החלפת מפתחות MACsec

בדף הזה מוסבר איך לבצע רוטציה של מפתחות MACsec ל-Cloud Interconnect.

כדי לבצע רוטציה של מפתחות, צריך לבצע את הפעולות הבאות:

  1. יוצרים מפתח חדש עם תאריך התחלה אחרי התאריכים של המפתחות הקיימים.
  2. מוסיפים את המפתח החדש לנתב המקומי.
  3. ממתינים לשעת ההתחלה של המפתח החדש.
  4. מוודאים שהמפתח החדש פעיל.
  5. מוחקים את המפתח הכי ישן.

אפשר ליצור עד חמישה מפתחות שיתוף מראש עם זמני התחלה שאתם מציינים. שעות ההתחלה של המפתחות צריכות להיות בסדר עולה, ולא בטווח של שש שעות משעת ההתחלה של המפתח הקודם. כדי להחליף מפתח שלא רוצים להשתמש בו יותר, מסירים את המפתח.

תוקף המפתחות ששותפו מראש לא פג. אם מגדירים יותר ממפתח אחד, צריך להגדיר שעת התחלה לכל המפתחות.

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות לאחזור מפתחות MACsec, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין רשת של Compute (roles/compute.networkAdmin) בפרויקט. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

אם אתם בוחרים להשתמש בתפקידים בהתאמה אישית, ודאו שהתפקיד בהתאמה אישית לניהול MACsec ל-Cloud Interconnect כולל את הרשאת ה-IAM‏ compute.interconnects.getMacsecConfig.

אופציונלי: עדכון של שעת ההתחלה הקיימת של מילת מפתח

אם יש לכם מפתח בלי שעת התחלה ואתם מנסים ליצור מפתח חדש, מוצגת שגיאה ב-Cloud Interconnect. כדי לתקן את שעת ההתחלה, בוחרים באחת מהאפשרויות הבאות כדי להגדיר שעת התחלה למפתח הקיים:

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Cloud Interconnect Physical connections.

    כניסה אל Physical connections

  2. בוחרים את החיבור שרוצים לשנות.

  3. בכרטיסייה MACsec, עוברים לקטע מפתחות משותפים מראש ולוחצים על מפתחות משותפים מראש בניהול.

  4. בשדה Start time, בוחרים או מזינים שעת התחלה חדשה.

  5. לוחצים על שליחה.

gcloud 

gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time=START_TIME

מחליפים את מה שכתוב בשדות הבאים:

  • INTERCONNECT_CONNECTION_NAME: השם של חיבור Cloud Interconnect
  • KEY_NAME: השם של המפתח שרוצים לעדכן
  • START_TIME: השעה שבה המפתח הזה תקף, בפורמט ISO 8601 – לדוגמה, 2023-07-01T21:00:01.000Z

יצירת מפתח חדש

  1. כדי להוסיף מפתח חדש, בוחרים באחת מהאפשרויות הבאות:

    המסוף

    1. במסוף Google Cloud , עוברים לכרטיסייה Cloud Interconnect Physical connections.

      כניסה אל Physical connections

    2. בוחרים את החיבור שרוצים לשנות.

    3. בכרטיסייה MACsec, עוברים לקטע מפתחות משותפים מראש ולוחצים על מפתחות משותפים מראש בניהול.

    4. לוחצים על הוספת מפתח.

    5. מציינים את הפרטים של המפתח ששותף מראש:

      • שם המפתח: שם המפתח. השם הזה מוצג במסוףGoogle Cloud ומשמש את ה-CLI של gcloud להפניה למפתח, כמו psk-2.

      • שעת התחלה: השעה שבה המפתח תקף. מוודאים ששעת ההתחלה של המפתח החדש המשותף מראש היא לפחות שש שעות אחרי שעת ההתחלה של המפתח הקודם.

    6. כדי להוסיף עוד מפתחות משותפים מראש, לוחצים על הוספת מפתח. שעות ההתחלה של מפתחות משותפים רצופים צריכות להיות בהפרש של שש שעות לפחות.

    7. לוחצים על שליחה.

    gcloud 

    gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time="START_TIME"

    מחליפים את מה שכתוב בשדות הבאים:

    • INTERCONNECT_CONNECTION_NAME: השם של חיבור Cloud Interconnect
    • KEY_NAME: שם המפתח
    • START_TIME: השעה שבה המפתח הזה תקף, בפורמט ISO 8601 – לדוגמה, 2023-07-01T21:00:01.000Z

    כשיטה מומלצת, מומלץ להגדיר שעת התחלה לכל המפתחות שיוצרים ל-MACsec ל-Cloud Interconnect.

  2. כדי להציג את המפתחות הקיימים ולרשום את מפתח השיוך לקישוריות (CAK) ואת שם מפתח השיוך לקישוריות (CKN) של המפתח החדש, בוחרים באחת מהאפשרויות הבאות:

    המסוף

    1. בקטע מפתחות ששותפו מראש, מחפשים את השם של המפתח ששותף מראש שהוספתם ולוחצים על הצגה. בחלון מוצגים מפתח שיוך הקישוריות (CAK) ושם מפתח שיוך הקישוריות (CKN). לוחצים על העתקה ליד אחד מהערכים כדי להעתיק אותו ללוח של המחשב.

    2. לוחצים על Close.

    gcloud 

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    הפלט אמור להיראות כך:

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    בדוגמה הזו, key2 הוא המפתח שנוסף.

  3. מוסיפים את שעת ההתחלה, ה-CAK וה-CKN של המפתח החדש להגדרה של הנתב המקומי.

נתבי הקצה של Google משתמשים במפתח עם זמן ההתחלה האחרון ועוברים אוטומטית למפתח הבא ככל שהזמן עובר. לכל המפתחות המוגדרים יש תוקף ללא הגבלה. כלומר, כדי להשלים רוטציית מפתחות, צריך להסיר את המפתח הישן שלא רוצים להשתמש בו יותר.

אימות המפתח הפעיל

כך עושים את זה:

  1. כדי להציג רשימה של מפתחות קיימים, בוחרים באחת מהאפשרויות הבאות:

    המסוף

    1. במסוף Google Cloud , עוברים לכרטיסייה Cloud Interconnect Physical connections.

      כניסה אל Physical connections

    2. בוחרים את החיבור שרוצים לראות.

    3. בכרטיסייה MACsec, בקטע מפתחות ששותפו מראש מפורטים כל המפתחות ששותפו מראש לחיבור הזה.

    gcloud 

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    הפלט אמור להיראות כך:

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    שימו לב לערך ה-CKN של המפתח שמופיע לפני המפתח האחרון.

  2. כדי לוודא שהמפתח הפעיל מופיע לפני שמסירים את המפתח הישן, בוחרים באחת מהאפשרויות הבאות:

    המסוף

    • בקטע מפתחות משותפים מראש, מוודאים שהמפתח החדש מופיע עם סטטוס מפתח של פעיל, בשימוש.

    gcloud 

    gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

    הפלט אמור להיראות כך. מחפשים את macsec:

    bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
  googleDemarc: fake-local-demarc-0
  lacpStatus:
    googleSystemId: '00:11:22:33:44:55'
    neighborSystemId: '55:44:33:22:11:00'
    state: ACTIVE
  macsec:
    ckn: 0202020289abcdef...0123456789abcdef
    operational: true
  operationalStatus: LINK_OPERATIONAL_STATUS_UP
  receivingOpticalPower:
    state: OK
    value: -2.49
  transmittingOpticalPower:
    state: OK
    value: -0.88
macAddress: 00:11:22:33:44:55

    הפקודה gcloud compute interconnects get-diagnostics מציגה את ערך ה-CKN של המפתח הפעיל. אם הגדרתם יותר ממפתח אחד, המפתח עם זמן ההתחלה האחרון נבחר כמפתח הפעיל. נתבי הקצה של Google דוחים כל סשן חדש של MACsec שמנסה להשתמש במפתחות הישנים.

הסרת המפתח הישן

כאמצעי זהירות, MACsec for Cloud Interconnect מונע מכם להסיר את המפתח הפעיל האחרון.

כדי להסיר את המפתח הישן, מבצעים את השלבים הבאים:

  1. מסירים את המפתח הישן מהגדרת הנתב המקומי. כך מוודאים שהנתב המקומי לא ישתמש במפתח הישן לפני שמוחקים אותו מ-Cloud Interconnect.

  2. כדי להסיר את המפתח הישן מההגדרה של חיבור Cloud Interconnect, בוחרים באחת מהאפשרויות הבאות:

    המסוף

    1. במסוף Google Cloud , עוברים לכרטיסייה Cloud Interconnect Physical connections.

      כניסה אל Physical connections

    2. בוחרים את החיבור שרוצים לראות.

    3. בכרטיסייה MACsec, עוברים אל Pre-shared keys (מפתחות משותפים מראש), בוחרים את המפתח שרוצים למחוק ולוחצים על Delete (מחיקה).

    4. בקטע מפתחות משותפים מראש, מוודאים שהמפתח החדש מופיע עם סטטוס מפתח של פעיל, בשימוש, ושהמפתח שרציתם למחוק לא מופיע יותר.

    gcloud

    1. מריצים את הפקודה הבאה:

      gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME

      מחליפים את מה שכתוב בשדות הבאים:

      • INTERCONNECT_CONNECTION_NAME: השם של חיבור Cloud Interconnect
      • KEY_NAME: השם של המפתח

    2. כדי לוודא שהסרתם את המפתח הנכון, מריצים את הפקודה הבאה:

      gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

      הפלט אמור להיראות כך:

      preSharedKeys:
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

מה השלב הבא?