Alterne as chaves MACsec

Esta página descreve como alternar chaves para MACsec para o Cloud Interconnect.

Para alternar chaves, conclua o seguinte:

  1. Crie uma nova chave com uma data de início posterior às chaves existentes.
  2. Adicione a nova chave ao seu router no local.
  3. Aguarde pela hora de início da nova chave.
  4. Verifique se a nova chave está ativa.
  5. Elimine a chave mais antiga.

Pode criar até cinco chaves pré-partilhadas com horas de início especificadas por si. As horas de início das chaves têm de estar por ordem crescente e não podem estar dentro de seis horas da hora de início da chave anterior. Para alternar uma chave que já não quer usar, remova a chave.

As chaves pré-partilhadas não expiram. Quando configura mais de uma chave, todas as chaves têm de ter uma hora de início configurada.

Funções necessárias

Para receber as autorizações de que precisa para obter chaves MACsec, peça ao seu administrador para lhe conceder a função de administrador de rede de computação (roles/compute.networkAdmin) do IAM no seu projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Se optar por usar funções personalizadas, certifique-se de que a sua função personalizada para administrar o MACsec para o Cloud Interconnect inclui a autorização de IAM compute.interconnects.getMacsecConfig.

Opcional: atualize a hora de início da chave existente

Se tiver uma chave sem uma hora de início e tentar criar uma nova chave, o Cloud Interconnect apresenta um erro. Para corrigir a hora de início, selecione uma das seguintes opções para definir uma hora de início para a chave existente:

Consola

  1. Na Google Cloud consola, aceda ao separador Cloud Interconnect Ligações físicas.

    Aceda a Ligações físicas

  2. Selecione a associação que quer modificar.

  3. No separador MACsec, aceda à secção Chaves pré-partilhadas e, de seguida, clique em Chaves pré-partilhadas geridas.

  4. No campo Hora de início, selecione ou introduza uma nova hora de início.

  5. Clique em Enviar

gcloud 

gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time=START_TIME

Substitua o seguinte:

  • INTERCONNECT_CONNECTION_NAME: o nome da sua ligação do Cloud Interconnect
  • KEY_NAME: o nome da chave a atualizar
  • START_TIME: a hora a partir da qual esta chave é válida no formato ISO 8601, por exemplo, 2023-07-01T21:00:01.000Z

Crie uma nova chave

  1. Para adicionar uma nova chave, selecione uma das seguintes opções:

    Consola

    1. Na Google Cloud consola, aceda ao separador Cloud Interconnect Ligações físicas.

      Aceda a Ligações físicas

    2. Selecione a associação que quer modificar.

    3. No separador MACsec, aceda à secção Chaves pré-partilhadas e, de seguida, clique em Chaves pré-partilhadas geridas.

    4. Clique em Adicionar chave.

    5. Especifique os detalhes da chave pré-partilhada:

      • Nome da chave: um nome para a chave. Este nome é apresentado na Google Cloud consola e é usado pela CLI gcloud para fazer referência à chave, como psk-2.

      • Hora de início: a hora a partir da qual a chave é válida. Certifique-se de que a hora de início da nova chave partilhada previamente é, pelo menos, seis horas após a hora de início da chave anterior.

    6. Para adicionar mais chaves pré-partilhadas, clique em Adicionar chave. As chaves partilhadas previamente consecutivas têm de ter horas de início com uma diferença de, pelo menos, seis horas.

    7. Clique em Enviar.

    gcloud 

    gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time="START_TIME"

    Substitua o seguinte:

    • INTERCONNECT_CONNECTION_NAME: o nome da sua ligação do Cloud Interconnect
    • KEY_NAME: um nome para a chave
    • START_TIME: a hora a partir da qual esta chave é válida no formato ISO 8601, por exemplo, 2023-07-01T21:00:01.000Z

    Como prática recomendada, recomendamos que defina uma hora de início para todas as chaves que criar para o MACsec para o Cloud Interconnect.

  2. Para listar as chaves existentes e anotar a chave de associação de conetividade (CAK) e o nome da chave de associação de conetividade (CKN) da nova chave, selecione uma das seguintes opções:

    Consola

    1. Na secção Chaves pré-partilhadas, encontre o nome da chave pré-partilhada que adicionou e, de seguida, clique em Ver. É apresentada uma janela com a chave de associação de conetividade (CAK) e o nome da chave de associação de conetividade (CKN). Clique em Copiar junto a qualquer um dos valores para copiar o valor para a área de transferência do computador.

    2. Clique em Fechar.

    gcloud 

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    O resultado é semelhante ao seguinte:

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    Neste exemplo, key2 é a chave adicionada recentemente.

  3. Adicione a hora de início, o CAK e os valores CKN da nova chave à configuração do router no local.

Os routers de limite da Google usam a chave com a hora de início mais recente e mudam automaticamente para a chave seguinte à medida que o tempo avança. Todas as chaves configuradas têm prazos de validade infinitos. Isto significa que, para concluir uma alteração de chaves, tem de remover a chave antiga que não quer que seja usada.

Valide a chave ativa

Conclua os seguintes passos:

  1. Para listar as chaves existentes, selecione uma das seguintes opções:

    Consola

    1. Na Google Cloud consola, aceda ao separador Cloud Interconnect Ligações físicas.

      Aceda a Ligações físicas

    2. Selecione a associação que quer ver.

    3. No separador MACsec, a secção Chaves pré-partilhadas apresenta todas as chaves pré-partilhadas para esta ligação.

    gcloud 

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    O resultado é semelhante ao seguinte:

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    Tenha em atenção o valor CKN da chave indicada antes da última chave.

  2. Para verificar se a chave ativa está listada antes de remover a chave antiga, selecione uma das seguintes opções:

    Consola

    • Na secção Pré-partilhadas, verifique se a nova chave apresenta um Estado da chave de Ativa, em utilização.

    gcloud 

    gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

    O resultado é semelhante ao seguinte; procure macsec:

    bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
  googleDemarc: fake-local-demarc-0
  lacpStatus:
    googleSystemId: '00:11:22:33:44:55'
    neighborSystemId: '55:44:33:22:11:00'
    state: ACTIVE
  macsec:
    ckn: 0202020289abcdef...0123456789abcdef
    operational: true
  operationalStatus: LINK_OPERATIONAL_STATUS_UP
  receivingOpticalPower:
    state: OK
    value: -2.49
  transmittingOpticalPower:
    state: OK
    value: -0.88
macAddress: 00:11:22:33:44:55

    O comando gcloud compute interconnects get-diagnostics apresenta o valor CKN da chave ativa. Se tiver mais do que uma chave configurada, a chave com a hora de início mais recente é selecionada como a chave ativa. Os routers de borda da Google rejeitam quaisquer novas sessões MACsec que tentem usar as chaves mais antigas.

Remova a chave antiga

Como medida de segurança, o MACsec para o Cloud Interconnect impede que remova a última chave ativa.

Para remover a chave antiga, conclua os passos seguintes:

  1. Remova a chave antiga da configuração do router no local. Isto garante que a chave antiga não é usada pelo seu router no local antes de eliminar a chave antiga do Cloud Interconnect.

  2. Para remover a chave antiga da configuração da ligação do Cloud Interconnect, selecione uma das seguintes opções:

    Consola

    1. Na Google Cloud consola, aceda ao separador Cloud Interconnect Ligações físicas.

      Aceda a Ligações físicas

    2. Selecione a associação que quer ver.

    3. No separador MACsec, aceda a Chaves pré-partilhadas, selecione a chave que quer eliminar e, de seguida, clique em Eliminar.

    4. Na secção Pré-partilhadas, verifique se a nova chave apresenta um Estado da chave de Ativa, em utilização e se a chave que queria eliminar já não está listada.

    gcloud

    1. Execute o seguinte comando:

      gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME

      Substitua o seguinte:

      • INTERCONNECT_CONNECTION_NAME: o nome da sua ligação do Cloud Interconnect
      • KEY_NAME: o nome da sua chave

    2. Para verificar se removeu a chave correta, execute o seguinte comando:

      gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

      O resultado é semelhante ao seguinte:

      preSharedKeys:
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

O que se segue?