本頁說明如何為 Cloud Interconnect 啟用 MACsec。
產生預先共用金鑰並設定地端部署路由器使用這些金鑰後,您需要為 Cloud Interconnect 啟用 MACsec。啟用 Cloud Interconnect 適用的 MACsec 後,請確認 Cloud Interconnect 設定正確無誤,並使用 MACsec 保護資料。
事前準備
如果尚未完成設定,請先設定 MACsec,再為 Cloud Interconnect 啟用 MACsec。
啟用 Cloud Interconnect 適用的 MACsec
選取下列選項之一:
控制台
前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要修改的連結。
在「MACsec」分頁中,按一下「啟用」。
系統會顯示確認視窗。詳閱訊息,然後按一下「確認」確認要啟用 MACsec,或按一下「取消」取消。
gcloud
如要使用預設設定為 Cloud Interconnect 啟用 MACsec,請執行下列指令:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
將 INTERCONNECT_CONNECTION_NAME 改成 Cloud Interconnect 連線的名稱。
驗證 MACsec 設定
選取下列選項之一:
控制台
前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要查看的連線。
「Link circuit info」(連結電路資訊) 部分會顯示下列資訊:
Google 電路 ID:連結電路的名稱。
連結狀態:LACP 成員連結的實體狀態會顯示「檢查」和「啟用」,表示 LACP 成員連結已啟動。
MACsec 金鑰名稱:顯示 「檢查」和 MACsec 金鑰名稱,表示連結已啟用 MACsec。
接收光功率:「檢查」表示連線品質良好。實體介面從遠端發射器偵測到的光訊號強度會以 dBm 為單位顯示。
傳輸光功率:「檢查」表示連線可接受,且實體介面傳輸至遠端接收器的光訊號強度會以 dBm 為單位顯示。
Google 責任分界點 ID:Google 為連結電路指派的不重複 ID。
按一下「MACsec」MACsec分頁標籤。「MACsec」設定會顯示下列其中一項 MACsec 設定:
已啟用 (無法開啟):連結已啟用 MACsec 加密功能。如果兩端之間未建立 MACsec 加密,則連結會在沒有加密的情況下運作。
已啟用 (無法關閉):連結已啟用 MACsec 加密功能。如果兩端之間未建立 MACsec 加密,連結就會失敗。
gcloud
執行下列指令:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
輸出內容會與下列 10 GB Cloud Interconnect 範例類似;請尋找設為 IF_MACSEC 的 availableFeatures 和 macsec 區段:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
下列項目會指定 Cloud Interconnect 連線的 MACsec 設定:
availableFeatures:Cloud Interconnect 連線的 MACsec 功能。這個參數只會顯示在 10 GB Cloud Interconnect 連線上,因為所有 100 GB 和 400 GB Cloud Interconnect 連線預設都支援 MACsec。macsec.failOpen:如果 Cloud Interconnect 無法與路由器建立 MKA 工作階段,連線的行為。這個值可以是下列任一項目:false:如果無法建立 MKA 會期,Cloud Interconnect 會捨棄所有流量。true:如果無法建立 MKA 會期,Cloud Interconnect 會傳遞未加密的流量。
macsec.preSharedKeys.name:這個連結會列出為 Cloud Interconnect 設定的所有預先共用金鑰。macsec.preSharedKeys.startTime:目前預先共用金鑰的有效開始時間。所有金鑰的效期皆為無限。macsecEnabled: 連結中 Cloud Interconnect 的 MACsec 狀態。這個值可以是下列任一項目:false: Cloud Interconnect 適用的 MACsec 已關閉。true: Cloud Interconnect 適用的 MACsec 已開啟。
這個指令不會顯示 MACsec 運作狀態。
在內部部署路由器上啟用 MACsec
請參閱路由器供應商的說明文件,在地端部署路由器上啟用 MACsec。
排空 Cloud Interconnect 連線
如果您先前已排空 Cloud Interconnect 連線,請啟用 VLAN 連結。