Esta página descreve como ativar o MACsec para o Cloud Interconnect.
Depois de gerar as chaves pré-partilhadas e configurar o router no local para as usar, tem de ativar o MACsec para o Cloud Interconnect. Depois de ativar o MACsec para o Cloud Interconnect, verifique se a configuração do Cloud Interconnect está configurada corretamente e se está a usar o MACsec para ajudar a proteger os seus dados.
Antes de começar
Se não tiver concluído a configuração, então configure o MACsec antes de ativar o MACsec para o Cloud Interconnect.
Ative o MACsec para o Cloud Interconnect
Selecione uma das seguintes opções:
Consola
Na Google Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.
Selecione a associação que quer modificar.
No separador MACsec, clique em Ativar.
É apresentada uma janela de confirmação. Leia a mensagem e, de seguida, clique em Confirmar para confirmar que quer ativar o MACsec ou em Cancelar para cancelar.
gcloud
Para ativar o MACsec para o Cloud Interconnect com as predefinições, execute o seguinte comando:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
Substitua INTERCONNECT_CONNECTION_NAME pelo nome da sua ligação do Cloud Interconnect.
Valide a configuração do MACsec
Selecione uma das seguintes opções:
Consola
Na Google Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.
Selecione a associação que quer ver.
A secção Informações do circuito de associação apresenta as seguintes informações:
ID do circuito da Google: o nome do circuito de ligação.
Estado da associação: o estado físico da associação de membros do LACP apresenta um Visto e Ativo para indicar que a associação de membros do LACP está ativa.
Nome da chave MACsec: apresenta uma marca de verificação e o nome do nome da chave MACsec para indicar que o MACsec está ativo na associação.
Receber energia ótica: uma marca de verificação indica uma ligação aceitável. O nível de luz ótica que a interface física deteta do transmissor remoto é apresentado em dBm.
Potência ótica de transmissão: uma marca de verificação indica uma ligação aceitável e o nível de luz ótica que a interface física está a transmitir para o recetor remoto é apresentado em dBm.
ID de demarcação da Google: o ID exclusivo atribuído pela Google para o circuito de associação.
Clique no separador MACsec. A configuração MACsec apresenta uma das seguintes opções para a sua configuração MACsec:
Ativada, falha aberta: a encriptação MACsec está ativada no link. Se a encriptação MACsec não for estabelecida entre ambas as extremidades, o link funciona sem encriptação.
Ativada, falha fechada: a encriptação MACsec está ativada na ligação. Se a encriptação MACsec não for estabelecida entre ambas as extremidades, a associação falha.
gcloud
Execute o seguinte comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
O resultado é semelhante ao seguinte exemplo de 10 GB do Cloud Interconnect. Procure availableFeatures definido como IF_MACSEC e a secção macsec:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
Os seguintes itens especificam a configuração do MACsec da ligação do Cloud Interconnect:
availableFeatures: capacidade MACsec na ligação do Cloud Interconnect. Este parâmetro é apresentado apenas para ligações do Cloud Interconnect de 10 GB, porque todas as ligações do Cloud Interconnect de 100 GB são compatíveis com MACsec por predefinição.macsec.failOpen: o comportamento da ligação se o Cloud Interconnect não conseguir estabelecer uma sessão MKA com o seu router. O valor é qualquer uma das seguintes opções:false: se não for possível estabelecer uma sessão MKA, o Cloud Interconnect rejeita todo o tráfego.true: se não for possível estabelecer uma sessão MKA, o Cloud Interconnect passa tráfego não encriptado.
macsec.preSharedKeys.name: a lista de todas as chaves previamente partilhadas configuradas para o Cloud Interconnect neste link.macsec.preSharedKeys.startTime: a hora de início em que a chave pré-partilhada atual é considerada válida. Todas as chaves têm validade infinita.macsecEnabled: estado do MACsec para o Cloud Interconnect neste link. O valor é qualquer uma das seguintes opções:false: o MACsec para o Cloud Interconnect está desativado.true: o MACsec para o Cloud Interconnect está ativado.
Este comando não apresenta o estado operacional do MACsec.
Ative o MACsec no seu router no local
Consulte a documentação do fornecedor do router para ativar o MACsec no router no local.
Anule a drenagem da ligação do Cloud Interconnect
Se esgotou anteriormente a sua ligação do Cloud Interconnect, ative as associações de VLAN.
O que se segue?
- Resolva problemas do MACsec
- Veja o estado do MACsec
- Desative o MACsec
- Obtenha chaves MACsec
- Alterne as chaves MACsec