,連結就會在沒有加密的情況下運作。
已啟用 (無法關閉):連結已啟用 MACsec 加密功能。如果兩端之間未建立 MACsec 加密,連結就會失敗。
gcloud
執行下列指令:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
輸出內容會與下列 10 GB Cloud Interconnect 範例類似;請找出設為 IF_MACSEC 的 availableFeatures 和 macsec 區段:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
下列項目會指定 Cloud Interconnect 連線的 MACsec 設定:
availableFeatures:Cloud Interconnect 連線的 MACsec 功能。這個參數只會顯示在 10 GB Cloud Interconnect 連線上,因為所有 100 GB 和 400 GB Cloud Interconnect 連線預設都支援 MACsec。macsec.failOpen:如果 Cloud Interconnect 無法與路由器建立 MKA 會期,連線的行為。這個值可以是下列任一項目:false:如果無法建立 MKA 會期,Cloud Interconnect 會捨棄所有流量。true:如果無法建立 MKA 會期,Cloud Interconnect 會傳遞未加密的流量。
macsec.preSharedKeys.name:這個連結會列出為 Cloud Interconnect 設定的所有預先共用金鑰。macsec.preSharedKeys.startTime:目前預先共用金鑰的有效開始時間。所有金鑰的效期皆為無限。macsecEnabled: 這個連結會顯示 Cloud Interconnect 的 MACsec 狀態。這個值可以是下列任一項目:false: Cloud Interconnect 適用的 MACsec 已關閉。true: Cloud Interconnect 適用的 MACsec 已開啟。
這個指令不會顯示 MACsec 運作狀態。
在內部部署路由器上啟用 MACsec
請參閱路由器供應商的說明文件,在內部部署路由器上啟用 MACsec。
排空 Cloud Interconnect 連線
如果您先前已排空 Cloud Interconnect 連線,請啟用 VLAN 連結。