Esta página descreve como configurar o MACsec para o Cloud Interconnect.
Antes de ativar e usar o MACsec para o Cloud Interconnect, tem de criar uma ou mais chaves partilhadas previamente e configurar o router no local para as usar. O seu router e o router de limite da Google usam as chaves pré-partilhadas para encriptar o tráfego que transita entre os routers.
Antes de começar
Para receber as autorizações de que
precisa para obter chaves MACsec,
peça ao seu administrador para lhe conceder a função de
administrador de rede de computação (roles/compute.networkAdmin)
do IAM no seu projeto.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Se optar por usar funções personalizadas, certifique-se de que a sua função personalizada para administrar o MACsec para o Cloud Interconnect inclui a autorização de IAM compute.interconnects.getMacsecConfig.
Verifique se o Cloud Interconnect é compatível com MACsec
Use uma das seguintes opções para verificar se uma ligação do Cloud Interconnect existente é compatível com MACsec. Se for, avance para a secção Crie chaves pré-partilhadas.
Todas as ligações de interligação entre sites são compatíveis com MACsec.
Consola
Na Google Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.
Clique no nome da associação que quer inspecionar.
Clique no separador MACsec.
As informações do MACsec são apresentadas. Se a sua ligação do Cloud Interconnect suportar o MACsec e não estiver configurado, a configuração do MACsec apresenta Desativado. Se a sua ligação não suportar MACsec, o botão Ativar não é acionável e, se passar o cursor do rato sobre o botão, é apresentado o texto "O seu intercâmbio não suporta MACsec. Precisa de uma porta compatível com MACsec."
gcloud
Execute o seguinte comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Substitua INTERCONNECT_CONNECTION_NAME pelo nome da sua ligação do Cloud Interconnect.
O resultado é semelhante ao exemplo seguinte. As ligações compatíveis com MACsec apresentam o seguinte:
- Para links de 10 GB:
linkType: LINK_TYPE_ETHERNET_10G_LReavailableFeatures: IF_MACSEC - Para links de 100 GB:
linkType: LINK_TYPE_ETHERNET_100G_LR; todos os links de 100 GB são compatíveis com MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
Os seguintes itens especificam a configuração do MACsec da ligação do Cloud Interconnect:
availableFeatures: capacidade MACsec na ligação do Cloud Interconnect. Este parâmetro é apresentado apenas para ligações do Cloud Interconnect de 10 GB, porque as ligações do Cloud Interconnect de 100 GB são compatíveis com MACsec por predefinição.macsecEnabled: estado do MACsec para o Cloud Interconnect neste link. O valor é falso até ativar o MACsec na interligação.
Peça uma ligação do Cloud Interconnect compatível com MACsec
Uma ligação do Cloud Interconnect de 100 GB é compatível com MACsec por predefinição. No entanto, uma ligação de 10 GB não é compatível com MACsec por predefinição, a menos que seja uma ligação de interconexão entre sites. Se a sua ligação existente não for compatível com MACsec, tem de pedir uma nova ligação antes de continuar.
Selecione uma das seguintes opções:
Consola
Na Google Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.
Clique em Configurar ligação física.
Selecione Dedicated Interconnect e, de seguida, clique em Continuar.
Selecione Encomendar nova interligação dedicada e, de seguida, clique em Continuar.
Especifique os detalhes da associação:
Nome: um nome para a associação. Este nome é apresentado na consola e é usado pela Google Cloud CLI para fazer referência à ligação, como
my-interconnect. Google CloudLocalização do Google Cloud: a localização física onde a ligação é criada. A sua rede no local tem de corresponder à rede da operadoraGoogle Cloudnesta localização. Pode limitar a lista de localizações disponíveis por área geográfica no menu pendente Localização geográfica.
A coluna Suporte de MACsec para o projeto atual apresenta os tamanhos de circuitos disponíveis para MACsec para o Cloud Interconnect.
Capacidade: a capacidade total da sua ligação, que é determinada pelo número e tamanho dos circuitos que encomenda.
Selecione uma das opções apresentadas.
Encomende uma porta compatível com MACsec: se estiver a encomendar um link físico de 10 Gbps, tem de selecionar esta opção quando encomendar a sua ligação do Cloud Interconnect para ligações compatíveis com MACsec. Se estiver a encomendar um link físico de 100 Gbps, é selecionada automaticamente uma porta compatível com MACsec, e não pode desmarcá-la.
Pode fornecer uma descrição opcional da associação no campo Descrição. Esta descrição destina-se à sua utilização.
Clicar em Seguinte.
Se precisar de redundância, especifique os detalhes da ligação duplicada e, de seguida, clique em Seguinte.
Especifique as suas informações de contacto:
Nome da empresa: o nome da sua organização a indicar na LOA como a parte autorizada a pedir uma associação.
Contacto técnico: um endereço de email para onde são enviadas notificações acerca desta associação. Não tem de introduzir o seu próprio endereço. É incluído em todas as notificações. Só pode especificar um endereço.
Se estiver a criar uma ligação através da federação de identidades da força de trabalho, é necessário especificar um contacto técnico. A federação de identidade da força de trabalho está em pré-visualização.
Reveja a encomenda. Verifique se os detalhes da ligação Dedicated Interconnect e as informações de contacto estão corretos. Se estiver tudo correto, clique em Fazer encomenda. Caso contrário, regresse e edite os detalhes da associação.
Na página de confirmação da encomenda, reveja os passos seguintes e, de seguida, clique em Concluído.
gcloud
O comando seguinte demonstra como pedir uma ligação do Cloud Interconnect compatível com MACsec num link de 10 GB. O MACsec em ligações de 10 GB é suportado, mas tem de contactar a sua Google Cloud equipa de conta para permitir que os seus Google Cloud projetos criem uma ligação compatível com MACsec em links de 10 GB.
gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
--customer-name=CUSTOMER_NAME \
--interconnect-type=DEDICATED \
--link-type=LINK_TYPE_ETHERNET_10G_LR \
--location="INTERCONNECT_CONNECTION_LOCATION" \
--requested-link-count=LINK_COUNT \
--requested-features=MACSEC
Substitua o seguinte:
INTERCONNECT_CONNECTION_NAME: um nome para a sua ligação do Cloud InterconnectCUSTOMER_NAME: o nome do cliente para a carta de autorização (LOA) que emitimos para esta associaçãoINTERCONNECT_CONNECTION_LOCATION: a Localização da ligação do Cloud Interconnect indicada na tabela de localizaçõesLINK_COUNT: o número de ligações do Cloud Interconnect que quer
Depois de pedir uma ligação do Cloud Interconnect compatível com MACsec, é aprovisionada uma ligação do Cloud Interconnect para si.
Para mais informações sobre o aprovisionamento, consulte o seguinte:
- Vista geral do aprovisionamento da Interligação dedicada
- Vista geral do aprovisionamento da Interligação de parceiro
- Vista geral do aprovisionamento da interligação entre sites
Crie chaves pré-partilhadas
Depois de o seu Cloud Interconnect compatível com MACsec ser aprovisionado, crie as chaves pré-partilhadas que o MACsec usa para encriptar o tráfego que transita entre os routers de extremidade da Google e o seu router. A criação de chaves não ativa o MACsec. Para ativar o MACsec, tem de configurar o seu router no local e, em seguida, ativar o MACsec.
O MACsec para o Cloud Interconnect requer que tenha, pelo menos, uma chave com uma hora de início atual ou anterior. As chaves que cria para o MACsec para o Cloud Interconnect têm uma validade infinita. Pode ter um máximo de cinco chaves por associação.
Consola
Na Google Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.
Selecione a associação que quer modificar.
No separador MACsec, aceda à secção Chaves pré-partilhadas e, de seguida, clique em Chaves pré-partilhadas geridas.
Especifique os detalhes da chave pré-partilhada:
Nome da chave 1: um nome para a chave. Este nome é apresentado na consola e é usado pela CLI gcloud para fazer referência à chave, como
psk-1. Google CloudHora de início 1: a hora a partir da qual a chave é válida.
Para adicionar mais chaves pré-partilhadas, clique em Adicionar chave. As chaves partilhadas previamente consecutivas têm de ter horas de início com uma diferença de, pelo menos, seis horas.
Clique em Enviar.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME --start-time="START_TIME"
Substitua o seguinte:
KEY_NAME: um nome para a chaveSTART_TIME: a hora a partir da qual esta chave é válida no formato ISO 8601, por exemplo,2023-07-01T21:00:01.000Z
Obtenha chaves pré-partilhadas
Consola
Na Google Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.
Selecione a associação que quer ver.
No separador MACsec, aceda à secção Chaves pré-partilhadas, encontre o nome da chave pré-partilhada e, de seguida, clique em Ver. É apresentada uma janela com a chave de associação de conectividade (CAK) e o nome da chave de associação de conectividade (CKN). Clique em Copiar junto a qualquer um dos valores para copiar o valor para a área de transferência do computador.
Clique em Fechar.
gcloud
Execute o seguinte comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
O resultado é semelhante ao seguinte:
preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
ckn: 0101016789abcdef...0123456789abcdef
name: key1
startTime: 2023-07-01T21:00:01.000Z
Tome nota da chave de associação de conetividade (CAK) e do nome da chave de associação de conetividade (CKN) para a configuração do router.
Se receber um erro de autorizações recusadas, verifique se tem as autorizações corretas. Para mais informações, consulte a secção Antes de começar.
Configure o seu router no local
Consulte a documentação do fornecedor do router para definir os seguintes valores no router para compatibilidade com os routers da Google.
Neste momento, o MACsec não está ativado no lado da Google. Para evitar uma interrupção do tráfego, não ative o MACsec no router enquanto define estes valores.
| Definição | Valor |
|---|---|
| Conjunto de cifras MACsec |
|
| Algoritmo criptográfico CAK | AES_256_CMAC |
| Prioridade do servidor de chaves | 15 |
| Intervalo de nova introdução da chave de associação segura (SAK) | 28800 segundos |
| Desvio de confidencialidade do MACsec | 0 |
| Tamanho da janela | 64 |
| Indicador de valor de verificação de integridade (ICV) | sim |
| CAK | O valor que anotou anteriormente quando obteve chaves pré-partilhadas. |
| CKN | O valor que anotou anteriormente quando obteve as chaves pré-partilhadas. |
| Identificador do canal seguro (SCI) | ativada |